格上身份基簡短關聯環簽名及其電子投票應用
2024-07-20 00:00:00王杰昌劉牧華張平劉玉嶺于景茹張斌
無線電工程 2024年5期
摘 要:環簽名具備匿名性,身份基環簽名無需證書,關聯環簽名可避免用戶重復簽名,但這些簽名占用空間多且效率低。針對這些問題,先輸出公共參數和系統主密鑰,再提取用戶密鑰,然后使用格上的累加器對環中公鑰進行累加,并將知識證明簽名推廣至格上,構造出格上身份基簡短關聯環簽名。對該簽名的不可偽造性、關聯性和匿名性進行了證明。對簽名方案進行了性能分析與實驗評估,結果表明,該簽名節省了時間開銷和存儲空間。利用該簽名及門限秘密共享技術,提出后量子的電子投票協議。
關鍵詞:格;身份基;知識證明簽名;累加器;簡短關聯環簽名;門限秘密共享;電子投票
中圖分類號:TP309. 2 文獻標志碼:A 開放科學(資源服務)標識碼(OSID):
文章編號:1003-3106(2024)05-1308-12
0 引言
環簽名是一種簡化的群簽名,可有效提高用戶的匿名性[1]。身份基環簽名是基于身份的密碼體制與環簽名相結合使用戶不再需要證書的簽名,與之類似,無證書環簽名也是不需要證書的簽名;門限環簽名是將門限機制應用至環簽名;關聯環簽名具有簽名人關聯性,通過關聯標簽,可確定某2 個簽名是否由某用戶代表同一群體簽署產生,即可避免用戶重復簽名,一次性環簽名也具有類似的性質。但是,這些簽名的長度均隨著環成員的增多而增大。簡短關聯環簽名[2-3]先使用累加器對環中公鑰進行累加,再進行知識證明簽名,在保留關聯環簽名一些特性的情況下,簽名長度不會隨環成員數量的變化而變化[4]。然而上述這些簽名均基于傳統數學難題,隨著量子計算技術的發展,它們的安全性在降低。基于格的密碼體制具有以下優點:格上任意實例的安全度都相同;格中運算以線性運算和模運算為主,運算簡單;至今沒有可行的量子算法能夠破解格上的困難問題,因而其備受學者們關注[5-7]。
電子投票在人類社會活動中發揮著非常重要的作用,其安全性、公平性、公正性等問題一直是公眾關注的焦點,且影響其廣泛地推廣使用。將簡短關聯環簽名應用至電子投票,首先可提高投票者的匿名性,其次能避免重復投票的發生,再次簽名長度固定不變可節省存儲空間;如果再結合格理論,可使得投票具備抗量子性,更加安全。
文獻[8]提出一種關聯環簽名方案,實現了簽名的批量驗證。文獻[9]利用關聯環簽名,設計了基于智能合約的電子投票方案。文獻[10]利用一次性環簽名及匿名地址技術,提出一個以太坊電子投票方案。文獻[11]提出了關聯環簽密,并將其應用至智能合約電子投票。這些方案均可確保投票者的匿名性,同時避免出現重復投票的情況。但是,這些方案的簽名(簽密)長度均隨著環成員的增多而增大。文獻[2-3]構造了簡短關聯環簽名,隨著環成員的增多,簽名長度不變。文獻[12]提出了一個簡短關聯環簽名方案,適用于電子現金協議。文獻[13]提出了新的高效的簡短關聯接環簽名,并將其應用于智能合約電子投票。但是,上述所有簽名方案均是基于傳統數論困難問題,不具備抗量子性。
基于格上的困難問題,文獻[14]提出了切合實際的格基一次性關聯環簽名方案,實用性強。針對傳統身份基關聯環簽名不能抵抗量子攻擊的問題,文獻[7]構造了一個格上身份基的關聯環簽名方案。文獻[15]提出了格上無證書環簽名(Lattice-Based Certificateless Ring Signature,LCRS),其中含有類似關聯標簽的密鑰鏡像,減少了簽名階段的采樣次數,提高了簽名效率。文獻[16]結合了基于模糊身份的簽名和環簽名,提出了一種格上基于模糊身份的環簽名方案(Fuzzy Identity-Based Ring Signa-ture from Lattices,LFIBRS)。針對自動泊車系統中的隱私安全問題,文獻[17]提出了一個基于格的環簽名方案。通過判斷2 個集合中相同元素的個數是否達到一定數量作為關聯性的判斷條件。文獻[18]構建了一種新的格上身份基的關聯環簽名方案(Identity-Based Linkable Ring Signature Schemeon Lattices,L_IBLRS)。文獻[19]提出一種格上的關聯環簽名方案,并基于此構建了區塊鏈上的流行病控制系統。文獻[20]利用格理論增加抗量子性,并應用消息塊共享技術和填充排列技術,構造格上的門限關聯環簽名以適應一種新的電子投票場景。
