對來自雙線性配對的三種代理簽名體制的密碼學分析

摘 要：紀家慧等人利用雙線性配對提出了三類代理簽名體制：代理多簽名、多代理簽名和多代理多簽名，但這三類代理簽名方案都是不安全的。分析說明了這三類代理簽名存在偽造攻擊，任何一個原始簽名人或代理簽名人都可以偽造合法的代理簽名。

關鍵詞：雙線性配對； 代理簽名； 偽造攻擊

中圖法分類號：TP309.2文獻標識碼：A

文章編號：1001—3695(2007)02—0127—03

1 引言

一般的簽名體制能為數字化文件提供認證性和完整性，但卻不能提供代理功能。為此，Mambo等人[1，2]于1996年提出了代理簽名體制的概念。在代理簽名體制中，允許一個原始簽名人把他的簽名權利委托給一個代理簽名人，由代理簽名人代表原始簽名人進行簽名。

當涉及到多個簽名者時，有三類不同的代理簽名體制：①代理多簽名體制。它允許一組原始簽名人授權給一個代理簽名人來代替他們。Yi Li-jiang等人[3]于2000年首先提出了代理多簽名體制的概念和兩個代理多簽名體制。②多代理簽名體制。它是指一個原始簽名人可以授權給一組代理簽名人來代表他，最早在文獻[4]中被提出來，是門限代理簽名體制的一個特例。③多代理多簽名體制。在此體制中，多個原始簽名人把他們的簽名權利委托給一組代理簽名人，最早在文獻[5]中提出。所有這些體制都是基于離散對數問題(DLP)或橢圓曲線離散對數問題(ECDLP)的。2004年紀家慧等人提出了來自雙線性配對的三類新的代理簽名體制，但我們發現，這三類代理簽名體制都是不安全的。

一個強代理簽名體制應滿足下面幾條性質：

(1)可驗證性。任何驗證者都可以檢驗代理簽名是否有效，并且根據有效的代理簽名可以確認原始簽名人承認被簽名的文件。

(2)強不可偽造性。指定的代理簽名人能產生有效的代理簽名，而原始簽名人及任何未被指定為代理簽名人的第三方均無法產生一個合法的代理簽名。

(3)強可鑒別性。任何人可以由一個代理簽名鑒別出相應的代理簽名人。

(4)強不可否認性。代理簽名人一旦代表原始簽名人產生了一個有效的代理簽名，他就不能否認這個代理簽名。

(5)防濫用性。確保代理密鑰對不能用于除產生有效代理簽名以外的其他目的，可以防止代理簽名人的濫用，同時也可防止原始簽名人的濫用。

在紀家慧等人提出的三類代理簽名方案（簡稱紀的代理簽名方案）中，任何一個原始簽名人或者一個代理簽名人都可以偽造合法的代理簽名。本文針對三類代理簽名分別提出了相應的偽造攻擊，說明這三類代理簽名都不滿足強不可偽造性。本文所用各參數均沿用自文獻[6]，具體請參見文獻[6]。

2 對紀的代理多簽名體制的分析

2.1 紀的代理多簽名

（1）代理密鑰生成

（2）代理簽名生成

（3）代理簽名驗證

2.2 偽造攻擊

任何一個原始簽名人，利用其他原始簽名人的公鑰可以代替B生成一個合法的代理簽名，而B無法否認對文件的簽名。不誠實的原始簽名人Ai首先重新計算并公布他的公鑰：

（1）代理簽名生成

（2）代理簽名驗證

3 對紀的多代理簽名體制的分析

3.1 偽造攻擊（原始簽名人偽造）

紀的多代理簽名體制請參見文獻[6]。原始簽名人可以利用代理簽名人的公鑰偽造合法的代理簽名，代理簽名人無法否認自己參與了代理簽名。原始簽名人更改自己的公鑰：

（1）代理簽名生成

（2）代理簽名驗證

收到消息M和代理簽名(up，vp，w)后，驗證者利用原始簽名人A和代理簽名人B_i(i=1，2，…，n)的公鑰計算：

3.2 偽造攻擊（代理簽名人偽造）

任何一個不誠實的代理簽名人可以利用其他代理簽名人和原始簽名人的公鑰偽造合法的代理簽名，其他代理簽名人無法否認自己參與了代理簽名。不誠實的代理簽名人Bi更改自己的公鑰：

（1）代理簽名生成

（2）代理簽名驗證

收到消息M和代理簽名(up，vp，w)后，驗證者利用原始簽名人A和代理簽名人B_i(i=1，2，…，n)的公鑰計算：

4 對紀的多代理多簽名體制的分析

4.1 偽造攻擊（原始簽名人偽造）

對紀的多代理多簽名體制請參見文獻[6]。任何一個不誠實的原始簽名人Ai可以利用其他原始簽名人和代理簽名人的公鑰偽造合法的代理簽名。Ai計算自己的公鑰：

（1）代理簽名生成

（2）代理簽名驗證

收到消息M和代理簽名(up，vp，w)后，驗證者利用原始簽名人Ai和代理簽名人B_i(i=1，2，…，n)的公鑰計算：

則vp=H1(M||rp)，偽造的代理簽名通過了驗證者的驗證。

4.2 偽造攻擊（代理簽名人偽造）

任何一個不誠實的代理簽名人B_i可以利用其他代理簽名人和原始簽名人的公鑰偽造合法的代理簽名。B_i計算自己的公鑰：

（1）代理簽名生成

（2）代理簽名驗證

收到消息M和代理簽名(up，vp，w)后，驗證者利用原始簽名人Ai和代理簽名人B_i(i=1，2，…，n)的公鑰計算：

5 小結

近來雙線性配對被用來構造許多密碼體制，包括加密體制和簽名體制。紀家慧等人利用雙線性配對提出了三類新的涉及多個簽名人的代理簽名體制。關于這三類新體制最重要的一點是在這三類體制中，代理簽名的長度均獨立于原始簽名人或代理簽名人的個數，但可惜的是三類代理簽名體制都無法抵抗偽造攻擊。本文分別針對不同的代理簽名給出了相應的偽造攻擊，證明它們都不滿足強不可偽造性，任何一個原始簽名人或代理簽名人都可以偽造合法的代理簽名。

本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。