付曉鵑

基于ElGamal簽名體制中簽名方程的變形方程設計了一個強盲簽名方案，實現(xiàn)了無條件的不可追蹤性和匿名性。方案安全性基于求解離散對數(shù)的困難性。

強盲簽名（完全盲簽名）數(shù)字簽名不可追蹤性匿名性ElGamal

1引言

盲簽名是由David Chaum于1983年提出的，他曾經給出了一個非常直觀的說明：所謂盲簽名，就是將要隱蔽的文件放進信封里，而除去盲因子的過程就是打開這個信封。當文件在一個信封中時，任何人都不能讀它。對文件簽名就是通過在信封里放一張復寫紙，當簽名者在信封上簽名時，簽名便透過復寫紙簽到文件上。強盲簽名是一類要求更強的盲簽名，又稱為完全盲簽名，無論簽名者存儲多少中間信息，待求簽名者公開消息和消息的簽名，都無法將盲化后消息的簽名和脫盲后原消息的簽名進行聯(lián)系，不可能對消息擁有者進行跟蹤，強盲簽名實現(xiàn)了無條件的不可追蹤性和匿名性。

2強盲簽名

強盲簽名是一類要求更強的盲簽名，它不僅滿足盲簽名的要求，還要滿足下面的兩個條件（1）消息的內容對簽名者來說是不可知的；（2）求簽名者把已簽名的消息和簽名公布后，即使簽名者保留了對盲化后消息的簽名Sig（m′）及其他有關數(shù)據(jù)，也無法追蹤所簽的消息，即簽名者無法將Sig（m）與Sig（m′）進行聯(lián)系。

3強盲簽名方案

3.1方案描述如下

3.1.1參數(shù)選取

（1）簽名者隨機選擇：大素數(shù)p并滿足在Zp中求解離散對數(shù)為困難問題；

g是Zp中乘群Z*p的一個生成元或本原元；

（2）簽名者選擇私鑰x，x∈Z*p，并計算公鑰y=gxmodp；

簽名者公開p，g，y，x保密。

3.1.2簽名過程

（1）簽名者生成隨機數(shù)k∈Zp-1，計算r=gkmodp，然后把r發(fā)送給求簽名者；

（2）求簽名者收到r后，隨機生成α，β∈Zp-1，對待簽名的消息m進行盲化，計算：

m′=r1-α-βmmod（p-1），

并把m′發(fā)送給簽名者進行簽名。

（3）簽名者收到m′后，從m′=sk+rxmod（p-1）計算得到s，把（r，s）作為對m′的簽名，并把（m′，（r，s））發(fā)給求簽名者。

3.1.3除盲過程

求簽名者收到（m′，（r，s））后，計算：

則求簽名者得到消息m的簽名為（r′，s′）。

3.1.4驗證過程

求簽名者得到消息m的簽名（r′，s′）后，進行驗證，驗證如下等式：

令v1=yr′r′s′modp，v2=gmmodp，如果v1=v2，表示簽名有效，否則簽名無效拒絕接受。

3.2方案正確性，強盲性及安全性分析

3.2.1.方案正確性分析

簽名驗證算法證明：

m′=sk+rxmod（p-1）

r1-α-βm=sk+rxmod（p-1）

m=skrα+β-1+rxrα+β-1mod（p-1）

m=skrα+β-1+xrα+βmod（p-1）

m=k（α+β）（α+β）-1srα+β-1+r′xmod（p-1）

m=k（α+β）s′+r′xmod（p-1）

又因為r′=gk（α+β）mod（p-1），所以簽名（m，（r′，s′））滿足簽名方程m=k（α+β）s′+xr′mod（p-1）；

下面考察簽名驗證中的等式：

v2=gmmodp=gk（α+β）s′+xr′modp

=gk（α+β）s′gxr′modp

=r′s′yr′modp

=v1modp

所以有v1=v2，該方案是正確的。

3.2.2方案的強盲性分析

（1）求簽名者選擇隨機數(shù)α，β∈Zp-1，對待簽名的消息m進行盲化后得到

m′=r1-α-βmmod（p-1），由于α，β是隨機的，且對簽名者是保密的，所以簽名者得不到消息m，即消息的內容對簽名者來說是不可知的，因而滿足強盲簽名的條件（1）。

（2）求簽名者公布簽名的消息和簽名后，簽名者利用（m，（r′，s′））和他所保留的對盲消息的簽名（m′，（r，s））及相關數(shù)據(jù)k，x，來求解α，β。由方程組r′=rα+βmod（p-1）和s′=（α+β）-1rα+β-1smod（p-1）及m′=r1-α-βmmod（p-1）求解α，β屬于有限域上離散對數(shù)難解問題。即簽名者利用（m，（r′，s′））和（m′，（r，s））得不到他們之間的聯(lián)系，即不能對消息擁有者（求簽名者）進行追蹤，所以滿足強盲簽名的條件（2）。

綜上這個盲簽名是一個強盲簽名方案。

3.2.3方案的安全性分析

（1）體制安全性分析

這個強盲簽名方案的設計是基于ElGamal盲簽名體制而設計的，安全性是基于求解離散對數(shù)的困難性。只要參數(shù)的選擇在ElGamal簽名體制的安全范圍內，本方案就是體制上安全的，在此我們不再闡述。

（2）不可為造性

如果一個敵手要偽造簽名者的合法簽名，那么他必須要知道簽名者的私鑰x，而通過公開的p，g，y，求x屬于離散對數(shù)困難問題。即敵手無法偽造簽名。

（3）不可追蹤性

由于方案滿足強盲性，所以能夠保證方案的不可追蹤性。

結語：作者基于ElGamal簽名體制中簽名方程的變形方程構造了一個強盲簽名方案并做了詳細的論證，關于正確性、安全性以及強盲性，當然也可以根據(jù)其他變形方程構造出強盲簽名方案，形式可以多樣。強盲性簽名方案是目前性能最好的方案，在電子商務中使用的許多電子貨幣系統(tǒng)和電子投票系統(tǒng)都采用了這種技術。

參考文獻：

[1]蔡勉，衛(wèi)宏儒.信息系統(tǒng)安全與理論技術[M].北京工業(yè)大學出版社：2006.

[2]Chaum D. Blind signature for untraceable payments[A].Proc，Crypto'82[C].New York：Plenum press，1983：199-203.

[3]ElGamal T.A public-key cryptosystem and a signatures scheme based on discrete logarithms[J].IEEE Transations on Information Theory，1985，31（4）：469-472.

[4]MENEIESA，VAN OORSCHOR PC，VANSTONE S.HANDBOOK of Applied Cryptography[M].New York CRC Press 1996.

基金項目：國家自然科學基金（61672199，61100100）；浙江省自然科學基金（Y1110232）；杭州電子科技大學科研啟動基金（KYS055609040）。