（计算数学专业论文）盲数字签名方案和一次一密.pdf

摘要 密码设计者和密码分析者在不间断的斗争中逐渐形成了密码学。随着电子计 算机和通信网络的广泛应用，数字签名技术在商业领域，诸如电子邮件、电子转 帐、办公室自动化等系统中找到了发展的空间。中外学者们都在数字签名的研究 上付出了不少心血，各种各样的满足不同安全需求的数字签名方案一涌而出。本 文主要研究的是盲数字签名和一次一密的签名方案，主要工作如下： 1 总结了数字签名的相关理论知识，包括数字签名的定义，方案描述以及 数字签名方案的分类。 2 介绍了盲数字签名的概念，然后利用椭圆曲线上的双线性对的特性，提 出具有消息恢复的代理盲签名方案，本方案不仅有代理签名和盲签名共同的优 点，而且可以使消息恢复，相对比文献【l - 2 1 中的消息恢复更降低了通信成本，加 快了计算速度。最后讨论了它的安全性。 3 我们利用在g d h 群上d d h p 在多项式时间能解决，而没有任何可能的 算法解决c d h p 的特性，结合盲签名和f a i l s t o p 签名方案，提出一种新的f a i l s t o p 盲签名方案。本方案适用于联用的电子支付系统。 4 通过对l u 和c a o 方案的回顾和分析，利用信息论中移位寄存编码器的 原理，构造出一种一次一密的签名方案，弥补了签名方案中密钥不能重复使用的 缺陷。 关键词 数字签名，盲签名，代理签名，一次性签名 a b s t r a c t c r y p t o g r a p h yf o r m e dg r a d u a l l yb yp a s s w o r dd e s i g n e r sa n dc r y p t a n a l y s i si nt h e o n g o i n gs t r u g g l e w i t he x t e n s i v ea p p l i c a t i o no fc o m p u t e ra n dc o m m u n i c a t i o n s n e t w o r k s ，d i g i t a ls i g n a t u r et e c h n o l o g yf o u n dt h es p a c et od e v e l o p e df u t h e ri nt h e c o m m e r c i a la r e a s ，s u c ha se - m a i l ，e l e c t r o n i ct r a n s f e r s ，o f f i c ea u t o m a t i o ns y s t e m b o t h d o m e s t i ca n df o r e i g ns c h o l a r sp a yal o to fe f f o r ti nt h er e s e a r c ho nd i g i t a ls i g n a t u r e ， s od i v e r s ed i g i t a ls i g n a t u r ep r o g r a m sw h i c ha p p r e c i a t e sd i f f e r e n ts e c u r i t yr e q u i r e m e n t ss p r i n go u ta to n c e b l i n dd i g i t a ls i g n a t u r ea n dt h es i g n a t u r e so fo n e t i m ep a d p r o g r a ma r et h em a i ni t e m sw h i c hw es t u d i e di nt h i sp a p e r ，a n dt h ep r i n c i p a lt a s k sa r e a sf o l l o w s ： 1 s u m m a r i z e st h et h e o r e t i c a lk n o w l e d g et h a tr e l a t e dt od i g i t a ls i g n a t u r e s ， i n c l u d i n gd e f i n i t i o n so fd i g i t a ls i g n a t u r e ，p r o g r a md e s c r i p t i o n s ，a n dc l a s s i f i c a t i o no f d i g i t a ls i g n a t u r es c h e m e 2 t h en o t i o no fb l i n dd i g i t a ls i g n a t u r e sw e r ei n t r o d u c e di nt h i sp a p e r ，a n dt h e n p r e s e n t e dt h ep r o x yb l i n ds i g n a t u r es c h e m ew h i c hh a v eam e s s a