一種具有CDH問(wèn)題安全性基于身份的簽名方案

陳輝焱, ,

(1.北京電子科技學(xué)院 信息安全系,北京 100070; 2.西安電子科技大學(xué) 通信工程學(xué)院,西安 710071)

0 概述

在實(shí)踐中使用公鑰密碼學(xué),最主要的問(wèn)題是如何提供一種安全的方式將用戶與他們的公鑰連接起來(lái)。目前,解決上述問(wèn)題的方案是建立一個(gè)公鑰基礎(chǔ)設(shè)施,其中由可信實(shí)體頒發(fā)證書(shū)來(lái)確定公鑰屬于某個(gè)確定的用戶,證書(shū)通常包括用戶的身份、公鑰以及可信的實(shí)體簽名。若需要安全的通信,2個(gè)用戶間首先要交換證書(shū)。為了減少實(shí)際應(yīng)用中對(duì)用戶證書(shū)的需求,文獻(xiàn)[1]提出基于身份密碼學(xué)的觀點(diǎn),其思想是用戶的公鑰可以從任意字符串(郵件地址、連接用戶姓名的IP地址、社會(huì)安全號(hào)等)中導(dǎo)出,它以一種明確的方式來(lái)驗(yàn)證其身份。這種密碼體系需要一種被稱為私鑰生成器(Private Key Generator,PKG)的可信機(jī)構(gòu)來(lái)完成,PKG的任務(wù)是從用戶的身份信息中計(jì)算用戶的私鑰。

1984年以來(lái),許多基于身份的簽名(Identity-based Signature,IBS)方案[2-3]被提出。目前,有兩種通用的IBS構(gòu)造方法:一種由文獻(xiàn)[4]提出,它表明之前提出的大量方案都是其通用構(gòu)造的實(shí)例;另外一種由文獻(xiàn)[5]提出,對(duì)于簽名知識(shí)的證明,該方法需要有效的零知識(shí)協(xié)議,這使得其構(gòu)造僅僅適用于一部分方案,如RSA-FDH和BLS[6]。

IBS的安全證明一般都是通過(guò)演示一個(gè)規(guī)約來(lái)進(jìn)行,這種規(guī)約證明了如果攻擊者A能夠有效地破解某個(gè)IBS,那么就可以構(gòu)造出一種算法來(lái)破解這種困難問(wèn)題,這種評(píng)估安全性的技術(shù)就是安全性規(guī)約。規(guī)約質(zhì)量由敵手抗IBS方案破解潛在的棘手問(wèn)題成功的概率決定。當(dāng)敵手在時(shí)間t內(nèi)運(yùn)行成功的概率大約等于相同時(shí)間內(nèi)解決潛在困難問(wèn)題的概率時(shí),則認(rèn)為安全規(guī)約是嚴(yán)格的,否則就認(rèn)為它是近似規(guī)約。

嚴(yán)格的安全證明需要較短的安全參數(shù)和更高的效率。針對(duì)那些在隨機(jī)預(yù)言機(jī)模型下是安全的密碼方案或由它們變形[7-8]所得的一些密碼方案,為其提供新的安全證明,以及利用嚴(yán)格的安全規(guī)約構(gòu)造新的方案[9-10],已經(jīng)成為可證明安全領(lǐng)域的一個(gè)研究熱點(diǎn)。然而,目前在設(shè)計(jì)具有嚴(yán)格安全規(guī)約的IBS方案方面還沒(méi)有明顯的進(jìn)步。文獻(xiàn)[11]在Diffie-Hellman假設(shè)下對(duì)方案在嚴(yán)格安全規(guī)約范圍內(nèi)通過(guò)Pointcheval和斯特恩分叉引理給出了證明。文獻(xiàn)[12-13]在Diffie-Hellman假設(shè)下對(duì)方案在嚴(yán)格安全規(guī)約范圍內(nèi)通過(guò)文獻(xiàn)[14]的“ID規(guī)約技術(shù)”給出了證明。文獻(xiàn)[4]針對(duì)IBS方案的大家族定義了一個(gè)框架來(lái)提供安全性證明,但是該框架不能提供嚴(yán)格的安全界。文獻(xiàn)[5]演示了從任何滿足確定條件的數(shù)字簽名方案到IBS方案的轉(zhuǎn)換,并對(duì)所得的IBS方案給出安全性證明,盡管該安全性證明避免了分叉技術(shù)的使用,但它的規(guī)約條件仍然比較寬松。

