2024年3月14日发(作者:)
维普资讯
第27卷
第21期
VO1.27
NO.21
计算机工程与设计
Computer Engineering and Design
2006年11月
NOV.2006
改进的基于身份的盲签名
张小萍 , 于静洋 , 梁斌梅
(1.广西大学计算机与电子信息学院,广西南宁530004;2.河南大学计算机与信息工程学院,
河南开封475001;3.广西大学数学与信息学院,广西南宁530004)
摘 要:盲签名是一种可以确保消息者传送的匿名性的签名。在盲签名中签名者在签名时和签名后都不能将自己在签名协
议中的签名和签名的消息联系起来,这就是所谓的不可追踪性,但是文献[1】中的基于身份的盲签名方案不具有不可追踪
性,给出一种得到盲签名和签名的消息联系起来的一种攻击方法 针对以上分析的弱点,提出一种改进的基于身份的盲签
名方案,并且对它的安全性和不可追踪性进行分析。
关键词:盲签名;基于身份;不可追踪性;双线性配对;攻击;改进
中图法分类号:TP309 文献标识码:A 文章编号:1000.7024(2006)21.4123.02
Improvement of identity
based blind signature
_
ZHANG Xiao—ping ,YU Jing—yang2,LIANG Bin—mei
(1.College of Computer and Electronic Information,Guangxi University,Nanning 530004,China;
2.College ofComputer and Information Engineering,Henan Universiyt,Kaifeng 475001,China;
3.College of Mathematics and Information,Guangxi University,Nanning 530004,China)
Abstract:A blind signature scheme call ensure anonymity of the sender of a message.The signature cannot link a signature to the cot—
responding message ofsigning protocol at the same time and after singing,which is called unlinkabiliyt,But It is pointed out the identiyt
_
based blind singature scheme in document[1]can not satisfy unliknabiliyt property,and na attack is put forward which identiifes the
association between the message nad the blind signature signer generated.An improvement is proposed to solve the problem,and its se—
curiyt and unlinkability rae also analyzed.
Key words:blind singature;identiytbased;unlinkabiliyt;bilinear pairing;attack;improvement
0 引 言
q的循环乘法群。双线性配对是指满足下列性质的一个映射
会:G。xG。一G :①双线性: (aP,bQ)=台(P'Q) ;②非退化性:存在P,
盲签名是Chaum在1983年首次提出来的 ,盲签名在电
Q∈G。,使得会(P,Q)≠l:③可计算性:对所有的P,Q∈G。存在有
子投票和电子现金的应用非常广泛,它对满足电子商务中的
效的算法计算 ( Q)。
消费者的隐私权提供了重要保证。一般地,一个盲签名应满
当群G上的DDHP(确定Diffie.Hellman问题)是容易的,
足以下两个条件:①不可见性:被签名的消息对签名者是盲
而CDHP(计算Diife.Hellman问题)是困难的时,我们称群G为
的。②不可追踪性:签名人事后不能追踪签名的消息。
Gap Diife.Hellman(GDH)群。这样的群能在有限域上的超奇
当前,基于离散对数和基于椭圆曲线密码体制的盲签名
异椭圆曲线或超椭圆曲线上找到,而双线性配对可由Wleil对
已经被广泛提出,而在文献…1中,利用椭圆曲线上的weil配 或Tate对获得。更多细节可参见文献[3】。
对提出了一个基于身份的盲签名方案。首先我们回顾一些预
1.2 Hess的基于身份签名体制
备知识:双线性配对和Hess基于身份的签名体制,然后分析
一
个基于身份的签名方案由4个算法组成:系统初始化、
文献…1中的盲签名方案,指出它不具有不可追踪性,并且给
密钥提取、签名和验证。系统中包含3方:可信中心、签名者
出一个改进方案。 和验证者。设G。,G 分别是阶为q的加法群和乘法群,其中q
1基础知识
是素数,在G。,G 中离散对数问题都是难解的。设 是G-xG-到
G 的一个双线性映射。通常取G。为有限域F 上的椭圆曲线
1.1双线性配对
有理点群的一个加法子群,G 取为这个有限域的一个乘法子
令G。为由P生成的循环加法群,阶为q,G 为具有相同阶
群,双线性映射 由椭圆曲线上的Weil配对派生得到。设ID
收稿日期:2005—09—25。
作者简介:张小萍(1978一),女,广西柳州人,硕士,助教,研究方向为网络信息安全、密码学; 于静洋(1980一),女,助教,研究方向为网
络信息安全; 梁斌梅(1973一),女,硕士,讲师,研究方向为数据库安全。
一
4123—
维普资讯
是一个表示用户身份的一个字符串,H。,H 是公开的加密用哈
希函数H。:{O,l}‘一G。,H :{O,l}’xG2一 。
系统初始化:可信中心随机选取一个元素P∈G。和一个
整数tEF 。计算Q --tP,公开(P,Q ),保密t,t称为系统主密
钥,系统中所有用户的私钥均由它生成。
密钥提取:当用户需要与他的身份对应的私钥时,向可信
中心提出申请。可信中心在验证了用户的身份后给出用户身
份所对应的私钥。设用户的身份由一个字符串ID给出,则他
的公钥可以使用Q =H。(ID)算出,私钥S ̄--tQ 。然后通过安全
信道将S 送给用户。用户的密钥对为(O。。,S 。
签名:为了签名一个消息m,签名者选取P。∈G。,k∈F ,计
算:r== (P。,P) ;v=H (m,r);U=vS。。+kP。。所得签名是(U,r)∈(G-,G )。
