兩個(gè)無證書代理環(huán)簽名方案的攻擊與改進(jìn)

李慧敏 寧華英 梁紅梅 張金輝

1(莆田學(xué)院數(shù)學(xué)與金融學(xué)院 福建 莆田 351100)2(閩南師范大學(xué)數(shù)學(xué)與統(tǒng)計(jì)學(xué)院 福建 漳州 363000)3(應(yīng)用數(shù)學(xué)福建省高校重點(diǎn)實(shí)驗(yàn)室 福建 莆田 351100)

0 引 言

隨著計(jì)算機(jī)網(wǎng)絡(luò)和電子商務(wù)的的快速發(fā)展，數(shù)字簽名的應(yīng)用越來越廣泛。例如：代理簽名[1-2]讓人們能夠通過代理人進(jìn)行一些簽名操作，在電子認(rèn)證方面起著重要的作用；環(huán)簽名[3]讓人們能夠在不泄露自己身份的情況下完成簽名，它是由Rivest等[3]在研究如何匿名泄秘的現(xiàn)實(shí)背景下首次提出的一種新型無條件匿名簽名，在電子商務(wù)、匿名通信及區(qū)塊鏈等方面中都有廣泛的應(yīng)用[4-5]。在某些特定場合，代理簽名人更傾向以完全匿名的方式進(jìn)行代理簽名，因?yàn)樗麄冋J(rèn)為這種方式能更有效地隱藏自己的身份不讓任何人(包括他的原始簽名人)得知，從而能更好地保護(hù)好原始簽名人及代理簽名人的隱私，如代理環(huán)簽名[6]、代理群簽名[7]或盲環(huán)簽名[8]均可實(shí)現(xiàn)這個(gè)目的。而在代理環(huán)簽名[6]中，環(huán)中任意一個(gè)成員都可以代表其他環(huán)成員進(jìn)行代理簽名而不被他人得知，而且沒有人能判斷出誰是真正的簽名實(shí)施人，這樣可以很好地保護(hù)代理簽名人。因此，代理環(huán)簽名因既能滿足原始簽名人的委托簽名權(quán)力，又能保護(hù)代理人的隱私而受到眾多學(xué)者的青睞。基于身份的代理環(huán)簽名[9-11]、基于證書的代理環(huán)簽名[12-13]和無證書的代理環(huán)簽名方案[13-19]不斷被提出，其中無證書公鑰密碼系統(tǒng)避免了密鑰生成中心(Key Generating Center,KGC)失信問題，同時(shí)也不需要認(rèn)證中心頒發(fā)、驗(yàn)證、保管證書，可以滿足代理環(huán)簽名的可區(qū)分性、不可偽造性等基本性質(zhì)。文獻(xiàn)[19]提出了一種采用短簽名方案進(jìn)行授權(quán)的無證書的代理環(huán)簽名方案，該簽名方案是基于文獻(xiàn)[20]中所提出的一種無證書環(huán)簽名方案而設(shè)計(jì)出來的。遺憾的是，我們分析發(fā)現(xiàn)該簽名方案是不安全的，原始簽名人的私鑰可被恢復(fù)出來。另外，標(biāo)準(zhǔn)模式下的簽名方案與隨機(jī)預(yù)言模型相比不需要完全隨機(jī)的Hash函數(shù)，而是依賴于一些不可逆的單向的或在現(xiàn)實(shí)生活中能夠?qū)崿F(xiàn)的Hash函數(shù)，它也是基于一些困難問題假設(shè)[21]。因此，標(biāo)準(zhǔn)模型下的安全性證明是一種符合現(xiàn)實(shí)并讓人信任的證明方式。張春生等[22]提出了一個(gè)標(biāo)準(zhǔn)模型下的無證書代理環(huán)簽名方案，該簽名方案是基于CDH(Computational Diffie-Hellman)問題假設(shè)，只需要兩次對運(yùn)算。然而，我們從該方案的驗(yàn)證式中發(fā)現(xiàn)該方案不具備不可否認(rèn)性，任何人都可以偽造簽名。本文指出了文獻(xiàn)[19]和文獻(xiàn)[22]中兩個(gè)方案的安全問題，并給出了具體的攻擊方法，最后給出了相應(yīng)問題的改進(jìn)方法，對構(gòu)造安全的無證書代理環(huán)簽名方案具有重要的借鑒意義。

