一种抗造假攻击的群签方案

一种抗造假攻击的群签方案

数字签名是指在数据单元中添加数据或替换数据单元的密码。通过添加数据或密码变换，数据单元的接收者可以证明数据单元的来源及其完整性。它可以提供实体识别、数据原识别和数据安全性服务，并保护数据。1991年,Chaum和Heyst首次提出了群签名的概念。一般来说,群签名应该满足4个特征:1)只有群中的成员才能够代表整个群对信息进行签名;2)签名的接收者能够验证签名是否为这个群的有效签名;3)签名的接收者不能辨别具体是哪个成员产生的签名;4)如果有需要,群权威根据签名能够识别出签名者的身份。同时,群签名方案中包括多个签名者、群权威和多个用户,其中群成员可以代表群进行签名。最初的群签名方案中,其签名的有效性需要得到签名者和验证方共同执行一个交互式协议来证明,因此效率较低。1998年,Lee和Chang提出了一种高效的基于离散对数问题的群签名方案。Tseng和Jan指出Lee-Chang方案不具备不可链接性:由于每个成员的不同群签名包含有自己同样的身份证书信息,一旦某一次签名被泄漏,这个签名者以前和以后的群签名都会被泄漏,使得该成员的所有签名不具有匿名性。上海交通大学的敖青云等学者提出了一个群签名方案,但是该方案不能抵御伪造攻击,其原因是签名证书中的运算具有类似同态性的特点。虽然文献对抗伪造攻击的分析是值得肯定的,但是它所提出的新方案在设计过程中存在一个错误。作者就顺着文献对抗伪造攻击的分析思路,设计了一个新的群签名方案。该方案除了保留文献各方案的优点,即盲性、签名者有条件的匿名性、签名者身份的不可否认性、不可链接性、不可捏造性和抗联合攻击特性,还具有抗伪造攻击能力。1hen-bai群签名方案文献提出一个群签名方案,本文称该方案为Ao-Chen-Bai群签名方案,文献对Ao-Chen-Bai方案的安全性进行讨论,并提出一个新的群签名方案,本文称为Yuan-Ding群签名方案。1.1群权威t的生成该方案分为5个阶段:初始化、加入群成员、签名、验证和识别。具体内容参见文献。1)初始化设p和q为两个大素数,而且q|p-1,设g是GF(p)上阶为q的生成元。每个群成员Ui选取自己的私钥xi,其中,xi∈[1,q-1],计算并公布相应的公钥yi≡gxi(modp)。假设T为群权威并且T的私钥为xT,其中,xT∈[1,q-1]公钥为yT≡gxT(modp)。2)加入群成员对于每一个群成员Ui,群权威T随机选择ki∈[1,q-1],并且计算:ri≡g-ki·ykii(modp),si≡ki-ri·xT(modq)(1)群权威T将(ri,si)秘密地发送给群成员Ui。当接收到(ri,si)后,群成员Ui验证等式:gsi·yriT·ri≡(gsi·yriT)ximodp)。群权威负责群成员的加入和删除管理。这里,ri和si无须保密传送,甚至(ri,si,yi)可以在系统内公开,主要因为在该处原生成元参数在执行签名协议时已进行盲化处理,不会出现在签名结果中,任何第三方企图将盲化后的生成元参数与{ri,si}对应起来,在计算上是困难的。3)签名、验证和识别阶段请参见文献。1.2个群成员认证Yuan-Ding群签名方案主要为了克服Ao-Chen-Bai群签名方案中(1)式的同态性,该方案也分为初始化、加入群成员、签名、验证和识别5个阶段。这里主要介绍该方案在加入群成员阶段时,为了克服同态性而改变了ri的结构和最后识别阶段的证明,其他内容请参见文献。在“加入群成员阶段”,对于每一个群成员Ui,T随机选择ki∈[1,q-1],并计算:ri≡gki+ykii(modp),si≡ki-ri·xT(modq)(2)在“识别阶段”,如果需要识别签名者时,验证方出示收到的签名{r,s,m,A,B,C,D,E}。由于群权威保存有每个群成员的证书(ri,si,ki),从而可以计算出签名者αi≡(gC·Ex-1T)r-1i·ki(modp)(3)其中,x-1Τ−1T为xT在Z*q上的乘法逆元,r-1i−1i为ri在Z*p上的乘法逆元。如果式(3)满足,群权威就可以判断出上述签名确实是Ui签的,则群权威就可以将自己的判断通过一般的数字签名技术告诉验证者。Yuan-Ding签名方案中识别阶段的验证式子(3)的证明过程见文献,原文如下:因为:(gC·Ex-1T)r-1i·ki≡(gari-d·gdxTx-1T)r-1i·ki≡(gari)r-1i·ki≡gari≡αi(modp)所以:αi≡(gC·Ex-1T)r-1i·ki(modp)。2安全分析与此模式的安全性2.1签名特性分析Ao-Chen-Bai群签名方案的优点是符合群签名的形式化定义,拥有有条件的匿名性、不可否认性、不可捏造性、不可链接和抗联合攻击特性等方案所必须的签名特性。