失败—终止数字签名的强盲签名方案

2024年3月21日发(作者：)

龙源期刊网

失败—终止数字签名的强盲签名方案

作者：付晓鹃 徐敏

来源：《大东方》2016年第07期

摘 要：将强盲性的概念引入失败-终止数字签名方案，构造了一个基于失败-终止

数字签名的强盲签名方案，拓宽此类签名的应用范围。方案安全性基于离散对数难解问

题。

关键词：强盲性；失败-终止数字签名；不可伪造性；离散对数难解

1引言

失败终止数字签名又称为故障停止式签名，是由Birgit Pfitzmann和Michael

Waidner[1]于1991年提出的。这是一种经过强化安全的数字签名，用来防范拥有强大计

算机资源的攻击者。使用失败—终止数字签名，签名者不能对自己的签名抵赖，同时，即

使攻击者分析出私钥，也难以伪造签名者的签名。

失败-终止数字签名的基本原理是：对每个可能的公钥，有许多可能的私钥和它一

起工作。这些私钥中每一个都产生许多不同的可能的签名，而签名者只有一个私钥，只能

计算出一个签名。因此，即使攻击者能够恢复出一个有效的私钥，但这一私钥恰好是签名

者持有的私钥的概率是非常小的，可以忽略不计。不同的私钥产生的签名是不相同的，因

龙源期刊网

此签名者可以以高概率鉴别出伪造的签名。

下面我们给出由Van Heyst和Pederson[2]构造的失败—终止数字签名方案，它

是一个一次方案（给定一个密钥，仅有一个签名信息能被签名）。其安全性基于求解离散

对数的困难性。

2失败—终止数字签名方案

方案描述如下：

2.1 体制参数

产生参数需要签名者和可信的第三方的参与。第三方产生公开的全局参数，签名

者自己产生签名要用的私钥和公钥。

第三方选取：

都是大素数，且，要求在中求解离散对数是困难的；

，的阶数为；

选取随机数，，作为秘密数，第三方对所有人保密（包括签名者）。

；

龙源期刊网

签名者选取：

签名者选取四个随机数，且均属于；作为签名者的私钥；

签名者的公钥为，其中，。

以上，是公开的并且它们将视为固定的。

2.2签名过程

对给定的消息m签名，，计算：

y1=（a1+mb1）modq，y2=（a2+mb2）modq，

对于消息m的签名结果为。

2.3 验证过程

接收者收到消息m和签名之后，验证过程如下：

（1）计算：，；

（2）比较，，相等表示签名有效，否则签名无效。

龙源期刊网

下面提出作者根据上面描述的失败—终止数字签名体制构造的一个强盲签名方

案。

3基于失败-终止数字签名的强盲签名方案

3.1方案描述如下

3.1.1体制参数

参数选取同失败—终止数字签名体制的参数选取，我们在这不再阐述。

3.1.2 签名过程

（1）签名者A选取一个随机数，计算：

，

然后把发送给求签名者B；

（2）求签名者B收到后，选择随机数，对给定的待签名消息，计算：，并把发送

给签名者A进行签名；

（3）签名者A收到后，对其进行签名，计算：

龙源期刊网

，，

签名者对的签名为，并把发送给求签名者B。

3.1.3脱盲过程

求签名者B收到关于的签名之后，进行脱盲过程，计算：

，，

即为原消息m的签名。

3.1.4 验证过程

求签名者B通过脱盲得到消息m的签名后，对其进行验证：

（1）计算：，；

（2）比较，，相等表示签名有效，否则签名无效拒绝接受。

3.2方案的正确性，安全性、盲性分析及其性能分析：

3.2.1方案的正确性分析

龙源期刊网

因为：=

=

=

=

=

=

=

=

其中y´1=a1r-c+mb1modq，y´2=a2r-c+mb2modq；

所以，=成立，方案是正确的。

3.2.2方案的安全性分析

3.2.2.1体制安全性分析

龙源期刊网

这个新的方案是基于Van Heyst和Pederson所提的失败—终止数字签名方案而

设计的，所以其体制安全性是基于求解离散对数的困难性。

3.2.2.2不可伪造性分析