g er e c o v e r yp o t e n tb y u s eo fb i l i n e a rp a i r i n g so ne l l i p t i cc u r v e sc h a r a c t e r i s t i c ，t h ep r o g r a mi sn o to n l ya n a d v a n t a g e so fc o m m o np r o x ys i g n a t u r ea n db l i n ds i g n a t u r e ，b u ta l s oc a nm a k et h e m e s s a g er e c o v e r y , t h el i t e r a t u r e o fe v e nl o w e rc o m m u n i c a t i o n sc o s t sd e c l i n e d c o m p a r e dt ot h em e s s a g er e c o v e r yi nt h el i t e r a t u r e 1 - 2 1 ，a n ds p e e du pt h ec o m p u t i n g s p e e d f m a l l yt h es e c u r i t yo f t h i sp r o g r a mi sd i s c u s s e d 3 w ea p p l yt h ef e a t u r e so nw h i c hd d h pc a nb es o l v e di np o l y n o m i a lt i m eo n g d h g r o u p ，a n dw i t h o u ta n yp o s s i b l ea l g o r i t h mt os o l v ec d h p ，t h e n w ep u tf o r w a r d an e wb l i n df a i l s t o ps i g n a t u r es c h e m ew h i c hc o m b i n e dw i t hb l i n ds i g n a t u r e sa n d f a i l s t o ps i g n a t u r es c h e m e ，t h i ss c h e m ea p p l i e si nc o n j u n c t i o nw i t ht h ee l e c t r o n i c p a y m e n ts y s t e m 4 b yr e v i e wa n da n a l y s i so fl ua n dc a op r o g r a m ，w ec o n s t r u c t sa o n e - t i m ep a d s i g n a t u r ep r o g r a mt om a k eu pt h es i g n a t u r ep r o g r a mo ft h ek e yc a nn o tb er e u s e d d e f e c t sb yu s eo fi n f o r m a t i o nt h e o r yi nt h es h i f tr e g i s t e re n c o d e rp r i n c i p l e i i k e y w o r d s d i g i t a ls i g n a t u r e s ，b l i n ds i g n a t u r e s ，p r o x ys i g n a t u r e ，o n e t i m es i g n a t u r e i i i 西北大学学位论文知识产权声明书 本人完全了解西北大学关于收集、保存、使用学位论文的规定。 学校有权保留并向国家有关部门或机构送交论文的复印件和电子版。 本人允许论文被查阅和借阅。本人授权西北大学可以将本学位论文的 全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫 描等复制手段保存和汇编本学位论文。同时授权中国科学技术信息研 究所等机构将本学位论文收录到中国学位论文全文数据库或其它 相关数据库。 保密论文待解密后适用本声明。 ， ， 学位论文作者签名：每金丝指导教师签名：孚! ! 兰 ? 年月fe l加，。年月f ，日 西北大学学位论文独创性声明 本人声明：所呈交的学位论文是本人在导师指导下进行的研 究工作及取得的研究成果。据我所知，除了文中特别加以标注和 致谢的地方外，本论文不包含其他人已经发表或撰写过的研究成 果，也不包含为获得西北大学或其它教育机构的学位或证书而使 用过的材料。与我一同工作的同志对本研究所做的任何贡献均已 在论文中作了明确的说明并表示谢意。 学位论文作者签名：能趁 o 年6 玛i ie l 西北大学硕士学位论文 第一章引言 1 1 信息安全的重要性及其发展 信息安全是涉及数学、物理、网络通信、计算机等多种学科交叉的研究领域， 它的出现远远早于计算机的诞生。