可快速撤銷的基于橢圓曲線的代理簽名

黃月英,禹勇,姜建國

(1.湛江師范學院 基礎教育學院,廣東 湛江 524300;2.電子科技大學 計算機科學與工程學院,四川 成都 610054;3.西安電子科技大學 計算機學院,陜西 西安 710071)

Mambo, Usuda 和Okamoto等人[1]于1996 年提出了第一個代理簽名方案,利用代理簽名機制,代理簽名人可以代表原始簽名人對消息簽名.近年來,基于不同的應用出現了不同形式的代理簽名方案,如張寧等人[2]提出的基于橢圓曲線的代理簽名方案與Sun等人[3-4]提出的帶有時間戳的代理簽名方案.在代理簽名密鑰泄漏或者代理簽名人濫用代理簽名權力,需要提前撤銷該代理簽名人的代理權力時,原始簽名人束手無策.禹勇等人[5]提出了一個具有快速撤銷功能的代理簽名方案,他們的方案基于雙線性對,不是基于橢圓曲線的,實際操作性不強.

借鑒Dan Boneh等人在文獻[6]中的思想,本文中提出了一個具備快速撤銷功能的代理簽名方案,引入了一個安全中介SEM,其作用是：(1)幫助合法的代理簽名人生成有效的代理簽名;(2)監督代理簽名人是否按照授權證書的規定簽名;(3)檢查代理簽名人的簽名權利是否被撤銷.代理簽名人只有與SEM合作才能生成有效的簽名.提出的方案基于橢圓曲線,計算有效且簽名長度短.

1 提出的代理簽名的方案

1.1方案描述在提出的方案中,除了代理簽名驗證人外,還包含3方：原始簽名人A、代理簽名人B和安全中介SEM,任何人都可以驗證代理簽名的有效性.SEM是一個半可信在線第三方,負責驗證代理授權和計算部分代理簽名.在驗證代理授權時,SEM檢查代理期限是否有效,代理簽名人是否在撤銷列表中.如果都有效,SEM給代理簽名人發送部分代理簽名,沒有SEM的幫助,代理簽名人無法獨立生成一個有效的代理簽名.因此,如果某個代理簽名是在代理期限時間外生成的,那么代理簽名人無法聲稱該簽名是在代理期限時間內生成的,驗證者可驗證代理簽名的發生時間.并且,提出的方案具有快速撤銷的功能,如果原始簽名人要提前撤銷某個代理簽名人的簽名權,他只需通知SEM停止給該代理簽名人提供幫助.方案描述如下：

代理簽名方案一般需要涉及3方的參與.首先由A提出委托請求,SEM接受請求后生成部分代理簽名,發送給B;B在此基礎上再生成完整的代理簽名.在這個方案中系統參數可以在可信第三方或原始簽名人或代理簽名人中任何一個產生.在這里假設是原始簽名人A來選取系統參數.

(1)初始化過程

A 進行如下操作：

①選擇E為定義在域F上的一條橢圓曲線,P∈E是E上一個階為n的點.

②隨機選擇正整數kA,0

B生成自己的密鑰對:

③隨機選擇正整數kB,0

SEM生成自己的密鑰對:

④隨機選擇正整數kB,0

⑤選擇散列函數H.公開系統參數{E,n,P,PA,PB,PS,H} .

(2)委托過程(包括部分代理簽名的生成)

①原始簽名人A生成授權證書w,在w中包含原始簽名人、指定的代理簽名人和SEM的身份,簽名授權的有效期限,需要簽名的消息范圍以及其它授權信息.

③A將{w,σB,Q0}公開地傳送給B,將{w,σS,Q0}公開地傳送給SEM.

B在收到{w,σB,Q0}后,利用已知的系統公開參數和自己的私鑰驗證委托信息的有效性.

SEM在收到{w,σS,Q0}后,首先,SEM檢查條件：(1)授權證書w中的代理期限是否有效;(2){w,Q0}是否在自己的撤銷列表中.如果{w,Q0}在SEM的撤銷列表中,表明該代理簽名人的簽名權力已被撤銷.若代理期限有效且{w,Q0}不在撤銷列表中,SEM給代理簽名人提供簽名幫助.然后,利用已知的系統公開參數和自己的私鑰驗證委托信息的有效性,再用自己的私鑰生成部分代理簽名密鑰.

⑥解密σS.計算kSQ0=(xS,yS),σS′=σS·xS.

(3)代理簽名的生成過程

B對需要簽字的消息m ,這里假設0

①B對SEM送來的{s1,Q1}進行驗證,判斷等式s1P=r1(PA+r0Q0+PSH(w))是否成立,等式成立則接受,否則要求SEM重新發送.

