一种基于公钥自证明认证加密方案

一种基于公钥自证明认证加密方案一种基于公钥自证明认证加密方案 摘要针对基于认证证书的数字签名方案中 公钥集中保存 系统容易受到主动攻击的缺点 提出了一种新 的基于公钥自证明的认证加密方案 该方案中用户匿名注册 并获得由用户与 CA 共同产生的公钥证明 可以根据用户公钥证 明推导其公钥 通信双方的公钥认证与消息签名结合在一起 由消息接收者在认证签名 恢复消息时完成公钥认证 因而减 少了存储空间 通信量和计算量 关键字数字签名公钥证书认 证加密公钥自证明 p 和 q 使 p 2p 1 和 q 2q 1 其中 p 和 q 也是素数 然后计算 n p q 及其欧拉函数 n p l q 1 然后选择一个随机整数 e le n gcd e n 1 并计 算 d 使得 ed 1mod n 接着 CA 选择一个整数 g g 是 n p q 的基元 还公布一个单向 hash 函数 h CA 的秘密参数 p q p q n 以及 d CA 的公开参数 e n g 和 h 2 2 用户注册阶段为了使向 CA 注册的用户获取的公钥证书 而 CA 不知道用户的私钥 因此用户公钥的分发不能简单地由 CA 产生颁布 同时也为了用户身份的匿名要求 对 CA 也不能暴露 因此公钥证书的产生要由用户与 CA 共同协商完成 把这个注册 过程称之为用户注册协议 步骤 1 用户 UA 计算 hA h IDA 其中 IDA 代表 UA 的身份标识 且对 CA 保密 UA 以匿名的身 份 hA 向 CA 提出注册申请 步骤 2 CA 检查核实用户 hA 的身 份 若 hA 通过身份检查 则 CA 计算 rA g dmodn 将 rA 传送给 UA 步骤 3 UA 收到 rA 后 任选一个随机数作为私钥 计算 将 vA 传送给 CA 步骤 4 CA 计算 则将 CA 作为 CA 颁发的公 钥证书 并将 CA 传送给 UA 步骤 5 UA 接收到 UA 发送的 CA 后 计算 同时验证等式是否成立 若成立 则证明在传输过 程中参数未被篡改 CA 是 CA 的有效公钥签名 否则 签名无 效 上述注册过程 只有 CA 才能颁发 UA 的公钥的证明 因为 在注册过程中 CA 使用私钥对 UA 在协议交互过程中产生的一 些特定信息进行签名 任何人若不知道 CA 私钥 是无法伪造的 其安全性程度高 如果攻击者企图获取 UA的私钥 那么他将面临求解离散对数的困难 如果攻击 者企图伪造 CA 的公钥证明 那么他将面临求大素数的因子分解 的困难 2 3 签名生成阶段假定用户 UA 对消息 M 的签名 并将 签名的消息传递给指定的接收者 UB 消息 M 签名生成过程如 下 步骤 1 UA 向 UB 发送要进行签名的请求 并将 CA hA 传 送给 UB 步骤 2 UB 接收到 UA 的签名请求 将 CB 传送给 UA 步骤 3 UA 接收到 UB 发送的 CB 后 计算 然后选择一个 随机数 k 进行数字签名 步骤 4 UAUB 2 4消息恢复验证阶段 UB 步骤3 验证消息等式 若消息验证等式成立 则接受这次 签名 这个消息恢复验证的过程同时也实现对 UA 和 UB 身份的 双向认证 如果消息是 UA 的签名 则 UB 使用 UA 的公钥验证 签名 并用自己的私钥解密恢复消息 实现双向的身份认证 消息恢复等式的正确性证明如下 同时如果UB 恢复的消息 M 是正确 则有消息验证等式成立 3安全性分析 1 攻击者不可能伪造 CA 的公钥签名 CA 为 用户 UA 的公钥签名时使用了私钥 任何攻击者不知道 UA 的公 钥是不可能伪造 CA 的签名 因为 只有 CA 拥有私钥 能产生 有效的公钥证明 而攻击者要想获取 CA 的私钥 将面临大素数 的因子分解困难 CA 可以伪造公钥证明 但一个用户有两个合 法的公钥证明 则证明 CA 的不可信赖性 2 攻击者在不知道 UA 的私钥的情况下 伪造一个合法的签名是的不可能性 攻击 者必须计算用户的私钥 XA 并且截获 UB 的公钥的证明 CB 才 能假冒 UA 进行签名 而攻击者要想获取 UAUB 的私有密钥 xB 因此他无法根据消息恢复方程求解得到 M 也就是说只有 指定的消息接收者 UB 才可能求解得到 M 他与消息发送者之 间的相互确认是通过用户公钥的自认证协议实现的 4 消息 密钥 K 可以多次使用 对于不同的消息 M 和 M1 r2 和 s 都不 相同 攻击者不能根据签名等式分析得出签名者的私钥 4 方 案的比较所提出的基于公钥自证明的认证加密方案是根据 Girault 的公钥自证明原理 在 Tsengyuh Min 等人的自证明方案 的基础上进行设计的 同时根据文献 7 中对 Tsengyuh Min 方案 的缺点分析 提出的一种更安全的公钥自证明方案 首先 本 方案中 CA 对用户的公钥签名时有效引入 CA 的私钥 解决了 攻击者可以假冒 CA 产生有效公钥认证的问题 在 Tseng 的认证 加密方案 CA 对用户公钥的证明没有使用 CA 的私钥 攻击者 只要知道 CA 的签名等式 就可以假冒 CA 的签名 而的认证过 程引入了 CA 的私钥 由于攻击者不知道 CA 的私钥 就不能产 生有效的签名 只有 CA 才能使用私钥产生有效的签名 同