一種具有前向安全性的短簽密方案

林 楠 夏萍萍 左黎明

1(國網江西省電力有限公司電力科學研究院 江西 南昌 330096)2(華東交通大學理學院 江西 南昌 330013)3(華東交通大學系統工程與密碼學研究所 江西 南昌 330013)

0 引 言

Zheng[1]在1997年提出簽密的概念，其作為一種認證加密技術，能夠同時保證消息的機密性、可認證安全性、完整性和不可抵賴性。與傳統公鑰密碼先認證后加密的機制相比，簽密技術在計算性能和通信傳輸效率上要高得多，因此被廣泛應用于電子支付、分布式協議中。傳統的基于雙線性對的簽密方案[2-4]，簽密長度都較長。Boneh等[5]提出短簽名的概念，該簽名長度是DSA簽名長度的一半,有效地提高了簽名傳輸、存儲效率，尤其適用于計算性能較低的場合。Libert等[6]提出短簽密方案，大大降低了簽密密文的長度及數據的擴展率，但不滿足前向安全性。Yang等[7]提出一個具有密鑰隱私的簽密方案，但該方案不具有機密性和不可偽造性[8]。Ma[9]提出的短簽密方案同樣不具備不可偽造性。杜紅珍[10]提出的短簽密方案在簽、解密過程中計算量較稍大。Ahmed等[11]提出的公開可驗證的簽密方案無法保證前向安全性。戚明平[12]提出一種具有前向安全性和可公開驗證的簽密方案，但該方案沒有在安全模型下證明其安全性。周宣武等[13]提出一種適用于物聯網環境的橢圓曲線短簽密方案，該方案在簽密過程中使用了3次橢圓曲線上的標量乘運算，在密文長度和計算性能上有待改進。Lai等[14]提出一種基于身份的線上/線下的短簽密方案，該方案線上存儲和密文長度中只需橢圓曲線上的一個元素，但其計算相對復雜，且不具備前向安全性和公開驗證性。

基于以上短簽密方案的研究，本文提出一個新的具有前向安全性短簽密方案，與傳統的簽密方案相比在效率和安全性上有所提高。

1 相關基礎

定義1(雙線性對) 在雙線性映射中，令k為一個安全參數，q為一個k-bit素數，G1是由P生成的階為素數q的循環加法群,Q∈G1。G2是有相同階q的循環乘法群，則雙線性映射e:G1×G1→G2滿足以下性質：

(2) 非退化性：e(P,Q)≠1；

(3) 易計算性：存在有效算法計算e(P,Q)。

定義3(不可偽造性) 挑戰者C與敵手X進行存在性偽造游戲，具體的游戲過程如圖1所示。敵手X在猜測階段經過多項式有界次詢問，則稱敵手X以一個不可忽略的優勢adv(X)在游戲中獲勝，其中adv(X)定義為adv(X)=|2Pr[b′=b]-1|，即該方案是存在性不可偽造的。

圖1 存在性不可偽造游戲

定義4(機密性) 簽密方案在適應性選擇密文攻擊下具有不可區分性，即敵手選擇兩個明文，加密者隨機選擇其中的一個密文進行加密，則敵手不能根據所選擇的密文以一個不可忽略的優勢正確地猜測選擇加密的是哪一個明文。

2 短簽密方案的構造

(3) Alice的簽密過程：Alice首先計算x=(xA+r)yB,key=H3(x)則key為對稱密鑰，然后計算消息m的簽密密文(C,S):

C=Ekey(m)

Alice將簽密密文(C,S)發送給簽密驗證者Bob。

(4) Bob的解簽密過程：Bob首先計算x′=xB(R+yA),key′=H3(x′)，然后計算密文C對應的明文：m′=Dkey′(C)，驗證等式e(S,yA+R)=e(H2(H1(m′),R,yA,xBR),P)是否成立，成立則接受(C,S)為有效的簽密，否則拒絕該簽密。驗證過程正確性由如下等式保證：

e(S,yA+R))=

e(H2(H1(m′),R,yA,xBR),P)

(5) 第三方驗證：當簽名產生爭議時,Bob公開xBR和H1(m′)，其中簽名驗證參數xBR的合理性第三方可以根據等式e(xBR,P)=e(yB,R)進行驗證。隨后第三方根據e(S,yA+R)=e(H2(H1(m′),R,yA,xBR),P)驗證簽密中短簽密的有效性，驗證過程無需暴露密鑰、階段秘密值和明文。

3 安全性分析

3.1 機密性和不可偽造性

通常機密性即適應性選擇密文攻擊下不可區分性，即敵手選擇兩個明文，加密者隨機選擇其中的一個密文進行加密，則敵手不能根據所選擇的密文以一個不可忽略的優勢正確地猜測選擇加密的是哪一個明文。本文方案的機密性可以規約到CDH問題，證明技巧和過程基本同文獻[10]。

這里只證明不可偽造性。不可偽造性可以由以下定理1得到，本文方案的安全性規約到求解擴展的逆CDH問題。

游戲中假定C為挑戰者，設挑戰公鑰yA=aP,偽造的目標簽密明文為m*，C的目標是通過調用算法X來解決上述困難問題實例。不妨設X在進行簽密詢問、解簽密詢問以及猜測和偽造之前都做過秘密值詢問、公開參數詢問、H1詢問、H2詢問和H3詢問，而且X不會在同一次適應性詢問過程中對同一個預言機做兩次相同的詢問，一次游戲過程在一個周期T內進行。

C在系統初始化后公布系統參數params={k,G1,G2,P,H1,H2,H3}，簽密發送者公鑰為yA=aP，驗證接收者私鑰為xB，公鑰為yB=xBP。C將系統參數params和挑戰公鑰yA發送給X，允許X適應性地進行詢問。

