（概率论与数理统计专业论文）椭圆曲线上的盲签名方案.pdf

椭圆曲线上的盲签名方案 周明虎 南开大学数学科学学院 摘要 盲签名方案是一种重要的可用于保证用户的隐私权或匿名性的密 码协议本文提出了三个新的椭圆曲线上的盲签名方案，并且对其安全 性做了简要的分析 关键字：盲签名，盲因子，椭圆曲线 a b g t r a c t b l i n ds i g n a t u r es c h e m e sa r ei m p o r t a n tc r y p t o g r a p h i cp r o t o c o l si n g u a r a n t e e i n gt h ep r i v a c yo ra n o n y m i t yo ft h eu s e l x i nt h i sp a p e r ，w ep r o p o s et h r e e n e wb l i n ds i g n a t u r es c h e m e sa n dt h e i rc o r r e s p o n d i n gg e n e r a l i z a t i o n sb a s e do n e c d l p w h i c hh a v en o tb e e nc o n s i d e r e db e f o r e m o r o v e r ，t h e ks e c u t i t i e sa r e s i m p l ya n a l y z e d k e y w o r d ：b l i n dd i g i t a ls i g n a t u r e ，b l i n d i n gf a c t o r s ，e l l i p t i cc u r v e 1 引言 通信双方在网上交换信息，如何防止伪造和欺骗便成为头等重要的课题数 字签名是网络通信中一种身份确认的方式，传统签名用手写识别，数字签名则是 手写签名的模拟，它的使用可以保证所传送的信息不被篡改和伪造，并能确认签 名人的身份而盲签名的概念首先由d c h a u m 1 1 于1 9 8 2 年提出，它是一种特 殊的数字签名它与通常的数字签名的不同之处在于，签名人并不知道他所签发 消息的具体内容和哪一个签名是他所签的，而消息拥有者又可获得签名人关于真 实消息的有效签名在盲签名的概念提出之后，众多的学者已构造了许多不同的 盲签名方案 3 】 4 1 【7 1 1 8 1 ，文章【9 j 中还给出了几类m e t a - e 1 g a m a l 盲签名方案，并 且盲签名技术已经成功地应用于许多领域，诸如选举协议和安全的电子支付系统 中等椭圆曲线密码体制是由n e a lk o b l i t z 和v i c t o rm i l l e r 在1 9 8 5 年分别独 立提出来的，他们没有发明使用椭圆曲线的新的密码体制，但将有限域上的椭圆 曲线应用于已存在的d i f f i e - h e l l m a n 密钥分配体制及e 1 g a n a l 体制中与有限 域上离散对数问题的情形不同，目前对椭圆曲线离散对数问题还没有般的子指 数时间的算法，至今已知的最好算法需要指数时间因此椭圆曲线上的e 1 g a m a l 密码系统较之一般的e 1 g a m a l 密码系统安全性更好 本文提出了三种改进的椭圆曲线上的盲签名方案全文结构如下：本节为引 言；第二节介绍盲签名的基本概念和椭圆曲线的基本知识以及椭圆曲线上一般 的数字签名算法；第三、四、五节分别介绍了三种改进的椭圆曲线上的盲签名方 案；第六节为总结 2 预备知识 2 1 盲签名的概念 关于盲签名，d c h a u m 曾经给出一个非常直观的说明：所谓盲签名，就是 先将要隐蔽的文件放进信封里，当文件在信封中时，任何人都不能读它对文件 签名就是通过在信封里放一张复写纸。