然而上述這些方案的簽名長度隨著環成員的增多而增大,且運算效率低。文獻[21]提出了一種格上的簡短關聯環簽名,雖然簽名長度固定,但其生成過程中使用較多的哈希運算,導致其不可偽造性證明及匿名性證明不夠嚴謹,且沒有實際應用方案。文獻[22]提出了一種基于格的無證書環簽名方案(Certificate Ring Signature Scheme Based on Lattice,L-CRSS),在后量子時代具有較高的安全性。文獻[23]也提出了一種格上的環簽名方案,并將其應用至匿名電子投票。這2 種簽名方案的簽名長度不會隨環成員數量的變化而變化,但是比較長,占用空間多,且方案的運算效率低。
上述方案存在著簽名占用存儲空間多、運算效率低等問題。針對這些問題,本文提出新的方案,主要貢獻如下:
① 首先輸出公共參數并秘密保存系統主密鑰,其次根據用戶身份提取出用戶密鑰,再次使用格上的累加器對環中公鑰進行累加計算,然后將傳統的知識證明簽名推廣至格上,最后構造出格上的身份基簡短關聯環簽名。對簽名方案的不可偽造性、關聯性和匿名性進行了嚴謹的證明。
② 將所構造的簽名方案應用至電子投票,結合(t,n)門限秘密共享技術,提出后量子的電子投票協議,分別設計了協議的注冊、管理、投票、收集和計票等算法。
因為L-CRSS 中含有多次的矩陣間乘法運算及SampleMat 算法,其矩陣間乘法耗時遠高于其他方案中的矩陣向量乘法耗時,顯然TLCRSS 最大。文獻[7]方案中的矩陣向量乘法為Zn×(m+1) q 中的矩陣乘以 Zqm+1 中的向量,文獻[17]方案的矩陣向量乘法為Zn×m q 中的矩陣乘以 Zmq中的向量,本方案的矩陣向量乘法主要為Z n×n q「 lb q」 中的矩陣乘以{0,1} n lb q 中的向量,q =O ~ (n)≥3,m≥5nlb q,顯然本方案的矩陣向量乘法運算量是最小的,TMV 也是最小的。另外,雖然本方案含有多次的bin 算法,但是該算法耗費時間很少,而文獻[7 ]方案中還含有多次的SampleDom 算法,文獻[17]方案中也含有多次的TrapGen 及SampleDom 算法,因此本方案的總時間開銷是相對較小的。
這幾種方案的存儲開銷對比如表1 最后一列所示,主要從方案的簽名長度進行對比。本方案生成的簽名長度為n「 lb q」 +(2n+n lb q」 +m+3)lb q,LCRSS 的簽名長度為(2m+nm)lb q,文獻[7]的簽名長度為[(m+1)N+n+2]lb q,文獻[17]的簽名長度為(mN+κ)lb q。對比后發現,隨著環成員數量N 的增大,文獻[7,17]的簽名長度會隨之增大,而本方案及LCRSS 的簽名長度固定不變,較節省空間。
4. 2 實驗評估
本文的實驗在配置為Intel Core i710750H 處理器、8 GB 內存、512 GB 固態硬盤、64 位Windows 10操作系統的計算機上運行,根據文中對參數的取值要求及安全考慮,同時參考其它相關文獻,將參數設置為n = 8,m = 1 280,q = 232 = 4 294 967 296。
表2 為各簽名方案在各階段及總的時間開銷,環成員個數為64,進而根據表2 中的數據,各簽名方案的時間開銷對比如圖1 所示。
從圖1 和表2 可以看出,L-CRSS 的密鑰提取時間和總時間開銷最大,文獻[7,17]及本文方案的總時間開銷均比較小;根據4. 1 節的分析可知,L-CRSS 中含有多次的矩陣間乘法運算(主要為Z8×1 280 4 294 967 296 與{-40,-39,…,0,…,39,40} 1 280×200 中的矩陣相乘)和SampleMat 算法,文獻[7,17]及本文方案僅含有矩陣向量乘法運算,TMM 遠高于TMV ,故而如此。
從表2 和圖1 中還可以看出,文獻[17]的總時間開銷大于文獻[7],文獻[7]的總時間開銷大于本方案。因為n = 8,m = 1 280,q = 232 = 4 294 967 296,再結合4. 1 節的總時間開銷分析,即可解釋這里的實驗結果。