从大的方面来说，信息安全是一个国家综合国 力的体现。我们知道，美国就是依赖于互联网技术的不断发展和卫星技术上的创 新，从而主宰着大多数发展中国家的信息。美国利用他们的高端技术和解密算法， 不断窃听、截获别国的机密信息( 诸如某些发明创造，或者军事方面等问题) ， 最后做出对自己国家有利的决定。二十一世纪是信息化不断发展的新时期，其间， 各国在信息安全方面所作的不懈努力，就是想要为本国在信息化时代立于不败之 地寻求“更强更好”的保证。 随着世界各国政策的开放和体制的更新，信息安全已经涉及到政治、电子商 务、商业、网络安全等各个领域。现在大家频繁讨论的问题无非是商业机密的泄 露、网上犯罪、网络黑客的攻击等，就个人而言，大家可能会装载杀毒软件来杀 毒，可是某些杀毒软件就携带有病毒，杀毒软件业局势一直不稳定。信息安全问 题如若不解决，大到一个国家政治军事安全，小到个人的身心健康，都会受到严 重危害。总的来说，信息安全已经渗透到世界军事，政治经济和金融结构的方方 面面。 信息安全在其发展过程中经历了三个阶段【3 】：2 0 世纪6 0 年代以前，在通信 不发达的状况下，人们强调的主要是信息替换与置换过程中的信息机密性，对安 全理论和技术的研究只侧重于密码学，这一阶段的信息安全则称为信息保密 ( i n f o r m a t i o np r i v a c y ) ，主要在战争时的军事机密上发挥着举足轻重的作用。2 0 世纪6 0 年代后，半导体和集成电路的发展与逐渐深入，计算机和网络技术的应 用进入了实用化和规模化阶段，人们对安全的关注已经逐渐扩展为以保密性 ( c o n f i d e n t i a l i t y ) 、完整性( i n t e g r i t y ) 、可用性( a v a i l a b i l t y ) 为目标的信息安 全( i n f o r m a t i o ns e c u r i t y ) ，此时信息安全的范围已经逐步涉足商业领域。从2 0 世纪8 0 年代开始，随着互联网技术的飞速发展，信息安全的焦点已经衍生为可 控性( c o n t r o l l a b i l i t y ) 、认证性( a u t h e n t i c i t y ) 、不可否认性( n o n r e p u d i a t i o n ) 第一章引言 等其他原则和目标要求，在电子商务中起到重要的作用。归根结底，信息安全发 展的主心骨就是密码学在网络信息安全中的发展与改进。 1 2 密码学的分类和发展 密码技术在解决网络信息安全问题上发挥着重要作用，信息安全服务主要依 赖各种安全机制来实现，但是大多数安全机制却需要依赖于密码技术。因此，密 码技术是信息安全的基础和核心，是信息安全学科建设和信息系统安全工程实践 的基础理论之一。那么密码学的发展到底经历了一个什么样的过程，希望以下关 于密码学的笼统叙述可以为研究密码的同行们提供些许帮助。 1 2 1 密码学的分类和系统组成 密码学是- l - j 古老的学科，其起源可以追溯到几千年前的埃及、巴比伦、古 罗马和古希腊。人类社会自从有了战争，有了保密通信的需求，就有了密码技术 的研究和应用。按照加密单元的不同，密码学可分为古典密码以字符为基本 加密单元的密码，以及近( 现) 代密码以信息块为基本加密单元的密码。 古典密码有着悠久的历史，在电报特别是无线电报发明以后，得到了深入研 究。常用的有单表密码和多表密码，其大致思路都是改变英文字母表中字母的顺 序。其中单表密码在古代就已经得到了长足的发展，早期的部落之间的通信交流 全凭着单表密码技术，还有古代的将军们在战争中发号施令用的虎符都是依据单 表密码理论。到了现代，密码学文献有一个奇妙而传奇的发展历程，当然，密码 学中密而不宣总是扮演最主要的角色。 近代密码技术与计算机技术、电子通信技术紧密相关。由于现实生活的实际 需要以及计算机技术的进步，密码使用的范围在不断扩张，密码算法与分析互相 促进，出现了许多通用的加密标准，促进了网络和技术的快速发展。 按照加解密中用的密钥是否相同，密码可分为对称密码体制( 私钥密码体制) 和非对称密码体制( 公钥密码体制) 。前者加解密使用的是同一个密钥，是秘密 保存的。后者使用密钥是不相同的，即密钥对，公开保存。 有了以上对密码学发展的简要的概述，我们将密码系统的组成部分做一介 绍。我们知道，任何一个密码系统至少包括下面四个组成部分【4 】： 2 西北大学硕士学位论文 ( 1 ) 没有加密的消息，也称明文。 ( 2 ) 用某种方法伪装以隐藏明文内容而得到的消息，也称密文。 ( 3 )加解密钥所用的设备或算法，以及加密和解密的规则和协议。 ( 4 )实行加密解密操作用的密钥。 发送方用加密密钥，通过加密设备或算法，将信息加密后发送出去。接收方 在收到密文后，用解密密钥将密文解密，最后恢复为明文。如果传输中有人截获 消息，他没有解密密钥，也不知道算法的具体细节，因而他得到的无法理解的密 文，从而对消息起到保密作用。 1 2 2 密码学的发展历史 密码学的发展历史大致可划分为四个阶段【5 】： 第一个阶段我们称之为手工阶段( 古代加密方法) 。这一阶段可看作是科学 密码学的前夜时期，可以说是自从有了人类战争，就有了密码技术，我们按照时 间可以追溯到几千年前。