一種安全高效的群簽名方案

歐海文 雷亞超 王湘南

1(北京電子科技學(xué)院 北京 100070)2(西安電子科技大學(xué)通信工程學(xué)院 陜西 西安 710071)

0 引 言

群簽名作為一種特殊的數(shù)字簽名，不僅可以實(shí)現(xiàn)對(duì)簽名者的匿名，在必要的時(shí)候還可以實(shí)現(xiàn)對(duì)簽名者的追蹤。因此，自1991年群簽名[1]被提出以來(lái)，短時(shí)間內(nèi)就出現(xiàn)了很多經(jīng)典的群簽名方案[2-5]，同時(shí)隨著應(yīng)用情況和安全性因素的變化，很多改進(jìn)方案也相應(yīng)而生[6-7]。為了進(jìn)一步提高群簽名方案的效率和安全性，2015年白永祥[8]提出了一種高效的群簽名方案。2018年，針對(duì)白永祥方案不能抵抗合謀攻擊的問(wèn)題，于璇等[9]基于橢圓曲線上的離散對(duì)數(shù)問(wèn)題對(duì)白永祥的方案進(jìn)行了改進(jìn)，雖然增強(qiáng)了其抗合謀攻擊的能力，但是改進(jìn)方案過(guò)于繁瑣復(fù)雜，執(zhí)行效率較低。

本文通過(guò)對(duì)這些群簽名方案[8-9]進(jìn)行深入分析和研究，提出了一個(gè)安全性無(wú)減弱，但簽名長(zhǎng)度更短、計(jì)算復(fù)雜度更低的簽名方案。該方案首先通過(guò)添加隨機(jī)數(shù)的方式打破了公鑰狀態(tài)列表中公鑰和私鑰的直接聯(lián)系，規(guī)避了被撤銷成員聯(lián)合得出其他成員私鑰的風(fēng)險(xiǎn)。其次，考慮到應(yīng)用過(guò)程中私鑰泄露所造成的嚴(yán)重后果，在對(duì)一些具有前向安全性群簽名方案研究[10-13]的基礎(chǔ)上，提出了具有下述特點(diǎn)的群成員和群管理員的密鑰更新方案：群成員私鑰隨時(shí)間段跨越而自然更新，群中成員不需要重新修改原始密鑰，只要使簽名方案進(jìn)入下一個(gè)時(shí)間段，就可以成功度過(guò)危險(xiǎn)期，避免因私鑰泄露造成的危害。而且在不知道隨機(jī)數(shù)r和a的情況下,方案具有前后向安全性，從而減少了群成員反復(fù)注冊(cè)和修改信息的次數(shù)，大大增加了方案在應(yīng)用時(shí)的容錯(cuò)性和穩(wěn)定性。相較于文獻(xiàn)[10-13]，本文通過(guò)在簽名過(guò)程中將私鑰更新方案中的變化量間接傳遞給群管理員，簡(jiǎn)化了由于私鑰變化所造成的復(fù)雜的檢驗(yàn)過(guò)程，而且還不需要借助第三方的參數(shù)。

本文研究改進(jìn)的群簽名方案對(duì)當(dāng)今應(yīng)用廣泛的區(qū)塊鏈技術(shù)也有重要的意義。因?yàn)閰^(qū)塊鏈的去中心和不可篡改特性，使得用戶的身份和交易信息一旦泄露將是永久性行為，所以當(dāng)區(qū)塊鏈系統(tǒng)中的用戶存在密鑰泄露時(shí)，就會(huì)造成不可挽回的永久性損失。由于本文提出的方案中設(shè)置了隨時(shí)間段變化的私鑰更新環(huán)節(jié)，所以當(dāng)區(qū)塊鏈中用戶利用該方案進(jìn)行交易簽名確認(rèn)時(shí)，不僅可以在私鑰泄露后保證前面所進(jìn)行交易的安全性，還可以使用戶繼續(xù)進(jìn)行安全的交易簽名，降低了私鑰泄露帶來(lái)的巨大損失。

1 簽名方案

由文獻(xiàn)[14]可知，存在滿足條件的橢圓曲線可構(gòu)成co-GDH的短簽名方案。所以本文利用該理論提出了一種簽名長(zhǎng)度較短的，具有前向安全性的新的群簽名方案。

1.1 系統(tǒng)初始化

選取G1=

,G2=,|G1|=|G2|=p,其中P∈E(Fq),Q∈E(Fqα)。由文獻(xiàn)[9]可知，存在對(duì)應(yīng)的非退化的雙線性映射e:G1×G2→GT,H:{0,1}*→G1，H1:{0,1}*→Zp,同構(gòu)映射ψ:G2→G1。

