代小康,陳長波,吳文淵

(1.重慶郵電大學(xué) 計算機科學(xué)與技術(shù)學(xué)院,重慶 400000;2.中國科學(xué)院重慶綠色智能技術(shù)研究院 自動推理與認(rèn)知重慶市重點實驗室,重慶 400700)(*通信作者電子郵箱chenchangbo@cigit.ac.cn)

0 引言

自1981年美國密碼學(xué)家Chaum[1]提出基于混合網(wǎng)傳遞選票模式的投票協(xié)議以來,電子投票協(xié)議發(fā)展了30多年,相應(yīng)地,對協(xié)議的屬性要求也在不斷變化。最早定義協(xié)議屬性的是1992年日本的三位學(xué)者Fujioka、Okamoto和Ohta[2],一個安全的協(xié)議必須滿足以下屬性:

1)匿名性:無法將某一張選票和投票者對應(yīng)。

2)合法性:合法選票才能被計算在內(nèi)。

3)健壯性:干擾、破壞投票流程的人將會被發(fā)現(xiàn)。

4)可驗證性:每一個投票者均可驗證自己的選票是否被計算在內(nèi)。

但是隨著投票協(xié)議的發(fā)展,某些特定場景下,比如強隱私環(huán)境中參與方互不信任,協(xié)議還需要滿足無可信第三方。

5)無可信第三方:無須假設(shè)投票的參與者(包括管理者、計票中心)誠實可信,投票結(jié)果依然是可信的。

以上五個屬性為安全投票協(xié)議的基本屬性,簡稱FOO安全屬性。

1992年日本的三位學(xué)者Fujioka、Okamoto和Ohta[2]提出并實現(xiàn)了第一個基于盲簽名的投票協(xié)議,該協(xié)議中投票人和計票中心通過匿名信道交互,保障了協(xié)議的匿名性。但是由于協(xié)議中采用盲簽名技術(shù)來盲化選票,因此在最后的計票階段需要每個人出示自己的盲因子來解密選票,如果某個投票人不出示自己的盲因子,且投票人和計票中心是通過匿名信道交互的,會無法找到該投票人,致使投票活動失敗,因而該協(xié)議不具有健壯性。2007年由Antoniou等[3]提出的基于可信中心的投票方案中,要求私鑰保留者不會和管理者合謀,否則投票人選票內(nèi)容將會泄露,不滿足無可信第三方。同年,由Taghavi等[4]提出的基于秘密分享的投票方案中引入了第三方仲裁,且加解密選票的公私鑰是由某一方生成的,同樣不滿足無可信第三方。2011年由Peng等[5]提出的基于同態(tài)加密的投票系統(tǒng)對選票進行有效的分組,提高了加解密選票的效率,同樣采用門限密碼體制生成加解密選票的公私鑰對,該方案滿足無可信第三方和健壯性,但是沒有保障選票的匿名性。國內(nèi)的投票協(xié)議中,2004年由曹剛等[6]提出的基于盲簽名的投票協(xié)議,其要求計票中心是可信的,否則,所有人的選票將會被泄露,不滿足無可信第三方。2015年羅芬芬等[7]對Fujioka、Okamoto和Ohta的協(xié)議進行了改進,新的方案中的唯一申訴標(biāo)志是由管理中心生成的,當(dāng)投票者要求申訴并出示唯一申訴標(biāo)志時,管理中心知道對應(yīng)的投票人,協(xié)議的匿名性無法得到保障。同年,楊婷婷等[8]提出基于多方排序協(xié)議的安全電子投票方案中,沒有采用零知識證明來保證選票的有效性,且注冊中心和候選人合謀即可知道每個人的選票內(nèi)容,該協(xié)議不具有匿名性和健壯性。同年,劉高等[9]提出的一種可驗證的多候選人電子投票方案中,假設(shè)投票人是半誠信的,即協(xié)議不滿足無可信第三方要求。2016年,徐紫楓等[10]提出基于時間釋放加密和數(shù)字簽名的匿名電子投票方案,該方案中臨時身份ID是由認(rèn)證中心生成的,因此認(rèn)證中心知道每張選票對應(yīng)的投票人,該協(xié)議不具有匿名性。同年,董宇琦等[11]提出的基于隱私保護的電子選舉投票系統(tǒng),其加解密選票的公私鑰是由第三方服務(wù)器生成的,且要求投票人不會發(fā)起主動攻擊,該系統(tǒng)不滿足無可信第三方和健壯性。2017年,黃仕杰等[12]提出基于同態(tài)實現(xiàn)多候選人的電子投票方案中,在計票階段引入可信第三方來保證每張選票的有效性,該協(xié)議不滿足無可信第三方要求。綜上所述,目前存在的協(xié)議都沒有同時滿足匿名性、合法性、健壯性、可驗證性和無可信第三方。