早期的密码技术是非常简单的，主要以简单的“替换 或者是“换位 实施密码变换，比较著名的密码是古罗马的c a e s e r 密码，法国 的v i g e n e r e 密码。我国古代的藏头诗、藏尾诗、漏格诗以及绘画等形式，将要 表达的真正意思隐藏在诗文或画卷的特定位置的记载，使得截获者难以发现隐藏 其中的“话外之音”，以达到保密的效果。 第二个阶段为机械阶段( 古典密码) 。密码技术的发展是不断进步的，随着 破译技术的不断进步，对密码算法的安全性要求也越来越高，相应的算法复杂度 也越来越大，这使得人们有必要对加密手段改进，使用机械的方法实现相对复杂 的密码算法。从2 0 世纪初到第二次世界大战后期，出现一些专用的加密机器， 如英国的a t u r i n g 设计的加密机c o l o s s u s 。7 0 年代初期，i b m 发表了f e i s t e l 和 他的同事们在这个学科方面的几篇技术报告。 第三个阶段为现代密码阶段。随着电子通信与计算机的不断发展，密码学得 到系统的发展。密码技术在信息安全中的应用不断得到发展，1 9 4 9 年s h a n n o n 发表的“保密系统的信息理论” 6 1 文为私钥密码系统建立了理论基础，并且证 明了一次一密密码系统的完善保密性。从此密码学成为- - f - j 独立的科学，但密码 学直到今天仍具有艺术性，是具有艺术性的- f 科学。 第一章引言 最后一个阶段就是密码学发展的新方向、新课题。2 0 世纪7 0 年代末，美国 政府为了满足政府及民间对信息安全的需求，确定了数据加密标准算法d e s ， 首次公开加密算法细节，这使得加密的安全性仅建立在密钥的保密性之上，并非 算法保密上。1 9 7 6 年d i f f f e 和h e l l m a n 的“密码学新方向”【7 l 文引发了密码学 上的一场革命。他们首次证明了在发送端和接收端无密钥传输的保密通信是可能 的，从而开创了公钥密码学的新纪元，使密钥协商、数字签名等密码问题有了新 的解决方法。随着其他电子技术的发展，混沌密码、量子密码等新的密码技术正 在逐步的走向实用化和规模化。 1 3 数字签名的背景及其研究现状 数字签名是本文研究的一个大的方向，要想在这一范围取得研究成果，必须 对数字签名的研究背景以及现状要进行详细的剖析。 1 3 1 数字签名的研究背景 随着信息时代的来临，密码体制的研究已经趋于稳定状态，人们就希望通过 数字通信网络进行迅速的、远距离的贸易合同的签名，在这种状态下，数字签名 应运而生。随后的网上商务活动频繁，人们通过网络支付费用，买卖股票等。公 钥密码主要用于数字签名和密钥的管理分配。当然，数字签名技术和密钥分配管 理都有自己的研究体系，形成了各自的理论框架。数字签名是电子信息技术发展 的必然产物，是针对电子文档的一种签名确认方法，所要达到的目的是：对数字 对象的合法性、真实性、完整性进行标记，并提供签名者的承诺。 数字签名代替了传统的手写签名和印签，是信息安全最重要的方式之一。自 从数字签名问世以来，它直在不断改进和完善中向前发展。起初的数字签名只 是依赖于对称密码体制，计算机计算能力的不断提高，对称密码体制已经暴漏出 密钥管理和密钥分配以及认证的缺点，原来的数字签名已不能满足起先的安全要 求。在1 9 8 5 年，由v m i u e r 和n k o b l i t z 各自独立提出的椭圆曲线密码体制在密 码学方面占有很大优势。自此椭圆曲线密码体制以它的安全性高、密钥量小、选 择群时有较大灵活性的特点在学术界一度备受关注。 4 西北大学硕士学位论文 1 3 2 数字签名的研究现状 自从1 9 7 6 年公钥密码的思想【7 】提出以来，国际上已经提出了许多种公钥密 码体制，目前在学术界影响最大的三类公钥密码是r s a 公钥密码、e 1 g a m a l 公 钥密码和椭圆曲线公钥密码，前者是在2 0 世纪7 0 年代中期提出的，其安全性依 赖于大整数因子分解的难题上，而后两者的安全性分别依赖于有限域和椭圆曲线 离散对数的难题。在公钥密码体制出现之前，几乎所有的密码系统都建立在基本 的代替和换位基础上，公钥密码体制有两个密钥，一个为消息发送者保管( 也叫 “私钥 ) ，一个公开( 公钥) 。对称密码体制难以从机制上提供数字签名功能， 也就不能实现通信中的抗抵赖要求，而公钥密码体制恰恰弥补了这一缺陷。公钥 密码的快速实现是当前公钥密码算法研究中的一个热点话题，包括算法优化和程 序优化。另一个人们所关注的问题是椭圆曲线公钥密码的安全性论证问题。 盲签名方案、群签名、门限签名、多重签名方案、指定接收人或者指定验证 人的签名、不可否认签名等许多应用于不同环境下的方案如雨后春笋般不断涌现 出来。1 9 9 6 年，m a m b o ，u s u d a 和o k a m o t o 在文献【8 】中提出代理签名的概念， 之后代理签名方案和其他签名方案重组后又得到许多种不同的方案，比如代理盲 签名【9 】，代理多重签名【10 1 ，门限代理签名等。2 0 0 0 年，l i n 和j a n 1 2 】将代理签名 和盲签名相结合提出了代理盲签名的概念。2 0 0 2 年，数字签名亮相中国银行业， 为银行业的发展和繁荣提供了快捷、便利的服务。 