（计算机软件与理论专业论文）数字签名技术的研究与实现.pdf

原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独 立进行研究所取得的成果。除文中已经注明引用的内容外，本论文不 包含任何其他个人或集体已经发表或撰写过的科研成果。对本文的研 究作出重要贡献的个人和集体，均已在文中以明确方式标明。本人完 全意识到本声明的法律责任由本人承担。 论文作者签名：壹! 丕丛日期：塑兰：2 关于学位论文使用授权的声明 本人完全了解山东大学有关保留、使用学位论文的规定，同意学 校保留或向国家有关部门或机构送交论文的复印件和电子版，允许论 文被查阅和借阅；本人授权山东大学可以将本学位论文的全部或部分 内容编入有关数据库进行检索，可以采用影印、缩印或其他复制手段 保存论文和汇编本学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名：她师签协期：掣 山东大学硕士学位论文 摘要 随着计算机网络的快速发展，现实生活和商业活动中，越来越多的纸 上活动被电子活动代替，例如：电子邮件、电子货币等等。在这些领域中， 数字签名被广泛应用。事实上，数字签名是p k i ( p u b l i ck e yi n f r a s t r u c t u r e ) 安全体系的基础与核心，对建立具有普适性的安全体系起着关键作用。本 文主要讨论群签名与门限签名两类特殊签名。 群数字签名是一个比较新的概念。群数字签名具有下列三个特性。一 是只有合法群成员才能代表所在群签发消息；二是签名的接收者能用唯一 的群公钥验证群签名的合法性，但不能揭示它是群中哪个成员产生的。三 是在后来发生争端的情况下，借助于群管理员或一个可信的机构能“打开” 签名，找出群签名的生成者。门限签名是另类重要签名，在一个( f 撑) 门限签名中，t 或更多个成员可以代表一个群的一个成员产生一个有效签 名。 本文首先对以下三个方案的安全性进行了详细的分析：一是对tj 方 案进行了伪造攻击与联合攻击，从而证明该方案是不安全的；二是对 p o p e s c u 群签名方案进行分析，发现合法成员可以伪造一个不合法的成员 证书，以产生一个合法的群签名。三是对a c j t 方案的安全性分析，发现 该方案存在的个非常危险的漏洞：验证者无法证实一个消息签名的合法 性。根据这一特点，对a c j t 方案实施伪造攻击。 在数字签名技术中，签名密钥泄露是实际生活中一个不可避免的问题， 造成密钥泄露的原因是多方面的，有时是因为安全协议不完善，密钥被攻 击者窃取：有时是因为偶然因素，造成密钥的意外泄漏；有时是因为内部 人员的恶意行为，如：人为造成的错误、内部成员串通等等。为了增加密 钥的安全性，目前主要有两种方法，一是采用密钥共享将密钥以分布方 式存储与多个服务器：二是采用向前安全的签名方案，定期更新密铜，使 得密钥泄漏不会影响过去签名的可信性。本文将这两种方法结合起来，在 m i c h e l 和l e o n i d 的向前安全的数字签名方案l 2 5 1 的基础上引入密钥共享 机制，提出了一个向前安全的群体签名方案。 ( t ，疗) 门限签名是数字签名领域一个重要的分支。( t ，府) 门限签名方 山东大学硕士学位论文 案有许多优点，但当签名成员中存在特殊成员时，就需要引入更一般的形 式，即( t o ，t ，n ) 门限签名。考虑如下情形，某企业的重要决策一般须由包 括董事长在内的t 位董事同时签署才能生效；但在董事长不参与签署的情 况下，绝对多数董事( 比如，2 3 以上) 可强行对决策进行签署。本文提出 的( t o ，t ，n ) 门限签名方案即是针对这种情形设计的。( t mf 厅) 门限签名方 案是对( f ，n ) 门限签名方案的一般化，这类方案首先由文【3 l 提出并研究， 但该文中的方案存在缺点【4 1 4 。本文提出了一个新的( t 口，t ，n ) 门限签名方 案，该方案继承了文献f 1 卜1 3 】中门限签名方案的优点，同时增加了安全性、 有效性。 关键字数字签名，前向安全，门限签名，安全性，有效性 山东大学硕士学位论文 a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to ft h ec o m p u t e rn e t w o r k sm o r ea n dm o r e p a p e rw o r k s ，i nd a i l yl i f ea n db u s i n e s s ，i sr e p l a c e db ye l e c t r o n i ca c t i v i t i e s ， i nw h i c hd i g i t a ls i g n a t u r e i sw i d e l yu s e d i nf a c t ，d i g i t a ls i g n a t u r ei st h e c o r et e c h n i q u ei np k i ( p u b l i ck e yi n