對(duì)于GM：取x0∈RZp，計(jì)算Y=x0Q∈G2，其中x0為群管理員私鑰，Y為公鑰。故群公共參數(shù)為{p,P,Q,G1,G2,e,H,ψ}，群公鑰為Y。

1.2 成員加入

(1) 對(duì)于ui，ui取xi,0，ri∈RZp，計(jì)算yi=xi,0Q∈G2，Ki=riH(IDi)，Li=riQ，然后將(IDi,yi,Ki,Li)發(fā)送給GM。其中IDi代表成員ui的現(xiàn)實(shí)身份信息。

(2) 收到(IDi,yi,Ki,Li)后，GM先驗(yàn)證等式e(Ki,Q)=e(H(IDi),Li)是否成立，確認(rèn)IDi的有效性。即：

e(Ki,Q)=e(riH(IDi),Q)=e(H(IDi),riQ)=e(H(IDi),Li)

若成立，計(jì)算：

表1 PKSL表

1.3 成員密鑰更新

成員密鑰泄露在簽名中往往會(huì)造成嚴(yán)重后果，近年來(lái)，為了降低密鑰泄露所造成的損失，陸續(xù)提出了前向安全、入侵容忍和密鑰隔離等技術(shù)。這些方法都是以密鑰更新為基礎(chǔ)。其中密鑰隔離技術(shù)需要借助協(xié)助器進(jìn)行密鑰的更新，而且每次更新都是相互獨(dú)立的，這將會(huì)大幅增加通信成本以及對(duì)通信安全性的要求。本文方案主要采用前向安全技術(shù)，即通過(guò)利用一個(gè)單向函數(shù)進(jìn)行密鑰的更新。即：

(1) 將整個(gè)有效時(shí)間劃分為若干個(gè)時(shí)間段1，2，…,L。

(2) 在第j階段，設(shè)群成員ui的密鑰為xi,j，群管理員密鑰為xj，則第j+1階段的密鑰為：

xi,j+1=xi,j+H1(riP‖j+1)-H1(riP‖j)

xj+1=xj+pH1(aP‖j+1)

式中:ri為ui在申請(qǐng)加入群時(shí)選取的隨機(jī)數(shù)，a∈RZp為固定常數(shù)。

(3) 在計(jì)算出第j+1階段的密鑰后，立即刪除第j階段密鑰。

1.4 消息簽名

群成員ui對(duì)于消息M：

表2 追蹤列表

(3)成員ui接收到c后，驗(yàn)證e(c,Q)=e(Ti,Y)是否成立，若成立(c，Time，Ti，Vi)即為群成員ui對(duì)于消息M的簽名。

1.5 簽名驗(yàn)證

驗(yàn)證者在接收到簽名(c，Time，Ti，Vi)后，驗(yàn)證e(c,Q)=e(Ti,Y)是否成立，若成立，則接受(c，Time，Ti，Vi)為群成員ui對(duì)于消息M的正確的群簽名。

1.6 簽名打開(kāi)

1.7 成員撤銷

2 正確性與安全性分析

2.1 正確性分析

與文獻(xiàn)[9]一樣，該方案中的系統(tǒng)建立以及簽名過(guò)程也存在管理員與成員雙向驗(yàn)證身份的過(guò)程。

(3) 私鑰更新的迭代。對(duì)于群中成員的私鑰更新方案，即：

因?yàn)閤i,j+1=xi,j+H1(riP‖j+1)-H1(riP‖j)

所以xi,j+1=xi,j-1+H1(riP‖j)-H1(riP‖j-1)+

H1(riP‖j+1)-H1(riP‖j)=

xi,j-1+H1(riP‖j+1)-H1(riP‖j-1)=

?

xi,0+H1(riP‖j+1)-H1(riP‖0)

對(duì)于群管理員第j+1階段私鑰：

xj+1=xj+pH1(aP‖j+1)

因?yàn)?|G2|=p，G2=

所以xj+1Q=xjQ

由上述推導(dǎo)過(guò)程可知，在不泄露隨機(jī)數(shù)ri的情況下，群成員私鑰更新方案既具有前向安全性，還具有后向安全性。而對(duì)于群管理員，在不泄露隨機(jī)數(shù)a的情況下，滿足前向安全性，而且在整個(gè)群管理員初始密鑰有效的過(guò)程中，群公鑰不發(fā)生改變。

(4) 簽名的正確性。首先驗(yàn)證簽名(c，Time，Ti，Vi)中的c的正確性，證明簽名過(guò)程確實(shí)有群管理員參與。即驗(yàn)證：e(c,Q)=e(xjTi,Q)=e(Ti,xjQ)=e(Ti,Y)。其次，驗(yàn)證Ti的正確性，即：