表3 為各方案的存儲開銷統計,進而根據表3中的數據,畫出各簽名方案的簽名長度對比如圖2所示。從圖2 和表3 可以看出,隨著環成員個數的增大,文獻[7,17]的簽名長度均在增大且非常接近,L-CRSS 和本方案的簽名長度保持不變,但本方案的簽名長度最小。這是因為n = 8,m = 1 280,q =232 = 4 294 967 296,κ = 200,再結合4. 1 節中的簽名長度分析,也可解釋這里的實驗結果。
5 電子投票應用
5. 1 電子投票協議
本文構造的格上身份基簡短關聯環簽名方案適用于電子投票應用,因為:① 簽名方案的不可偽造性可有效防止用戶偽造選票;② 簽名方案的隱私性可確保投票者的隱私;③ 簽名方案的關聯性可有效防止用戶重復投票;④ 本簽名方案可為電子投票應用節省存儲空間和時間開銷。
所以將本文簽名方案應用于電子投票,同時為防止任何實體獲得投票中間結果,確保選票的隱私性,引入(t,n)門限秘密共享技術,提出電子投票協議。該協議包含實體:投票者Vi(擁有身份IDi )、注冊機構KGC(即密鑰生成中心,為投票者們生成密鑰)、管理機構MA(擁有私鑰SKMA 和公鑰PKMA )、計票機構CTi(共n-1 個,即i∈[2,n]),投票協議包含以下幾個算法:
① 注冊
注冊機構KGC 運行Setup(1n)算法輸出公共參數pp = (A,C,H0 ,H1 ),秘密保存系統主密鑰MSK =T。投票者Vi 把其身份IDi 提交給KGC 審核,在審核通過之后Vi 注冊成功。KGC 運行算法KeyExt(IDi,MSK,pp)為投票者Vi 生成di =bin(H0(IDi)modq)及私鑰ki,滿足A·ki = G·di。
② 管理
f(1),f(2 ),… ,f(n),其中f 為隨機多項式。投票者Vi 選擇其他投票者的身份信息(包含其自身)組成環R = {ID0 ,ID1 ,… ,IDN-1 },Vi 運行Sign(pp,ki,f(1),R)為選票的秘密份額f(1 )生成簽名σiR(f(1))= (u,ii,bi1,ri1,ci1,zi1),之后Vi 將信息(σiR(f(1)),R,f(1))通過匿名信道發送給管理機構MA。MA 先驗證σiR(f(1))的有效性,無效則拒絕接收這條信息;若簽名有效,則檢查關聯標簽ii是否已存儲在數據庫中,若已經存儲則意味著Vi 重復投票,MA 拒絕接收這條信息;否則MA 將(ii,f(1))存入數據庫。之后MA 計算φi ←SamplePre(PKMA,SKMA,ii,s),并將φi 返回給Vi。
③ 投票
投票者Vi 檢驗PKMA·φi =?ii,若等式不成立,則重新要求MA 發送φi;若等式成立,則Vi 運行Sign(pp,ki,f(j),R)為選票μ 的其他秘密份額f(j)(其中j = 2,3,…,n)生成簽名σiR(f(j))= (u,ii,bij,rij,cij,zij)。之后,Vi 通過匿名信道將信息(σiR (f(j),f(1),φi)(j = 2,3,…,n)分別發送給各計票機構CTj(j = 2,3,…,n)。CTj 驗證簽名σiR(f(j))的有效性,若有效則公布(j,ii,f(1))。
④ 收集
若投票者Vi 發現其(j,ii,f(1))未被公布,則其出示(f(1),φi)以抗議,管理機構MA 會要求CTj 加入與(j,ii,f (1 ))對應的選票份額簽名信息(即(σ iR(f(j)),f(j),f(1),φi))。
⑤ 計票
在投票及收集結束之后,因為每個CTj 除了掌握各自的f(j)(j∈[2,n])之外,均還掌握f(1),所以根據(t,n)門限方案,(t-1)個計票機構CTj 即可將投票者Vi 的選票μ 恢復出來,然后統計票數。
5. 2 協議分析
合法性:協議的注冊算法可有效防止未注冊用戶進行投票,確保了投票的合法性;
公正性:本協議利用門限秘密共享可有效防止任何實體在投票結束前獲得投票的中間結果,簽名方案的不可偽造性可防止惡意用戶偽造選票,從而確保了投票的公正性;
隱私性:門限秘密共享可以保證選票的隱私性,簽名方案的匿名性可確保投票者的隱私性,從而確保了電子投票協議的隱私性;
唯一性:本協議利用簽名方案的關聯性可防止投票者重復投票,確保投票的唯一性;