盡管可計(jì)算的Diffie-Hellman (Computational Diffie-Hellman,CDH)假設(shè)在技術(shù)上比離散對(duì)數(shù)假設(shè)強(qiáng),但對(duì)于各種已被研究的密碼群來(lái)說(shuō),目前并不知道如何通過(guò)解決離散對(duì)數(shù)問(wèn)題[15]來(lái)更快地解決Diffie-Hellman問(wèn)題。此外,一些理論表明在某些群中CDH假設(shè)與離散對(duì)數(shù)假設(shè)[15]等價(jià)。

基于以上問(wèn)題,本文提出一種新的IBS方案IDSSTR。該方案的簽名過(guò)程是確定的:用戶使用他的部分密鑰通過(guò)Schnorr[16]簽名方案在消息上計(jì)算簽名。在隨機(jī)預(yù)言機(jī)模型下,IDSSTR的安全性與CDH假設(shè)密切相關(guān)。此外,不需要額外的信息將IDSSTR轉(zhuǎn)換成離線/在線版本。為縮短簽名消息的總長(zhǎng)度,本文也給出具有消息恢復(fù)功能的IDSSTR修改版本。

1 預(yù)備知識(shí)

1.1 IBS方案

IBS方案由下列4個(gè)步驟組成:

1)系統(tǒng)參數(shù)建立。該算法通過(guò)PKG運(yùn)行,輸入安全參數(shù),生成方案的公共參數(shù)params和主密鑰。PKG公布公共參數(shù),自己保存主密鑰。

2)私鑰提取。給出身份ID、主密鑰和公共參數(shù)params,該算法生成ID的私鑰dID。主實(shí)體將使用該算法針對(duì)參與方案的所有實(shí)體來(lái)生成私鑰,并通過(guò)安全渠道將私鑰分發(fā)給其主人。

3)簽名。給出消息m、身份ID、私鑰dID和公共參數(shù)params,該算法在m上生成ID的簽名σ。具有身份ID的實(shí)體將使用該算法用于簽名。

4)驗(yàn)證。給出簽名σ、消息m、身份ID和公共參數(shù)params,如果σ對(duì)于身份ID在m上是有效的簽名,則該算法輸出“接受”;否則,輸出“拒絕”。

IBS方案安全性已知的最普遍概念是在自適應(yīng)性選擇消息攻擊時(shí)存在偽造安全,在該模型中,敵手可以讓簽名者簽署除了輸出以外的任何消息,如果敵手最終輸出一對(duì)有效的消息和簽名,則敵手贏得游戲。

敵手和挑戰(zhàn)者之間的游戲如下:

1)系統(tǒng)參數(shù)建立。挑戰(zhàn)者運(yùn)行系統(tǒng)參數(shù)建立算法,得到公共參數(shù)params和主私鑰sk。敵手可以得到公共參數(shù)params,但主私鑰sk由挑戰(zhàn)者保管。

2)查詢。敵手自適應(yīng)地制作大量不同的查詢給挑戰(zhàn)者。每個(gè)查詢可以是下列中的一種:

(1)哈希查詢:挑戰(zhàn)者針對(duì)請(qǐng)求的輸入計(jì)算哈希函數(shù)值并將該值發(fā)送給敵手。

(2)私鑰提取查詢:敵手可以詢問(wèn)任何身份ID的私鑰。挑戰(zhàn)者通過(guò)運(yùn)行私鑰提取算法生成與ID對(duì)應(yīng)的私鑰dID,將dID作為應(yīng)答發(fā)送給敵手。

(3)簽名查詢:敵手可以針對(duì)身份ID和某個(gè)消息m對(duì)挑戰(zhàn)者進(jìn)行簽名查詢。挑戰(zhàn)者首先運(yùn)行私鑰提取算法產(chǎn)生與ID對(duì)應(yīng)的私鑰dID,再利用dID運(yùn)行簽名算法生成消息m的簽名σ,將σ作為應(yīng)答發(fā)送給敵手。

3)偽造。敵手最終對(duì)消息m*和身份ID*輸出一個(gè)偽造的簽名σ*。如果下列條件均成立,則敵手成功:

(1)Verify(params,ID*,m*,σ*)=accept。

(2)敵手在ID*上沒(méi)有制造提取查詢。

(3)敵手在(ID*,m*)上沒(méi)有制造簽名查詢。

在上面的游戲中敵手A的優(yōu)勢(shì)被定義為:

AdvSigA=Pr[A succeeds]

(1)

其中,概率是挑戰(zhàn)者和敵手在各種能遇到的情況下得到的。

定義1如果敵手在時(shí)間t內(nèi)最多制造qs個(gè)簽名查詢,qH個(gè)哈希函數(shù)查詢,qe個(gè)私鑰提取查詢,且AdvSigA至少為ε,則敵手就可以破解該簽名方案。如果一個(gè)簽名方案在可適應(yīng)選擇消息條件下沒(méi)有偽造者可以破解它,則認(rèn)為該簽名方案是不可偽造的。

1.2 雙線性配對(duì)和復(fù)雜性假設(shè)

為簡(jiǎn)單起見(jiàn),令G1=G2。對(duì)于條件G1=G2,可以修改結(jié)合超級(jí)橢圓曲線的Weil和Tate配對(duì)來(lái)創(chuàng)造這樣的雙線性。

定義3如果不存在一個(gè)概率多項(xiàng)式時(shí)間算法在時(shí)間t內(nèi),以至少ε的概率解決群G上的CDH問(wèn)題,則認(rèn)為(t,ε)-CDH假設(shè)成立。

CDH問(wèn)題的困難性被廣泛地認(rèn)為與離散對(duì)數(shù)問(wèn)題的困難性密切相關(guān)。此外,對(duì)于離散對(duì)數(shù)問(wèn)題是困難的一類群來(lái)說(shuō),通過(guò)文獻(xiàn)[15]的結(jié)果,可以直接將本文方案與離散對(duì)數(shù)問(wèn)題的困難性相聯(lián)系。

1.3 密碼哈希函數(shù)

密碼哈希函數(shù)是具有特定安全屬性的哈希函數(shù),適合在各種信息安全應(yīng)用中作為原語(yǔ)使用,例如身份驗(yàn)證和消息完整性。對(duì)于密碼哈希函數(shù)H,存在與密碼觀點(diǎn)相關(guān)的3個(gè)基本屬性。

1)原像抵抗性。給出一個(gè)哈希值h,很難找到一個(gè)消息m使得H(m)=h。缺乏這種屬性的密碼哈希函數(shù)對(duì)于原像攻擊是很脆弱的。

2)第二原像抵抗性。給出一個(gè)輸入m1,很難找到不同的輸入m2使得H(m2)=H(m1)。缺乏這種屬性的密碼哈希函數(shù)對(duì)于第2種原像攻擊是很脆弱的。

3)抗碰撞性。很難找到2條不同的消息m1和m2使得H(m1)=H(m2),如m1和m2這樣的一對(duì)值被稱為密碼哈希碰撞。

2 具有嚴(yán)格安全性規(guī)約的IBS

本文的簽名方案IDSSTR運(yùn)行過(guò)程如下:

1)系統(tǒng)參數(shù)建立。給出安全參數(shù)n,算法運(yùn)行如下:

2)私鑰提取。給定用戶的身份ID∈{0,1}*,算法運(yùn)行如下:

(2)計(jì)算h=H(v,ID)和f=hx。

(3)計(jì)算r=H0(f,ID)。

(4)計(jì)算y=t+rxmodp。

(5)將對(duì)應(yīng)身份ID的私鑰dID設(shè)置為dID=(f,y)。

3)簽名。給出身份ID、dID和消息m∈{0,1}*,算法運(yùn)行如下:

(2)計(jì)算c=H1(v0,m)和w=gy。

(3)計(jì)算s=k+cymodp。

(4)消息m和身份ID上的簽名σ=(f,w,s,c)。

4)驗(yàn)證。給出身份ID和消息m上的簽名σ=(f,w,s,c),算法運(yùn)行如下:

(1)計(jì)算r=H0(f,ID)。

(2)計(jì)算h=H(wu-r,ID)。

2.1 安全性證明

首先,證明不可偽造性。

定理1假設(shè)H1是密碼哈希函數(shù),它具有原像抵抗性,H和H0作為隨機(jī)預(yù)言機(jī)。如果階為素?cái)?shù)p的群G上的CDH假設(shè)成立,則該方案在自適應(yīng)選擇消息攻擊下是安全的,如果在qH個(gè)隨機(jī)預(yù)言機(jī)查詢、qe個(gè)提取預(yù)言機(jī)查詢和qs個(gè)簽名預(yù)言機(jī)查詢的條件下滿足:

ε≤ε′+(qsig+qe)(qH+qH0+2qe+2qs)/p+

(2+qH+qe+qs)/p

(2)

t≈t′-O(4qe+6qs+qH)T

(3)

則該簽名方案是不可偽造的。其中,T是G中求冪的最大時(shí)間。

證明:F是一個(gè)偽造者,(t,qH,qH0,qe,qs,ε)破壞本文的構(gòu)造。

構(gòu)造一個(gè)模擬算法S,它可以將(G,g,p)和(ga,gb)作為輸入。算法S使用F算法在t′步內(nèi)以ε′的概率計(jì)算CDHg,p(ga,gb)函數(shù),其中:

ε≤ε′+(qs+qe)(qH+qH0+2qe+2qs)/p+

(2+qH+qe+qs)/p

(4)

t≈t′-O(4qe+6qs+qH)T

(5)

算法S對(duì)偽造者F模擬運(yùn)行上述簽名方案。算法S回答F的哈希函數(shù)查詢、私鑰提取查詢、簽名預(yù)言機(jī)查詢,并將F可能的偽造(m,σ)轉(zhuǎn)化為CDHg,p(ga,gb)函數(shù)的答案。算法S通過(guò)提供(G,g,p)開(kāi)始模擬,公鑰u=ga作為F的輸入。算法S回應(yīng)F的查詢?nèi)缦?

(1)S檢查L(zhǎng)。如果存在條目(v,ID,d)∈L,S返回gbgd到F。

(2)否則,S檢查L(zhǎng)′。L′通過(guò)提取預(yù)言機(jī)和簽名預(yù)言機(jī)生成。如果存在條目(v,ID,d)∈L′,S返回gd到F。

(1)S檢查L(zhǎng)0。如果存在條目(f,ID,r)∈L0,S返回r到F。

(2)否則,S檢查L(zhǎng)0′。L0′通過(guò)提取預(yù)言機(jī)和簽名預(yù)言機(jī)生成。如果存在條目(f,ID,r)∈L0′,S返回r到F。

(1)S檢查L(zhǎng)E,如果存在條目(ID,f,y)∈LE,S返回(f,y)到F。

4)簽名查詢。假設(shè)偽造者F要求身份ID∈{0,1}*和消息m∈{0,1}*上的簽名,算法S在不知道主密鑰的情況下必須創(chuàng)建一個(gè)有效的簽名組。在這個(gè)過(guò)程中,S定義了哈希函數(shù)H和H0的若干值并為簽名查詢生成了一些私鑰。因此,算法S得到列表LE、L′和L0′。模擬過(guò)程如下:

(1)S檢查L(zhǎng)E。如果存在條目(ID,f,y)∈LE,S跳到過(guò)程(5)。

(4)設(shè)置H(v,ID)=h,H0(f,ID)=r。如果H(v,ID)或H0(f,ID)已經(jīng)被設(shè)置,則S終止;否則,在身份ID上生成私鑰dID=(f,y),并分別將(f,ID,y)、(v,ID,d)、(f,ID,r)放到LE、L′和L0′中。

(6)S計(jì)算c=H1(v0,m)和s=k+cy,生成一個(gè)有效的簽名σ=(f,w,s,c)并將其返回到F。

5)偽造。A輸出(m*,ID*,σ*=(f*,w*,s*,c*))使得σ*在消息m*和身份ID*上是一個(gè)有效的簽名,要求(m*,ID*)未曾在之前的簽名預(yù)言機(jī)查詢中被查詢過(guò),ID*未曾在之前的提取預(yù)言機(jī)查詢中被查詢過(guò)。其中,如果H0(f*,ID*)沒(méi)有被攻擊者查詢到H0預(yù)言機(jī)中或通過(guò)簽名預(yù)言機(jī)和提取預(yù)言機(jī)設(shè)置,則模擬查詢到H0預(yù)言機(jī)自身。如果r*=H0(f*,ID*),H(w*u-r*)沒(méi)有被攻擊者查詢到H預(yù)言機(jī)中或通過(guò)簽名預(yù)言機(jī)和提取預(yù)言機(jī)設(shè)置,則模擬查詢到H預(yù)言機(jī)自身。