針對這一問題,本文引入門限密碼體制,通過投票參與方相互監(jiān)督,阻止了投票人、管理者的主動攻擊,起到了取代可信第三方的作用,構(gòu)造了同時滿足匿名性、合法性、健壯性、可驗證性、無可信第三方的投票協(xié)議。

1 預(yù)備知識

1.1 門限密碼體制

一個系統(tǒng)中共有n個參與方,每個參與方持有一對公私鑰(hi,xi),各參與方之間通過交互生成公鑰h,與h對應(yīng)的私鑰為x,若至少需要k個參與者合作才能恢復(fù)x,則該系統(tǒng)稱為(k,n)門限密碼系統(tǒng)[13]。

1.2 ELGamal公鑰密碼體制[14]

加密:設(shè)用戶想加密的明文為m,且m

解密:用戶用私鑰對密文解密:m=b·(ax)-1modp。

1.3 同態(tài)加密

對于一個加密算法有密文c1、c2,如果該解密算法對于“*”運算滿足D(c1)*D(c2)=D(c1*c2)，那么稱該加密算法對于“*”運算是同態(tài)的。例如，ELgamal公鑰加密算法對于乘法運算就是同態(tài)的。

1.4 匿名信道

匿名信道[1]，是指多個發(fā)送者將各自的消息同時發(fā)送給主機群,主機群對消息隨機排序后發(fā)送給接收者,除了該消息的發(fā)送者,其他人均不知道隨機排序后的消息和發(fā)送者的對應(yīng)關(guān)系。例如：有n個主機,s個發(fā)送者,每個主機對應(yīng)的公私鑰為mixi(e)、mixi(d)(i=1,2,…,n)，每個發(fā)送者對應(yīng)的消息和接收者的地址分別為Mj和Aj(j=1,2,…,s),第j個發(fā)送者將消息Mj和Aj加密后得到Encj,n：

Encj,n=Emix1(e)(Emix2(e)(…(Emixn(e)(Mj,Aj))…))

然后將Encj,n發(fā)送給第一個主機,第一個主機對Encj,n解密后得到Encj,n-1=Emix2(e)(…(Emixn(e)(Mj,Aj))…)。

然后將Encj,n-1發(fā)送給第二個主機,每個主機重復(fù)該操作,則第n個主機解密得到Mj,Aj，并將Mj發(fā)送給地址為Aj的接收者。

1.5 盲簽名

盲簽名是指簽名者并不知道所簽文件或消息的具體內(nèi)容,而文件或消息的擁有者又可以得到簽名人關(guān)于真實文件或消息的簽名。設(shè)簽名者B的公鑰為e,私鑰為d,模數(shù)為p,用戶A需要簽名者B對消息M進行盲簽名,基于RSA(Rivest、Shamir和Adleman)算法的盲簽名如下:

1)用戶A隨機選取一個整數(shù)k,且1≤k≤m,對k作盲化處理:t=M·kemodp,然后將t發(fā)送給簽名者B;

2)簽名者B對t進行簽名后得到盲簽名信息s=td=(M·ke)dmodp=Mdkmodp，然后將簽名發(fā)送給用戶A;

3)用戶A收到盲簽名信息s后,通過解盲計算得到B對消息M的簽名信息S:

S=sk-1modp=Mdkk-1modp=Mdmodp

1.6 環(huán)簽名

簽名者用其他環(huán)內(nèi)成員的公鑰產(chǎn)生一個帶斷口的環(huán),再利用自己的私鑰將斷口連接起來形成一個完整的環(huán),任何驗證人利用環(huán)成員的公鑰都可以驗證一個環(huán)簽名是否由環(huán)內(nèi)的某個成員生成。假設(shè)環(huán)中成員為n個,每個成員都有自己的ELGamal加密和簽名系統(tǒng)(由于生成環(huán)簽名的過程較為復(fù)雜,具體參考2001年Rivest等[15]提出的算法,這里只作抽象表達),則第i個成員生成環(huán)簽名的流程:

輸入?yún)?shù):pi(d)、p1(e)、p2(e)、…、pn(e)和m。其中：pi(e)、pi(d)分別為環(huán)內(nèi)第i個成員的公私鑰，m為待簽名信息。

輸出簽名：S(pi(d))|(p1(e))|(p2(e))|…|(pn(e))(m)。

2 新的投票協(xié)議

本協(xié)議包括投票人、管理者、計票中心三方參與者,其中計票中心可以用公告欄代替,投票人和管理者有自己的ELGamal加密和簽名系統(tǒng)。本協(xié)議一共分為四步,分別為生成加密選票的公私鑰，管理者對選票進行簽名，投票人對選票進行環(huán)簽名并投票、計票。

協(xié)議中涉及的符號如表1所示。

表1 協(xié)議中的符號含義

2.1 生成加解密選票的公私鑰

該階段運用ELGamal門限密碼體制[13]的思想,通過所有投票人合作,生成加解密選票的公私鑰對。流程如下：

1)pi隨機選取xi∈Zq*計算hi=gximodp將hi簽名并附上自己的ID后廣播出去:

pi廣播:(Spi(d)(hi)‖IDi)

3)pi隨機選取關(guān)于z的k-1(k

4)pi計算Fit=gfitmodp(t=0,…,k-1)然后簽名Fit并附上自己的ID后廣播出去:

pi廣播:(Spi(d)(Fi0,Fi1,…,Fi,k-1)‖IDi)

當(dāng)n個投票人均廣播(Spi(d)(Fi0,Fi1,…,Fi,k-1)‖IDi)后,令sij=fi(j)其中:j=1,2,…,n，pi對sij簽名并發(fā)送給pj:

pi→pj:Epj(e)(Spi(d)(sij)‖IDi)

5)pj可以驗證式(1)來判斷其他人發(fā)送給自己的sij是否正確:

(1)

2.2 管理者對選票進行簽名

第二步的主要流程是投票人對選票明文采用ELGamal公鑰密碼體制加密,然后將加密后的選票進行盲化,然后將盲化后選票發(fā)送給管理者請求簽名。

2.2.1 投票人加密并盲化選票

假設(shè)選票空間一共有m種選擇,可以從素數(shù)表選取從小到大的m個素數(shù)對應(yīng)這m種選擇,即明文空間的集合表示為Q={Q1,Q2,…,Qm}。

該步涉及的符號表示如表2所示。

表2 加密和盲化階段由 pi 生成的符號的含義

第二步的流程如下：

Exclusion criteria:(a)did not meet the diagnostic criteria;(b)mental disorders;(c)cognitive impairment.

1)pi對選票進行加密ai=geimodp,bi=Φi·heimodp,其中ei為隨機數(shù),Φi∈{Q1,Q2,…,Qm},vi=(ai,bi)。

2)pi對vi進行盲化ui=blind(vi,ki)。

3)pi對ui簽名后和自己身份的IDi一起發(fā)送給管理者:

pi→A:Spi(d)(ui)‖IDi

2.2.2 管理者驗證權(quán)限并簽名

管理者接收到pi發(fā)送過來的Spi(d)(ui)‖IDi后,根據(jù)IDi采用對應(yīng)的Pi(e)來驗證簽名的有效性,并檢驗pi是否是第一次申請簽名。如果pi已經(jīng)申請過簽名或者簽名驗證不通過,則放棄該消息,該張選票作廢；否則管理者用自己的私鑰對ui簽名,并用Pi(e)加密后發(fā)送給pi，即