1 預(yù)備知識

1.1 雙線性對的定義

假設(shè)存在兩個(gè)循環(huán)群G1和G2，它們的階數(shù)均為素?cái)?shù)q，且G1為加法群，G2為乘法群。設(shè)P為G1的生成元。假設(shè)映射e:G1×G1→G2是一個(gè)雙線性對，那么G1、G2滿足如下性質(zhì)：

(1) 非退化性：e(P,P)≠1；

(2) 可計(jì)算性：存在一個(gè)有效的算法計(jì)算e(P,Q)，其中P,Q∈G1；

1.2 困難性問題

在數(shù)據(jù)規(guī)模達(dá)到一定的情況下，下面兩個(gè)問題是困難的。

1.3 代理環(huán)簽名方案的構(gòu)造及安全性需求

代理環(huán)簽名方案一般由四個(gè)步驟組成，即系統(tǒng)參數(shù)設(shè)置(產(chǎn)生授權(quán)人和代理人密鑰對及相關(guān)系統(tǒng)參數(shù))、代理密鑰產(chǎn)生(生成代理簽名密鑰對)、簽名生成(輸入待簽名的消息、相關(guān)系統(tǒng)參數(shù)、身份信息的集合和代理人的代理簽名私鑰后得到該消息的簽名)和簽名驗(yàn)證(確定簽名是否有效)。安全性需求包括以下四點(diǎn)：

(1) 可驗(yàn)證性 所有人都可以去驗(yàn)證簽名方案的正確性。

(2) 無條件匿名性 真正的代理簽名人不會被原始簽名人和包括KGC在內(nèi)的第三方得知。

(3) 不可偽造性 只有被授權(quán)的代理簽名人才可以計(jì)算出有效的代理環(huán)簽名。而沒有被授權(quán)的任何人(包括原始簽名人和KGC)都無法偽造出有效的代理環(huán)簽名。

(4) 可區(qū)分性 代理環(huán)簽名可以與代理人用自己的私鑰產(chǎn)生的環(huán)簽名區(qū)分開來。

2 文獻(xiàn)[19]簽名方案的分析

2.1 方案回顧

為了達(dá)到構(gòu)造簡潔、并提高授權(quán)期間的傳輸效率，文獻(xiàn)[19]中的無證書代理環(huán)簽名方案在授權(quán)時(shí)使用雙線性對構(gòu)造一種短簽名方案。具體方案如下：

設(shè)授權(quán)人為A，代理人為B，B建立一個(gè)包括他自己在其中的環(huán)u={U1,U2,…,Un}，待簽名的消息為m，A對B的授權(quán)信息表示為w。

用戶密鑰生成：

(3)A生成自己的私鑰Sa=xaDa=xasQa。

代理密鑰生成：

(1)A創(chuàng)立一個(gè)只有簽名人才可認(rèn)證許可的信息w，其中信息分別包括A和B的身份信息、說明授權(quán)關(guān)系以及使用限制等。隨后進(jìn)行計(jì)算Sw=H2(w)Sa,然后將(Sw,w)傳送給B。

(2)B驗(yàn)證e(Xa,P0)=e(Ya,P)以確認(rèn)授權(quán)人的身份，然后驗(yàn)證e(Sw,P)=e(Qa,Ya)H2(w)是否成立。如果該驗(yàn)證成立，則表示授權(quán)步驟已完成。

代理簽名：

(1)B選擇包括自己本身在內(nèi)的n個(gè)用戶來成立一個(gè)環(huán)u={U1,U2，…,Un},L={P1,P2，…,Pn}為環(huán)用戶的公鑰集，已知B為Ub,1≤b≤n。

(3) 隨機(jī)選擇A∈G1。

(5) 計(jì)算hp=H2(u,m,Rb)。

(7) 消息m的簽名為：

Sign=(u,m,R1,…RR,hτ,…,hη,σ,H2(w))