證明過程如下：

②隨機選擇正整數k2,0

(4)代理簽名的驗證過程

C在收到簽名{m,s2,w,Q0,Q2},通過以下計算進行驗證.

②判斷等式x′modn≡x2modn 是否成立,成立此代理簽名有效.

驗證過程的正確性可證明如下:

(5)授權撤銷

原始簽名人可以提前撤銷B的簽名權,此時,原始簽名人只需通知SEM把{w,Q0}加入撤銷列表中.當代理簽名人請求SEM幫助他生成代理簽名時,SEM檢查代理授權日期是否過期以及在撤銷列表中是否包含{w,Q0},只要有一個條件成立,SEM都不會為該代理簽名人提供簽名幫助.一旦SEM發現某個代理權限已經過期,他就從撤銷列表中刪除對應的{w,Q0}項,以免撤銷列表長度無限增加.

1.2安全性分析該方案的安全性基于橢圓曲線離散對數問題(ECDLP) 的困難性,在整個方案中,總假設ECDLP是難解的.

(1)正確性SEM的部分代理簽名驗證和B的代理簽名驗證都是正確的.在前面已經做過證明,這里不再贅述.

(2)可驗證性 在提出的方案中,對消息的代理簽名由{ m,s2,w,Q0,Q2}組成.簽名驗證人可以從授權中得知原始簽名人、代理簽名人和SEM的身份,并且,由于在代理簽名驗證中使用到原始簽名人的公鑰PA,簽名驗證人可以相信對該消息的簽名是經過原始簽名人同意的.

(4)強可區分性 原始簽名者的公鑰及代理簽名者的公鑰都會出現在代理簽名的驗證等式里,而且授權信息也包含在代理簽名和簽名驗證等式里面,因此任何人都可以從授權信息里識別代理簽名者的身份,很好地滿足可區分性.

(5)強不可否認性 由于授權信息,包含在有效的驗證等式里,因此代理簽名人不能更改.原始簽名人對授權信息進行了簽名,而代理簽名的驗證等式中也包含了此授權,一旦做了授權簽名,原始簽名人就不能否認自己的簽名,并且原始簽名人私鑰包含在其中,A想要否認自己的簽名是不可能的.代理密鑰里面有代理簽名者的私鑰,一旦代理簽名者為原始簽名者創建了一個有效的代理簽名,他就無法否認自己的簽名.

(6)防止簽名權利濫用 由代理簽名生成過程可知,只有代理簽名人B與SEM合作才能代表原始簽名人生成有效的代理簽名,因此,SEM要對代理簽名負責.一經發現代理簽名人B濫用簽名權利,原始簽名人立即通知SEM停止給B提供簽名幫助,這樣因B得不到SEM的部分代理簽名而無法生成有效的代理簽名,達到了即時撤銷的目的.除代理簽名人之外的其他人都無法濫用簽名權,因為他們不能生成有效的代理簽名.

2 結束語

已有的攻擊算法表明[7],基于ECDLP 的困難性要高于一般乘法群上的離散對數問題的困難性,且橢圓曲線所基于的域的運算位數遠小于傳統離散對數的運算位數,很容易在計算機的軟件和硬件上實現.現有的代理簽名方案大多是基于離散對數問題和大數因子分解問題的方案,文獻[2]中提出了基于橢圓曲線的代理數字簽名,但是這個方案不能提前撤銷代理簽名人的權利.本文中對SEM的引入較好地解決了代理快速撤銷問題,并且基于橢圓曲線,實際操作性強,且該方案具有快速撤銷的功能.

參考文獻：

[1] Mambo M,Usuda K,Okamoto E.Proxy Signatures:Delegation of the power to sign measages[J].IEICE Trans,1996,E792A(9):13382-1354.

[2] 張寧,傅曉彤,肖國鎮.對基于橢圓曲線的代理簽名的研究與改進[J].西安電子科技大學學報:自然科學版,2005,32(2):280-283.

[3] Sun H M,Chen B J.Time-stamped proxy signatures with traceable receivers[C]//Proceedings of the ninth national conference on Information security, Taiwan: Chaoyan University of Technology,1999:247-253.

[4] Sun H M. Design of time-stamped proxy signatures with traceable receivers[C]//IEE Proc.Computers & Digital Techniques:147(6).London: IEE,2000:462-466.

[5] 禹勇,楊波,孫穎,等.具有快速撤銷功能的代理簽名方案[J].西安電子科技大學學報：自然科學版,2007,34(4)：638-641.

[6] Boneh D, Ding X, Tsudik G. A method for fast revocation of public key certificates and security capabilities[C]// Proceedings of the 10th USENIX Security Symposium. Washington D C,2001:297-308.

[7] 張方國,陳曉峰,王育民.橢圓曲線離散對數的攻擊現狀[J].西安電子科技大學學報:自然科學版,2002,29(3):3982402.