f r a s t r u c t u r e ) w h i c hi st h ew i d e l y a p p r o b a t o r ys e c u r i t ys y s t e m s t r u c t u r er o w a n dt h e nd i g i t a l s i g n a t u r e p l a y sak e yr o l et os e tu pap e r v a s i v es e c u r i t ys y s t e m t h i sp a p e rm a i n l y d i s c u s s e st w o p a r t i c u l a rs i g n a t u r e ，g r o u p s i g n a t u r e a n dt h r e s h o l d s i g n a t u r e b e i n gan e wc o n c e p t ，g r o u pd i g i t a ls i g n a t u r eb e a r st h r e ec h a r a c t e r s f i r s t ，o n l ym e m b e r so ft h eg r o u p c a ns i g nam e s s a g eo nb e h a l fo ft h e g r o u p s e c o n d ，r e c e i v e r c a r t v e r i f y a l e g a ls i g n a t u r eu s i n g t h e u n i q u e g r o u pp u b l i ck e y , b u th e c a n t r e c o g n i z e t h em e m b e rw h os i g n st h e s i g n a t u r e t h i r d ，w h e nd i s p u t eh a p p e n s ，t h es i g n a t u r ec a nb ei d e n t i f i e d w i t ht h ea i do fg r o u pm a n a g e ro rat r u s t e dc e n t e r t h r e s h o l ds i g n a t u r ei s a n o t h e ri m p o r t a n ts i g n a t u r e ，i na ( f ，_ 1 ) t h r e s h o l ds i g n a t u r es c h e m e ，to r m o r eg r o u pm e m b e r sc a ng e n e r a t eav a l i d s i g n a t u r eo nb e h a l fo fag r o u p w i t h 掸m e m b e r s t h i sp a p e rf i r s ta n a l y z e st h es e c u r i t yo ft h r e et y p es c h e m e si nd e t a i l a tf i r s t ，w ep r e s e n taf o r g e r ya t t a c ka n dac o a l i t i o na t t a c kf o rt js c h e m e ， w h i c hs h o wt h a tt h et js c h e m ei s i n s e c u r e s e c o n d l y ，w ea n a l y z e p o p e s e ug r o u ps i g n a t u r es c h e m e ，t h ea u t h o rf i n d st h a tl e g a lm e m b e r c a n f o r g ea ni l l e g a lm e m b e r c e r t i f i c a t ea n dg e n e r a t eal e g a ls i g n a t u r e a tl a s t ， t h ea u t h o r a n a l y z e sa c j tg r o u ps i g n a t u r es c h e m e ，a n df i n d s o u tt h i s s c h e m eh a sav e r yd a n g e r o u sw e a k n e s s ：v e r i f i e rc a n tv e r i f yt h el e g a l i t yo f am e s s a g es i g n a t u r e t h i sw e a k n e s sc a nb et a k e na d v a n t a g eo ft om a k e f o r g e r ya t