簽名驗(yàn)證：

(1) 驗(yàn)證下列各式：

e(Xa,P0)=e(Ya,P),e(Xi,P0)=e(Yi,P),hi=H2(u,m,Ri),i=1,2，…,n；

(2) 驗(yàn)證下式：

若上述等式都成立，則接受簽名。

2.2 安全性問題

(H2(w))-1Sw=(H2(w))-1H2(w)Sa=Sa

由此可以看出代理簽名人B可以通過A傳遞給B的(Sw,w)恢復(fù)出原始簽名人A的私鑰。所以該簽名方案是不安全的，會受到恢復(fù)密鑰的攻擊。因此，要克服該攻擊就要重新設(shè)計(jì)新的代理密鑰的產(chǎn)生方式，從而需要重新設(shè)計(jì)相應(yīng)的簽名方案。但是，這里存在的安全問題在沒有注意運(yùn)算性質(zhì)的情況下容易被忽視。

3 文獻(xiàn)[22]簽名方案的分析

3.1 方案回顧

文獻(xiàn)[22]所提出的標(biāo)準(zhǔn)模型下的無證書代理環(huán)簽名方案是由系統(tǒng)參數(shù)設(shè)置、用戶密鑰產(chǎn)生、代理密鑰生成、代理環(huán)簽名算法和驗(yàn)證算法構(gòu)成，具體方案如下：

代理密鑰生成：授權(quán)人AI將授權(quán)信息ω、消息集mω及代理成員集合L={u1,u2,…,un}發(fā)送給KGC，其中，ω包含了AI的身份信息以及AI與L的授權(quán)管理。

若上式成立，則(t,dAI)是合法有效的授權(quán)簽名信息，us驗(yàn)證后計(jì)算得到自己的代理簽名密鑰dSAI，且dSAI=dus·dAI。

3.2 攻擊方案

經(jīng)過分析，我們發(fā)現(xiàn)張春生等[22]所提出的上述標(biāo)準(zhǔn)模型下的無證書代理環(huán)簽名方案在面對惡意用戶攻擊時(shí)，將不再滿足不可偽造性這一安全特性，下面將給出具體的攻擊方法：

e(C′,g))

則該簽名有效。至此，惡意用戶成功地創(chuàng)建出有關(guān)m′的簽名σ′。

3.3 安全性分析與改進(jìn)

(1) 用戶的私鑰生成方式是有問題的：原方案中把系統(tǒng)主密鑰乘以一個(gè)用戶也可以生成的數(shù)據(jù)作為用戶的部分私鑰，這樣導(dǎo)致了系統(tǒng)主密鑰可被用戶恢復(fù)出來。因此，要克服這個(gè)問題，就得改變用戶部分私鑰的生成方式，不能直接用相乘的方式來產(chǎn)生。

4 結(jié) 語

代理環(huán)簽名使得原始簽名人既可以委托別人代替自己簽名，又可以保護(hù)自己的匿名性。因此，代理環(huán)簽名在對用戶身份等隱私信息的保護(hù)具有較高要求的領(lǐng)域(如電子現(xiàn)金、電子投票、電子選舉、匿名通信等)具有廣泛的應(yīng)用價(jià)值。標(biāo)準(zhǔn)模型下簽名方案的安全性證明更貼近實(shí)際并且更具有說服力，近年來逐漸成為關(guān)于簽名方案研究的熱點(diǎn)問題。現(xiàn)有的無證書代理環(huán)簽名及標(biāo)準(zhǔn)型模型下可證明安全的無證書代理環(huán)簽名方案的研究文章還不是很多，而且現(xiàn)有的很多方案存在可被偽造等不安全的問題。本文對文獻(xiàn)[19]所發(fā)表的無證書代理環(huán)簽名方案以及文獻(xiàn)[22]中的標(biāo)準(zhǔn)模型下的無證書代理環(huán)簽名方案進(jìn)行安全性分析，發(fā)現(xiàn)這兩個(gè)方案均存在一定的安全性漏洞，容易被惡意用戶的攻擊，如惡意用戶可以恢復(fù)出KGC保管的系統(tǒng)主密鑰，從而對代理環(huán)簽名成功進(jìn)行偽造。最后，本文給出的分析方法對同類代理環(huán)簽名方案的設(shè)計(jì)具有借鑒參考意義且具有部分的使用價(jià)值。