汪希仁，孫戰(zhàn)輝，祝永霞

（1 新疆軍區(qū)政治部秘書(shū)群聯(lián)處新疆烏魯木齊830042）

（2 烏魯木齊民族干部學(xué)院新疆烏魯木齊830002）

1 引言

閾下信道[1]，也稱潛信道，最早是由G.J.Simmons于1978年提出的。閾下信道可以提供很多有價(jià)值的應(yīng)用，但同時(shí)它的存在也為信息安全構(gòu)成了挑戰(zhàn)，犯罪分子可以利用該信道從事危害國(guó)家安全的非法活動(dòng)等。因此，封閉閾下信道是閾下信道研究的另一個(gè)重要方面。在實(shí)際應(yīng)用中，通過(guò)檢測(cè)的方法來(lái)發(fā)現(xiàn)并阻止閾下信道的使用是比較困難的。封閉閾下信道之所以困難，除了一直沒(méi)有找到理想封閉模型外，其特點(diǎn)決定它的安全性是無(wú)條件的和計(jì)算上不可破的。到目前為止，學(xué)術(shù)界對(duì)完全封閉閾下信道還沒(méi)形成定論。目前的封閉閾下信道較好的密碼通信協(xié)議是讓看守參與密碼協(xié)議的執(zhí)行，使發(fā)方無(wú)法嵌入閾下消息，從而實(shí)現(xiàn)對(duì)閾下信道的封閉。研究表明，ECDSA中不僅存在寬帶閾下信道，也存在窄帶閾下信道，并且，利用M iracl大數(shù)庫(kù)，在平衡傳輸信息容量與簽名時(shí)間的條件下，窄帶閾下信道在橢圓曲線數(shù)字簽名中可以被有效利用[2]。目前的封閉方案都是對(duì)DSA類簽名的封閉性研究[3-6]，而對(duì)ECDSA封閉性研究很少。ECDSA是基于橢圓曲線離散對(duì)數(shù)上的簽名，其封閉方案有自己的獨(dú)特性?；诖?，本文提出了一種新的封閉ECDSA閾下信道方案。該方案令看守參與簽名的生成,但沒(méi)有偽造簽名的能力,從而在保證簽名者的簽名權(quán)力的前提下,實(shí)現(xiàn)了對(duì)因隨機(jī)會(huì)話密鑰而引入閾下信道的完全封閉。

2 封閉閾下信道理論模型

目前的閾下信道封閉模型主要分為兩類[7]：由公正方產(chǎn)生真隨機(jī)數(shù)的封閉閾下信道模型和監(jiān)督方參與的封閉閾下信道模型。

2.1 由公正方產(chǎn)生真隨機(jī)數(shù)的封閉閾下信道模型

圖1 無(wú)監(jiān)督方封閉閾下信道模型

該模型是由公正的第三方（如政府部門）或者真隨機(jī)數(shù)發(fā)生器來(lái)生成真隨機(jī)數(shù)封閉閾下信道的。每次簽名時(shí)，簽名者只能使用無(wú)關(guān)的第三方或者真隨機(jī)數(shù)發(fā)生器產(chǎn)生的真隨機(jī)數(shù)作為會(huì)話密鑰。避免了發(fā)送者選擇會(huì)話密鑰的可能，保證了會(huì)話密鑰的隨機(jī)性，從而封閉了閾下信道。

2.2 監(jiān)督者參與的封閉閾下信道模型

圖2 監(jiān)督者參與的封閉閾下信道模型

該模型中，簽名者和監(jiān)督者共同“合作”生成簽名隨機(jī)數(shù)，同時(shí)必須滿足最終會(huì)話密鑰的隱私性和隨機(jī)性[8]。在簽名隨機(jī)數(shù)產(chǎn)生的協(xié)商過(guò)程中，簽名者和監(jiān)督者都應(yīng)該保證在簽名完成前無(wú)法預(yù)知對(duì)方產(chǎn)生的隨機(jī)數(shù)，即保證自己產(chǎn)生的隨機(jī)數(shù)的隱秘性，并要求在簽名完成時(shí)能對(duì)對(duì)方的簽名隨機(jī)數(shù)進(jìn)行驗(yàn)證。在簽名過(guò)程中，簽名者和監(jiān)督者能相互監(jiān)督，以保證不存在欺騙行為，最終簽名由監(jiān)督者生成。因此，根據(jù)該模型，簽名者和監(jiān)督者能在公平的狀態(tài)下協(xié)商會(huì)話密鑰，并共同完成簽名，既保證了簽名隨機(jī)數(shù)的隱秘性和隨機(jī)性，又保證了簽名的隨機(jī)性和安全性，從而封閉了閾下信道。

3 封閉ECDSA閾下信道方案介紹

ECDSA是基于橢圓曲線離散對(duì)數(shù)上的簽名，其封閉方案有自己的獨(dú)特性。眾所周知，會(huì)話密鑰的隱私性和隨機(jī)性是封閉閾下信道成功與否的關(guān)鍵，因此，在新設(shè)計(jì)方案中,我們令看守W arden參與簽名的生成,并且使W arden沒(méi)有偽造簽名的能力,從而在保證簽名者的簽名權(quán)力的前提下,實(shí)現(xiàn)了對(duì)信道的完全封閉。