A→pi:Epi(e)(SA(d)(ui))

當(dāng)所有投票人均收到管理者發(fā)送過來的Epi(e)(SA(d)(ui))后該步結(jié)束,因為選票是盲化的,即管理者無法將脫盲后的選票和投票人對應(yīng)起來。

2.3 投票階段

2.3.1 選票脫盲

pi接收到管理者發(fā)送過來的Epi(e)(SA(d)(ui))后,用自己的私鑰解密得到SA(d)(ui),并驗證簽名的有效性,如果簽名驗證不通過,則放棄該消息；否則pi對SA(d)(ui)脫盲得到帶有管理者簽名的選票SA(d)(vi)。

2.3.2 對選票進行環(huán)簽名

pi以自己的私鑰和其他投票人的公鑰作為輸入得到關(guān)于選票SA(d)(vi)的環(huán)簽名:S(pi(d)| p1(e)| p2(e)|…| pn(e))(SA(d)(vi))，以下用Signi表示S(pi(d)| p1(e)| p2(e)|…| pn(e))(SA(d)(vi))。

2.3.3 生成選票的零知識證明

不失一般性設(shè)Φi=Qk(Qk∈{Q1,Q2,…,Qm}),pi計算:

βt=hωt(bi/Φi)ctmodp

αk=gsmodp

βk=hsmodp

其中:t=1,2,…,m且t≠k;s∈Zq;ct∈Zq;ωt∈Zq。(α1,β1),(α2,β2),…,(αm,βm) 即為選票的零知識證明,以下用ZKi表示(α1,β1),(α2,β2),…,(αm,βm)。pi將Signi、vi、ZKi通過匿名信道發(fā)送到計票板,此時計票板顯示:

Sign1,v1,ZK1

Sign2,v2,ZK2

?

Signn,vn,ZKn

任意投票人pj(j≠i)或者管理者均可驗證簽名Signi來驗證選票是否來自投票人群體。任意投票人pj或者管理者對選票vi的有效性存在質(zhì)疑的均可發(fā)送隨機數(shù)cpj∈Zq追加在vi后面要求pi給出證明,此時pi給出(c1,c2,…,cm,ω1,ω2,…,ωm)作為應(yīng)答,以下用Ansi表示(c1,c2,…,cm,ω1,ω2,…,ωm)。其中：ωk=s-ckeimodq,ck=cpj-(c1+…+ck-1+ck+1+…+cm) modq。

此時計票板顯示:

Sign1,v1,ZK1,cpj,cpk,cpl,…,Anspj,Anspk,Anspl…

Sign2,v2,ZK2,cpj,cpk,cpl,…,Anspj,Anspk,Anspl…

?

Signn,vn,ZKn,cpj,cpk,cpl,…,Anspj,Anspk,Anspl…

任意投票人pi(i=1,2,…,m)或者管理者均可驗證式(2)～(4)是否成立:

αi=gωiacimodp

(2)

βi=hωi(b/Qi)cimodp

(3)

(4)

如果成立則說明pi的選票明文Φi∈{Q1,Q2,…,Qm},否則該選票無效。

當(dāng)所有選票驗證通過,且簽名有效時,該步結(jié)束。該步中環(huán)簽名是為了防止在有人棄權(quán)的情況下管理者冒充該投票人進行投票；選票的零知識證明是為了防止投票人存在惡意投票的行為。這兩者保證了協(xié)議的合法性。

2.4 計票階段

當(dāng)投票階段結(jié)束后公告欄上均是有效選票,假設(shè)有k張選票是合法的,顯示如下:

Sign1,v1,ZK1,cpj,cpk,cpl,…,Anspj,Anspk,Anspl…

Sign2,v2,ZK2,cpj,cpk,cpl,…,Anspj,Anspk,Anspl…

?