当签名人在信封上签名时，他的签名就透 过复写纸签到了文件上 为了说明官签名的基本概念，本文中我们假设用户u 为消息拥有者，s 为 签名人在盲签名协议中，用户u 的目的是让签名人s 对某文件签名，但又不 想让他知道文件内容签名人s 不关心文件中说了些什么，他只是证明他在某一 2 时刻公证过这个文件 用户u 从签名人s 处获得盲签名的过程一般来说有如下几个步骤； 1 用户u 取出文件m 并将它乘以一个随机数得仇7 ，这个随机数通常称为盲因 子 2 用户u 将盲消息m 发送给签名人s 3 签名人s 在m 上签名后，将其签名s i g ( m 7 ) 发送给用户u 4 用户u 从签名人s 关于耐的签名s i g ( m ) 中除去盲因子可以得到签名人s 关于原始文件m 的签名成g ( m ) ，并且保留签名入s 的原始签名& 9 ( m ，) 接下来我们给出盲签名的一些基本性质： 1 签名人在文件上的签名是有效的签名就是签名人签署这份文件的证据如 果把文件给签名人看，签名人确信他签署过这份文件 2 盲性；签名人不知道他所签发消息的具体内容 3 不可追踪性：签名人不髓把签署文件的行为与签署了的文件相关联即使他 记下了他所做的每一个盲签名，他也不能确定他在什么时候签署了该文件 4 无关联性：给同一用户的两个签名彼此无关联 2 2 有限域上的椭圆曲线群 假定g f ( p ) 是一包含矿个元的有限域，其中m 为整数，p 为素数 g f “) 上的椭圆曲线定义为关于等式 y 2 + a l x y + a 3 y = x 3 - i - 口2 。2 + a 4 x 十a 6( 1 ) 的所有解( z ，y ) 连同一称为无穷远点。的元素组成的点的集合其中z ，y g f ( 矿) ，a l ，a 2 ，0 3 ，g 4 ，a 6 g f ( 矿) 对于g f ( 2 ”) ，( 1 ) 式可化简为t iy 2 + c y = 一+ + b 其中口，b ，c g f ( 2 ”) ，c 0 ，且c 的j 变量为0 l9 2 + x y = 护+ a x + b 其中口，b g f ( 2 “) ，6 o ，且b 的j 变量不为。 对于g f ) ( p 3 ) ，( 1 ) 式可化简为： y 2 = z 3 + o z + b 其中a ，b o f ( p ) ，并且4 a 3 + 2 7 b 2 0 g f 0 ) ( p 3 ) 上的椭圆曲线e 满足： 1 o + o = 0 2 p + 0 = p ，对于任意p = ( o ，y ) e ，其中。为e 的幺元 3 3 p + q = d ，p = ( z ，y ) e ，q = ( z ，一y ) e ，( 甄y ) 的逆元为( x ，一g ) 4 对于两个不同的且互不为逆的点，p = ( z - ，y 1 ) e ，q = ( x 2 ，y 2 ) e ，且 2 7 1 z 2 ，其和定义为p + q = ( x 3 ，蜘) ，满足 z 3 = a 2 一。l z 2 驰= a 扛1 一x 3 ) y 其中a = 嚣 5 对于任意p = ( 墨y ) e ，其中y 0 ，其倍数2 p 定义为2 p = ( 矿，掣+ ) ，满足 r = 妒一2 z y + = 一z + ) 一y 其中a = 警 若g 为e 上的任意一点，则g 的阶定义为满足q o = o 的最小整数q 2 。3 椭圈曲线上一般的数字签名算法e g d s a 文献 1 l 】中给出的椭圆曲线上一般的数字签名算法( 简称e c d s a ) 包括下 面的公共参数： e ：日上的椭圆曲线，其中q 是个大于2 ”o 的大素数 g ： e ( 日) 上的阶为p ( 大素数) 的基点 h ：可将任何字符串映射到 1 ，2 ，p 一1 的单向哈希函数 根据如下步骤，签名人可对消息m 签名 1 签名人随机选取一整数d 1 ，2 ，p 1 ) 作为其私钥，并且计算 p = d g e ( 日) 作为其公钥 2 签名人随机选取一整数ke l ，2 ，p 一1 ) ，并且计算 r = ( k e ) 。m o dp 其中( k g k 为点k g 的茁轴坐标如果r = o ，返回第2 步 4 3 签名人计算 s = k - 1 ( m ) + d r ) m o dp 如果s = 0 ，返回第2 步 4 ( r is ) 即为对消息m 的签名 为了验证此签名，验证者可通过检验 r = ( ( s - 1 ( m ) ) g + ( $ - - 1 r ) p ) 。