完備性:協議的收集算法防止計票機構漏計選票,確保了計票的完備性;
抗量子性:協議中的簽名方案是基于格理論的,可有效抵抗量子攻擊;
實用性:本協議節省了選票簽名的存儲空間,提高了運算效率,在后量子時代具有實用性。
6 結束語
根據格上身份基的關聯環簽名,以及簡短關聯環簽名,將知識證明簽名推廣至格上,提出格上身份基簡短關聯環簽名方案,包含系統建立、密鑰提取、簽名生成、簽名驗證和簽名關聯等5 個算法。基于格上的困難問題證明了簽名方案的不可偽造性,同時還證明了簽名方案的關聯性和匿名性。通過性能分析和實驗評估發現,該簽名方案節省了時間和存儲開銷。將簽名方案應用至電子投票,結合(t,n)門限秘密共享技術,提出電子投票協議,包含注冊、管理、投票、收集和計票等算法。由于所基于的簽名方案以及協議中的算法設計,協議具備合法性、公正性、隱私性、投票唯一性、完備性、抗量子性和實用性。
在未來的工作中,計劃進一步提升簽名效率,并結合區塊鏈技術,提出后量子時代基于區塊鏈的安全電子投票協議,確保投票的公開透明安全高效,以便更好地為社會服務。
參考文獻
[1] 蔡曉晴,鄧堯,張亮,等. 區塊鏈原理及其核心技術[J].計算機學報,2021,44(1):84-131.
[2] TSANG P P,WEI V K. Short Linkable Ring Signatures forEvoting,Ecash and Attestation[C]∥ Proceedings of the1st Information Security Practice and Experience Conference. Singapore:Springer,2005:48-60.
[3] AU M H,CHOW S S M,SUSILO W,et al. Short LinkableRing Signatures Revisited[C]∥ Proceedings of the 3rdEuropean Public Key Infrastructure Workshop. Turin:Springer,2006:101-115.
[4] YU B,LIU J K,SAKZAD A,et al. PlatformindependentSecure Blockchainbased Voting System[C]∥ Proceedingsof the 21st International Information Security Conference.Guildford:Springer,2018:369-386.
[5] 田苗苗,黃劉生,楊威. 高效的基于格的環簽名方案[J]. 計算機學報,2012,35(4):712-718.
[6] 賈小英,何德彪,許芷巖,等. 格上高效的基于身份的環簽名體制[J]. 密碼學報,2017,4(4):392-404.
[7] 湯永利,夏菲菲,葉青,等. 格上基于身份的可鏈接環簽名[J]. 密碼學報,2021,8(2):232-247.
[8] 王啟宇,陳杰,莊立爽. 智能電網中可鏈接環簽名的批量驗證[J]. 密碼學報,2020,7(5):616-627.
[9] LYU J Z,JIANG Z L,WANG X,et al. A Secure Decentralized Trustless Evoting System Based on Smart Contract[C]∥ Proceedings of the 18th IEEE InternationalConference on Trust,Security and Privacy in Computingand Communications. Rotorua:IEEE,2019:570-577.
[10] 鄭劍,賴恒財. 基于一次性環簽名的區塊鏈電子投票方案[J]. 計算機應用研究,2020,37(11):3378-3381.
[11] 王杰昌,張平,高遠,等. 融合可鏈接環簽密的智能合約電子投票協議[J]. 計算機工程,2022,48 (4 ):126-132.
[12] 王玲玲,張國印,馬春光. 適用于電子現金協議的簡短關聯環簽名方案[J]. 北京郵電大學學報,2008,31(1):102-106.
