羅江洲

摘要：作為密碼學(xué)原語(yǔ)和基本要素之一，數(shù)字簽名在信息安全的認(rèn)證性、完整性和不可抵賴性等領(lǐng)域發(fā)揮著重要作用。該文主要概括研究了代理簽名、盲簽名、代理盲簽名、指定驗(yàn)證者簽名和前向安全簽名等若干具有附加性質(zhì)的數(shù)字簽名，探討了其概念、安全性質(zhì)及具體應(yīng)用。

關(guān)鍵詞：數(shù)字簽名；代理簽名；盲簽名；代理盲簽名；指定驗(yàn)證者簽名；前向安全簽名

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）21-4985-02

近年來(lái)，網(wǎng)上銀行、網(wǎng)絡(luò)購(gòu)物等電子商務(wù)迅猛發(fā)展，在進(jìn)行電子交易時(shí)，需要一種憑證來(lái)證實(shí)交易雙方對(duì)交易內(nèi)容如數(shù)額、時(shí)間等信息的認(rèn)可，也為了防止雙方否認(rèn)已完成的交易，這就需要數(shù)字簽名技術(shù)來(lái)提供這種憑證。數(shù)字簽名技術(shù)作為密碼學(xué)原語(yǔ)，在信息安全的認(rèn)證性、不可否認(rèn)性和不可抵賴性等領(lǐng)域起著不可替代的作用。數(shù)字簽名是密碼學(xué)的基本要素之一，最早是由Diffie和Hellman[1]于1976年在“New Directions in Cryptography”這篇密碼學(xué)領(lǐng)域的革命性論文中提出的，他們提出公鑰密碼學(xué)概念的同時(shí)也給出了數(shù)字簽名的定義，但沒(méi)有提出具體的方案。第一個(gè)數(shù)字簽名方案是由Rivest、Shamir和Adleman[2]三人在1978年提出的安全性基于大整數(shù)因子分解困難性問(wèn)題RSA簽名方案。隨著許多新的密碼體制出現(xiàn)，以及新的困難問(wèn)題的提出，大量新的數(shù)字簽名方案相繼被提出，如基于身份的簽名、無(wú)證書簽名、屬性基簽名、基于格（Lattice）困難問(wèn)題的簽名等。同時(shí)，由于實(shí)際需求的變化和現(xiàn)實(shí)中簽名場(chǎng)景的日趨復(fù)雜，具有附加性質(zhì)的數(shù)字簽名迅速發(fā)展起來(lái)。它們能更好的滿足電子商務(wù)、電子政務(wù)和通信系統(tǒng)中某些具體簽名場(chǎng)合的需要，與普通簽名相比更具有實(shí)用性。

1 代理簽名

代理簽名模擬了現(xiàn)實(shí)生活中簽名權(quán)力的委托和轉(zhuǎn)移過(guò)程，當(dāng)原始簽名者由于出差、休假等原因不能直接對(duì)文件進(jìn)行簽名時(shí)，就需要一個(gè)他指定的人代替其進(jìn)行簽名。代理簽名的概念最早是由Mambo、Usuda和Okamoto三人提出來(lái)的，原始簽名者授權(quán)代理者替自己行使簽名權(quán)，驗(yàn)證者在能夠區(qū)分簽名是普通簽名還是代理簽名的同時(shí)也可以驗(yàn)證授權(quán)的有效性。代理簽名一般應(yīng)滿足以下安全性質(zhì)[3]：

1） 不可偽造性（Unforgeability）：除了原始簽名者，只有指定的代理簽名者才能代表原始簽名者生成合法的代理簽名。

2） 可驗(yàn)證性（Verifiability）：驗(yàn)證者可以驗(yàn)證代理簽名的有效性，同時(shí)也能夠確定原始簽名者對(duì)代理簽名的認(rèn)可。

3） 不可否認(rèn)性（Undeniability）：代理簽名者生成了一個(gè)有效的代理簽名以后，他就無(wú)法向原始簽名者否認(rèn)自己的簽名。

4） 可區(qū)分性（Distinguishability）：代理簽名和原始簽名者的簽名是易區(qū)分的。

5） 可識(shí)別性（Identifiability）：原始簽名者能從代理簽名中確定代理簽名者的身份。

6） 代理簽名者的不可背離性（Proxy Signers Deviation）：代理簽名者無(wú)法生成一個(gè)不被其他人發(fā)現(xiàn)是由他所生成的合法的代理簽名。