Signk,vk,ZKk,cpj,cpk,cpl,…,Anspj,Anspk,Anspl…

由v1,v2,…,vk和ELGamal乘法同態(tài)得到選票的和為S:

S=(b1b2…bk)/(a1a2…ak)x

3 安全性分析

本章假設(shè)當(dāng)某一投票人棄權(quán)的情況下,管理者不會和另外的投票人合謀偽造選票。在此假設(shè)下,本文協(xié)議具有以下幾個方面的屬性:健壯性、匿名性、合法性、可驗證性、無可信第三方。現(xiàn)就這幾個方面展開分析。

3.1 健壯性

投票人發(fā)起的主動攻擊存在以下三種情況:破壞公私鑰對的生成、重復(fù)投票和投不合法的選票。由管理者發(fā)起的主動攻擊只可能是偽造選票，其中能使投票流程被迫終止的行為只有兩種:破壞公私鑰對的生成、投不合法的選票。由于重復(fù)投票、投不合法的選票和偽造選票的行為屬于協(xié)議的合法性保障的范圍,所以將這些行為納入對合法性的討論。非投票人和管理者發(fā)起的攻擊也納入合法性的討論。下面只需證明破壞生成公私鑰對的人將會暴露自己的身份,那么協(xié)議的健壯性得證。

定理1 投票流程是健壯的。

證明 對生成公私鑰對的攻擊存在以下兩種:

1)pi在2.1節(jié)中的第1)步中給出y≠hi。

2)pi在2.1節(jié)中的第4)步中發(fā)送給pj的sij≠fi(j)。

在第一種攻擊中,如果pi給出y=hi+a,其中a≠0,且不被人發(fā)現(xiàn),那么生成的加密和解密選票的公私鑰不一致,最后無法解密選票,則pi達到自己的目的。此時pi必須令Fi0=hi+a,若Fi0≠hi+a,則可以立即發(fā)現(xiàn)pi是攻擊者,在2.1節(jié)的第4)步前,pi都是安全的,在第5)步中pi給pj發(fā)送sij后,pj驗證式(1):

Fi,k-1jk-1bmodp

化簡后得:

a·gj·fi1+…+jk-1·fi,k-1modp=0

在第二種攻擊中,pi和pj合謀,此時雖然pi發(fā)送錯誤的sij給pj(不同于上面的情況,此時y=hi,只是pi發(fā)送給pj的sij≠fi(j))而且pj偽裝驗證(1)通過,但到了計票階段,pj拿出自己的sj企圖干擾恢復(fù)x時,任意pi(i≠j)均可驗證式(5)是否成立,若不成立,則可以確定pj為攻擊者。

(5)

綜上,定理1得證,協(xié)議具有健壯性。

3.2 可驗證性

假設(shè)選票在匿名信道上傳輸時不會發(fā)生丟失,則所有有效選票均會出現(xiàn)了計票板上,此時任意pi可以根據(jù)v1,v2,…,vk自己來計算選票的和S,確保自己的選票被計算在內(nèi)。

3.3 匿名性

匿名信道和盲簽名保障了投票人的匿名性。盲簽名的安全性基于RSA,匿名信道的安全性可參考文獻[1]。

3.4 合法性

定理2 合法的選票才會被計算在內(nèi)。

證明 產(chǎn)生不合法的選票有三種方式:投票人重復(fù)投票、投票人投不合法票、管理者或其他人偽裝成投票人投票。

投票人重復(fù)投票:pi可能存在重復(fù)投票的行為,但pi知道每一張合法的選票必須要有A的簽名,如果pi第二次向A申請簽名,那么第二次A必然會發(fā)現(xiàn),此時可以確定pi為攻擊者。

投票人投不合法票:因為在整個投票流程中不會解密單張選票,pi的選票明文可能不合法,即Φi?{Q1,Q2,…,Qm},但任意的pj(j≠i)可以提出挑戰(zhàn)cpj∈Zq要求pi給出對應(yīng)的Anspj,此時pj根據(jù)Anspj驗證式(2)～(4),如果成立,則說明pi的選票是合法的；否則pi為攻擊者。