t a c ko na c t j s c h e m e i nt h ed i g i t a ls i g n a t u r et e c h n i q u e ，i ti sa nu n a v o i d a b l ep r o b l e mt h a ta 山东大学硕士学位论文 p r i v a t ek e yi sr e v e a l e di nt h er e a ll i f e ，t h i sm a yb ea t t r i b u t e dt ov a r i o u s r e a s o n s ：f a u l t yp r o t o c o l ，p r i v a t ek e yt ob es t o l e n ；p r i v a t ek e yt ob e r e v e a l e dc a u s e db yi n c i d e n t a lf a c t o r ；s p i t e f u la c t i o no fi n t e r i o rm e m b e r , a n ds oo n i no r d e rt oi m p r o v et h es e c u r i t yo fp r i v a t ek e y s ，t w ow a y sa r e u s e d u s u a l l y ：o n e i st od i s t r i b u t et h e k e y a c r o s s m u l t i p l es e r v e r sv i a s e c r e t s h a r i n g ；t h e o t h e ri st ou s e s i g n a t u r e s w i t hf o r w a r d s e c u r i t y ， c h a n g i n g t h es e c r e t k e yp e r i o d i c a l l y s o t h a tt h e c r e d i t a b i l i t y o f p a s t s i g n a t u r em a yn o t b ea f f e c t e do n c ep r i v a t e k e yi s l e a k e d t h i sp a p e r c o m b i n e st h et w om e t h o d s ，a n dp r o p o s e saf o r w a r d - s e c u r eg r o u p o r i e n t e d j s i g n a t u r e s c h e m eo nt h eb a s i so ft h ef o r w a r d - s e c u r e d i g i t a ls i g n a t u r e s c h e m eo fm i c h e la n dl e o n i d ( t 刀) t h r e s h o l ds i g n a t u r ei sai m p o r t a n tb r a n c hi nd i g i t a ls i g n a t u r e f i e l d ( t 栉) t h r e s h o l ds i g n a t u r e sh a v eal o to fa d v a n t a g e s i ft h e r ea r e p e c u l i a r m e m b e r sa m o n g s i g n e r s ，i ti sn e c e s s a r yt oc h o o s em o r eg e n e r i c f o r m ( t o ，厶n ) t h r e s h o l ds i g n a t u r e s u p p o s i n g ，i n a f i r m ，i m p o r t a n t d e c i s i o n sc a nb e c o m ee f f e c t i v e o n l y i ftd i r e c t o r s i n c l u d i n g t h eb o a r d s i g n e dt h e mt o g e t h e r , b u tt h em a j o r i t yo f t h ed i r e c t o r s ( s a ym o r et h a n2 3 ) c a ns i g nt h ed e c i s i o n s ，m a k et h e mb e c o m ee f f e c t i v ea l t h o u g ht h ea b s e n c e o ft h e b o a r d a ( t o ，t ，一) t h r e s h o l ds i g n a t u r ei sd e s i g n e d t oa i ma