m o dp 是否成立来确定此签名是否有效 3 改进的椭圆曲线上一般的盲签名方案 假定用户u 希望由签名人s 处获得对保密消息m 的有效签名，他们可进行 如下步骤； 1 签名人s 随机选取一整数d 1 ，2 ，p 一1 ) 作为其私钥，并且计算 p = d g e ( 最) 作为其公钥 2 签名人s 随机选取一整数k 1 ，2 ，p 一1 ) ，并且计算 r = k g e ( 最) 发送给用户u 3 ，收到r 后，用户u 随机选取整数o e ，p 1 ，2 ，p 一1 ) ，并且计算 r = ( r 2 ) 其中 r l = ( a r + 卢p ) ；m o dp r 2 = ( a r + t i p ) m o dp 如果r 。= 0 或r 2 = 0 ，重新选取口，卢 4 用户u 计算 f = r 2 h ( m ，r 1 ) + pm o dp 发送给s 5 5 签名人s 计算 i = k - 1 f 1 + e d ) m o dp 返还给u 6 用户u 计算 s = i + ar o o dp 在此方案中，p 】g ，r ， ，p 是公开的，( r ，s ) ) 是盲数字签名用户验证 s r = g + f p 若此式成立，则( r ，s ) 为对消息m 的有效签名验证方程为； r = s r g r 2 h ( m r 1 ) p 验证者可以通过验证此方程来确认签名的有效性 定理1 上述方案1 满足如下条件： a ) 若验证i r = g + f p 成立，则( r ，s ) 即为对消息m 的有效签名 b ) 此方案是盲签名方案 c ) 此方案的安全性是基于椭圆曲线上的离散对数问题( e c d l p ) 的难解性 证明： a ) 由积= g + f p ，得 s r = i 代+ o r = g + p + a r = g + 卢p + r 2 h ( m ，r 1 ) p + o 冗 即 s r g r 2 h ( m ，r 1 ) p = o r + p p 从而 r = s r g r 2 h ( m ，r 1 ) p 由此可知，( r ，s ) 是对消息m 的有效签名 b ) 我们证明此方案满足以下性质： 6 盲性：消息m 隐含于 f = r 2 h ( m ，r 1 ) + 卢r o o dp 之中，签名人要恢复m ，他就必须知道c r r + f l p 和卢，但这是不可能的 一不可追踪性：当用户将签名( r ，s ) 公开后，签名人能够将( f ，习与( r ，s ) 对应起来的概率为i ；二1 酽且签名人也无法将7 n 与f 联系起来，因而他 就不知道( 仇，( r 】s ) ) 是否他所签 一无关联性：对于某消息的有效签名( m ，( r ，s ) ) ，其盲因子( o t ，卢) 由方程组 ir = ( r 1 ，r 2 ) = 口兄+ 胪 f = r 2 h ( m ，r 1 ) + p l s = i + 唯一确定 无关联的 综上所述 c ) 安全性证明： 而( a ，p ) 又是由用户随机选取的，因而任何两个有效签名是 此方案是盲签名方案 i ) 如果攻击者想利用签名人的私钥d 或k 来伪造签名( f ，i ) ，则他就必须解 p = d g 或r = k g ，这也就相当于解e c d l p i i ) 假定用户已有一有效签名( m ，( r t ，s ，) ) ，且他想伪造一新的有效签名 ( m ，( r ，s ) ) 且 莓；或 ；季： 若r = r ，由 js r g r 2 h ( m ，r 1 ) p = a r + p p 【s r g 一呓 ( m ，r ：) p = n l r + 胁p 得 ( 8 一s ) | r + 【r 2 危( m ，t 1 ) 一r 2 h ( m ，r 1 ) p = ( n q 1 ) r + ( 卢一胁) p ( 2 ) 故用户可选择满足( 2 ) 的o t ，卢，其难度等价于求解e c d l p 若s = ，则 【r ：h ( 耐，r i ) 一r 2 h ( m ，r x ) p = ( o 一“) r + ( 卢一岛) p( 3 ) 故用户可选择满足( 3 ) 的o ，卢，其难度等价于求解e c d l p i i i ) 若h 是可抵抗攻击的，则攻击者不可能提供满足 r ，= s r g 一呓 ( m ，r ：) p 的( m ，( r ，s ，) ) ，即使这样的( m ，( r ，s 7 ) ) 存在，m 通常也是无意义的 综上所述，此方案的安全性是基于椭圆曲线上的离散对数问题( e c d l p ) 的难解性 4 改进的s c h n o r r 盲签名方案 假定用户u 希望由签名人s 处获得对保密消息m 的有效签名，他们可进行 如下步骤t 1 签名人s 随机选取一整数d 1 ，2 ，p 一1 ) 作为其私钥，并且计算 p = d g e ( 日) 作为其公钥 2 签名人s 随机选取一整数k 1 ，2 ，p 一1 ) ，并且计算 r = k g e ( 日) 发送给用户u 3 收到r 后，用户u 随机选取整数o ，卢 1 ，2 ，p 一1 ) ，并且计算 r = ( r a g + 卢p k r o o dp 如果r = 0 ，重新选取a ，卢 4 用户u 计算 佩= a h ( m ) r fr o o dp 发送给s ，其中f = 皿 5 签名人s 计算 i = d - 1 ( 佩+ f ) m o dp 返还给u 6 用户u 计算 8 = 一而一1 r 一1 + f l h ( m 1r o o dp 8 在此方案中，只0 ，r ， ，p 是公开的，( m ，( r ，s ) ) 是盲数字签名用户验证 i p = r h g + f r 若此式成立，则( r ，s ) 为对消息m 的有效签名验证方程为： ( ( s ( m ) 。1 ) p + ( 1 + ( r ( m ) ) 。) 固。= rr o o dp 验证者可以通过验证此方程来确认签名的有效性 定理2 上述方案2 满足如下条件： a ) 若验证i p = 佩g + f 冗成立，则( r ，s ) 即为对消息m 的有效签名 b ) 此方案是盲签名方案 c ) 此方案的安全性是基于椭圆曲线上的离散对数问题( e c d l p ) 的难解性 证明： a ) 由曩p = 佩g + f r ，得 ( s ( m ) q ) p + ( 1 + ( r ( m ) ) _ 1 ) r = 卜茆一1 r 一1 + 卢 ( m ) j ( m ) 一1 p + r + ( r 危( 仇) ) 一r = 一忍( 竹1 ) 一1 g 铲一1 r 一1 ( 砘+ 础) + 卢尸 + r + ( r ( m ) ) 一1 r = 一口g 一 ( m ) 一1 f 一1 r + 胪 + r + ( r ( m ) ) 一1 r = r a g + 8 p 从而 ( ( s ( m ) 一1 ) p + ( 1 + ( r ( 门咕) ) 一1 ) 冗) 。= rr o o dp 由此可知，( r ，8 ) 是对消息m 的有效签名 b ) 我们证明此方案满足以下性质： 盲性：消息m 隐含于 痂= 口 ( m ) ( 月一口g + 口p ) 。f 之中，签名人要恢复m ，他就必须知道r 一口g 十卢p 和o ，但这是不可 能的 9 一不可追踪性：当用户将签名( r s ) 公开后，签名人能够将( 佩，i ) 与( r ，8 ) 对应起来的概率为石二1 酽且签名人也无法将m 与佩联系起来，因而他 就不知道( m ，( r is ) ) 是否他所签 一无关联性：对于某消息的有效签名( m ，( r ，s ) ) ，其盲因子( a ，p ) 由方程组 唯一确定 无关联的 综上所述 c ) 安全性证明： 而( o t ，卢) 又是由用户随机选取的，因而任何两个有效签名是 此方案是盲签名方案 i ) 如果攻击者想利用签名人的私钥d 或k 来伪造签名( 佩，习，则他就必须 解p = d g 或r = k g ，这也就相当于解e c d l p i i ) 假定用户已有一有效签名( f i 2 1 ，( r l ，s - ) ) ，且他想伪造一新的有效签名 ( m ，( r ，s ) ) 且 莓：或 ：；： 若r = r l ，由于有 f ( s h ( m ) 一1 ) 尸+ ( 1 + ( r ( m ) ) 一1 ) r = r a g + 3 p i ( s l h ( m 1 ) 一1 ) p + ( 1 + ( r l 危( m 1 ) ) 一1 ) 冗= r a l g + 卢l 尸 即 i ( s p + ( 1 + r 一1 ) 兄= ( m ) ( 一o g + p p ) i ( 8 1 p + ( 1 + r i l ) 兄= h ( m 1 ) ( 一0 1 g + 岛p ) 则 扣一s 1 ) p = ( h ( m 1 ) a l 一 ( m ) a ) g + 一胁) p 故用户可选择满足( 4 ) 的o l ，卢，其难度等价于求解e c d l p 若s = 8 l ，则 ( r 一1 一r i l ) p = ( h ( m 1 ) q 1 一h ( m ) a ) g + ( 卢一角) p 故用户可选择满足( 5 ) 的o t ，卢，其难度等价于求解e c d l p 】0 ( 5 ) 吼 脚 积妒p肛唑l|； 嘉一 ，i-_i-fl_【 i i i ) 若h 是可抵抗攻击的，贝攻击者不可能提供满足 ( ( s 7 ( m ) 一1 ) p + ( 1 + ( r 7 h ( m ) ) 一1 ) 兄) 。= r 的( m ，( 一，s ) ) 即使这样的( m ，( r 7 ，s ，) ) 存在，m ，通常也是无意义的 综上所述，此方案的安全性是基于椭圆曲线上的离散对数问题( e c d l p ) 的难解性 5 改进的o k a m o t o - s c h n o r r 盲签名方案 令e ( 日) 为有限域b 上的椭圆曲线群。且令g 1 ，g 2 为e ( 岛) 上的阶为p 的基点假定用户u 希望由签名人s 处获得对保密消息m 的有效签名，他们可 进行如下步骤t 1 签名人s 随机选取整数d ，d 2 l ，2 ，p 一1 ) 作为其私钥，并且计算 p = d l g l + d 2 g 2 e ( b ) 作为其公钥 2 签名人s 随机选取整数七1 ，k 2 1 ，2 ，p 1 ) ，并且计算 r = k l g a + k 2 g 2 e ( 日) 发送给用户u 3 收到兄后，用户u 随机选取整数o l ，o t 2 ，卢 l ，2 ，p 1 ) ，并且计算 r = ( 兄+ o e i g i + q 2 g 2 + 1 3 p ) 。r o o dp 如果r = 0 ，重新选取0 1 ，0 2 ，卢 4 用户u 计算 r = o i l i a l + 九( m ) r 司m o dp 发送给s ，其中f = 忍 5 签名人s 计算 矗= ( d l k 2 一d 2 k 1 ) - 1 k 2 r + ( 如乜一d l 如) k 1r o o dp 而= ( d l k 2 一d 2 k 1 ) _ 1 d 2 r + ( d 2 k 1 一d l 乜) d lr o o dp 返还给u 1 1 6 用户u 计算 s 1 = 而0 2 + 卢r o o dp 8 2 = s - 2 0 2r o o dp 在此方案中，只r ，g ，g 2 ， ，p 是公开的，( m ，( r is l ，5 2 ) ) 是盲数字签名用 户验证 而p 一而r = r ，g l + g 2 若此式成立，则( r ，s ，8 z ) 为对消息m 的有效签名验证方程为t ( s i p s 2 r r h ( m ) f g l + 冗k = r 验证者可以通过验证此方程来确认签名的有效性 定理3 上述方案3 满足如下条件： a ) 若验证而p 一而r = r i g l + g 2 成立，则( r ，8 ) 即为对消息m 的有效签名 b ) 此方案是盲签名方案 c ) 此方案的安全性是基于椭圆曲线上的离散对数问题( e c d l p ) 的难解性 证明； a ) 由 lp = d i g l + d 2 g 2 ir = k 1 g l + k 2 g 2 可得 jg 1 = ( d l k 2 一d 2 h ) 一( k 2 p d 2 r ) ig 2 = ( d 2 k l d l k 2 ) ( k i p d l r ) 从而 两p 一而r = r ，g 1 + g 2 则 s l p s 2 r = o e 2 而p + 卢p 0 2 而r = a 2 r g i + g 2 】+ 卢p = 【o f l + r h ( m ) e g 1 + 0 2 g 2 + t i p = a l g l + a 2 g 2 + p p + r h ( m ) f c l 1 2 从而 s i p s 2 r r h ( m ) f g l + r = r + o e l g l + 0 1 2 g 2 + 口p 故 ( s i p s 2 r r h ( m ) ? g l + r k = r 由此可知，( r ，s ) 是对消息m 的有效签名 b ) 我们证明此方案满足以下性质： 一盲性：消息m 隐含于 r 7 = a i l 陋1 + ( r + n l g l + 口2 g 2 + 卢p ) 。 ( m ) 司r o o dp 之中，签名人要恢复m ，他就必须知道r + o t l g + 0 1 2 g 2 + 卢p 和0 1 1 ，口2 ， 但这是不可能的 一不可追踪性：当用户将签名( r is - ，8 2 ) 公开后，签名人能够将( r ，最，而) 与( n 8 1 ，8 2 ) 对应起来的概率为石可1 i 且签名人也无法将m 与r ，联系 起来，因而他就不知道( m ，( r i8 1 ，s 2 ) ) 是否他所签 一无关联性；对于某消息的有效签名( m ，( r ，8 1 ，s z ) ) ，其盲因子( o ，n 2 ，卢) 由 方程组 fr = ( r + o r l g i + 啦g 2 + t i p ) 。 jr - = n - - i z l h t - l + ( m ) r 司 k 篡+ 卢 唯一确定丽( 口。，a 。，p ) 又是由用户随机选取的。因而任何两个有效签 名是无关联的 综上所述，此方案是盲签名方案 c ) 安全性证明： i ) 如果攻击者想利用签名人的私钥d l ，d 2 或女l ，也来伪造签名( i ，而，而) ， 则他就必须解p = d 1 g 1 + d 2 g 2 或r = h g l 十2 g 2 ，这也就相当于解 e c d l p i i ) 假定用户已有一有效签名( m i ，( r l ，s i ，s 5 ) ) ，且他想伪造一新的有效签名 i r = r l i s 1 = s i ( m ，( 帆s 2 ) ) 且 驴s i 或 s z 2 s ： 【8 2 畦【r r l 1 3 若r = r l ，8 1 = s j ，由 fs l p 一8 2 r r h ( m ) f g l + r = r + 口1 g 1 + o r 2 g 2 + 卢p is i p s ；兄一r l h ( m 7 ) f g l + r = 兄+ 西g 1 + o ；g 2 + p 得 ( s ：一s 2 ) r + r ( ( r ) 一 ( m ) ) f g l = ( a l 一嘶) g 1 + ( 口2 一o ：) g 2 + ( p f f ) p ( 6 ) 故用户可选择满足( 6 ) 的o t l ，o t 2 ，n 其难度等价于求解e c d l p 若8 1 = s i ，8 2 = s ：，则 ( r l h ( m ) 一r ( r n ) ) f g l = ( 0 1 一o ：) g 1 + ( o t 2 一口：) g 2 + ( 卢一f f ) p ( 7 ) 故用户可选择满足( 7 ) 的口1 ，0 2 ，卢，其难度等价于求解e c d l p i i i ) 若h 是可抵抗攻击的，则攻击者不可能提供满足 ( s ；p s ：r r l h ( m ) f g l + 冗k = r l 的( m ，( r ，s i ，s ：) ) 