管理者偽裝成投票人投票:因為管理者可以很方便地生成管理者簽名,所以他可能想偽裝成投票人進行投票(注意:此時必須是在有人棄權(quán)的情況下,否則選票的總數(shù)會大于投票人的總數(shù),可以立即斷定管理者是攻擊者),但是管理者沒有投票人的私鑰,無法生成環(huán)簽名,所以管理者不能偽造選票。

其他人偽裝成投票人投票:因為其他人沒有投票人的私鑰,所以無法生成投票人的簽名,繼而也無法得到管理者的簽名。所以其他人無法偽裝成投票人投票。

綜上,定理2得證。

3.5 無可信第三方

本協(xié)議沒有假設(shè)參與方中的任何一方是可信賴的,所以該協(xié)議滿足無可信第三方。

4 效率分析與比較

由于冪運算在加解密和簽名中支配其他運算,所以以冪運算的次數(shù)為單位來計算協(xié)議的復(fù)雜度,在生成加解密選票的公私鑰階段(初始化),每個投票人進行O(k+n)次冪運算,n個投票人則是O(kn+n2) 次冪運算。在管理者對選票進行簽名階段(簽名),每個投票人進行兩次冪運算,n個投票人則是O(n)次冪運算,管理者進行O(n)次冪運算。在投票階段,每個投票人進行O(m)次冪運算,n個投票人則是O(mn)次冪運算。在計票階段,計票板進行一次冪運算。本協(xié)議各階段各參與方計算復(fù)雜度如表3,與文獻[16-18]協(xié)議比較結(jié)果如表4,屬性比較如表5所示。

表3 本文協(xié)議各階段的計算復(fù)雜度

注:“—”表示無該階段或該階段計算復(fù)雜度為0。

表4 不同協(xié)議的計算復(fù)雜度比較

注:“—”表示無該階段或該階段計算復(fù)雜度為0。

從表4可知,當(dāng)選票空間m與投票人總數(shù)n相差不大時本文協(xié)議與文獻[16，18]協(xié)議有相同的復(fù)雜度,優(yōu)于文獻[17]協(xié)議的復(fù)雜度。從表5可知,文獻[16-18]協(xié)議都沒有同時滿足匿名性、合法性、健壯性、可驗證性、無可信第三方等屬性。

表5 不同協(xié)議屬性的比較

5 結(jié)語

本文采用同態(tài)門限密碼體制、環(huán)簽名機制、盲簽名等技術(shù)提出了一個新的投票協(xié)議,該協(xié)議滿足了FOO安全屬性(無收據(jù)性除外),實現(xiàn)了投票協(xié)議真正意義上的公正性。但是本協(xié)議不足的一點是:當(dāng)存在投票人棄權(quán)的情況下,此時管理者和某一個投票人可以合謀偽造選票。

參考文獻(References)

[1] CHAUM D L. Untraceable electronic mail, return addresses, and digital pseudonyms[J]. Communications of the ACM, 1981, 24(2): 84-90.

[2] FUJIOKA A, OKAMOTO T, OHTA K. A practical secret voting scheme for large scale elections[C]// AUSCRYPT 1992: Proceedings of the 1992 Workshop on the Theory and Application of Cryptographic Techniques, LNCS 718. Berlin: Springer, 1993: 244-251.

[3] ANTONIOU A, KORAKAS C, MANOLOPOULOS C, et al. A trust-centered approach for building e-voting systems[C]// EGOV 2007: Proceedings of the 2007 International Conference on Electronic Government. Berlin: Springer, 2007: 366-377.

[4] TAGHAVI T, KAHANI M, BAFGHI A G. A verifiable multi-authority e-voting scheme for real world environment[M]// ELLEITHY K. Advances and Innovations in Systems, Computing Sciences and Software Engineering. Berlin: Springer, 2007: 421-426.

[5] PENG K, BAO F. Efficient multiplicative homomorphic e-voting[C]// ISC 2010: Proceedings of the 2010 International Conference on Information Security. Berlin: Springer, 2010: 381-393.

[6] 曹剛, 施榮華. 一種Internet 上的匿名電子投票協(xié)議的研究與設(shè)計[J]. 計算機工程與應(yīng)用, 2004, 40(12): 156-157.(CAO G, SHI R H. The research and design of an anonymous vote protocol of Internet [J]. Journal of Computer Engineering and Applications, 2004, 40(12): 156-157.)