tt h i s s i t u a t i o ni nt h i sp a p e r ( t o ，f n ) t h r e s h o l ds i g n a t u r ei st h eg e n e r a l i z a t i o no f ( t ，n ) t h r e s h o l ds i g n a t u r e ，t h ef i r s ts c h e m eo ft h i sk i n di sp r o p o s e da n d r e s e a r c h e di n 【3 l ，b u tt h e r ea r em a n yd i s a d v a n t a g e sf 4 】i nt h es c h e m e t h i s p a p e rp r o p o s e s a n e w ( t o ，t ，n ) t h r e s h o l ds i g n a t u r es c h e m e ，t h e s c h e m ei n h e r i t st h e a d v a n t a g e s o ft h et h r e s h o l d s i g n a t u r e s c h e m ei n l i t e r a t u r e 【1 】1 3 】a n di nt h em e a n t i m e i n c r e a s e ss e c u r i t ya n d e f f i c i e n c y k e y w o r d sd i g i t a ls i g n a t u r e ；f o r w a r ds e e u r i t y ；t h r e s h o l ds i g n a t u r e ； s e c u r i t y ；e f f i c i e n c y 4 山东大学硬士学位论文 第一章引言 1 。1引言 随着信息时代的来临，人们希望通过数字通信网进行迅速的、远距离 的贸易活动，因而数字签名技术应运而生，并开始用于商业通信系统。 数字签名是指发送者根据消息产生摘要，并对摘要用自身的签名私钥 进行交换( 签名) ，该变换要求是不可伪造、可公开验证的。消息和变换后 的数字摘要组合成消息的数字签名。 群数字签名是一个比较新的概念，由d a v i dc h a u n t 和e n g i n ev a h e i j s t 在1 9 9 1 年提出。群数字签名允许群中的各个成员以群的名义匿名地 签发消息，群数字签名具有下列三个特性： 1 ) 只有群的成员才能代表那个群签发消息。 2 ) 签名的接收者可用唯一的群公钥验证群签名的合法性。但不能揭示 其真实签名者。 3 ) 在后来发生争端的情况下，借助于群管理员或个可信的机构能识 别出签名生成者 一个安全的群签名方案必须满足下列要求： 1 ) 不可伪造性：只有群成员才能代表群签名消息。 2 ) 匿名性：给定一个群签名后，除了群管理者的任何人， 签名者的身份在计算上是不可行的。 3 ) 不关联性：决定两个不同签名是否由同一群成员所签， 不可行的。 要确定实际 在计算上是 4 ) 防陷害性：不论是群成员，还是群管理者，都不能代表其他群成员 对一个消息签名。 5 ) 可跟踪性：在发生争论的情况下，群管理者能打开一个签名并确定 实际签名者的身份，而且，一个签名者不能阻止一个有效签名的打 开。 6 ) 抗联合攻击性：在群成员串通的情况下，也不能产生一个不能被跟 踪的有效签名。 个群数字签名方案主要由三个算法即签名算法、验证算法、识别算 s 山乐大学碘士学位论文 法( 识别算法主要用来识别签名者) 组成。 1 2 本文的贡献 对三个方案进行了安全性分析：一是对t j 方案进行了伪造攻击与联 合攻击，从而证明该方案是不安全的；= 是对p o p e s c u 群签名方案进 行分析，发现合法成员可以伪造一个不合法的成员证书，以产生一个 合法的群签名。三是对a c j t 方案的安全性分析，发现该方案存在的 一个非常危险的漏洞：验证者无法证实一个消息签名的合法性。根据 这一特点，对a c j t 方案实施伪造攻击。 本文在m i c h e l 和l e o n i d 的向前安全的数字签名方案 1 4 3 的基础上引 入密钥共享机制，提出了一个向前安全的群体签名方案。对密钥采用 了分布式存储方式，增强了签名的安全性。 在( t ，甩) 门限签名系统中，当签名成员中存在特殊成员时，就需要引 入更一般的形式，即( t o ，f 肝) 门限签名。本文提出的( t o ，t ，尼) 门限 签名方案即是对( f ，开) 门限签名方案的一般化，这类方案首先由文 2 0 】 提出并研究。但该文中的方案存在缺点【2 l l ，本文提出了一个新的( t o ， f 席) 门限签名方案。该方案继承了文献 1 8 】、【2 0 】中门限签名方案的 优点，同时增加了安全性、有效性。 山东大学硕士学位论文 第二章密码学基础知识 2 基本概念 密码学是研究密码系统和通信安全的一门科学。