王黎

摘 要 本文提出了一個(gè)格上基于身份的群簽名方案，通過引入一個(gè)可信的第三方（KGC），由KGC利用固定維數(shù)的格基委派技術(shù)來實(shí)現(xiàn)密鑰的提取與分發(fā)，給出了一個(gè)高效的基于身份的群簽名方案。

關(guān)鍵詞 數(shù)字簽名 格 群簽名

中圖分類號：TP309 文獻(xiàn)標(biāo)識碼：A

0引言

群簽名允許成員代表群進(jìn)行簽名，驗(yàn)證者只能判斷簽名是否為該群的合法簽名，而無法確定真正的簽名者。當(dāng)發(fā)生爭議時(shí)，管理員可使用所掌握的追蹤密鑰找到真正的簽名者。由于同時(shí)具有匿名性和可追蹤性，群簽名在電子投票、電子現(xiàn)金等領(lǐng)域有著廣泛的應(yīng)用。

1本文方案

設(shè)用戶身份，系統(tǒng)參數(shù)為，。

1.1系統(tǒng)建立

KGC運(yùn)行得到矩陣以及格的一組基，運(yùn)行得到個(gè)矩陣。并選取抗碰撞的哈希函數(shù)。

1.2密鑰提取

每個(gè)用戶可以根據(jù)自己的身份信息向KGC索取自身密鑰。KGC接收到申請后，根據(jù)的每一位選擇，并計(jì)算，令。而后運(yùn)行，得到對應(yīng)的一組基，并將發(fā)送給用戶，即為該用戶的簽名私鑰。

1.3成員加入

設(shè)群中原有個(gè)成員，當(dāng)用戶申請加入時(shí)，先要和管理員進(jìn)行一個(gè)交互式的協(xié)議：

（1）在接收到用戶的加入申請后，群管理員隨機(jī)選擇向量并發(fā)送給用戶；

（2）用戶接收到后，首先隨機(jī)選擇一個(gè)向量，然后運(yùn)行算法

得到滿足

原像，并發(fā)送給群管理員。

（3）群管理員根據(jù)用戶的身份信息及系統(tǒng)公鑰計(jì)算矩陣，，如果向量滿足條件和，則群管理員接受該用戶為群成員，并利用算法生成隨機(jī)矩陣及格對應(yīng)的短基，則有。管理員更新公鑰為，更新追蹤密鑰為，并更新成員列表。

1.4簽名

對于消息，群成員選擇一個(gè)隨機(jī)向量。當(dāng)時(shí)，群成員利用算法得到滿足的原像；當(dāng)時(shí)，選擇任意滿足的向量。然后，對于所有的，隨機(jī)選擇向量，并計(jì)算。最后構(gòu)造一個(gè)NIWI證明，并輸出對消息的群簽名。

1.5驗(yàn)證

驗(yàn)證者接收到簽名后，首先根據(jù)時(shí)間，選取對應(yīng)時(shí)間的群成員的身份信息并計(jì)算出相應(yīng)的公鑰。如果NIWI證明是正確的，并且對于時(shí)刻的所有有成立，則驗(yàn)證通過。

1.6打開

群管理員對于發(fā)生爭議的簽名，利用追蹤密鑰計(jì)算出使得成立的最小的，則成員為簽名者。

1.7成員撤銷

如果要撤銷群成員，則群管理員需要更新群成員列表并更新群公鑰為

2方案分析

2.1正確性

設(shè)是一個(gè)合法的群簽名，那么顯然是一個(gè)正確的NIWI證明，并且對于所有的，有

成立。因此該方案是正確的。

2.2不可偽造性

在不擁有簽名私鑰的情況下，構(gòu)造出一個(gè)合法的群簽名在計(jì)算上是不可行的，其困難性與偽造一個(gè)GPV簽名難度等價(jià)。而如果攻擊者想通過群成員對應(yīng)的公鑰推導(dǎo)出其對應(yīng)的簽名私鑰就面臨著求解一個(gè)SIVPr實(shí)例。

參考文獻(xiàn)

[1] Gordon，S.D&J.Katz;&V.Vaikuntanathan.A; group signature scheme from lattice assumptions[M].Advances in Cryptology-ASIACRYPT 2010. Springer Berlin Heidelberg， 2010： 395-412.

[2] Gentry，C&C.Peikert;&V.Vaikuntanathan.Trapdoors; for hard lattices and new cryptographic constructions[C]. Proceedings of the fortieth annual ACM symposium on Theory of computing. ACM， 2008： 197-206.