3.1.1詢問階段

(2) 公開參數詢問：當X向C提交一個關于時間T的公開參數詢問時，C查詢列表LP中是否存在相應記錄(Ti,ri,Ri)，如果存在則C返回相應的公開參數Ri給X,否則先執行秘密值詢問。

(3)H1詢問：C維護一個列表LH1,該列表由數組(m,h1)組成。當X向C提交一個消息m的H1詢問時，C首先檢查列表LH1中是否存在相應記錄(mi,h1i)，如果存在則C返回h1i給X；否則：

(6) 簽密詢問：當X向C關于消息m進行簽密詢問時：

① 如果m≠m*，C在列表LP中找到相應的秘密值r和公開參數R，然后在LH1中找到相應的h1，在LH2中找到相應的(d,h2)，其中h2=d(yA+R),在LH3中找到相應的key=h3。C計算：CipherText=Ekey(m)，S=dP，其中key=h3，返回消息m的簽密σ=(CipherText,S)給X。顯然簽密中S的合理性可以由下式保證：

e(S,yA+R)=e(dP,yA+R)=e(P,d(yA+R))=

e(h2,P)

② 如果m=m*，終止詢問，記此事件為E1。

(7) 解簽密詢問：當X向C關于σ進行解簽密詢問，其中σ=(CipherText,S)。C計算w=xBR，查看LH3中是否存在相應記錄(ryA=W,key=h3)，存在則獲得解密明文m′=Dkey(CipherText)，查看LH2中是否存在相應記錄(m′,r,d,h2)，然后驗證e(S,yA+rP)=e(h2,P)是否成立。如果成立，C返回m給X，否則輸出“⊥”，“⊥”表示空。

3.1.2偽造階段

A詢問階段中進行適應性多項式有界次詢問，如果詢問沒有停止,即E1事件一直不發生，則A最終輸出一個關于m*的有效的簽密σ*=(C*,S*)。

而運行時間t′滿足：

t′

qsctsc+qusctusc)

3.2 前向安全性

在簽密過程中，由于引入周期更新的階段秘密值r，因此當敵手獲得簽密密文σ=(C,S)后，即使發送方的私鑰xA被泄露，但只要r沒泄露，攻擊者仍然無法成功解密密文和偽造簽密。另一方面當歷史上某階段秘密值r泄露，后面由于不同周期使用新的r值，攻擊者依然無法成功解密后面生成密文和偽造新的簽密，因此本文方案具有前向安全性。其次秘密值隨著時間進行隨機更新且不重復，后一周期的公開參數R與前一周期的公開參數R′無關，實現了不同周期的參數隔離,因此保證了泄露當前的秘密值無法恢復以前的簽密，同時泄露以前的秘密值無法攻擊現在的簽密。

3.3 可公開驗證性

在安全可信的基礎上，第三方可以證明發送方確實發送過此簽密消息，在證明的過程中，消息接收者不需要泄露個人的私鑰即可實現簽密方案的不可否認性證明。本文方案中，當簽密產生爭議時，即當Alice否認給Bob發送過簽密密文時，Bob公開xBR和H1(m′)，其中簽名驗證參數xBR的合理性第三方可以根據等式e(xBR,P)=e(yB,R)進行驗證。隨后第三方根據e(S,yA+R)=e(H2(H1(m′),R,yA,xBR),P)驗證簽密中短簽名的有效性，驗證過程無需暴露密鑰、階段秘密值和明文。因此，本文簽密方案滿足可公開驗證性的同時又不會破壞消息的機密性。

4 性能分析與比較

表1 安全性比較

表2 計算復雜度比較

從表2可知，在簽密過程中，本文方案進行了3次H運算，文獻[1]方案進行了1次H運算和2次I運算，文獻[10]方案進行了3次M運算和2次H運算，而文獻[12]方案進行了3次M運算和1次H運算，文獻[16]方案進行了3次M運算、3次H運算、1次M運算。在解簽密過程中，本文方案進行了2次P運算和3次H運算，文獻[1]方案進行了4次E運算，文獻[10]方案進行了1次M運算和1次H運算，而文獻[12]方案進行了2次P運算、1次M運算和1次H運算，文獻[16]方案進行了1次P運算、3次E運算、3次H運算。

所以在簽密和解簽密的總效率上，本文方案與文獻[1]方案的效率大致相同，與文獻[10,12,14]相比效率較高。

在簽密長度方面，若選擇了階為160比特長的橢圓曲線上的群和雙線性對映射[17]，本文方案的簽密長度為160比特，與文獻[1,10,12,14]相比長度要短。

由表3可知，本文方案運行平均總耗時為0.199秒，其中簽密和解簽密分別耗時為0.054秒、0.163秒。本文方案與文獻[1]方案相比，平均總耗時增加47.2%；與文獻[10]方案相比，平均總耗時減少51.3%；與文獻[12]方案相比，平均總耗時減少101.5%；與文獻[16]方案相比，平均總耗時減少84.4%。從以上運行結果可知，本文方案與大多數方案相比具有較高的運算效率。

表3 性能比較 s

5 結 語

本文提出一種短簽密方案，在隨機預言機模型和擴展的逆CDH問題假設下，證明了該方案在適應性選擇消息下滿足機密性、不可偽造性、前向安全性和可公開驗證性。與幾種典型的簽密方案相比，本文方案簽密長度較短，簽密計算簡單，適合在帶寬受限的環境下，計算能力和傳輸能力相對較弱的超低功耗設備，對數據進行簽密、驗證以及交互傳輸。進一步研究的重點是將本文方案應用于智能家居無線物聯網絡下各種智能家庭設備與家庭智能網關的數據傳輸與控制系統中。