它主要包括两个分支， 即密码编码学和密码分析学。密码编码学的主要目的是寻求保证消息保密 性和可认证性的方法，密码分析学的主要目的是研究加密消息的破译和消 息的伪造。 采用密码技术可以隐蔽和保护需要保密的消息，使未授权者不能提取 信息也不能窜改信息。被隐蔽的消息称作明文，隐蔽后的消息称作密文。 将明文变换成密文的过程称作加密，其逆过程，即由密文恢复出原明文的 过程称作解密。对明文进行加密操作的人员称作密码员。密码员对明文进 行加密时所采用的一组规则称作加密算法，传送消息的意定对象称作接收 者，他对密文进行解密时所采用的一组规则称作解密算法。加密和解密算 法的操作通常都是在一组密钥控制下进行的，分别称为加密密钥和解密密 钥。 根据密钥的特点，s i m m o n s 将密码体制分为对称和非对称密码体制两 种。对称密码体制又称私钥密码体制，非对称密码制又称公钥密码体制。 在私钥密码体制中，加密密钥和解密密钥是一样的，或彼此之间容易相互 确定。如数据加密标准( d e s ) 。在公钥密码体制中，加密密锈和解密密钥 是不同，从一个难于推出另一个，如r s a 、e l g a m a l 算法。 2 2 典型算法 2 2 1 私钥密码算法一数据加密标准( d e s ) ( 一) d e s 的描述 d e s 算法使用长度为s 6 比特的密钥加密长度为6 4 比特的明文，获得 长度为6 4 比特的密文，d e s 是一个对称密码体制，加密与解密使用同一 密钥，同时，d e s 的加密与解密也使用同算法。d e s 的所有保密性均依赖 于密钥。 ( 二) d e s 的加密算法 从整体结构来看，d e s 加密算法可以分为三个阶段： ( 1 ) 对于给定的明文m ，遁过一个固定的初始置换i p 置换来重新排列 h 7 山东大学硕士学位论文 中的所有比特，从而构造比特串m o ，我们把6 4 位的比特串m o 拆分成左右 两个部分，即l n o = i p ( m ) = l or e ，这里由l i f o 的前3 2 位组成，矗。由m o 的后3 2 位组成； ( 2 ) 计算1 6 次迭代变换。所有十六次迭代具有相同的结构。第i 次迭代 运算以前一次迭代的结果和由用户密钥扩展得到的子密钥厨作为输入进行 运算：每一次迭代运算只对数据的右半部分扁1 进行变换，并根据如下规 则得到工f 届作为下一轮迭代的输入： l i 一置j 1 r l = l i ie r i 1 ，k i ) 其中审表示两个比特串的异或，是一个非线性。 一轮d e s 加密如下图示： ( 3 ) 对1 6 次迭代交换后得到的结果使用i p 置换的逆置换i p ，最后所 得到的输出即为密文y ，即j = 俨1 ( r 1 6 l 1 6 ) 。 2 2 2 公钥密码算法 ( 一) r s a 算法 r s a 算法的理论基础是一种特殊的可逆模指数运算。它的安全性是基 于分解大整数的困难性。r s a 算法具体描述如下： 设以是两个不同奇素数p 和g 之积，即 忍= p g ，p 盅c o = i 2 _ ，西( 栉) = ( p 1 ) ( g - 1 ) x f ( n ，p ，q ，d ，e ) l n = p q ，p ，q 是素数，d e = l m o d 西伽) ) 对每一个肛伽，p ，q ，d ，g ) ， 定义加密变换为 e k ( x ) = x 4 m o di t ，x 乙 r ， 山东大学硬士学位论文 解密变换为 d i ( ，) = 矿m o d 栉，y 2 满足 对一切工磊，d k ( e k o ) ) = x 公开n 和p ，保密p ，q 和d 。 ( 二) e l g a m a 算法 e l g a m a i 算法是在密码协议中有着大量应用的一类公钥密码算法，它 的安全性是基于离散对数问题的困难性。在个有限域乃( p 为素数) 上 离散对数闯题可叙述为，给定个素数p 和磊的一个本原元a ，对鼻磊。， 找唯一的一个整数a ，o 日j d 一2 ，使得口。i 卢( m o dp ) 。 e l g a m a i 算法是非确定性的，因为密文依赖于明文x 和加密者选择的 随机值k 。所以同样的明文可被加密成许多种密文。乙上的e l g a m a l 算 法具体描述如下： 1 设，是一个素数并且离散对数问题在磊上是难处理的，。磊是一个 本原元。p = 磊，c = 磊易。，肛 ( p ，口，8 ，鼻) l 芦i 口4 ( m o d p ) 。 公开p ，口和鼻，保密8 。 对胙( p ，口，a ，口) 和一个秘密地随机选择的数k 磊一l ，定义 历膏) = o l ，y 2 ) ，这里y l = 口m o d p ，j ，2 ，+ r o o d p ，对y l ，y 2 乙+ ，定 义 d i ( ，l ，y 2 ) = y 2 ( j ，j 1 “m o d p 满足 对每一个固定的眉，对一切x ，k e 磊+ ，有d 。( e o ，露) ) i x m o d p 山东大学硕士学位论文 第三章对几个典型数字签名方案的安全性分析 3 1 典型数字签名体制 在信息化社会，签名盖章和识别签名是一个重要环节。