無可信中心的（ｔ，ｎ）門限數字簽名方案

摘要：利用聯合秘密共享技術，對基于離散對數和二次剩余的門限簽名方案進行改進，提出一種不需要可信中心的門限數字簽名方案。該方案由所有的小組成員來共同決定群公鑰和小組成員的私鑰，以解決傳統的秘密共享技術造成的成員私鑰泄露問題。另外經過分析，證明該方案具有正確性的和安全性。

關鍵詞：門限簽名；秘密共享；可信中心

中圖分類號：TP309文獻標識碼：A文章編號：1009-3044(2008)29-0344-03

(t，n) Threshold Signature Scheme without a Trusted Party

WU Yan，GENG San-jing

(Department of Computer Science and Technology，Henan Polytechnic University，Jiaozuo 454000，China)

Abstract: Use of Joint Secret Sharing technique，improve the threshold digital signature scheme based on discrete logarithm and quadratic residue，the author present a (t，n) threshold signature scheme without a trusted party.In order to solve the problem that secret sharing technique used in previous scheme may cause some colluding members of the group to obtain secret keys of others ， this scheme present that all of the group members together decide group’spublic key and members’private keys:Separately， analysis prove this scheme is correct and security.

Key words: threshold signature;secret sharing;trusted party

1 引言

隨著互聯網上電子商務和電子政務的發展，尤其是我國數字簽名法的頒布，數字簽名的重要性日益提高。在數字簽名的應用中，有時需要由集體而非個人進行簽名，而門限數字簽名就是面向組織或團體的簽名體制，是數字簽名體制研究的一個重要分支，它的研究對計算機網絡安全的不斷發展和完善具有重要意義。

門限數字簽名體制是數字簽名體制與門限秘密共享方案相結合的產物。1979年， Shamir 首次提出門限秘密共享方案，此后眾多的學者對秘密共享體制進行了深入的研究，并結合典型的數字簽名體制，如RSA體制、DSA體制、EICamal體制等，形成了門限數字簽名。在一個門限簽名方案中，只有參與簽名的小組成員數目大于或等于規定的門限值時才能生成群簽名，而任何群簽名的接收者都可以用公開的群公鑰來驗證群簽名的正確性。由于門限簽名需要多方的參與，與普通的數字簽名相比，門限簽名的安全性和健壯性有了很大的提高。1991年Desmedt和Frankel于1994年提出了門限RSA簽名體制[2]；文獻[3]提出了一種基于離散對數和二次剩余的的門限簽名方案，文獻[4]對文獻[3]進行了安全性分析并提出了改進。不過，這些方案都需要一個可信中心來決定群體公鑰和小組成員的私鑰。由于在許多特定的應用環境中，一個可被小組所有成員信任的可信中心并不存在，由此產生了不需要可信中心的門限簽名。

該文在對文獻[3]和文獻[4]改進的基礎上，提出一種無可信中心的門限簽名方案。該方案利用聯合秘密共享技術[5] (joint secret sharing)，由所有的小組成員來共同決定群公鑰和小組成員的私鑰，而不需要可信中心來分發密鑰片段。另外，每個小組成員只了解群公鑰而不掌握與其他小組成員私鑰有關的任何信息。

2 無可信中心的(t，n)門限簽名方案

2.1 密鑰生成階段

先由所有的成員選定公共參數：1) 一個計算安全的單向散列函數H； 2) 安全的大素數p和q，設p是一個10200量級且滿足p≡1 (mod 8)的大素數，q為p－1的一個大素數因子。3) 元素h，h小于p-1。4)元素g，g=h(p-1)/q mod p且g>1。

假設小組由n個成員組成，稱這n個成員組成的集合為A。針對一個消息m，組中任意成員如Ui可以發起簽名，在得到t-1個用戶響應后，忽略后續的響應，這t個用戶組成簽名集合B作為簽名的參與者。

集合B中每個成員Ui對外公開自己的唯一標識號xi，并選定一個t-1次的多項式fi mod q，Ui為其余t-1個成員計算λi，j=fi(xj) mod q，并通過廣播方式將λi，j發送給Uj，而λi，j=fi(xj) mod q，Uj保留λi，j。