目前数字签名的研究内容非常丰富，包括普通签名和特殊签名。特殊签名有 盲签名，代理签名，群签名，不可否认签名，公平盲签名，门限签名，具有消息 恢复功能的签名等，它与具体应用环境密切相关。每一个签名方案在不同场合发 挥作用，至此还没有一个签名方案能够在任何环境下应用。 1 4 论文的研究内容与章节安排 有了以上关于密码学和数字签名的背景知识，本文的主要内容如下： 第一章，引言部分介绍密码学以及数字签名的产生和发展，对于问题的提出 和研究做一简要论述。此外，对于论文的研究和章节安排有一个大致描述。 第二章，预备知识部分给出了数字签名的精确定义，介绍了它应用过程以及 分类，为论文的研究提供了理论基础。 第一章引言 第三章，由盲数字签名的概念逐渐导入到盲代理签名，利用椭圆曲线上双线 性对的特性，最后给出具有消息恢复的盲代理签名，并对此方案的安全性进行了 讨论。紧接着利用椭圆曲线上的运算速度快的特点，提出了f a i l s t o p 盲签名方案。 第四章，在一次一密密码体制基础上，结合一次性签名的特点，利用循环码 上的移位寄存器构造出一次一密的签名方案，解决了密钥重复使用的困惑。 6 西北大学硕士学位论文 第二章预备知识 弟一早耿亩刘识 很多年以来，人们用各种签名将他们的身份同文件联系起来。在中世纪，贵 族用他们勋章的蜡印来封文件。在现代事务中，通过划信用卡来签名。售货员应 该通过与信用卡上的签名进行比较来检验签名。那么什么是数字签名呢? 在本章 中，我们将引入数字签名的定义，分类等一些基本的理论知识。 2 1 数字签名 2 1 1 数字签名的定义 数字签名【1 3 】( d i g i t a ls i g n a t u r e ) 是把实体和一段信息捆绑在一起的一种手段， 是利用公钥密码技术和其他密码算法生成一系列符号及代码组成电子密码进行 签名，来代替手写签名和印章；这种电子式的签名还可进行技术验证，其验证的 准确度是在物理世界中对手工签名和图章的验证无法比拟的。 数字签名具备以下主要特点： ( 1 )不可伪造性( - - i 以进行发送者的身份认证) 。在不知道签名者私钥 的情况下，敌手很难伪造一个有效的数字签名。 ( 2 )保证消息传输的完整性，即防篡改能力。通常情况下，签名者可对 消息的散列值进行签名，由于h a s h 函数抗碰撞的特点( 对于一个安全的h a s h 函数，很难找到两个不同的消息使得他们具有同一个h a s h 值) ，签名便于原消 息绑定在一起而形成一个完整的整体，任何对消息的修改都将会导致消息签名无 法通过验证。 ( 3 )防止交易中的抵赖发生，即不可否认性。对于普通的数字签名，任 何人可利用签名者的公钥对签名进行验证，并通过公钥证书确定签名者的身份。 由于数字签名的不可伪造性，签名者无法否认自己的签名，不可否认性使得签名 的接收者可以确认消息的来源。 数字签名是目前电子商务、电子政务中应用最普遍、技术最成熟的、可操作 性最强的一种电子签名方法。它采用了规范化的程序和科学化的方法，用于鉴定 7 第二章预备知识 签名人的身份以及对一项电子数据内容的认可。它还能验证出文件的原文在传输 过程中有无变动，确保传输电子文件的完整性、真实性和不可抵赖性。 2 1 2 数字签名方案的描述 任何一个数字签名方案由两部分组成：带有陷门的数字签名算法( s i g n a t u r e a l g o r i t h m ) 和验证算法( v e r i f i c a t i o na l g o r i t h m ) 。数字签名方案是对数字签名的 全过程的一个标准描述。 数字签名方案 1 4 】的数学定义是：设p 是消息的有限集合( 明文空间) ，s 是 签名的有限集合( 签名空间) ，k 是密钥的有限集合( 密钥空间) ，n - 签名算法是这样一个映射： 啦：p x k s ，y = s i g k o ) 验证算法也是一个映射： 蹦 ( t r u e ，f a l s e ) l 嚣i ；：；二急二嚣 五元组 p ，s ，k ，s i g ，v e r 就称为一个签名方案( 也叫签名算法) 。 归纳起来，一个数字签名方案的应用全过程包括下面三个步骤： ( 1 ) 系统参数设置过程：产生数字签名方案中用到的所有系统设置和用 户参数，有公开的，也有秘密的。 ( 2 )签名产生过程：在此过程用户利用给定的签名算法和参数对消息产 生签名，这种签名过程可以公开也可以不公开，但是一定得包含仅签名者才拥有 的秘密信息( 签名密钥) 。 ( 3 )签名验证过程：验证者利用公开的验证方法和参数对给定消息的签 名进行验证，得出签名的有效性。 2 2 数字签名的分类 长期以来，为适应各种不同的安全需求，数字签名的发展从最普通、最原始 简单的数字签名逐渐衍生出各种不同情境下使用的签名方案。从不同的角度我们 可以把数字签名分成不同的类型。 ( 1 ) 按照执行方式的不同，数字签名可分为直接数字签名和可仲裁数字签 西北大学硕士学位论文 名。前者参与者只涉及发送方和接收方，并假定双方有共享的秘密密钥，或者接 收一方知道发送方的公开密钥。后者比前者多了个仲裁机构，即就是可信的第三 方的参与。 ( 2 ) 按照所依据的数学难题的不同分类，普通数字签名可分为基于因子分 解难题的数字签名方案，基于模 的多项式的数字签名，基于离散对数问题的数 字签名方案( 诸如r s a 数字签名【1 5 】、e 1 g a m a l 数字签名等) ，基于身份的数 字签名方案，基于椭圆曲线技术的数字签名方案，基于纠错码的数字签名方案， 基于有限自动机的数字签名。 ( 3 ) 按照目的可以把数字签名分成普通数字签名和特殊目的的数字签名( 如 不可否认签名、盲签名、群签名、代理签名、可证明安全签名、指定接收人的签 名等) 。数字签名占领商业市场，特殊目的的数字签名方案在不同情境下发挥自 己特有的功能与作用。 ( 4 ) 按照是否使用随机数可分成确定的和随机的数字签名。 ( 5 ) 按照生成的签名结果的形式，数字签名可分为附件式数字签名和具有 消息恢复的数字签名。附件式数字签名是把签名附带消息一起发送给将接收者， 而具有消息恢复的数字签名则是由合法的签名接收者通过所接收的数字签名自 行恢复出原消息。 ( 6 ) 按照签名用户的不同，普通数字签名可分为单用户签名和多用户签名。 多个用户的签名方案又称多重数字签名方案。根据签名过程的不同，多重数字签 名方案可分为有序多重数字签名方案和广播多重数字签名方案1 7 1 。 ( 7 ) 根据数字签名方案中的验证方程是否为隐式或显式，可将数字签名分 为隐式数字签名和显式数字签名。我们知道的现有的数字签名方案大部分为显式 数字签名。 9 第三章盲数字签名的研究与拓展 第三章盲数字签名的研究与拓展 本章通过设置两种特定的场景，给出具有消息恢复的盲代理签名方案和 f a i l s t o p 盲签名方案。第一种方案在消息恢复方面不仅加快了计算速度，而且还 降低了通信成本。第二种方案将基于r s a 上的失败停止签名方案，改进为基于 椭圆曲线上离散对数问题的方案，然后结合盲签名，构造出新的f a i l s t o p 盲签名 方案，加快了运算的速度，本方案比较适用于联用的电子支付场合。 3 。1 盲数字签名和具有消息恢复的签名 3 1 1 盲数字签名的定义 盲签名( b l i n ds i g n a t u r e ) 是一种特殊的数字签名，1 9 8 3 年，d c h u a m 首先 提出了盲签名【1 8 】的概念。盲数字签名是指签名人只是完成对文件的签名工作， 并不明确所签文件的具体内容。其实，抽象的可以将这种签名方式比喻成在信封 上签名，明文就是书信的内容，为了不使签名者看到明文，给信纸再加个具有 复写能力的过程，这一过程称为盲化处理。经过盲化的文件，别人是不能读的。 然后签名者在盲化后的文件上签名。由于信封具有复写能力，所以签名也会签到 信封内的信纸上。这样就既实现了数字签名，而签名者又没有获悉书信的具体内 容。 与普通数字签名比较，盲数字签名具有两个显著特点：( 1 ) 签名者不知道 所签署的数据内容：( 2 ) 在签名被接收者公开后，签名者不能跟踪签名。 3 1 2 具有消息恢复功能的数字签名的定义 消息可恢复签名 1 是指合法的签名接收者能够通过所得到的签名数据自动 恢复出被签名的消息。被恢复出来的消息的正确性一般用消息冗余方案进行检 测，并且使用单向h a s h 函数和消息冗余方案来保证方案的可抵抗伪造攻击性。 具有消息恢复的数字签名一经提出，许多复合形式的签名方案一一公诸于 世，像具有消息恢复的盲签名，具有消息恢复代理签名等等。1 9 9 4 年，n y b e r g 等人【2 0 1 首次提出了具有消息恢复功能的基于离散对数难题的签名方案( n - r 方 案) 。 1 0 西北大学硕士学位论文 3 2 双线性对研究 设g l 是阶数为q ( 大素数) 的一个加法循环群，g 2 是阶数为q 的一个乘法循 环群，令口：g 1 g l g 2 为满足下列性质的双线性对： ( 1 ) 双线性：e ( a p , b q ) = p ( p ，q ) ”，对所有p ，o g l 和所有口，b z ； ( 2 ) 非退化性：存在p g l 和o g l ，使e ( p ，o ) l ； ( 3 ) 可计算性：存在有效算法可以计算e ( p ，q ) ，对所有p ，o g l 。 在椭圆陆线的研究上，w e i l 对是最主要的研究工具，我们可以用超奇异椭 圆曲线上的w e i l 对或对经改造的t a t e 对来构造双线性对。 3 3 密码学研究依赖的几个数学难题陉羽 ( 1 ) 离散对数问题( d l p ) ：任给q g ，求z 艺，使其满足q = 护( 假设 这样的整数x 是存在的) 。 ( 2 ) 计算性d i f f i e h e l l m a n 问题( c d h p ) ：任给口p ，b pg l ( a ，6 z ：) ，计算 a b p 。 ( 3 ) 判定性j d 够p h e l l m a n 问题( d d h p ) ：t 壬给a p ，b p ，c p g 1 ，( 口，b ，c e z ：) ， 判断是否有c 暑a b m o d q ，若等式成立，则称( p ，a p ，b p ，c p ) 为一个有效的d i f f i e h e l l m a n 组。 ( 4 ) g a pd i f f i e h e l l m a n 群( g d h ) ：在素数阶循环群q 上，d d h p 在多 项式时间能被解决，但没有任何可能的算法解决c d h p ，则g l 就叫g d h 群。 3 4 基于双线性对的代理盲签名方案陵3 1 有了以上对双线性对的了解和密码学数学难题的认识，我们有以下签名方案 的生成： 首先是系统参数的设置：g l ，g 2 选取满足上述条件的循环群，g l 是有限数域 上椭圆曲线有理点群的一个加法子群，g 2 是阶数为q 的乘法循环群，选取 1 1 第三章盲数字签名的研究与拓展 p ：g l g l g 2 是一个安全的双线性对，再选取两个安全的单向h a s h 函数： h z ： o ，1 g i 专艺，皿： o ，1 ) + 专g l l ，。本系统由原始签名人a ，代理签名人b 和消息接收者c 组成。原始签名人和代理签名人的私钥分别为_ 和而，消息接 收者的密钥为，其公钥为只= _ 尸，b = 尸，弓= 尸( 其中p 为g l 的生成元) 。 3 4 1 代理密钥产生 第一阶段：原始签名人确定m 。( m 。包括代理签名人b 的身份，代理权限以 及代理签名的有效时间) ，随机选取后，依次计算k = k p ，丁= q ( m 。，k ) ， a = 日：( 聊，) ，u = ( 七+ 以d q ，则万= 饭，u ) 是原始签名人a 对m 。的签名，计算 s = 灯+ _ ，然后将( 万，s ) 和，l 。发送给代理签名人b 。 第二阶段：代理签名人b 验证以下两个等式是否成立： p ( p u ) = e ( k + 码，皿( 聊，) ) s p = k t + 只 若等式不成立，拒绝签名；若两等式成立，接受签名，并计算工= + j 作为 b 的代理密钥。 3 4 2 代理盲签名生成过程 ( 1 ) 代理签名人b 随机选择f z ：，计算尺= t p ，并将r 传给c ； ( 2 ) c 计算u = 月，对消息脚进行盲化处理，利用安全的助砌函数计算散 列值j j l = q ( 聊，u ) ，再计算q = h 2 ( m 。) ，= e ( k t + h p ，q ) 七，并将q 和五传给b ； ( 3 ) b 计算矿= o + ，+ 厅) 9 ，将矿传给c ； ( 4 ) c 收到矿后，继续计算矿= 歹( 这一步也叫做盲化处理) ，则( u ，y ) 就是b 代理a 的盲数字签名。 1 2 西北大学硕上学位论文 3 4 3 代理盲签名验证计算过程 检验，v ) 是否是消息m 的签名，验证下列等式是否成立： e ( p ，v ) = e ( u + x c ( p + 忍) ，哎( 跏。) ) ， 若等式不成立，拒绝签名；否则，接受此次签名。 3 5 基于双线性对的具有消息恢复的代理盲签名 在代理盲签名的基础上，结合消息恢复的特性，提出具有消息恢复的代理盲 签名方案。本方案实际上就是原始签名人想要在代理签名人不获悉消息具体内容 的前提下，消息接收者在取得代理签名人的签名同时，使得消息自动恢复。这在 实际生活中有广泛的应用。比如某公司董事长想要总经理对公司的未来几年的策 划书，这对于别的竞争对手来说是一种商业机密，所以知道的人越少越好，可是 此时总经理出差在外，他就委托助手将策划书交给董事长，但是助手又不可以知 道策划书的具体内容，而董事长拿到策划书又要看到策划书的具体内容。为此我 们就有具有消息恢复的代理盲签名方案。 我们现在已有基于双线性对的代理盲签名，但是在实际生活及应用中，为了 使用方便，设计的签名方案更要满足签名接收人收到签名后还可进行消息恢复。 因此我们有以下签名方案。 设置系统参数，g 1 是有限数域上椭圆曲线有理点群的一个加法子群，g 2 是 阶数为q 的乘法循环群，i r e g l g l g 2 是一个安全的双线性对，再选取两个安 全的单向h a s h 函数：且： o ，1 + g l 专艺和4 ： o ，1 。一g l 1 ) 。本系统由原始 签名人a ，代理签名人b 和消息接收者c 组成。原始签名人和代理签名人的私 钥分别为_ 和，消息接收者的密钥为，其公钥为只= x a p ，b = x s p , 尼= x c p ( 其中尸为g 1 的生成元) 。 3 5 1 代理密钥生成过程 此阶段与3 4 1 的代理密钥生成过程相同。 第三章盲数字签名的研究与拓展 3 5 2 代理盲签名生成过程 ( 1 ) b 随机选择f 艺，计算尺= t p ，并将r 传给c ； ( 2 ) c 壬t c gu = x c r ，h = h i ( 聊，u ) ，q = 鸩( 聊。) ，= e ( k t + h p ，q ) 即，将q ，h 传给b ： ( 3 ) a 计算c = m + x a p b + 硝足，然后将c 传给b ： ( 4 ) b 计算矿= + f + 办) q ，口= c 一只，将矿及口传给c ： ( 5 ) ci - l - 算t v = x c v ，则( 【厂，y ) 为b 代理a 的盲数字签名。等签名验证通 过后，c 再计算= 口一只，检验是否等于川，若是等于，则说明消息恢复 成功。 