需要注意的是,S為F提供模擬器,它的分布與F在含有簽名者的真實(shí)交互中的分布相同。為了更清楚地說(shuō)明這點(diǎn),本文給出下列解釋:

1)H0預(yù)言機(jī)和H預(yù)言機(jī)的模擬器較好。

解決CDH問(wèn)題時(shí)假設(shè)偽造者F返回一個(gè)有效的消息、身份和簽名組(m*,ID*,σ*=(f*,w*,s*,c*)),(m*,ID*)和ID*都未曾在之前的私鑰提取查詢和簽名查詢中被查詢過(guò)。在有效的偽造簽名(m*,ID*,σ*=(f*,w*,s*,c*))中,需要考慮下列情形:

情形1ID*出現(xiàn)在簽名預(yù)言機(jī)查詢中,但存在滿足(ID*,f′,gy′)=(ID*,f*,w*)的(ID*,f′,gy′)∈LE。假設(shè)A選擇gk并計(jì)算c*=H1(gk,m*),為了得到s*,A必須計(jì)算DLg(gk(w*)c*)。假設(shè)A選擇c*,為了生成一個(gè)有效的偽造簽名(m*,ID*,σ*=(f*,w*,s*,c*)),A必須找到滿足H1(gs*(w*)c*,m*)=c*的s*。如果s*以不可忽略的概率被找到,則密碼哈希函數(shù)H1就會(huì)很容易受到原像攻擊,這與原像抵抗性的概念發(fā)生矛盾。因此,這種情況下A生成有效偽造簽名的概率是可以忽略的。

情形2ID*出現(xiàn)在簽名預(yù)言機(jī)查詢中,但存在滿足(ID*,f′,gy′)≠(ID*,f*,w*)的(ID*,f′,y′)∈LE。假設(shè)r*=H0(f*,ID*),r′=H0(f′,ID*),可以得到w*ur*≠w′ur′。否則,通過(guò)w*ur*=w′ur′得到h*=H(w*ur*,ID*)=H(w′ur′,ID*)=h′,f*=(h*)a=(h′)a=f′,r*=H0(f*,ID*)=H0(f′,ID*)=r′,w*=w′。因此,在這種情況下,(w*ur*,ID*,h*)不能出現(xiàn)在L′中。

綜上所述,ID*不能出現(xiàn)在簽名預(yù)言機(jī)查詢中。

如果上面的情況均不發(fā)生,則(v*,ID*)存儲(chǔ)在L中并且h*=H(v*,ID*)=gbgd對(duì)于模擬器S中的某些d成立。

用算法S解決CDH問(wèn)題的概率計(jì)算過(guò)程如下:

3)NH0代表偽造者F不能在(f*,ID*)上查詢H0預(yù)言機(jī)這一事件,NH0是偽造者的一部分輸出。NH代表偽造者F不能在(v*,ID*)上查詢H預(yù)言機(jī)這一事件,NH是偽造者的一部分輸出。其中r*=H0(f*,m*),v*=H0(w*u-r*)。計(jì)算概率Pr[NH∨NH0]的上界(Pr[NH∨NH0]=Pr[NH∧NH0]+Pr[NH0])過(guò)程如下:

(1)Pr[NH∧NH0]的上界:假設(shè)r*=H0(f*,m*),計(jì)算v*=w*u-r*。如果模擬器在(v*,ID*)上查詢H預(yù)言機(jī)本身并得到h=H(v*,ID*),h滿足ha=f*的概率最多為1/p。

(2)Pr[NH0]的上界:模擬器S在(f*,ID*)上查詢H0預(yù)言機(jī)本身并得到r*=H0(f*,ID*),H(v*,ID*)的概率被設(shè)置為最大(qH+qe+qs)/p,其中v*=w*u-r*。如果H(v*,ID*)的概率沒(méi)有被設(shè)置,它將通過(guò)模擬器被查詢且模擬器得到h=H(v*)。h滿足ha=f*的概率為1/p,則Pr[NH0]的概率最大值為(1+qH+qe+qs)/p。