Ti=H(M‖Time‖Q‖biQ)=

因?yàn)閂i=bi-Tixi,j

所以biQ=(Vi+Tixi,j)Q=ViQ+Tixi,jQ=

ViQ+Ti(xi,0+h1-h2)Q=

ViQ+Ti(xi,0Q+h0Q)=

通過(guò)上述幾個(gè)方面的分析，證明了本文所提方案的正確性。

2.2 安全性分析

根據(jù)群簽名的安全性要求，本文將從以下幾個(gè)方面論述本文方案的安全性。

(1) 匿名性。接收到簽名(c，Time，Ti，Vi)后，驗(yàn)證者只是驗(yàn)證e(c,Q)=e(Ti,Y)是否成立來(lái)決定是否接受該簽名，其中只用到了群管理員GM的公鑰Y，并沒(méi)有涉及群成員ui的信息。所以，本方案滿足匿名性。

(3) 追蹤性。接收到簽名(c，Time，Ti，Vi)后，群管理員GM可直接根據(jù)Ti、Vi值查找追蹤列表，從而追蹤到該簽名者的身份信息，實(shí)現(xiàn)追蹤的目的。

(5) 不可關(guān)聯(lián)性。對(duì)任意消息M的簽名(c，Time，Ti，Vi)，其中Ti=H(M‖Time‖Q‖biQ)，Vi=bi-Tixi,j，c=xjTi，bi∈RZp，Time是群成員準(zhǔn)備進(jìn)行簽名時(shí)從可信時(shí)間戳機(jī)構(gòu)獲得的時(shí)間。所以可知簽名中的所有成員都是隨機(jī)的不涉及簽名成員信息的，滿足不可關(guān)聯(lián)性。

(6) 防陷害性。由上述簽名過(guò)程可知群管理員和群成員都不能代替他人產(chǎn)生有效的簽名。因?yàn)闊o(wú)論是群管理員還是群中成員都有秘密保存的私鑰，在其不暴露的情況下，該方案都是滿足防陷害性的。而且，由Ti=H(M‖Time‖Q‖biQ)，Vi=bi-Tixi,j可知只有知道私鑰xi,j的成員才能產(chǎn)生符合Ti=H(M‖Time‖Q‖(ViQ+Tiyi+h0Q))的Ti、Vi,故群中成員可通過(guò)驗(yàn)證Ti、Vi的值來(lái)防止群管理員冒充自己偽造簽名，同時(shí)證明群管理員的不可信。

(7) 前向安全性。該簽名方案通過(guò)構(gòu)建不改變初始公鑰的密鑰更新方案，在不同階段產(chǎn)生不同的私鑰值，而且由Hash函數(shù)的單向性可知，在不知道隨機(jī)數(shù)ri和a情況下，無(wú)法由當(dāng)前密鑰獲取之前的密鑰。所以即使當(dāng)前的私鑰泄露或丟失，前面階段所產(chǎn)生的簽名仍然是安全的，可被驗(yàn)證的。

(8) 后向安全性。由群成員的私鑰更新方案可知，在不知道隨機(jī)數(shù)ri的情況下，無(wú)法從當(dāng)前密鑰推之前和之后的密鑰。故在群成員當(dāng)前密鑰泄露時(shí)，不需要重新選取初始密鑰，只需過(guò)渡到下一階段，即可進(jìn)行安全的簽名，避免因私鑰泄露造成危害。

3 效率分析

文獻(xiàn)[9]基于白永祥方案提出了一種橢圓曲線上的高效安全的實(shí)現(xiàn)方案。將本文方案與文獻(xiàn)[9]方案從成員加入簽名驗(yàn)證的計(jì)算復(fù)雜度進(jìn)行比較。綜合兩個(gè)簽名方案可知，方案中的主要操作是橢圓曲線上的乘法、雙線性映射的計(jì)算以及Hash函數(shù)的計(jì)算，所以本文主要考慮這三種主要操作的數(shù)目來(lái)衡量簽名方案效率。計(jì)算復(fù)雜度如表3所示。

表3 計(jì)算復(fù)雜度對(duì)比表

由表3可知，在保持同樣安全性的前提下，本文所提方案的效率遠(yuǎn)高于文獻(xiàn)[9]中方案，而且簽名長(zhǎng)度也短。同時(shí)在實(shí)現(xiàn)簽名的前向安全性方面，本文方案中設(shè)計(jì)的密鑰更新方案較文獻(xiàn)[10-13]也更加簡(jiǎn)潔，而且還能實(shí)現(xiàn)后向安全性。

4 結(jié) 語(yǔ)

性設(shè)計(jì)將會(huì)更易于本文方案的實(shí)際應(yīng)用，尤其是對(duì)于現(xiàn)在應(yīng)用廣泛的區(qū)塊鏈技術(shù)。下一步，我們將會(huì)注重研究群簽名的實(shí)際應(yīng)用。