吳晨煌，李天旭，陳智雄，2

(1.莆田學(xué)院數(shù)學(xué)與應(yīng)用數(shù)學(xué)系，福建莆田351100;2.福建師范大學(xué)網(wǎng)絡(luò)安全與密碼重點(diǎn)實(shí)驗(yàn)室，福建福州350007)

2個(gè)基于身份代理簽名方案的安全性分析及改進(jìn)

吳晨煌1，李天旭1，陳智雄1，2

(1.莆田學(xué)院數(shù)學(xué)與應(yīng)用數(shù)學(xué)系，福建莆田351100;2.福建師范大學(xué)網(wǎng)絡(luò)安全與密碼重點(diǎn)實(shí)驗(yàn)室，福建福州350007)

通過(guò)對(duì)向新銀等提出的強(qiáng)指定驗(yàn)證人代理簽名方案進(jìn)行分析，指出該簽名方案存在安全缺陷，即代理簽名人能夠得到原始簽名人的私鑰，從而代理簽名人能做原始簽名人所能做的任何事情.同樣的安全缺陷還存在于張學(xué)軍等給出的基于身份無(wú)可信中心的代理簽名方案中.最后，對(duì)該簽名方案進(jìn)行了改進(jìn)，改進(jìn)后的簽名方案的安全性是基于CDH問(wèn)題的.

基于身份;代理簽名;強(qiáng)指定驗(yàn)證人;CDH問(wèn)題

代理簽名(proxy signatures)［1］的概念是由Maobo等于1996年提出的，這種簽名在電子商務(wù)、電子貨幣和移動(dòng)通信等領(lǐng)域有良好的應(yīng)用背景，因此也得到眾多學(xué)者的廣泛研究.強(qiáng)指定驗(yàn)證人簽名(strong designated verifier signature)［2］的概念是由Jakobsson等人提出來(lái)的，強(qiáng)指定驗(yàn)證人簽名具有這樣的特點(diǎn)，只有特定的指定驗(yàn)證人才能驗(yàn)證簽名并相信簽名的有效性，而其他的任何第3方都無(wú)法驗(yàn)證簽名的有效性，并且指定驗(yàn)證人無(wú)法向其他任何第3方證明該簽名是代理簽名人簽的.

最近，向新銀等［3］給出了一個(gè)新的基于身份的強(qiáng)代理指定驗(yàn)證人代理簽名方案，張學(xué)軍等［4］也給出了一個(gè)新的基于身份的無(wú)可信中心的代理簽名方案，他們都聲稱(chēng)簽名方案是安全的.本文對(duì)這2個(gè)簽名方案進(jìn)行了分析，指出了這2個(gè)簽名方案存在安全缺陷.具體來(lái)說(shuō)就是在代理密鑰的生成過(guò)程中，代理簽名人能夠計(jì)算得到原始簽名人的私鑰，從而代理簽名人可以做原始簽名人所能做的任何事情.最后，本文對(duì)向新銀等人的簽名方案進(jìn)行了改進(jìn)，改進(jìn)后簽名方案的安全性是基于CDH問(wèn)題的，同樣的改進(jìn)方法也適用于張學(xué)軍等人的簽名方案，所以本文就不給出對(duì)該簽名方案的具體改進(jìn)方法.

1 預(yù)備知識(shí)

假設(shè)G1和G2是2個(gè)q階循環(huán)群，q為大素?cái)?shù)，其中G1是一加法群，而G2是一個(gè)乘法群，P為G1的生成元，并且假設(shè)G1和G2上的離散對(duì)數(shù)問(wèn)題是困難的.映射e:G1×G1→G2稱(chēng)為雙線性對(duì)，如果它滿(mǎn)足下面幾個(gè)性質(zhì).

1)雙線性性.對(duì)任意的P，Q∈G1，a，b∈Zq，有e(aP，bQ)=e(P，Q)ab.

2)非退化性.如果P為G1的生成元，則e(P，P)是G2的生成元.

3)實(shí)效性.存在對(duì)所有的P，Q∈G1計(jì)算e(P，Q)的有效算法.

群G1上定義以下幾個(gè)密碼學(xué)中的困難問(wèn)題.