例如，银行业 务、电子资金传送、股票、证券交易、合同、协议的签字等，都需要签名。 在计算机广泛应用的时代，应用密码学的方法实现数字签名，具有重要的 理论意义，更具有重要的实际意义。 一个数字签名方案由两部分组成：签名算法和验证算法。 3 1 1r s a 数字签名体制 r s a 数字签名体制的基本算法具体表述如下： 1 ) 体制参数 假设用户u 使用如下的参数： 大合数n 邓l p 2 ，其中，p i 和p 2 是大素数； 秘密密钥d 与公开密钥e 。二者按照如下方式产生： 随机选取一个与西俐互素的整数p 作为公开密钥；由g 求出秘密密钥d ， 满足：如i l m o d 西例。 用户u 公开一和p ，保密p 1 ，p 2 和d ； 2 ) 签名算法 假设用户u 对消息m e 磊进行签字，计算 s = s i g ( m ) = m d m o d 甩 并将s 作为u 对消息m 的数字签名附在消息膨后。 3 ) 验证算法 假设用户b 需要验证用户对消息肘的签字s 。用户b 计算： m = s 。m o d 仃 并判断膨是否等于，如果m = m ，则说明签字s 确实为用户u 所产 生；否则签字可能是由攻击者伪造生成的。 4 ) 证明：因为d e - - - - - - l m o d 曲加) ，设如i 七( 曲q ) ) + l ，k 是一个整数且k 1 l 。 m = s 。m o d n = ( 肘。m o d n = 矿( + + 1 m o d n = m 矿”) m o d n = m 1 m o d n = m 3 1 2e l g a m a i 数字签名体翩 l o 山东大学硕士学位论文 e l g a m a l 数字签名体制的基本算法具体表述如下： 1 ) 体制参数 系统参数： 大素数p ，满足乙中的离散对数为困难问题； 乙的生成元吐，8 是乘法群磊的生成元( 或本原元) ； 单向散列函数日( ) ； 每一个用户u 任意的随机数1 d u 一p 一1 ，计算 e u3 口蜥r o o d p 用户u 将以作为秘密密钥，p 。作为公开密钥 即公开p ，a ，b “，保密西 2 ) 签名算法 给定消息肘，签名方u 选择随机数r e 乙，计算 r = a r ( m o d p 、 始( 日( 旧- 西r ) r 1 ( m o d ( p - 1 ) ) ( r ，s ) 即为用户消息m 的数字签名，与消息m 一起传送给接收方。 3 ) 验证算法 接收方验证 月3f c f 8 “( m o d p ) 是否成立 4 ) 证明 e g r 5 = 口如。口泔一如。( m o d p ) = 口珂( m o d p ) 3 1 3d s a e l g a m a l 数字签名体制具有许多变体，其中重要的有美国n i s t 于 1 9 9 1 年公布的数字签名标准( d s s ) 中所使用的数字算法( d s a ) ，d s a 算法具体描述如下： 1 ) 参数 ，是一个素数模，2 - 1 印 2 2 ，5 1 2 、 1 0 2 4 ，l 是6 4 的倍数； g 岫一1 ，2 1 5 9 g 2 1 曲： g = h 巾u 由m o d p ，h 是任意整数，l 1 工是一个随机或伪随机数，o x q 山东丈学硕士学位论文 i y = g m o dp k 是一个随机或伪随机数，o k q 矗( ) 是一个单向h a s h 函数 公开p ，q ，g ，y ，保密x ，k 2 ) 签名 假设要签一个消息m ，计算 r = 辔r o o dp ) m o dq j = ( 七4 ( 嚣( 柳斗盯) ) r o o dq 其中，k - l k m o dq = l ，o k 1 叮 ( ，s ) 为消息膨的签名 3 1 验证 检查o r q ，o e ( x2 + 七) + 2 ， x 2 4 f 。， yi ( y2 + + 2 ，y2 x 。+ 2 。 定义区间：a = 2 一2 2 ：7 2 + 2 2 2 】，f = 2 7 1 - 2 “，2 7 + 2 “】 日是一个抗碰撞h a s h 函数，日： 0 ，l 一( 0 ，l j 在初始化阶段，群管理者( 简称g m ) 产生群公钥，和群密钥s 。 ( 一) 建立： 随机选取。位素数p 、q ，满足p = 印+ 1 ，q = 2 q + l ，p 、q 都是素 数，一叩宁 随机选取口，牙。g ，h ，鲫伽) ( 其阶为p g ) 随机选取j 一z - ，pj ，。m o d n 群公钥为y 釜伽，a ，口”y ，g ， ) ，群密钥为s = ( p ，q ，工) ( 二) 加入： 用户p ，产生一个密钥x ，。 0 ，2 t 】，一个随机整数，e 。【o ，n 2 】，计算： c i = g “h 7 m o d n 发给g m g m 检查最e r t n ) ，如果满足，g m 任选嘭，层f 0 ，2 屯】，发给p p 。