代理簽名概念被提出后，在發(fā)展過(guò)程中又陸續(xù)出現(xiàn)了強(qiáng)代理簽名、代理重簽名、盲代理簽名等具有其他特殊性質(zhì)的代理簽名，豐富了代理簽名的研究。

2 盲簽名

盲簽名的概念是由Chaum于1982年針對(duì)現(xiàn)實(shí)生活中的電子投票、匿名貨幣協(xié)議等系統(tǒng)中需要簽名者在不知道消息內(nèi)容的情況下對(duì)其進(jìn)行簽名而提出的，盲簽名者也不能將簽名結(jié)果同其某一次的具體簽名過(guò)程相聯(lián)系。盲簽名應(yīng)滿足以下安全性質(zhì)[4]：

1） 不可偽造性（Unforgeability）：任何人（除了簽名者）都不能以簽名者的名義生成合法的盲簽名。

2） 盲性（Blindness）：簽名者在不知道簽名消息的具體內(nèi)容下對(duì)消息進(jìn)行簽名。

3） 不可否認(rèn)性（Undeniability）：簽名者對(duì)某個(gè)消息進(jìn)行盲簽名以后，無(wú)法否認(rèn)其對(duì)消息的簽名。

4） 不可追蹤性（Untraceability）：簽名和消息公開(kāi)以后，簽名者不能確定盲簽名的具體時(shí)間，也不能將所簽消息和其擁有者聯(lián)系起來(lái)。

3 代理盲簽名

代理盲簽名將代理簽名和盲簽名有機(jī)結(jié)合，不僅具有代理簽名和盲簽名的特點(diǎn)，還產(chǎn)生很多新的特性，適合更加復(fù)雜的實(shí)際簽名場(chǎng)景。第一個(gè)代理盲簽名方案是由Lin和Jan于2000年提出的。結(jié)合代理簽名和盲簽名，代理盲簽名應(yīng)滿足以下的安全性質(zhì)[5]：

1） 可區(qū)分性（Distinguishability）：任何人都能夠區(qū)分原始簽名者生成的普通簽名和代理簽名者生成的代理盲簽名，同時(shí)也能區(qū)分原始簽名者和代理簽名者。

2） 可驗(yàn)證性（Verifiability）：驗(yàn)證者在驗(yàn)證簽名有效性的同時(shí)也能夠從代理盲簽名中確定原始簽名者對(duì)所簽名消息的認(rèn)可。

3） 不可偽造性（Unforgeability）：除了指定的代理簽名者外，其他任何人都不能偽造原始簽名者的授權(quán)簽名和有效的代理盲簽名。

4） 可識(shí)別性（Identifiability）：任何人都能從代理盲簽名中確定代理簽名者的身份。

5） 不可否認(rèn)性（Undeniability）：原始簽名者授權(quán)代理簽名者生成了有效的代理盲簽名后，他和代理簽名者不能向任何人否認(rèn)授權(quán)及代理盲簽名。

6） 不可濫用性（Prevention of Misuse）：代理簽名者不能將代理簽名密鑰用作生成有效代理簽名以外的其他用途。

7） 盲性（Blindness）：代理簽名者不知道他所簽消息和簽名的任何內(nèi)容。

8） 不可追蹤性（Untraceability）：當(dāng)簽名消息公布后，代理簽名者無(wú)法將代理盲簽名和他某一次的具體簽名過(guò)程聯(lián)系起來(lái)。

4 指定驗(yàn)證者簽名

指定驗(yàn)證者簽名是Jakobsson等人為解決普通簽名中存在的認(rèn)證性與隱私性的沖突而提出的。在一些場(chǎng)合，簽名者不希望不加限制的任何人都能驗(yàn)證自己所作簽名的有效性，這就需要其指定某些驗(yàn)證者驗(yàn)證簽名的有效性。由于被指定的驗(yàn)證者能夠利用自己的私鑰生成一個(gè)無(wú)法和原始簽名區(qū)分的副本，故除了簽名者指定的驗(yàn)證者外，其他任何人都無(wú)法驗(yàn)證簽名的合法性。指定驗(yàn)證者簽名應(yīng)滿足以下性質(zhì)[6]：