將上面的概率相加,得出模擬器S最小以ε-(qs+qe)(qH+qH0+2qe+2qs)/p-(2+qH+qe+qs)/p的概率解決CDH問(wèn)題。

2.2 效率分析

表1 2種方案在循環(huán)群G上的計(jì)算成本比較

2.3 離線/在線分析

本質(zhì)上通過(guò)做離線的所有工作有可能使得上述方案瞬間在線簽名。本文的簽名方案主要分為以下2步:

(2)計(jì)算w=gy。

(3)輸出(v0,m)。

2)在線簽名。給出簽名消息m∈{0,1}*。

(1)計(jì)算c=H1(v0,m)。

(2)計(jì)算s=k+cymodp。

(3)簽名為σ=(f,w,s,c)。

驗(yàn)證過(guò)程與前述相同。這一屬性較有用,因?yàn)樗试S簽名者重新計(jì)算f進(jìn)而快速地在線簽名,即通過(guò)一個(gè)模乘運(yùn)算和模加運(yùn)算就可以運(yùn)行一個(gè)哈希函數(shù)。

3 有限的消息恢復(fù)

在帶寬有限的環(huán)境中,縮短原始消息M附加簽名σ的總長(zhǎng)度是可行的。縮短簽名消息總長(zhǎng)度的通用技術(shù)是在簽名過(guò)程中只對(duì)消息的一部分進(jìn)行編碼,利用這種技術(shù)得到的方案稱為具有消息恢復(fù)功能的簽名方案。現(xiàn)有的具有消息恢復(fù)功能的數(shù)字簽名可以分為2種:基于RSA的方案[14]和基于離散對(duì)數(shù)的方案[18]。本節(jié)給出IDSSTR的一種修改版本,并根據(jù)文獻(xiàn)[18]提出的技術(shù)使其具有消息恢復(fù)功能。

IDSSTR修改版本構(gòu)造過(guò)程如下:

1)系統(tǒng)參數(shù)建立。給出安全參數(shù)n,算法運(yùn)行如下:

2)私鑰提取。對(duì)于給出的身份串ID∈{0,1}*,算法運(yùn)行如下:

(2)計(jì)算h=H(v,ID)和f=hx。

(3)計(jì)算r=H0(f,ID)。

(4)計(jì)算y=t+rxmodp。

(5)將對(duì)應(yīng)身份ID的私鑰dID設(shè)置為dID=(f,y)。

3)簽名。給出身份ID、dID和消息m∈{0,1}l,算法運(yùn)行如下:

(2)計(jì)算m′=F1(m)‖F(xiàn)2(F1(m))⊕m和w=gy。

(3)計(jì)算c=H1(v0)⊕m′。

(4)計(jì)算c′=H2(c)。

(5)計(jì)算s=k+c′ymodp。

(6)消息m和身份ID上的簽名σ=(f,w,s,c)。

4)驗(yàn)證。給出身份ID和消息m上的簽名σ=(f,w,s,c),算法運(yùn)行如下:

(1)計(jì)算r=H0(f,ID)。

(2)計(jì)算h=H(wu-r,ID)。

(3)計(jì)算c′=H2(c)。

(4)計(jì)算v0=gsw-c′。

(5)計(jì)算m′=H1(v0)⊕c。

(6)計(jì)算m=[m′]l⊕F2([m′]l)。

其中,[m′]l表示m′中最重要的l位,[m′]l表示m′中次重要的l位,a⊕b表示字符串a(chǎn)和b的異或計(jì)算(XOR)。

備注 為了在身份ID上簽名一個(gè)較長(zhǎng)的消息m(|m|>l),m應(yīng)該分為m1和m2兩部分,且|m2|=l,m=m1‖m2,m1‖m2表示字符串m1和m2的級(jí)聯(lián)。

簽名者生成(f,w,s,c)過(guò)程如下:

2)計(jì)算m′=F1(m2)‖F(xiàn)2(F1(m2))⊕m2和w=gy。

3)計(jì)算c=H1(v0)⊕m′。

4)計(jì)算c′=H2(c‖m1)。

5)計(jì)算s=k+c′ymodp。

6)消息m和身份ID上的簽名σ=(f,w,s,c)。

對(duì)于上面的方案,假設(shè)H1、H2、F1、F2是密碼哈希函數(shù),H和H0是可以給出類似于IDSSTR安全證明的隨機(jī)預(yù)言機(jī)。