计算：毛= 2 + ( t z i x ，+ 屈r o o d 2 ) ，c 2 = 矿r o o d n ，将岛发给g m g m 检查g o r ( n ) ，如果满足，g m 随机选一素数e ，t 厂，计算： 4 # ( c 2 ) 凡r o o d n ，g m 将，e ，l 发给p ；，作为p 。的新成员证书。 成员p 。验证口g o = 钟( r o o d 月) ( 三) 签名： 2 1 山东太学硕士学位论文 随机选一w e 。 o ，1 ) 2 。，计算： l = a y ”r o o d n ，正= g ”m o d n ，五= h ”m o d n 。 随机选取i r 0 ，1 y 2 “，r 2 0 ，1 舶“，r 3 o ，1 r 盯一。一“， r o ，1 1 印，“，计算： ( a ) d l = 五b y ) r o o d ”，d 2 = 野g m o d n ，d 3 = 9 1 m o d n ， d d = 9 1 h m o d n ( b ) c = h ( g | 陟4 口o mo t | b 忙。l 破肛，| | 以j l m ) ( c ) j l = - c ( e 一2 r , ) ，s 2 = 屯- - c ( x i - 2 ) ，= r 3 一c e ，w ，j 4 = r 4 一c w ( 都在z ) ( c ，s l ，s 2 ，s 3 ，j 4 ，t l ，1 2 ，乃) 即为消息m 的签名。 ( 四) 验证： 计算：c 。= h ( g l l h 1 y a 。圳列t n ；五s i - c 2 n ( 口中“1 y 。) m o d n o 。 矿“1 g r o o d n i 盼g - m o d n 弦矿。”h “m o d 一 检查 ：c = c ， 马r 0 ，1 1 7 ：+ 1 ， s 2 片f o ，1 ) 屯+ 卜1 ， 岛r f 0 ，1 ) 5 “，“1 “，s 4 “0 ，1 ) m 。，+ “，如果都满足，签名有效。 ( 五) 打开 通过验证过程，检查签名的有效性。 恢复a l ：a i = 互巧m o d n 证明：l o g 。y = l o g b ( t , 1 4 m o d n ) 3 4 2 对a c j t 方案的伪造攻击 任何伪造者都可以用下列方法，产生一个有效的a c j t 群签名： ( 1 ) 随机选一w 0 ，1 ) 2 ：，计算： 互= y ”m o d n ，五= g ”r o o d n ，正= h ”m o d n ( 2 )任选墨r 士 0 ，1 ) ( h + ) ，j 2 r o ，l + ) 州，墨胄 o 1 ) “ + 2 ，+ + 1 m 。 r ( o i l 严，+ “，计算： 1 = s l c 2 “，r 2 = s 2 - c 2 ，r 3 = 岛，r 4 = s 4 + c w 吐= 巧i 0 y ) m o d n ，d 2 = 霹g m o d n ，d 3 = 9 1 r o o d n ， 2 4 山东大学硕士学位论文 d d5 9 1 h m o d n c = 日( g 删- y b 恤陋k 她舨慨怕) ( c ，i 眈，s 3 ，s 4 ，t 1 ，死，死) 即为消恩卅的伪造签名。 定理i ：消息m 的伪造签名( c ，s l ，j 2 ，日，s 4 ，t i ，死，乃) 是有效的。 证明：口；卵1 ”( o s l - 。2 4 y 。) m o d n = 正1 - y n ) r o o d n = d l 巧“9 4r o o d n = 霹g m o d n = d 2 霉g “r o o d n = g ”g “r o o d n = 9 6 r o o d n = d 3 t g ”2 ”h 。r o o d n = h w c 9 1 h 一r o o d n = 9 1 h 1m o d n = 以 7 c = 日( 剖阿b 4 k 悯k | | 疋 院| l 爵互“1 ( d 。2 4 y 4 ) m o d n1 1 礞“g 。m o d 丹峪占“m o d n l l t g ”“h ，m o d , , t l m ) = f 而，i ，s 2 ，豇，轧也满足条件， 因此对消息埘的签名( c ，s l ，s 2 ，j 3 ，s 4 ，t i ，死，乃) 是有效的签 名。 3 。4 3 结论 本节提出了a c j t 群签名方案存在的个非常危险的漏洞：验证者无 法证实一个消息签名的合法性。根据这一特点，本节成功地对a c j t 方案 实旖了伪造攻击，从而证明该方案是不安全的。 山东大学硕士学位论文 第四章关于向前安全的群体签名体制的研究 4 1 引言 签名密钥泄露是实际生活中一个不可避免的问题，造成密钥泄露的原 因是多方面的，有时是因为安全协议不完善，密钥被攻击者窃取；有时是 因为偶然因素，造成密钥的意外泄漏；有时是因为内部人员的恶意行为， 如：人为造成的错误、内部成员串通等等。为了增加密钥的安全性，目前 主要有两种方法，一是采用密钥共享，将密钥以分布方式存储与多个服务 器；二是采用向前安全的签名方案，定期更新密钥，使得密钥泄漏不会影 响过去签名的可信性。