1） 正確性：對(duì)于合法的消息-簽名對(duì)，驗(yàn)證方程必定成立。

2） 不可偽造性：在不知道簽名者私鑰和指定驗(yàn)證者私鑰的前提下，任何攻擊者偽造一個(gè)有效的簽名在計(jì)算上是不可行的。

3） 不可區(qū)分性：通常情況下，對(duì)于合法的消息-簽名對(duì)，無(wú)法確定簽名的產(chǎn)生者。

5 前向安全簽名

一般來(lái)說(shuō)，簽名系統(tǒng)的安全性除了包括簽名算法的安全性外，還包括簽名密鑰的安全性。如果簽名密鑰泄露，那么攻擊者可以任意偽造簽名，所有依靠該密鑰產(chǎn)生的簽名也將失效。故為了減輕這種密鑰泄露問(wèn)題帶來(lái)的嚴(yán)重影響，1997年Anderson[7]提出了前向安全思想，即采用密鑰單向更新的方法，把簽名密鑰的有效期劃分為若干時(shí)間段，保持公鑰在整個(gè)有效期內(nèi)不變。這樣即使當(dāng)前時(shí)間段的簽名密鑰泄露了，由于密鑰是單向更新的，逆向推導(dǎo)上一時(shí)間段的密鑰在計(jì)算上是不可行的，故不影響該密鑰泄露以前時(shí)間段內(nèi)簽名的安全性，使得簽名具有前向安全性。1999年，Bellare和Miner[8]首次提出了兩個(gè)前向安全的數(shù)字簽名方案，并給出了前向安全數(shù)字簽名的形式化定義[8]：

1） 密鑰生成：輸入安全參數(shù)[r]和劃分的時(shí)間段總數(shù)[T]，生成初始簽名私鑰和公鑰[（S0，P）]；

2） 密鑰更新：簽名進(jìn)入第[i]時(shí)段后，利用密鑰更新算法[f]計(jì)算：[Si=f（Si-1）]。[f]的單向性確保不能由[Si]推導(dǎo)出[Si-1]，計(jì)算出[Si]后立即刪除[Si-1]。公鑰[P]在一個(gè)有效期內(nèi)保持不變；

3） 簽名過(guò)程：在第[i（1≤i≤T）]時(shí)段，輸入消息[m]和簽名密鑰[Si]，輸出第[i]時(shí)段的簽名[σi]；

4） 驗(yàn)證過(guò)程：輸入公鑰[P]、第[i]時(shí)段的消息[m]和對(duì)應(yīng)的簽名[σi]，輸出“0”或“1”，分別表示拒絕或接受[σi]為第[i]時(shí)段的簽名密鑰[Si]在消息[m]上的簽名。

前向安全簽名除了應(yīng)具備普通簽名的不可偽造性、不可區(qū)分性等安全性質(zhì)外，還應(yīng)當(dāng)具有前向安全性。即當(dāng)攻擊者獲取第[i]時(shí)段的簽名密鑰時(shí)，不能偽造第[j（j

6 結(jié)束語(yǔ)

與普通的數(shù)字簽名相比，如代理簽名、盲簽名、代理盲簽名、指定驗(yàn)證者簽名、前向安全簽名等具有附加性質(zhì)的數(shù)字簽名由于其針對(duì)實(shí)際生活中的具體簽名場(chǎng)景而設(shè)計(jì)，有著很強(qiáng)的實(shí)用性和針對(duì)性，故而在現(xiàn)實(shí)的電子交易、電子投票、貨幣協(xié)議等系統(tǒng)中有著廣泛的應(yīng)用。

參考文獻(xiàn)：

[1] Diffie W， Hellman M. New Directions in Cryptography[J]. IEEE Transactions on Information Theory， 1976（6）：644-654.

[2] Rivest R L， Shamir A， Adleman L. A Method for Obtaining Digital Signatures and Public-Key Cryptosystem[J]. Communications of the ACM， Feb.1978，21（2）：120-126.

[3] 楊曉元.現(xiàn)代密碼學(xué)[M].西安：西安電子科技大學(xué)出版社，2009.

[4] 楊曉元，魏立線.計(jì)算機(jī)密碼學(xué)[M].西安：西安交通大學(xué)出版社，2007.

[5] 禹勇， 具有特殊性質(zhì)的數(shù)字簽名和簽密方案[D].西安： 西安電子科技大學(xué)，2008.

[6] 胡振鵬， 兩種具有特殊性質(zhì)的數(shù)字簽名研究[D].上海： 華東師范大學(xué)，2007.

[7] Anderson R. Invited Lecture[C].Proceedings of the 4th ACM Conference on Computer and Communications Security， Zurich， Switzerland，1997：1-7.

[8] Bellare M， Miner S K.A Forward-Secure Digital Signature Scheme[C].Advances in Cryptology-CRYPTO99， LNCS 1666， Springer-Verlag， Berlin，1999：431-448.