4 結(jié)束語(yǔ)

本文提出一種具有嚴(yán)格安全性規(guī)約的IBS新方案IDSSTR。IDSSTR在線時(shí)自然有效,離線階段不需要額外的條件,驗(yàn)證過(guò)程也不變。為了縮短原消息M和附加簽名σ的總長(zhǎng)度,本文同時(shí)也提出了一種具有部分消息恢復(fù)功能的IDSSTR修改版本。因?yàn)镃DH問(wèn)題的困難性被廣泛地認(rèn)為與離散對(duì)數(shù)問(wèn)題的困難性密切相關(guān),因此,本文提出的IDSSTR為其提供了安全保證。下一步將對(duì)一些基于身份的密碼方案提供新的安全證明以及利用嚴(yán)格的安全規(guī)約來(lái)構(gòu)造更實(shí)用的方案。

[1] ADI S.Identity-based cryptosystems and signature schemes[J].Lecture Notes in Computer Science,1984,21(2):47-53.

[2] XUN Yi.An identity-based signature scheme from the weil pairing[J].IEEE Communications Letters,2003,7(2):76-78.

[3] BARRETO P S L M,MCCULLAGH N,QUISQUATER J J.Efficient and provably-secure identity-based signatures and signcryption from bilinear maps[C]//Proceedings of International Conference on Theory and Application of Cryptology and Information Security.Washington D.C.,USA:IEEE Press,2005:515-532.

[4] BELLARE M,NAMPREMPRE C,NEVEN G.Security proofs for identity-based identification and signature schemes[M].Berlin,Germany:Springer,2004.

[5] KUROSAWA K,HENG S H.From digital signature to ID-based identification/signature[C]//Proceedings of International Workshop on Public Key Cryptography.Berlin,Germany:Springer,2004:248-261.

[6] DAN B,BEN L,HOVAV S.Short signatures from the weil paring[J].Journal of Cryptology,2004,17(4):297-319.

[7] CORON J S.Optimal security proofs for PSS and other signature schemes[C]//Proceedings of International Conference on the Theory and Applications of Cryptographic Techniques.Berlin,Germany:Springer,2002:272-287.

[8] GE S.Tight proofs for signature schemes without random Oracles[C]//Proceedings of International Conference on Theory and Applications of Cryptographic Techniques.Berlin,Germany:Springer,2011:189-206.

[9] 盧 超,錢(qián)海峰.標(biāo)準(zhǔn)模型下的在線/離線多簽名方案[J].計(jì)算機(jī)應(yīng)用研究,2010,27(9):3514-3517.

[10] 胡國(guó)政,洪 帆.標(biāo)準(zhǔn)模型中可證安全的簽名方案[J].武漢理工大學(xué)校報(bào),2009,31(15):130-134.

[11] POINTCHEVAL D,STERN J.Security arguments for digital signatures and blind signatures[J].Journal of Cryptology,2000,13(3):361-396.

[12] 劉振華,張襄松,田緒安,等.標(biāo)準(zhǔn)模型下基于身份的具有部分消息恢復(fù)功能的簽名方案[J].北京工業(yè)大學(xué)學(xué)報(bào),2010,36(5):654-658.

[13] WANG Z,CHEN H.Emerging directions in embedded and ubiquitous somputing[M].Berlin,Germany:Springer,2007.

[14] BELLARE M,ROGAWAY P.The exact security of digital signatures:how to sign with RSA and Rabin[C]//Proceedings of International Conference on Theory and Applications of Cryptographic Techniques.Berlin,Germany:Springer,1996:399-416.

[15] MAURER U M,WOLF S.The relationship between breaking the Diffie-Hellman protocol and computing discrete logarithms[J].SIAM Journal on Computing,1998,28(5):1689-1721.

[16] SCHNORR C P.Efficient identification and signatures for smart cards[M].Berlin,Germany:Springer,1989.

[17] LIBERT B,QUISQUATER J J.The exact security of an identity based signature and its applications[EB/OL].[2016-11-25].https://eprint.iacr.org/2004/102.pdf.

[18] ABE M,OKAMOTO T.A signature scheme with message recovery as secure as discrete logarithm[J].IEICE Transactions on Fundamentals of Electronics Communications and Computer Sciences,2001,84(1):197-204.