本节将这两种方法结合起来，在m i c h e l 和l e o n i d 的向前安全的数字签名方案呻5 1 的基础上引入密钥共享机制，提出了一个向 前安全的群体签名方案。 4 2 一个新的向前安全的群体签名方案 4 2 1 群体数字签名和向前安全的数字签名 群体数字签名是指在某些情况下，一个消息需要多个成员的签名，例 如一份合同，可能需要参与的所有方来共同签署，这就需要采用群体数字 签名。群体数字签名适用于签名参与者人数较少的情况。 向前安全的数字签名是指当前的签名密钥暴露时不会对先前的签名带 来影响。“向前安全”是指在一个有效时间段内，时间，被分成若干段，每 段对应不同的秘密密钥，但公开密钥保持不变。攻击者在第川瑟只可能得 到该段的密钥，不能得到先前的密钥，从而无法伪造先前的签名。 1 9 9 1 年m b e l l a r e 和s k m i n e 提出了第一个向前安全的数字签名方 案。该方案采用的是在整个签名过程中，公钥始终保持不变，密钥定期更 新。具体的密钥更新过程如下： 参与签名的成员a 持有一对公钥和密钥( p k , 础) ，将公钥朋的有效 期划分为，个阶段，在每一个时间段f ，使用不同的密钥鼠，s k i 是由一 个单向函数h 根据s k , ，变换得来。5 m 已经产生，就删除5 批。这样袭击 者即使得到踊也不可能推导出以前的密钥，从而保证了以前的密钥的安 全性。密钥更新过程如下图示： p e r i o dllp e r i o d2 ilp e r i o dd 黼。跚书躐+ b 跚f 2 0 0 0 年n l i c h e l 和l e o n i d 又提出了一个新的向前安全的数字签名方 案。方案具体如下： ( 一) 系统初始化： 随机选择素数a 、岛，满足： p ii p 2 i 3 ( r o o d 4 ) 2 “s ( a - 1 ) ( p 2 一1 ) p i p 2 2 。 n 七- p l n 将整个生存时期分为丁个时期。 s 卜l 瓦； u 七一l ，爵“”r o o d n ： s k 卜( ，t ，0 ，s o ) ； p k 七- ( ，u ，r ) ； 公布p k ，秘密保存s k 。( 七和，是安全参数) ( 二) 密钥更新算法： 如果产，那么 s k 卜 否则 s k 一( j v ，7 ，+ l ，s j 。) 秘密保存s k 。 ( 三) 签名算法： 设在时期j 对消息j l ，进行签名。 r 卜l 磊；r 卜r 2 “1 。”r o o d n ； 盯卜h ( j ，y ，m ) ：z ( - - r s 7 m o d n ； 输出：( ，( 】，z ) ) 。 ( 四) 验证算法： y t 卜z ，”u ar o o d n 。 山东太学硕士学位论文 验证下式是否成立 盯= h ( j ，y f ，m ) 若上式成立，则接受签名；否则拒绝签名。 正确性证明： s j = s 二= s 2 ： 】，= z2 一。u 4m o d n = “。”( 矽“”) 4 u 。m o d n = “。”( “”) 4 u 4m o d n = y 口= h ( _ ，f ，m ) 4 2 2 一个向前安全的群体签名方案 在该方案中，需要一个可信权威机构( 简称t a ) 。方案由下列四个算 法组成： ( 一) 密钥产生算法k e y ( 盘l ，力： 随机选择两个不同的大素数p ，p 2 ，使其满足 p te - - p 2i 3 ( m o d 4 ) 2 “( p 。一1 ) ( 见一1 ) ，p p 2 2 肛庙a ，是一个k 位整数 由( 肋= ( a 1 ) ( 胁一1 ) 选一个与巾( d 互素的p 作为对群成员公开的密钥，由e 求出秘密的密 钥以满足： e de lm o d ( 巾( 肋) 每一个参与者：矗t 一，：磊，日：1 ，t r 0 旬= 雠4 ) ) 。m o d n 品= 兀掣 a = l u , , - - 1 s ；7 + r o o d n 参与者8 的秘密密钥蹒“一( 以0 ，r 0 “) ， 公开密钥例o ( 以力 2 b ( 二) 密钥更新算法u p d a t e ( 观“) ： 对每一个参与者a ，当户，时，“一f ，否则 高。) = 嘛町7 m o d n 踊t w 一( mlj ，晦生y y m 。d j e ( 1 ，n ( 三) 签名算法s i g n ( 肛s k j ) ： 每一位参与者a ：“卜厶，a = l ，t 计算：y ( a ) 卜取口) 2 “r o o d n 通过点对点的安全信道，广播，“ 所有参与者各自计算： 卜，”f o ，占一以只) ，( ) 是单向函数 弘“( 岛“) 5 m o d ，广播 所有参与者独立计算： 知”o 消息m 的签名为 并公开。 s i r ( 四) 验证算法v e r f ( 新p k , s i g ) ： 如果肛0 ，说明密钥已超过时间正否则 j ，一z 2 “m o d n 如果占= h ( 上p ，村) ，则签名是有效的，否则无效。 定理1 ：如果6 = 疗( j ，尸，j l ，) ，则签名是有效的签名。 证明：由式得 ，= ( 妒) 。”“1 m o a 由式得 ，