基于橢圓曲線的門限盲簽名方案分析

王亞楠++劉麗梅

摘要： 橢圓曲線的密碼體制是密碼學的研究熱點之一，而作為現如今最重要的數字密碼系統數字簽名是一種單向不可逆的公開密鑰系統，在資源的處理中逐漸取代了RSA的地位。進而它在電子商務和網絡安全通信方面有著至關重要的作用。本文通過對橢圓曲線密碼學及數字簽名的研究分析，給出了幾點改進和優化的建議。

Abstract： The cryptosystem of elliptic curve is one of the hotspots of cryptography research. As the most important digital cryptosystem， digital signature system is a one-way irreversible public key system， and it has gradually replaced the status of RSA in the process of resource processing， also it has a vital role in e-commerce and cybersecurity communications. In this paper， through the analysis of elliptic curve cryptography and digital signature， it gives some suggestions for improvement and optimization.

關鍵詞： 橢圓曲線密碼體制；數學簽名；門限體制

Key words： elliptic curve cryptosystem；mathematical signature；threshold system

中圖分類號：TN918.1 文獻標識碼：A 文章編號：1006-4311（2017）22-0204-02

0 引言

作為密碼學的核心，公鑰密碼在信息安全中擔負著密鑰協商、數字簽名、消息認證等重要角色。目前信息安全領域的核心體制是基于橢圓曲線的橢圓曲線密碼體制，簡稱ECC，它是一類以橢圓曲線的數學理論為核心公鑰密碼體制。這種體制是在1985年由Neal Koblitz和Victor Miller分別獨立提出的，進而一步一步發展為橢圓曲線在密碼學。隨著其不斷完善和成熟，應用十分廣泛。這是因為和其他公鑰密碼體制相比較而言，這類新的橢圓曲線密碼體制的最大優點是短密鑰和計算效率高。而其安全的主要依據是建立在由其定義的某類橢圓曲線點群上的離散對數問題求解的困難性的基礎之上，這些橢圓曲線上離散對數的求解問題的難易程度要遠遠大于經典的離散對數問題。

隨著密碼學的發展和需要，數字簽名方案體系隨之而出并成為密碼學的一個新的分支，特別是現在已經成為當今網絡信息安全中的核心技術之一。它在身份認證、數據完整性評價、不可否認性和匿名性驗證等信息安全應用領域中都有著重要的應用。它要求簽名者用自己的私鑰對給定的消息進行簽名，而同時驗證者需要利用簽名者預先給定的公鑰并結合消息來檢驗他的簽名是否有效。因此數字簽名方案成為開展電子商務信息安全的重要保障，并在實現客戶身份認證、重要機密數據完整性和系統不可抵御性等領域都有重要的應用前景。

本文的目的在于通過對已有的橢圓曲線密碼體制及數字簽名方案的研究分析，進而從構造可驗證性、盲性、不可偽造性的一種新型的可驗證的門限盲簽名方案入手，給出這種簽名體系改進和進一步優化的幾點建議，以供設計者甄別。

1 橢圓曲線數字簽名方案設計

在ISO7498—2標準中，數字簽名方案的定義是附加在數據單元上的一些數據，或者是對一些數據單元所作的密碼新變換，這種數據和變換允許數據單元的接收者利用并用以確認數據單元的來源和數據單元的完整性，進而保護數據安全，以防止被人（例如接收者）進行偽造。

在上述的數字簽名方案中，要求加密變換使用的密鑰和解密變換使用的密鑰必須是完全相同的一串密鑰，而這個公共的密鑰必須以某種非常安全的方式告訴解密的一方。這就是所謂的公鑰密碼體制。它使用的密鑰被人們分解為一對，即就是一把公鑰密碼和一把私鑰密碼。要求私鑰安全保密就可以了，公鑰密碼是可以公開的，也可以將其發到因特網等公開地方供別人查詢和下載使用。

1.1 基于橢圓曲線的數字簽名方案

數字簽名的過程如圖1所示。

1.2 橢圓曲線數字簽名算法（ECDSA）

研究者開始只是使用橢圓曲線算法對數字簽名算法進行模擬實驗。直到1999年，ECDSA才被ANSI確定為一種新的數字簽名標準ANSI X9.62-1998，這是由于基于橢圓曲線離散對數問題的數字簽名算法要遠遠難于經典的離散對數問題，而且基于橢圓曲線的密碼系統的單位比特強度也是要遠遠高于經典離散對數系統的，因此，其安全性更高、更可靠。