1)離散對(duì)數(shù)問(wèn)題(DLP).對(duì)任意的Q∈G1，求滿(mǎn)足Q=nP的n∈Z*q.

2)計(jì)算Diffie－Hellman問(wèn)題(CDHP).對(duì)任意的P，aP，bP∈G1，其中a，b∈Z*q，計(jì)算abP.

3)判定Diffie－Hellman問(wèn)題(DDHP).對(duì)任意的P，aP，bP，cP∈G1，其中a，b，c∈Z*q，判斷ab≡c mod q是否成立.

2 強(qiáng)指定驗(yàn)證人代理簽名方案及攻擊與改進(jìn)

2.1 向新銀等提出的強(qiáng)指定驗(yàn)證人代理簽名方案

2.1.1 系統(tǒng)設(shè)置

私鑰生成中心PKG選取橢圓曲線上階為q的加法循環(huán)群G1，其生成元是P，橢圓曲線上階為q的乘法循環(huán)群G2，并隨機(jī)選擇s∈Z*q作為系統(tǒng)主密鑰，計(jì)算Ppub=sP作為系統(tǒng)公鑰，令H1:G2×{0，1}*→為密碼學(xué)單向哈希函數(shù)，PKG公開(kāi)系統(tǒng)的參數(shù)為{G1，G2，e，q，P，Ppub，H1，H2，H3}.

2.1.2 密鑰的提取

原始簽名人A，代理簽名人B，指定驗(yàn)證人C分別向私鑰生成中心PKG提交自己的身份IDA，IDB，IDC，則其公鑰分別為QA=H2(IDA)，QB= H2(IDB)，QC=H2(IDC).PKG驗(yàn)證其身份，若身份相符，分別計(jì)算A，B，C的私鑰SA=sQA，SB=sQB，SC=sQC，并通過(guò)安全信道分別發(fā)給A，B，C.

2.1.3 方案的過(guò)程

1)原始簽名人A用他的私鑰對(duì)授權(quán)信息mw(包括原始和代理簽名人的身份ID，簽名授權(quán)的有效期限，需要簽名的信息范圍等)進(jìn)行簽名，A隨機(jī)選取k∈Z*q計(jì)算R=kP，V=H3(mw，QB，R)，Sw=VSA，然后將簽名對(duì)(mw，R，Sw)通過(guò)安全信道返回給B.

2)B接收到A的簽名之后，計(jì)算V=H3(mw，QB，R)，并驗(yàn)證e(Sw，P)=e(VQA，Ppub)，若等式不成立，則簽名無(wú)效;若等式成立，則簽名有效.代理簽名人B計(jì)算其密鑰對(duì)為SPw=Sw+SB，QPw=VQA+QB，其中SPw，QPw分別是代理簽名人B的代理私鑰和公鑰.

3)B計(jì)算r=e(QC，SPW)，則生成的簽名為σ= H1(m，r)，然后將此簽名發(fā)給C.

4)C接收到簽名之后，通過(guò)驗(yàn)證σ=H1(m，e(QPw，SC))是否成立時(shí)，若等式成立，則接受此簽名.否則，拒絕簽名.

2.2 對(duì)強(qiáng)指定驗(yàn)證人代理簽名方案的攻擊

經(jīng)過(guò)分析發(fā)現(xiàn)，在上述代理簽名方案中的代理密鑰生成階段存在一個(gè)嚴(yán)重的安全性問(wèn)題，因?yàn)榇砗灻薆收到(mw，R，Sw)后，B可以計(jì)算得到A的私鑰，具體方法如下，首先注意到，V=H3(mw，QB，R)∈Z*q，則容易計(jì)算得到V的乘法逆元V－1∈Z*q，那么通過(guò)如下計(jì)算即得原始簽名人的私鑰:

事實(shí)上，這里代理密鑰的生成算法是采用文獻(xiàn)［5］中的短簽名方案.但是，作者并沒(méi)有注意到，在文獻(xiàn)［5］中，H3(mw，QB，R)∈G1，而SA∈Z*q，那么此時(shí)由SAH3(mw，QB，R)∈G1求得SA，這顯然是G1上的離散對(duì)數(shù)問(wèn)題.因此，兩者是不一樣的.

這里要特別指出的是，同樣的安全性問(wèn)題也存在于張學(xué)軍等［4］的簽名方案中.