[7] 羅芬芬, 林昌露, 張勝元, 等. 基于FOO投票協(xié)議的無收據(jù)電子投票方案[J]. 計算機科學(xué), 2015, 42(8): 180-184.(LUO F F, LIN C L, ZHANG S Y, et al. Electronic voting protocol with receipt-freeness based on the FOO voting protocol[J]. Computer Science, 2015, 42(8): 180-184.)

[8] 楊婷婷, 林昌露, 劉憶寧, 等. 基于多方排序協(xié)議的安全電子投票方案[J]. 計算機系統(tǒng)應(yīng)用, 2015, 24(8): 25-32.(YANG T T, LIN C L, LIU Y N, et al. Secure electronic voting scheme based on multi-party ranking[J]. Computer Systems and Applications, 2015, 24(8): 25-32.)

[9] 劉高, 劉憶寧, 王東. 一種可驗證的多候選人電子投票方案[J]. 計算機工程與科學(xué), 2015, 37(9): 1667-1670.(LIU G, LIU Y N, WANG D. A verifiable e-voting scheme with multi-candidates[J]. Computer Engineering and Science, 2015, 37(9): 1667-1670.)

[10] 徐紫楓, 曾康, 周福才. 基于時間釋放加密和數(shù)字簽名的匿名電子投票方案[J]. 計算機應(yīng)用與軟件, 2016, 33(12): 325-328.(XU Z F, ZENG K, ZHOU F C. Anonymous electronic voting scheme based on time-released encryption and digital signature[J]. Computer Applications and Software, 2016, 33(12): 325-328)

[11] 董宇琦, 翟健宏, 孫彤, 等. 基于隱私保護的電子選舉投票系統(tǒng)[J]. 計算機應(yīng)用, 2016, 36(增刊2): 73-76.(DONG Y Q, ZHAI J H, SUN T, et al. Electronic voting system based on privacy protection[J]. Journal of Computer Applications, 2016, 36(S2): 73-76.)

[12] 黃仕杰, 洪璇. 基于同態(tài)實現(xiàn)多候選人的電子投票方案[J]. 計算機應(yīng)用與軟件, 2017, 34(3): 284-288.(HUANG S J, HONG X. An electronic voting scheme realizing multi candidates based on homomorphism[J]. Computer Applications and Software, 2017, 34(3): 284-288.)

[13] DESMEDT Y. Threshold cryptosystems[C]// AUSCRYPT 1992: Proceedings of the 1992 Workshop on the Theory and Application of Cryptographic Techniques, LNCS 718. Berlin: Springer, 1993: 1-14.

[14] ELGAMAL T. A public key cryptosystem and a signature scheme based on discrete logarithms[J]. IEEE Transactions on Information Theory, 1985, 31(4): 469-472.

[15] RIVEST R L, SHAMIR A, TAUMAN Y. How to leak a secret[C]// ASIACRYPT 2001: Proceedings of the 7th International Conference on the Theory and Application of Cryptology and Information Security, LNCS 2248. Berlin: Springer, 2001: 552-565.

[16] IFTENE S. General secret sharing based on the Chinese remainder theorem with applications in e-voting[J]. Electronic Notes in Theoretical Computer Science, 2007, 186: 67-84.

[17] LI H, SUI Y, PENG W, et al. A viewable e-voting scheme for environments with conflict of interest[C]// CNS 2013: Proceedings of the 2013 International Conference on Communications and Network Security. Piscataway, NJ: IEEE, 2013: 251-259.

[18] YUAN L, LI M, GUO C, et al. A verifiable e-voting scheme with secret sharing[C]// ICCT 2015: Proceedings of the 2015 International Conference on Communication Technology. Ghaziabad: IEEE, 2015: 304-308.

This work is partially supported by the National Natural Science Foundation of China (11471307, 11671377, 11771421), the Chongqing Research Program of Basic Research and Frontier Technology (cstc2015jcyjys40001).