一種可驗證的門限ＲＳＡ簽名方案

摘要：改進了Shoup的方案，并使用可驗證秘密共享技術提出了一種可驗證的門限RSA簽名方案。改進方案與Shoup原方案和王的方案相比，安全性相同，并且性能更好。

關鍵詞：門限簽名；公開密鑰加密體系；拉格朗日插值；可驗證秘密共享；Jacobi符號

中圖分類號：TP309文獻標志碼：A

文章編號：1001－3695(2007)05－0153－03



0引言

Shoup于2000年提出了一個門限RSA簽名[3]，解決了上述問題，在Lagrange插值系數中乘以一個數，使得在一般整數環運算下，插值系數是一個整數。同年徐秋亮學者提出了一個改進的門限RSA數字簽名體制[4]，也用到了類似的技術使插值系數是一個整數。隨后王貴林等學者對Shoup門限RSA簽名作了改進[5]，使之能夠用于門限不可否認簽名。筆者對Shoup門限RSA簽名方案作了改進，并且使用可驗證秘密共享技術（Verifiable Secret Sharing，VSS）提出了一個可驗證的門限RSA簽名方案。

1預備知識

1．1Feldman可驗證秘密共享

3可驗證的門限RSA簽名方案的分析

本方案的本質改進在于：①可以看到Shoup原方案產生的簽名是一個標準的RSA簽名；王的改進方案產生的是非標準的RSA簽名；本文提出的方案產生的簽名也是標準的。這是通過改進每個成員的子密鑰實現的。②縮小插值系數為原來的1/n，提高了簽名的速度。③為了方便地引入VSS，筆者改變了分發密鑰的多項式系數。這樣能夠簡單地把VSS引入本文的方案。④由于引入了VSS，密鑰分發者的誠實性得到了驗證，保證了子密鑰的正確性。下面具體分析改進方案。

（3）不可偽造性。在標準RSA簽名方案是安全的假設下，該方案是不可偽造的。攻擊者能在該方案中偽造簽名當且僅當他能在Shoup方案中偽造簽名。文獻[3]中給出了Shoup方案的不可偽造性分析，本文方案的不可偽造性可以仿此得到。

性能分析：注意在性能分析中為了進行方案間的比較，不討論改進方案的VSS部分。事實上，VSS部分僅用于子密鑰分發步驟，不影響方案的簽名和驗簽效率。與王的改進方案相比，本方案生成和驗證簽名的速度均明顯快于王的方案。由門限簽名的生成式(9)和插值系數(2)可以看出，本方案綁定簽名時模冪運算的指數變為王的方案的1/n，模冪運算比較耗時，指數變小提高了生成簽名的速度。驗證式(10)不需要計算模冪運算x4 mod N，提高了驗簽的速度，這在公鑰指數e和4比較接近時效果尤為顯著。如取e=3時，驗簽的速度能夠提高一倍。在實際應用中，為了提高驗簽速度公鑰指數e一般都取較小的值，所以該方案的改進是很有必要的。王的方案在性能上優于Shoup原方案，本方案在性能上也高于Shoup原方案。

本方案生成的簽名是一個標準的RSA簽名。在這一點上與Shoup的原方案是一樣的，但王的方案產生的簽名不是標準RSA簽名，從而導致了驗簽也不是標準的。關于本文的方案與Shoup方案的比較可以參考文獻[5]。

4結束語

本文提出的可驗證門限RSA簽名方案中，密鑰是由可信中心產生的，方案的安全性依賴于可信中心，可信中心必須是安全的。如果沒有可信中心，采用分布式方式產生RSA密鑰，文獻[8]給出了一個高效的分布式RSA密鑰生成方案，但這種方案不適合該門限方案。文獻[9]降低了p和q是安全素數的要求，在Shoup方案的基礎上提出了一個無可信中心的門限RSA簽名方案。下一步工作的是研究如何移去本文方案中的可信中心，建立一個高效的無可信中心的門限RSA簽名方案。

參考文獻：

［1］DESMEDT Y， FRANKEL Y.Shared generation of authenticators and signatures:proceedings of Advances in Cryptology－Crypto’91[C].Berlin:Springer－Verlag，1992:457－469.

[2]GENNARO R， JARECKI S， KRAWCZYK H，et al.Robust threshold DSS signatures:proceedings of Advances in Cryptology－Eurocrypt’96[C]. Berlin: Springer－Verlag， 1996:354－371.

[3]SHOUP V.Practical threshold signatures:proceedings of Advances in Cryptology－Eurocrypt’2000[C]. Berlin: Springer－Verlag，2000:207－220.

[4]徐秋亮. 改進門限RSA數字簽名體制[J]. 計算機學報， 2000， 23(5): 449－453.

[5]王貴林， 卿斯漢， 王明生. Shoup門限RSA簽名方案的改進[J]. 計算機研究與發展，2002，39(9):1046－1050.

[6]SHAMIR A. How to share a secret[J].Communications of the ACM，1979， 22(11): 612－613.

[7]FELDMAN P. A practical scheme for non－interactive verifiable secret sharing:proc. of the 28th Annual IEEE Symp on Foundation of Computer Science[C]. New York: IEEE Computer Society Press， 1987:427－437.

[8]BONEH D， FRANKLIN M. Efficient generation of shared RSA keys:proc.of Advances in Cryptology－CRYPTO’97[C].Berlin:Springer－Verlag，1997:425－439.

[9]DAMGARD I， KOPROWSKI M. Practical threshold RSA signatures without a trusted dealer:proc.of Eurocrypt’2001[C]. Berlin:Sprin－ger－Verlag， 2001:152－165.

注：“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”