2.3 對(duì)強(qiáng)指定驗(yàn)證人代理簽名方案的改進(jìn)

2.3.1 代理密鑰的改進(jìn)

注意到，之所以代理簽名人B可以恢復(fù)出A的私鑰，原因就是設(shè)計(jì)者犯了上述的錯(cuò)誤.其實(shí)可以在生成代理密鑰的過(guò)程當(dāng)中通過(guò)增加隨機(jī)數(shù)的方法來(lái)保護(hù)簽名人A的私鑰，具體的方法如下:這里的系統(tǒng)參數(shù)與原來(lái)簽名方案中的一樣.假設(shè)代理簽名人B要對(duì)消息m簽名，具體步驟如下.

這里我們基于已有的一個(gè)可證明安全的簽名方案［6］對(duì)代理密鑰進(jìn)行改進(jìn)，具體步驟如下:

1)A選取r∈RZ*q并計(jì)算W=rQA，h= H3(mw，QB，W)∈Z*q，計(jì)算Sw=(r+h)SA，最后把(Sw，W，mw)發(fā)送給B.

2)B收到(Sw，W，mw)后對(duì)其進(jìn)行驗(yàn)證，首先計(jì)算h=H3(mw，QB，W)，并驗(yàn)證等式:e(P，Sw)= e(Ppub，W+hQA)是否成立.若成立，B計(jì)算:SPw= Sw+hSB，QPw=h(QA+QB)，其中SPw，QPw分別作為B的代理私鑰和公鑰.

2.3.2 代理簽名方案的改進(jìn)

接下來(lái)對(duì)代理簽名方案進(jìn)行改進(jìn).假設(shè)代理簽名人B要生成消息m的代理簽名，具體步驟如下.

1)計(jì)算r=e(SPw，QC);

2)計(jì)算σ=H1(m，r)，則(m，σ)即為代理簽名人對(duì)消息m的簽名.

指定驗(yàn)證人C收到簽名(m，σ)后，可通過(guò)如下步驟驗(yàn)證簽名的有效性.

1)計(jì)算QA=H2(IDA)，QB=H2(IDB)和h= H3(mw，QB，W)，然后計(jì)算r＇=e(W+h(QA+ QB)，SC);

2)驗(yàn)證σ=H1(m，r＇)是否成立.若成立，則接收簽名，否則拒絕.

2.4 改進(jìn)后代理簽名方案的安全性分析

1)正確性.注意到，要驗(yàn)證改進(jìn)后的代理簽名方案的正確性，只需驗(yàn)證r＇是否等于r.顯然，

r'=e(W+h(QA+QB)，SC)=

e(rQA+hQA+hQB，SC)=e((r+h)QA+hQB，sQC)= e((r+h)SA+hSB，QC)=e(SPw，QC)=r.

2)代理密鑰的不可偽造性.注意到，改進(jìn)后的代理密鑰的生成算法是基于文獻(xiàn)［6］中的簽名方案，而文獻(xiàn)［6］中的簽名方案是可證明安全的，其安全性是基于CDHP的，故這里的代理密鑰同樣是不可偽造的，從而克服了原簽名方案中的安全問(wèn)題.

3)強(qiáng)不可偽造性.注意到，在簽名的過(guò)程中，最重要的就是要生成r，而r=e(SPw，QC)=e(W+ h(QA+QB)，SC)=r'，顯然只有知道SPw(或SC)的人才能計(jì)算得到r(或r')，即只有代理簽名人B和指定驗(yàn)證人C才能計(jì)算得到.那么，對(duì)于指定驗(yàn)證人C來(lái)說(shuō)，若他并沒(méi)有生成上述的簽名，這只能是代理簽名人B生成了該簽名.

4)強(qiáng)可驗(yàn)證性.首先，要驗(yàn)證簽名的有效性，只有計(jì)算出r'=e(W+h(QA+QB)，SC)=e(SPw，QC)=r才能驗(yàn)證簽名的有效性，即只有代理簽名人B和指定驗(yàn)證人C才能驗(yàn)證簽名的有效性，因此，該簽名方案具有強(qiáng)可驗(yàn)證性.