2.2 部分簽名生成階段

參與者Ui計算：

然后Ui將wi作為簽名傳送給指定的群簽名的生成者。

2.3 部分簽名的認證階段

群簽名的生成者先根據收到的簽名驗證同余式是否成立：

如果同余式不成立，則Ui為片段偽造者。

2.3.4 生成簽名階段

簽名的生成者計算

2.3.5 驗證階段

如果等式成立則w為m的合法簽名。

3 方案的正確性

定理1 在簽名階段，正確的部分簽名可以得到簽名生成者的驗證。

因此，正確的部分簽名可以通過簽名生成者的驗證。

定理2 在驗證階段，正確的簽名可以通過簽名用戶的驗證。

證明：按照前面給出的方案，可知：

又因為：

因此，正確的簽名可以通過簽名用戶的驗證。

4 安全性分析

通過以下幾個方面來分析本文方案的安全性。

1) 根據組的公鑰y和各個成員的公鑰yi來分別推導出組的秘鑰x和各個成員的密鑰Xi的困難性等價于求解離散對數問題。

組的公鑰為y=gF(0)×R mod p，各個成員的公鑰yi=gxi mod p，Xi=(λi+ki) mod q)。由于ki是隨機選擇的，確保了Xi對組內其他成員來說是一個隨機變量。由yi=gxi mod p，我們知道根據yi來推導出Xi等價于求解離散對數問題。同理可知根據y要推導出x等價于求解離散對數問題。此外，組的秘鑰x為，知道F(0)和所有的ki也可推導出x，這就意味著求解所有的ki或所有的成員都泄露自己選擇的ki。由于Xi=(λi+ki) mod q)，求解所有的ki同樣等價于求解離散對數問題，而所有的成員都泄露自己選擇的ki，則意味著方案已經失去了使用的意義。

2) 即使一個攻擊者獲得了一個或多個部分簽名 ，求解成員的密鑰X 的難度至少等價于求解離散對數問題。

假設攻擊者在獲得了部分簽名wi后，可以列出等式wi=gvi mod p，vi=(m-H(m)Si) mod q， ，從三個等式之間的關系可以看出，求解Xi等價于求解離散對數問題。所以，在這種情況下，成員的私鑰是安全的。

3) 在部分簽名的生成階段，一個攻擊者不能假冒合法用戶提交一個正確的部分簽名。攻擊者不掌握成員簽名私鑰Xi的任何信息，由于有限域上求解離散對數的困難性，非法用戶也不能從成員的公鑰y 計算出參與者Ui的私鑰Xi，所以他不能計算出欲簽消息m的滿足yihiwi≡gm(modp) “部分簽名”wi。

4) 防止簽名執行者單獨進行有效的數字簽名。

對于簽名執行者，除了公開信息以外，他還知道消息m的部分簽名wi和真正簽名w，但他不知道組成員的簽名私鑰Xi，所以不能計算出Si，因此，簽名的生成者不能計

算出其它消息m′(注：m′≠m)的有效簽名w′以滿足yH(m')W'≡gtm'(mod p) 。

5 小結

在分析文獻[3-4]中門限簽名的基礎上，提出了一種新的無可信中心的秘密共享簽名方案。新方案沒有使用傳統的秘密共享技術，而是采用了聯合隨機秘密共享簽名技術，因而具有更好的性能。在新方案中，不需要可信中心來進行密鑰片段的分配，每個參與者隨機選取自己的私鑰，并公布對應的公鑰，作為群體公鑰的一部分，避免了泄露成員的私人密鑰的問題。安全分析表明新方案是安全的。

參考文獻

[1] Shamir A. How to share a secret[J].Communications of the ACM，1979，22(11):612-613.

[2] Desmed Y，Frankel Y.Shared.Generation of authenticators.In:Proceedings of Crypto'91，Santa Barbara，California，USA，1991.457-469.

[3] 費如純，王麗娜，于戈.基于離散對數和二次剩余的(t，n)門限數字簽名體制[J].通信學報，2002，23(5):65-69.

[4] 馬興兵，劉芬.基于離散對數和二次剩余的(t，n)門限數字簽名體制的安全性分析[J].現代電子技術，2006，75-77.

[5] Rosario G，Stanislaw J，Hugo K.Robust Threshold DSS signatures.Information and Computation，2001，164(1):54-84.

[6] 王斌，李建華.無可信中心的(t，n)門限簽名方案[J].計算機學報，2003，26(11):1581-1584.

[7] 盧明欣，傅曉彤，張寧，肖國鎮.無可信中心的秘密共享-多重簽名方案[J].華南理工大學學報:自然科學版，2007，35(1):99-101.