其中 為有限域（ 的特征為p），q為有限域元素的個(gè)數(shù)；

FR為有限域中元素的表示方法(用多項(xiàng)式表示或正規(guī)基表示)；

封閉ECDSA閾下信道方案如下：

假設(shè)通信雙方為Alice和Bob，看守為W arden。，首先W arden秘密選取2個(gè)大數(shù)，滿足然后協(xié)議執(zhí)行如下：

4 方案的安全性分析

令 k=k'k"， 則 最 終 的 簽 名，這和普通的ECDSA簽名沒(méi)區(qū)別，因此除了對(duì)看守之外第三者是安全的。總結(jié)起來(lái)，主要有以下3種情況：

情 況 1. 看 守 W arden 在 第 3 步 試 圖 通 過(guò)破解'。這相當(dāng)于有橢圓曲線上的離散對(duì)數(shù)問(wèn)題，是不可行的；

5 方案的封閉性分析

下面從封閉寬帶信道、窄帶閾下信道、失敗終止式窄帶閾下信道和布谷鳥(niǎo)信道四種信道逐一來(lái)說(shuō)明該方案的封閉性。

與簽名者Alice和接收者Bob共享其私鑰dA試圖建立寬帶閾下信道。他將閾下信息作為進(jìn)行簽名，但由于接收者Bob不知道看守的會(huì)話密鑰k"的值，也就無(wú)法從中計(jì)算出k'，因此成功封閉了寬帶閾下信道。

簽名者Alice如果想建立失敗-終止信道，必須以(r,s)為載體。從協(xié)議中看出，盡管Alice可以得到但對(duì)一無(wú)所知。顯然，在不知道 情況下計(jì)算簽名（r,s）是不可能的。因此，Alice由于不能控制而不能建立窄帶閾下信道，包括1比特的失敗-終止信道。

在第1步，W arden選擇隨機(jī)數(shù)k"和β 向Alice承諾。由于W arden不知道k'的值，因此他無(wú)法通過(guò)第3步來(lái)控制r的值。如果第3步W arden試圖改變了承諾的k"，就必須找到一個(gè)k"，滿足這在計(jì)算上是基于橢圓曲線離散問(wèn)題的。而假如看守W arden沒(méi)有使用 ，即第1步生成的第4步Alice利用可以檢測(cè)到是否使用了因此W arden也無(wú)法建立“布谷鳥(niǎo)”信道。

需要說(shuō)明的是，該協(xié)議要求k'k"不能重復(fù)使用，因?yàn)榈诙问褂迷撔诺罆r(shí)，Alice或看守W arden由于掌握首次簽名部分信息能有建立窄帶閾下信道的可能。

6 結(jié)束語(yǔ)

該方案令看守參與簽名的生成,確保會(huì)話密鑰的隨機(jī)性，封閉了窄帶和寬帶閾下信道；但看守由于沒(méi)有偽造簽名的能力,從而實(shí)現(xiàn)了對(duì)布谷鳥(niǎo)信道的封閉；從而在保證簽名者的簽名權(quán)力的前提下,簽名由看守最終生成，成功阻止簽名者生成失敗終止式信道。同時(shí)，該協(xié)議完成僅需要發(fā)送者和看守之間進(jìn)行三次交互，而且都是數(shù)乘運(yùn)算，因此協(xié)議通信量小，實(shí)現(xiàn)簡(jiǎn)單，可以說(shuō)以很小的代價(jià)實(shí)現(xiàn)了對(duì)因隨機(jī)會(huì)話密鑰而引入閾下信道的完全封閉。

[1]G.J.Simmons.The Prisoner’s Channel and the Sublim inal Channel[C],Proceedings of CRYPYO’83.Plenum Press,1984:51- 67.

[2]張秋余,孫戰(zhàn)輝.橢圓曲線數(shù)字簽名中閾下信道通信研究[J].計(jì)算機(jī)應(yīng)用,201030(1):196- 197

[3]祁明,隆益民,卓光輝.封閉閾下信道的若干新型簽名方案[J].計(jì)算機(jī)工程與應(yīng)用,2000(6):22- 24.

[4]朱有根.抗閾下信道的盲簽名方案[J].寧波大學(xué)學(xué)報(bào)（理工版）,2002,15(2):62- 63.

[5]董慶寬,張串絨,肖國(guó)鎮(zhèn).數(shù)字簽名中的閾下信道封閉協(xié)議[J].西安電子科技大學(xué)學(xué)報(bào)（自然科學(xué)版）,2004,31(1):87- 90.

[6]張彤,楊波,王育民李真富.封閉閾下信道的若干方法[J].通信學(xué)報(bào),2002,23(4):17- 21.

[7]李恕海,王育民.封閉閾下信道的理論模型[J].中山大學(xué)學(xué)報(bào)，2004，43suppl(2):34- 37.

[8]謝瑜華.閾下信道封閉和檢測(cè)技術(shù)研究[D].長(zhǎng)沙:湖南大學(xué),2009:27- 29.