首先让我们确定一些关于该方案的密钥相关事实。对于两个密钥和是等价的：当

且仅当和。由r的定义知道，各等价类中恰有个密钥。以下阐述几个引理[3]：

引理1：假设和是等价密钥且假设，那么；

引理2：假设是一个密钥且，那么这里刚好有个密钥与等价，并满足；

引理3：假设是一个密钥，且，这里，那么这里至多存在一个与等价的密钥使和同

时成立。

前面两个引理说明方案的安全性，即同一等价类中的密钥签署相同的消息将得到

相同的签名。而引理3说明：以同一等价类中的密钥签署不同的消息将得到不同的签名。

我们现在看一下失败—终止数字签名，以上我们讲的是，给定消息m的签名s，

攻击者不能计算出不同的消息的签名，但攻击者可以计算出一个伪造的签名，并且仍能通

过验证，也就是说，是攻击者伪造的关于的有效的签名，即使是这样签名者能以高概率产

生一个“伪造的证明”。该伪造的证明是一个值，仅有可信第三方才知道。

综上，我们说方案是不可伪造的，即使有伪造的签名，签名方也可以以高概率产

龙源期刊网

生“伪造的证明”。

3.2.3方案的强盲性分析

3.2.3.1求签名者B对消息m进行盲变换后得到盲消息，签名者A虽然知道，但

并不知道求签名者随机选取的，所以说，原消息的内容对签名者A来说是不可见的，满

足强盲签名的条件。

3.2.3.2待求签名者B公布m及它的签名，签名者A利用他保存的， 及其他相关

数据，求解。由及和求解属于有限域上离散对数难解问题，求解是非常困难的。即签名者

A利用和得不到它们之间的联系，无法对求签名者B进行追踪，满足强盲签名的条件。

综上，该方案具有强盲性。可以实现无条件的匿名性，这个方案在电子商务中有

很广泛的实际应用价值。

3.2.4密钥安全性分析

我们知道，这个方案是一次一密的，即给定一个密钥只能签署一个消息。如果用

同一个密钥签署不同的两个消息，密钥就会被泄露。这是因为：假设签名者用密钥来签署

不同的消息，得到两个不同的签名：的签名为，的签名为，所以有：

（1式），（2式），

（3式），（4式）

龙源期刊网

由于求签名者知道，所以由（1）（3）式可以求得，由（2）（4）式可以求得，

这样求签名者就可以伪造签名者来签名，所以该方案的一次一密也保证了签名的不可伪造

性，增强了方案的安全性。

4结语

失败终止数字签名是一种经过强化安全的数字签名，用来防范拥有强大计算机资

源的攻击者。文中描述的是一个一次方案，即给定的密钥只能签署一个消息，但是，也存

在求签名者不想让签名者知道自己所要签名的真实消息内容，这时候就需要盲性，而且是

强盲性，所以作者根据这一需求提出自己构造的基于失败-终止数字签名的强盲签名方

案，拓宽此类签名的应用范围。

参考文献：

[1]ann and ，“Formal Aspects of fail—stop

Signature，”Fakultat fur Informatik，Univesity Karlsruhe，Report 22/90，1990

[2]E. Heyst and on，“How to Make Fail—Stop

Signatures，”Advance in Cryptology—EUROCRYPT’92 Proceedings，

Springer—Verlag，1993，pp.366—377

[3][美]D.R.斯延森著.密码学——理论和实践[M].张文政译.成都：国防科学技术保

密通信重点实验室，1997

龙源期刊网

作者简介：

付晓鹃（1983—），女，汉族，硕士，讲师，主要研究方向为代数组合论与密码

学、应用数学等；

徐敏（1978—）女，汉族，硕士，副教授，主要研究方向为代数组合论与密码

学、应用数学等。

基金项目：国家自然科学基金（61672199，61100100）； 浙江省自然科学基金

（Y1110232）； 杭州电子科技大学科研启动基金（KYS055609040）.

（作者单位：青海交通职业技术学院基础部）