但是由于式(1)的定义具有同态性,因此不能抵御伪造攻击,主要原因是:ri≡g-ki·ykiikii(modp)。具有类似同态性(semi-homeostasis)的特点。2.2gr-1iri计算由于式(2)中ri≡gki+ykii(modp),而r-1i−1i为ri在Z*p上的乘法逆元,因此gr-1iri≠g(modp),故识别阶段式子(3)的证明是不成立的。此外,若是简单的将r-1i−1i定义为ri在Z*q上的乘法逆元,即ri∈Zq,则加入群成员,签名和验证阶段的ri均在Zp上,运算显然均不成立。因此,必须对签名算法做全面的修改才能完成该签名方案的设计。3抗伪造攻击的群签名方案通过对Ao-Chen-Bai群签名方案和Yuan-Ding群签名方案的研究,主要基于Ao-Chen-Bai群签名方案不能抵御伪造攻击,参考文献的增加消息罩的方法来避免同态性所带来的伪造攻击,提出一个改进的能够抗伪造攻击的群签名方案。3.1签名系统的改进设计将方案分为初始化、加入群成员、签名、验证和识别5个阶段。1计算p的qs群假设p为一个强素数,即p-1=2q,其中q为素数,g为有限域GF(p)上阶为q的生成元。群中的每一个成员Ui随机选择自己的密钥xi∈[1,q-1],并计算公钥yi=gxi(modp)。群权威T随机选取群权威密钥xT∈[1,q-1],而且gcd(xT,q)=1,并计算公钥yT=gxT(modp)。2共建维护两组成员u对于每一个群成员Ui,群权威T随机选择ki∈(1,q-1],而且gcd(ki,q)=1,并计算:{ri≡(g+gki)-1ykii(modp)si≡ki-ri⋅xΤ(modq)且si＞1(4){ri≡(g+gki)−1ykii(modp)si≡ki−ri⋅xT(modq)且si＞1(4)群权威将(ri,si)秘密地发送给Ui,接收到(ri,si)后,Ui验证等式:ri(g+gsi·yriT)≡(gsi·yriT)xi(modp)(5)如果(5)式成立,则群成员Ui保存签名证书(ri,si),群权威保存(ri,si,ki)。证明:ri(g+gsi·yriT)≡(gsi·yriT)xi(modp)。因为:ri(g+gsi·yriT)≡ri(g+gki-rixT·yriT)≡ri(g+gki)≡(g+gki)-1·ykiikii·(g+gki)≡ykii(modp),而(gsi·yriT)xi≡(gki-rixT·yriT)xi≡(gkiy-riΤ−riT·yriT)xi≡(gki)xi≡ykiikii(modp),故ri(g+gsi·yriT)≡(gsi·yriT)xi(modp),得证。3群成员ua如果Ui希望对消息m签名,则Ui可以随机选择3个数a,b,c∈[1,q-1],并计算:A≡rai(g+gsiyriT)a+gasi(modp),B≡a·si-b(modq),C≡a·ri-c(modq),D≡gb(modp),E≡ycT(modp)。随后,群成员Ui随机选择t∈[1,q-1],并计算:αi≡gB·yCT·D·E(modp),r≡αti(modp)。接着,群成员Ui求解同余方程:h(m)≡r·xi+t·s(modq)。其中,h(m)为无碰撞的单向哈希函数,通过计算得到s。则{r,s,m,A,B,C,D,E}就是消息m的群签名结果。4igasi-bgasi-nxtgaki体模型gakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakici模型gakicigakicigakicigakicigakicigakici模型gakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakici.gakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakici签名者接收到签名后,先计算:αi≡gB·yCT·D·E(modp),DHi≡A-D·gB(modp)。并利用下面式子来验证签名:αh(m)i≡DHri·rs(modp)。证明:因为αi≡gB·yCT·D·E≡gasi-b·gaxTri-nxT·gb·gcxT≡ga(si+rixT)≡gaki(modp),而DHi≡A-D·gB≡rai(g+gsi·yriT)a+gasi-gb·gasi-b≡rai(g+gki-rixT·yriT)a≡rai(g+gki)a≡(g+gki)-a·yakii·(g+gki)a≡(ykii)a≡gakixi(modp)。所以αh(m)i≡(gaki)rxi+ts≡gaki·rxi·gakits≡(gaki·xi)r·(gakit)s≡DHri·rs(modp)。5群权威的判断识别签名者时,验证方出示收到的签名{r,s,m,A,B,C,D,E}。