[13] 王杰昌,張平,段瑩,等. 結合簡短可鏈接環簽名的智能合約選舉方案[J]. 計算機工程與應用,2023,59(6):258-267.
[14] BAUM C,LIN H,OECHSNER S. Towards PracticalLatticebased Onetime Linkable Ring Signatures [C]∥Proceedings of International Conference on Informationand Communications Security. Lille:Springer,2018:303-322.
[15] ZHANG M W,CHEN X B. A Postquantum CertificatelessRing Signature Scheme for Privacypreserving ofBlockchain Sharing Economy[C]∥ Proceedings of International Conference on Artificial Intelligence andSecurity. Dublin:Springer,2021:265-278.[16] CAO C T,YOU L,HU G R. Fuzzy Identitybased RingSignature from Lattices[J]. Security and CommunicationNetworks,2021,2021:1-9.
[17] XU S Y,CHEN X,WANG C,et al. A Latticebased RingSignature Scheme to Secure Automated Valet Parking[C]∥Proceedings of the 16th International Conference onWireless Algorithms,Systems,and Applications(WASA).Nanjing:Springer,2021:70-83.
[18] 曹成堂,游林,胡耿然. 一種新的格上基于身份的可鏈接環簽名方案[J]. 密碼學報,2022,9(6):969-981.
[19] CHEN X,XU S Y,CAO Y B,et al. AQRS:Antiquantum"Ring Signature Scheme for Secure Epidemic Control with"Blockchain[J]. Computer Networks,2023,224:109595.
[20] 莊立爽,陳杰,王啟宇. 電子投票協議下的基于格的可鏈接門限環簽名[J]. 密碼學報,2021,8(3):402-416.
[21] 王杰昌,張平,李杰,等. 格上的簡短可鏈接環簽名[J]. 計算機應用研究,2022,39(9):2843-2849.
[22] DONG S S,ZHOU Y H,YANG Y G,et al. ACertificateless Ring Signature Scheme Based on Lattice[J]. Concurrency and Computation:Practice and Experience,2022,34(28):e7385.
[23] ZHOU Y H,DONG S S,YANG Y G. Ring SignatureScheme Based on Lattice and Its Application onAnonymous Electronic Voting [J]. KSII Transactions onInternet and Information Systems,2022,16(1):287-304.
[24] GENTRY C,PEIKERT C,VAIKUNTANATHAN V.Trapdoors for Hard Lattices and New Cryptographic Constructions[C]∥Proceeding of the 14th Annual ACM Symposium on Theory of Computing. Victoria:ACM,2008:197-206.
[25] LIBERT B,LING S,NGUYEN K,et al. ZeroknowledgeArguments for Latticebased Accumulators:Logarithmicsize Ring Signatures and Group Signatures without Trapdoors[C]∥ Proceedings of the 35th Annual InternationalConference on the Theory and Applications of CryptographicTechniques (EUROCRYPT). Vienna:Springer,2016:1-31.
[26] CAMENISCH J,STADLER M. Efficient Group SignatureSchemes for Large Groups[C]∥ Proceedings of the 17thAnnual International Cryptology Conference. Santa Borbara:Springer,1997:410-424.
[27] LYUBASHEVSKY V. Lattice Signatures without Trapdoors[C]∥ Proceedings of the 31st Annual IACR EurocryptInternational Conference on the Theory and Applicationsof Cryptographic Techniques. Cambridge:Springer,2012:738-755.
作者簡介
王杰昌 男,(1985—),碩士,講師。主要研究方向:信息安全、區塊鏈隱私保護。
劉牧華 男,(1987—),博士,副教授。主要研究方向:密碼學、信息安全。
張 平 男,(1976—),博士,教授。主要研究方向:密碼學、信息安全。
(*通信作者)劉玉嶺 男,(1982—),博士,正高級工程師。主要研究方向:網絡安全態勢感知、網安大數據分析。
于景茹 女,(1982—),碩士,副教授。主要研究方向:信息安全。
張 斌 男,(1980—),博士,高級工程師。主要研究方向:信息安全。
基金項目:基礎加強計劃技術領域基金(2021-JCJQ-JJ-0908 );國家自然科學基金(62102134 );河南省科技攻關項目(232102210138,232102210130);龍門實驗室重大科技項目(231100220300);河南省高等學校重點科研項目(23A520046,23A413005)