验证:计算 (u,P), (Qm,Q )v,检查验证等式 (U,P)= (Qm,
Q ) r是否成立。此签名方案由文献[4】构造,可以证明该方案
在随机提示模型下是安全的。
2原方案与攻击
2.1原方案
系统参数的选取与上面的Hess数字签名方案相同。设A
为待签名者,B为签名者。B的身份是ID,则其公钥为Q H。
(ID);私钥为S ̄--tQ 现有消息m需B加盲签名,则A与B执
行如下交互协议:
(1)A向B发一个请求,通知B他需要B对某个消息加盲
签名。为安全起见,B要检查A的身份和权限等,具体方法这
里不予考虑,假设检查通过。
(2)B随机取P。∈G。,计算e=b(P。.P)并将其发送给A。
(3)A收到r’后随机取P ∈G。,k∈F ,计算r=r b(p ,P);v=
H2(m,r);v'-v/k;然后将v’送给B。
(4)B收到v’后,计算U’=VvslD+P。并将其发给A。
(5)A收到u’后,计算U=k U’+P 。至此,得到B对消息m
的盲签名(U,r)。
上述盲签名(U,r)满足验证等式。事实上,令v=H (m,r),则
b(u,P)= (k U’+P ,P)== (v s rD+kP-+P ,P)= (tQm,P)Vb(kP-+P ,P)= (Qm,
Qn) (PI,P) b(P ,P)=b(Qm,QT,0Vr,验证等式成立。
2.2分析和攻击
在上面的方案中,作者声称由于签名者看到的是(,,v’,u’)
而最终的签名(L v'U)是用随机值P ,k处理后的结果,所以签名
者保存了每次签名时的交互信息,他也没法将其与某个签名
联系起来,所以具有不可追踪性。
但实际上,只要盲签名者B记录所有他能够收集到的(r’,
v’
,
u’)信息,当一个签名(m,U,r)被公开后,B计算v=H2(m,r),k--v/
v’
,
然后计算P =u—kU’,验证FrI (p ,P)是否成立,若等式成立,
那么说明签名(m,U,r)就是B使用(,,v’,U’)所做出的盲签名,所
以上面的方案不具有不可追踪性。
3改进的基于身份的盲签名方案
3.1改进的盲签名方案
(1)A向B发一个请求,通知B他需要B对某个消息加盲
签名。为安全起见,B要检查A的身份和权限等,具体方法这
里不予考虑,假设检查通过。
-——
4124-——
(2)B随机取P。∈G。,计算r== (P。,P)并将其发送给A。
(3)A收到r’后随机取P ∈G-,k∈Fq,计算r=r (P ,P)b(Q ,
Q ) ;v=H2(m,r):v'=v/k+b;然后将v’送给B。
(4)B收到v’后,计算U’=VvSD+P。并将其发给A。
(5)A收到u’后,计算U=kU’+P 。至此,得到B对消息m
的盲签名(U,r)。
上述盲签名(U,r)满足验证等式。事实上,令v=H (m,r),则
b(u,P)= (ku’+P ,P)=b((v+bk)SD+kP。+P ,P)=b(tQ 。,P) (kP。+P ,P)
(Q-o,Qn)v (Q-o,Qn ̄bb(P-,P) (P ,P)= (Qm,QT,0Vr,验证等式成立。
3.2安全性和不可追踪性分析
(1)安全性:其安全性同原方案一样是基于Hess基于身份
认证的安全性 。
(2)不可追踪性:如果B想通过自己所掌握的(,,v’,U’)来确
定是否就是一个转化后公开的盲签名(m,U,r),那么他可以计
算出v=H (m,r),但是由于v'-v/-k+b,含有两个随机数k,b,所以B
无法由v和V v得到k的值,又由于U=kU’+P 中也含有两个未知
数k和P ,B通过U和U’也无法得知k和P 的值。因此改进
方案具有不可追踪性。
4结束语
盲签名的不可追踪性在电子商务和电子投票中起着重要
的作用,比如:在匿名投票中投票人不希望自己选举信息被别
人知道。文中对文献[1】中的盲签名方案进行了分析和改进,
改进的盲签名方案具有不可追踪性。
参考文献:
[1】 王泽成,斯桃枝,李志斌,等.基于身份的代理签名和盲签名[J】.
计算机工程与应用,2003,23(8):148—150.
[2】Chaum D.Blind signature for untraceable payments[C】.Ad-
vanceinCryptology,ProcCrypto'82,LectureNotesinComputer
Science,Springer Verlag,1983.199—203.
[3】 Bonech D,Lynn B,Shacham H.Short signature from the Weil pai—
ring[C】.Berlin:Proceedings ofAdvance in Cryptology ASIA
Crypt,LNCS2248,Springer Verlag,2001.514—532.
[4】Hess F.Exponent group singature schemes and efifcient identity
based singature schemes based on pairing[C】.Proc 9th Wor-
kshop on SelectedAreas in Cryptography—SAe LANCS 2595.
Springer Verlag,2002_3 10—324.
[5】 Chen J J-R,Chen A PA blind signature scheme base on dual
complexities[C].Shanghai,PRC."Proceedings of the lnterna—
tional Conference on Information Security,2002.6 1—65.
[6】Huang H F’Chang C C.A new desing ofefifcient partially blind
signature scheme[J].The Journal of Systems and Software,
2004,73(3):397—403.
[7】Paterson K G.ID—based singature rfom pairings on elliptic cur-
ves[J].Electron Lett,2002,38(18):1025—1026.
[8】Zhang F G,Safavi Naini R,Susilo Efifcient veriifably en—
crypted signature and partially blind singature from bilinear pai—
rings[C].New York.Proceeding ofthe lndocrypt,LNCS 2904,
Spinger Verlag,2003.191—204.
发布评论