3 5 3 消息验证及恢复过程 检验下列等式是否成立：e ( p ，v ) = e ( u + x c ( p a + 最) ，( 埘。) ) ， 由于e ( p ，v ) = e ( p ，x c v ) = e ( p ，x c ( t + h + x ) q ) = e ( x c t p + x c ( h + 功p ，a ) = p ( u + ( 胪+ x p ) ，o ) = e ( u + x c ( h p + ( x n + s ) p ) ，o ) = e ( u + x c ( h p + 弓+ 腰+ 只) ，q ) = e ( u + x c ( p a + b ) ，q ) e ( x c ( h p + k t ) ，q ) ) = e ( u + x c ( p 一+ 弓) ，q ) e ( h p + k t , 9 祀 = e ( u + x c ( p 彳+ b ) ，皿( m 。) ) 厂 若等式不成立，消息接受者c 拒绝签名；若等式成立，接受签名。而被签名 的消息具体恢复过程如下： 8 = o 一x c p t = c x 3 p t - x c p 。m + x e n + x 。p c - x n p a x c p = m + x a x n p + x a x c p x n x a p x c x p = r a ， 1 4 西北大学硕士学位论文 故而使消息自动恢复。 3 6 安全性分析 我们所提的基于双线性对的具有消息恢复的代理盲签名方案，除了具有普通 数字签名的抗抵赖，防伪造，防冒充和篡改的一般特征外，本章方案还具有以下 特殊的优点【2 4 1 ，下面说明所提出方案同样满足那些优点。 ( 1 ) 可区分性：所提方案是一个有效的代理签名。因为代理签名中包含有授 权证书m 。，而且证书m 。，原始签名人和代理签名人的公钥都出现在代理签名的 验证过程中。 ( 2 ) 可识别性：在代理签名中有详细的身份确认m 。，而且m 。，原始签名人 和代理签名人的公钥都在代理签名的验证过程中出现，于是任何人都能从验证等 式上确定相应代理签名人和原始签名人的身份。 ( 3 ) 强不可伪造性：代理签名人可以代理原始签名人生成合法的代理签名， 但是原始签名人和任何其他第三者都不能以代理签名人的名义生成合法的代理 签名方案。因为代理签名人的代理密钥x 只有他自己知道，其他人无从获知。在 签名生成过程中，假设有人截取了r ，也不能计算出u ，因为就算知道r 和辟， u 也是不可能计算出来的。依据的就是计算性d i f f e - h e l l m a n 问题的难解性。 ( 4 ) 不可否认性：在验证计算过程中，验证人要用到代理签名人和原始签名 人的公钥，所以他们不能否认自己产生的签名。 ( 5 ) 防止滥用：在代理签名中的授权证书m ，不仅包括代理签名人身份， 代理签名的权限，代理签名有效时间，还包括一些其它的代理信息。所以代理签 名人不能签署任何未经原始签名人授权的消息。 ( 6 ) 盲性：在代理盲签名的产生过程中，代理签名人始终不能获悉消息的具 体内容。c 利用单向的安全a s h 函数鼠将消息盲化处理，代理签名人就算收到 h 也不能将消息恢复原状。 ( 7 ) 消息恢复：在签名完成后，消息接收者利用已有参数可使消息自动恢复。 而其他第三者不能还原消息，这是由于，x c 是不可能知道的，它们是被代理签 第三章盲数字签名的研究与拓展 名人和消息验证者分别秘密保存的。 3 7f a ii - s t o p 盲签名方案 f a i l s t o p 数字签名【2 5 之6 1 的不可伪造性依赖于一个计算假设，但是如果一个签 名真的被伪造，那么假定的签名者能证明这个签名是一个伪造签名。准确而言， 他能证明出基础的计算假设已经被攻破，这个证明伪造的能力不依赖于任何密码 假设并且独立于伪造者的计算能力，这样的话，就能够保护一个多项式界的签名 方案免遭具有无限计算能力的伪造者的攻击。再者，在第一次伪造签名之后，系 统的所有参加者或系统操作人员都知道签名方案已被破解，因此系统将终止工 作，这也是这个系统为什么称作“f a i l s t o p ”( 失败一停止) 的原因。 b p f i t z m a n 和m w a i d n e l 于1 9 9 0 年已经开始了对f a i l s t o p 数字签名的研究。 较早的失败一停止签名方案由p e d e r s e n 和p f i t z m a n n 2 7 1 于1 9 9 7 年提出。一个典 型的失败一停止签名方案包括签名算法、验证算法和一个“伪造证明”算法。在 p e d e r s e n 之后，s u s i l o 等人又研究了基于离散对数、椭圆曲线和r s a 等密码体制 的失败一停止签名方案【2 8 】。 现在假设有这么一个情况：某国家博物馆存放一世间罕见的宝物，如何来有 效防止宝物被盗窃? 首先设置一个夜间红外线报警器将宝物密封保存在一间密 封的房子里，在房门可以按照顺序设置多个锁，若小偷按照顺序解锁时有一个解 密过程失败，那么其他密锁会开启自动防御系统，阻止小偷进入。若是依次顺利 解锁，那还有一脱盲处理过程，没有必须的数据是很难解密的。下面就是f a i l s t o p 盲签名方案的具体描述。 设q = 2 p + l 是一个使得p 是素数并且在乙上的离散对