5)強(qiáng)可識(shí)別性.注意到，在代理簽名中含有代理授權(quán)證書(shū)mw，所以指定驗(yàn)證人C可以從代理授權(quán)證書(shū)mw中確定該簽名所對(duì)應(yīng)的代理簽名人和原始簽名人.

6)不可傳遞性.指定驗(yàn)證人C并不能向任何第3方(包括原始簽名人)證明該簽名是代理簽名人B生成的，因?yàn)橛缮厦娴膹?qiáng)不可偽造性可知C同樣有可能生成該簽名.

7)防止簽名權(quán)利的濫用.由于在代理授權(quán)證書(shū)mw中含有原始簽名人對(duì)代理簽名人的授權(quán)等信息，所以代理簽名人B不可以簽署不屬于授權(quán)證書(shū)規(guī)定范圍內(nèi)的消息，從而使得代理簽名人B并不能濫用代理簽名權(quán)利.當(dāng)然，原始簽名人A同樣也不能濫用代理授權(quán)證書(shū)mw，因?yàn)榇砻荑€的不可偽造性，所以只有代理簽名人B知道代理密鑰.

3 結(jié)語(yǔ)

本文對(duì)向新銀等提出的基于身份的強(qiáng)指定驗(yàn)證人代理簽名方案進(jìn)行了安全性分析和改進(jìn)，并指出同樣的安全缺陷也存在于張學(xué)軍等提出的基于身份的無(wú)可信中心的代理簽名方案中.改進(jìn)后的方案是基于CDH問(wèn)題的.

［1］MAMBO M，USUDAK，OKAMOTO E.Proxy signatures for delegating signing operation［C］//Proc 3rd ACM Conference on Computer and Communications Security.New York:ACM Press，1996:48－57.

［2］JAKOBSSON M，SAKO K，IMPAGLIAZZO R.Designated verifier proofs and their applications［C］//Advances in Cryptology(Proceedings of Eurocrypt’96)，Lecture Notes in Computer Science.Berlin:Springer－Verlag，1996，1070:143－154.

［3］向新銀，王曉峰，王尚平，等.新的基于身份的強(qiáng)指定驗(yàn)證者代理簽名方案［J］.計(jì)算機(jī)工程與應(yīng)用，2007，43 (1):130－131.

［4］張學(xué)軍，王育民.基于身份無(wú)可信中心的盲簽名和代理簽名［J］.計(jì)算機(jī)工程與應(yīng)用，2007，43(1):142－144.

［5］BONEH D，LYNN B，SHACHAM H.Short signature from the Weil pairing［C］//Advances in ASIACRYPT 2001，Lecture Notes in Computer Science.Berlin:Springer－Verlag，2001，2248:514－532.

［6］CHA J，CHEON J.An identity－based signature from gap Diffie－Hellman groups［C］//Advances in PKC 2003，Lecture Notes in Computer Science.Berlin:Springer－Verlag，2003，2567:18－30.

(責(zé)任編輯梁志茂)

Cryptanalysis and Improvement of Two Identity－Based Proxy Signature Schemes

WU Chen-huang1，LI Tian-xu1，CHEN Zhi-xiong1，2
(1.Department of Mathematics，Putian University，Putian 351100，China; 2.Key Lab of Network Security and Cryptology，F(xiàn)ujian Normal University，F(xiàn)uzhou 350007，China)

A new identity－based strong designated verifier signature scheme，which is proposed by Xiang Xinyin，etc.，is analyzed and a serious security flaw is discovered in their scheme，because the private key of the original signer can be recovered by the proxy signer.Therefore，the proxy signer can do what the original signer can do.Unfortunately，the same security flaw is also found in a new identity－based proxy signature scheme without trusted PKG proposed by Zhang Xue-jun.Finally，an improved scheme is proposed，whose security is based on the CDHP.

identity－based;proxy signature;strong designated verifier;CDHP

TP 309.7

A

1672－8513(2012)04－0292－03

10.3969/j.issn.1672－8513.2012.04.015

2012－03－30.

國(guó)家自然科學(xué)基金(61170246);福建省高校服務(wù)海西建設(shè)重點(diǎn)項(xiàng)目(2008HX03).

吳晨煌(1981－)，男，碩士，講師.主要研究方向:密碼學(xué).