由于群权威有每个群成员的证书(ri,si,ki),所以可以计算出签名者。验证:αi≡(gB·D)s-1i·ki(modp)(6)其中,x-1Τ为xT在Z*q上的乘法逆元,s-1i为si在Z*q上的乘法逆元。如果上面式子成立,群权威T就可以识别出上述签名是Ui签署的,则群权威就可以将自己的判断告诉验证者。下面给出其证明:证明:因为(gB·D)s-1i·ki≡(gasi-b·gb)s-1i·ki≡(gasi)s-1i·ki≡gaki(modp),又因为αi≡gaki(modp),所以αi≡(gC·Ex-1T)r-1i·ki(modp),得证。3.2算法安全性分析新方案拥有群签名所必须的一些签名特性,如签名者有条件的匿名性、签名者身份的不可否认性、不可链接性、不可捏造性、抗联合攻击特性,分析如下:1)签名者有条件的匿名性。给定消息-签名对,任何人都可以校验签名的有效性,但是只有群权威才能够识别签名是哪个群成员所为。识别签名需要查询群成员的签名证书库,并且用到群权威的公钥xT,所以除群权威外,其他人无法识别签名是哪个群成员所为。2)签名者身份的不可否认性。群权威可以确定签名是哪个群成员作出的,并且向第三方证明之,而不影响该签名者以前及将来的签名。3)不可链接性。判断两个不同的签名是否是同一群成员所为在计算上是不可行的。如果在执行签名协议时,签名接收者选择不同的盲化参数,则判断两个不同签名是否是同一群成员所为在计算上是不可行的。4)不可捏造性。群成员不能代表其他群成员签名,即识别签名时,无法陷害与签名无关的群成员。产生一个有效签名时,同时用到(ri,si)和xi,如果识别签名时显示的签名证书是(ri,si),则必然是用xi产生的,必须是群成员Ui自己签发的,即使其他群成员合作,也无法陷害Ui。此外,识别签名时,群权威要给出关于Dsi、yT关于g的离散对数相等知识证明,因此群权威不能陷害与签名无关的群成员。5)抗联合攻击特性。除群权威外,任意多个群成员都无法产生不可跟踪的群签名。如果要生成有效的,但是在识别时不泄漏任何签名群成员身份的签名,则需要生成一个新的私钥/公钥对(xf,yf),并且计算对应的签名证书(rf,sf),这样就需要知道群权威的私钥xT,这是不可能的。同时,新方案还具有Ao-Chen-Bai群签名方案所不具备的优点,分析如下:6)抵御伪造攻击。若攻击者进行类似文献的伪造攻击,由于新方案中定义:DHi≡A-D·gB(modp),则在攻击过程将出现(A-D·gB)r(modp),最主要的是新方案中式子(4):ri≡(g+gki)-1ykii(modp)所定义的ri没有类似Ao-Chen-Bai群签名方案中式子(1):ri≡g-ki·ykii(modp)所定义的ri同态的性质,所以上述伪造攻击对本文方案无效。7)取p为强素数,则有素数q=(p-1)/2,可以方便地取到阶为q,而不仅仅是p-1的一个因子的生成元,这对密码体制的工程实现和提高安全性有积极意义。8)该群签名方案可以方便地加入身份嵌入与揭示技术,从而可以设计一些新型的电子支付安全系统。在农业银行的电子支付系统中作了实验性的尝试并取得成功。3.3改进的集体签名制度的示例下面通过一个简单的例子来介绍新方案的签名过程。1z47上生成元6设p=47,则q=23,选取生成元g=6(mod47),即Z47上生成元6的阶为23。群中的每个成员Ui随机选择密钥xi=13∈,并计算公钥yi≡613≡34(mod47)。群权威T随机选择xT=2∈,并计算yT≡62≡36(mod47)。2g+gkii6+97-1ykii8.331616161516161615191526313151531531531535.21535.3.35.35.35.35.35.35.3.35.3.35.3.35.35.35.35.3.35.35.3555.355314.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.3对于群成员Ui,群权威T随机选择ki=8∈,并计算:ri≡(g+gki)-1ykii≡(6+68)-1·348≡31(mod47),si≡ki-ri·xT≡8-31·2≡15(mod23)。群权威T将(31,15)秘密地发送给群成员Ui。3si-b使用1333333的岩工群的u求解同余方程群成员Ui随机选择3个数a=1∈,b=2∈,c=5∈,并计算:A≡rai(g+gsiyriT)a+gasi(modn)≡31·(6+615·3631)+615≡39(mod47),B≡a·si-b(modN)≡1·15-2≡13(mod23),C≡a·ri-c(modN)≡1·31-5≡3(mod23),D≡gb(modn)≡62≡36(mod47),E≡ycT(modn)≡365≡18(mod47)。然后,群成员Ui随