一種基于ＲＳＡ安全可行的（ｔ，ｎ）門限簽名方案

摘要：分析了大多數RSA門限群簽名方案存在的缺陷，RSA的模數是n，φ(n)是秘密參數，參加部分簽名的成員無法知曉，求Lagrange相關系數存在困難，也為建立門限RSA密碼體制帶來困難。提出一種新的方案以克服上述困難，通過求ai無須在求Lagrange相關系數時進行求逆運算，使該方案在保證安全的前提下變得可行實用。

關鍵詞：秘密共享; 門限機制; 門限簽名; 拉格朗日相關系數

中圖分類號：TP309文獻標志碼：A

文章編號：1001－3695(2007)07－0138－02

0引言

Shamir[1]和Blakley[2]在1979年分別提出了基于Lagrange（拉格朗日）插值法和多維空間點的性質的（t，n）門限秘密共享體制。它一經提出便受到人們的廣泛關注，成為信息安全和數據保密的重要手段，在數字簽名領域得到了廣泛應用。門限簽名的概念由Desmedt和Frankel[3]于1990年提出。它由可信中心和n個群成員參與，可信中心將共享秘密m分為n個不同的成員秘密分量，通過安全信道將其分別分發給n個群成員，且各個成員相互保密。當需要對某信息進行數字簽名時，t個群成員（稱為授權子集）分別用自己的子密鑰（成員私鑰分量）對該文件進行部分簽名，傳送給群組簽名生成者，群組簽名生成者再根據該信息的t個部分簽名產生最終簽名。任意t個群組成員可以代表群組進行數字簽名，而少于t個群成員不能生成有效的簽名。

目前，已有許多方案可實現上述門限簽名體制。Desmedt和Frankel提出了基于ElGamal門限簽名體制，并在文獻[3]中指出RSA門限機制實現所面臨的困難；Jan[4]和Gan[5]分別提出了能抵抗合謀攻擊的RSA（t，n）門限簽名方案；文獻[6]中給出了對Gan方案的一種合謀攻擊，指出該方案是不安全的，最后提出一種改進方案能抵抗該攻擊。文獻[7，8]對已有的幾種門限簽名方案的弱點進行分析，提出門限機制用于RSA方案失敗的原因，即對于RSA模數n=pq，密鑰共享方案中多項式插值需在環Zφ(n)上進行，由于Zφ(n)不是域，其中元素未必可逆，插值方案不能進行；另外φ(n)必須保密，無法進行模φ(n)運算。本文提出一種新的方案，該方案將求Lagrange相關系數通過添加P，將ai變為一個整數，求ai時避免了在任何代數結構（如Zφ(n)）中對元素求逆，也無須對環Zφ(n)做任何擴張，方便有效地將該方案在保證安全的前提下變得可行實用。

1Gan的方案簡介及密碼學分析

1．1Gan的基本方案介紹

Gan的門限簽名方案由可信中心進行系統參數初始化、秘密分量的分發與驗證、部分簽名的產生、門限簽名的產生與驗證四個階段完成。

（1）可信中心進行系統參數初始化

3結束語 

本文在簡述了Gan的門限簽名方案后，給出文獻[6]對該方案的一種合謀攻擊，然后分析該攻擊是不實用的，并指出Gan的門限簽名方案的缺陷。文中最后改進了Gan的方案，使其在計算Lagrange相關系數時不再求逆，從而使該方案成為一種安全可行的門限簽名方案。

參考文獻：

[1]SHAMIR A. How to share a secret[J]. Communications of the ACM， 1979，22(11):612－613.

[2]BLAKLEY G R. Safeguarding cryptographic keys: proc.of AFIPS National Computer Conference[C]. Reston: American Federation of Information Processing Societies， 1979:313－317.

[3]DESMEDT Y， FRANKEL Y. Threshold cryptosystems: Brassard Ged Advances in Cryptology －CRYPTO’89 proceedings Lecture Notes in Computer Science 435[C]. Berlin:Springer Verlag， 1990:307－315.

[4]JAN J K， TSENG Y M， CHIEN H Y. A threshold signature scheme withstanding the conspiracy attack[J]. Communications of the Institute of Information and Computing Machinery， 1999，2(3):31－38.

[5]GAN Y J. Verifiable threshold signature schemes against conspiracy attack[J]. Journal of Zhejiang University Science， 2004，5(1):50－54.

[6]謝琪.兩種門限簽名方案的密碼學分析及其改進[J]. 通信學報，2005，26(7):123－128.

[7]王貴林，卿斯漢.幾個門限群簽名方案的弱點[J].軟件學報，2000，11(10):1326－1332.

[8]鄧素平，徐秋亮.幾個門限數字簽名體制的弱點[J].計算機應用研究，2002，19(1):56－57.

注：“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”