避免求k逆的簽名過程如圖2所示。

2 基于橢圓曲線的新型門限簽名方案

一種簽名方案如果能夠實現其秘密共享效果就可以發展為一種新的門限簽名方案，也就是說，如果人們不能簡單地把秘密共享方案和簽名方案結合起來則其就是門限簽名方案。因為若要根據秘密共享方案分割密鑰的話，等到用時再將其合成，則這種方法固然是不可取的。因此，一個科學的門限簽名方案是每一個成員需要對消息使用自己的子密鑰簽名從而得到部分簽名，而簽名機構每次即就是使用N個部分簽名也無法獲得整個簽名的任何真實信息，并且由已知的部分簽名不能獲得密鑰和子密鑰的任何相關信息。

截止目前，和門限簽名方案研究相關的新的研究方向有：向前安全的門限簽名方案、動態門限簽名方案和可證安全的門限簽名方案。

就向前安全的門限簽名方案而言，主要是盡量減少由于可能的密鑰泄露而帶來的對簽名安全的直接影響和相應損失，即就是如果對手已經在竊取了群體當前時段的一些簽名密鑰的假設下，他也不能偽造此群體這一時段的數字簽名，進而保障數字簽名的安全性。

而動態門限簽名方案主要是基于門限簽名的理論基礎，但卻極大的減少了算法系統對其中誠實成員數量的假設要求，在這個簽名方案中，改系統的生命期被設計者分成了若干個不定的時間段，同時要求在每個確定的時間段內非誠實成員要數量少于開始的門限值。在實際問題中，這種簽名方案能夠解決由簽名文件的重要性決定簽名者的數目的條件性問題。例如，一個非常重要的文件需要較多的簽名者以增強其安全性，而一個普通文件則只需要較少的簽名者而已。

最后，可證安全的門限簽名方案則主要是解決以往門限簽名方案中可能存在的可公開驗證性和成員誠實性熱點問題，它的密鑰生成則只要求成員之間協商完成即可，而不需要由可信中心來協調，解決了以往方案中過分依賴于可信中心和可信中心權力過大核心問題。因此，該方案是健壯的和具有對適應性選擇消息攻擊是不可偽造的特征。

3 安全性分析與建議

3.1 需進一步增強簽名的盲性特征

在整個門限簽名方案的設計過程中，要求用戶和每個簽名者都需要將其事先協商好的公共信息嵌入到已有的簽名過程中去，這樣就可以首先保證簽名的部分性特征，而且一旦用戶將盲化因子引入到已有的簽名中的話，其他可能的人（這包括簽名群體中的每個簽名者）想試圖求出參數值是困難的，因而，試圖由盲消息得到原消息的內容也是十分困難的。這里，可以引入數學中的模型和特殊群的結構設計加以優化，所以增加數字簽名方案的盲性設置和進一步優化方案設計都可以增強方案的安全性。

3.2 不斷提高簽名的不可偽造性

在已有的門限簽名方案中，我們假設方案最大能夠容忍入侵度為T-1，即就是攻擊者至多可勾結T-1個秘密分享者進行攻擊。假設若A要假冒B中的某個用戶對消息進行部分簽名的話，他需要構造出被驗證方接受的密鑰信息，但是在他不知道中心私鑰或B中任何子成員的子密鑰的情況下，他要求解參數間的等價問題和求解對應的橢圓曲線的離散對數問題，都是是十分困難的，若我們能夠找到數學中的一些特殊結構的橢圓曲線來刻畫這一問題，就可以提高算法的安全性。因此，研究者提高中心密鑰的不可偽造性及其選取合適的橢圓曲線是提高簽名的不可偽造性的有效途徑。

4 結論

我們知道，數字簽名的目的就是想通過數字方式實現在實際通訊中通信雙方的身份驗證問題，保證互通消息的真實性和完整性。但是在現代社會的實際問題中若需要多個人同時參與才能生成簽名的情況下，則我們發現門限簽名是較好的選擇。門限簽名可以滿足很多實際應用的要求，具有廣泛的應用前景和市場。

參考文獻：

[1]宋震等.密碼學[M].中國水利水電出版社，2002：129-135.

[2]Stinso D R 著，馮登國.譯.密碼學原理與實踐[M].電子工業出版社，2003：87-90.

[3]張偉.ECDSA算法實現及其安全性分析[J].信息與電子工程，2003，1（2）：26-33.

[4]羅浩，黃雙慶，劉金龍，喬秦寶.橢圓曲線簽名方案[J].理學版武漢大學學報，2003，49（1）：17-23.

[5]Koblitz N. Elliptic curve cryptosystems Mathematics of Computation[M].世界圖書出版社，1987：98-109.

[6]Koblitz N. Introduction to Elliptic curves and Modular Forms[M].世界圖書出版社，2003：32-55.