即使这样的( m t ，( r l ，s i ，s ) ) 存在，m t 通常也是无意 义的 综上所述，此方案的安全性是基于椭圆曲线上的离散对数问题( e c d l p ) 的难解性 6 结束语 本文提出了三种改进的椭圆曲线上的盲签名方案，这些盲签名方案可用于电 子货币和电子投票以及其它的应用中，以用于保护用户的隐私权或匿名性椭圆 曲线密码系统的安全性是由椭圆曲线离散对数问题的难解性保证的，而椭圆曲线 离散对数问题较之一般的有限域上离散对数问题的求解更为困难，因而这些方案 具有较强的安全性 参考文献 1 1 】d c h a u m ，”b l i n ds i g n a t u r e s f o ru n t r a c e a b l ep a y m e n t 8 ”p r o c e e d i n g so fc r y p t o 8 2 ， p l e n u m ，n e wy o r k ，1 9 8 3 ，p p 1 9 9 - 2 0 3 1 4 【2 】d p o i n t c h e v a la n dj ，s t e r n ，”s e c u r i t ya r g u m e n t sf o rd i g i t a ls i g n a t u r e sa n db l i n d s i g n a t u r ”j o u r n a lo fc r y p t o l o g y , 1 3 ( 2 0 0 0 ) ，p p 3 6 1 3 9 6 【3 j j lc a m e n i s c h ，j m p i v e t e a ua n dm a s t a d l e r ， b l i n ds i g n a t u r eb a s e do nt h e d i s c r e t el o g a r i t h mp r o b l e m ”a d v a n c e si nc r y p t o l o g y , e u r o c r y p t o 9 4 ，p p 4 2 8 - 4 3 2 【4 】d c h a u m ，”b l i n d i n gf o ru n a n t i c i p a t e ds i g n a t u r e s ”a d v a n c e si nc r y p t o l o g y , e u - r o c r y p t 8 7 ，p p 2 2 7 - 2 3 3 【5 】t o k a r n o t oa n dk o h t a ，”u n i v e r s a le l e c t r o n i cc a s h ”a d v a n c e si nc r y p t o l o g y , c r y p t o 9 1 ，l n c s5 7 6 ，s p r i n g e r - v e r l a g ，p p 3 2 4 - 3 3 7 【qt e 1 g a m a l ，”ap u b l i ck e yc r y p t o s y s t e ma n ds i g n a t u r es c h e m eb a s e d o nd i s c r e t e l o g a r i t h m s ”i e e et r a n so n i n f o rt h e o r y , 1 9 8 5 ，i t - 3 1 ( 4 ) ：4 6 9 - 4 7 2 【7 1j c h a m e n i s c h ，e ta l ，”b l i n ds i g n a t u r e b a s e do nt h ed i s c r e t e l o g a r i t h m p r o b l e m r u m ps e s s i o no fe u r o c r p t 9 4 ：1 3 5 - 1 3 7 【8 】8m s t a d l e r ，j m p i v e t e a ua n dj c a m e n i s c h