一种指定接收人的代理盲签名方案
施荣华,汪秋国
(中南大学 信息科学与工程学院,湖南 长沙,410083)
摘 要:
摘 要:基于two-party Schnorr签名方案,提出一种指定接收人的代理盲签名方案。在代理授权的过程中,原始签名人和代理签名人通过two-party Schnorr签名方案产生用于代理签名的密钥;在代理签名过程中,签名请求者先用RSA算法加密消息,然后使用指定接收人的签名方案获得相应的代理盲签名。该方案中,只有指定接收者才可以恢复消息、验证签名的合法性,通过执行交互的零知识证明,指定接收人可以向第3方证实签名的有效性。安全性分析表明,该方案不仅满足代理盲签名方案的基本安全要求,而且间接地起到了对代理签名人的代理签名的监督作用,防止代理签名人滥用他们的代理签名权。与其他方案相比,该方案具有成本低、计算速度快等优点。
关键词:
中图分类号:TP309 文献标识码:A 文章编号:1672-7207(2008)01-0162-04
A designated-verifier proxy blind signature scheme
SHI Rong-hua, WANG Qiu-guo
(School of Information Science and Engineering, Central South University, Changsha 410083, China)
Abstract: Based on the two-party Schnorr signature, a new designated-verifier proxy blind signature scheme was proposed. In delegation authorization, the original signer and proxy signer generate proxy key pair through two-party Schnorr signature. In proxy signature generation, the applicant encrypts the message by RSA public-key cryptosystem and then gets its proxy blind signature by the nominative signature scheme. In this scheme, only the recipient can recover the message and verify the signature. Through performing a zero-knowledge protocol, the recipient can prove validity of signature to a third party. Security analysis results show that the proposed scheme not only meets the basic security requirements of proxy blind signature, but can also indirectly supervise the proxy signature and prevent the proxy signer from misusing the proxy signature rights. This scheme is less expensive and more efficient than others.
Key words: proxy signature; blind signature; designated-verifier signature
数字签名技术是信息安全的重要手段之一,它可以保证信息的完整性、鉴别发送者身份的真实性和不可抵赖性。代理签名是由Mambo等提出的一种特殊数字签名[1-2],它可以实现签名权力的委托,由代理签名人代表原签名人对签发的消息进行签名;盲签名[3-4]是指签名人虽然对某个消息进行了签名,但他并不知道所签消息的内容,也就是说对签名人而言,消息进行了盲化处理。2000年,Lin和Jan将代理签名和盲签名相结合提出了代理盲签名的概念[5]。代理盲签名方案不仅具有代理签名和盲签名的优点,而且具有一些新特点,能解决许多实际存在的难题。在一个代理盲签名方案中,至少需要满足以下性质:
a. 不可伪造性。只有合法的代理签名人才能够生成有效的代理盲签名,即使是原签名人也不能生成有效的代理盲签名。
b. 可验证性。可以验证签名是否有效,被签名的消息应当遵守代理授权书的规定。
c. 可识别性。原始签名者能够从代理签名中识别签名者的身份。
d. 不可否认性。代理签名人不能否认他曾经参与的有效代理盲签名。
e. 不可跟踪性。代理签名人不能将签名行为与最终签名结果关联起来。
在实际应用中,为了防止代理签名人滥用代理权而给原始签名人的权益造成危害,原始签名人可能希望指定一个签名接收人,代理签名人只能对发给该接收人的信息进行代理签名,只有该接收人才能验证签名[6]。基于Nicolosi等[7]提出的two-party Schnorr签名方案,本文作者提出一种指定接收人的代理盲签名 方案。
1 指定接收人的代理盲签名
1.1 系统参数
系统包括原始签名人Alice,代理签名人Bob,签名请求者C和指定的签名接收人V。p和q为2个大素数且满足q|p-1,g为
中q阶乘法子群的生成元,h(?)和h′( )是2个安全的单向hash函数,(xA, yA)为原始签名者Alice的密钥对,满足
;(xB, yB)为代理签名者Bob的密钥对,满足
;(xV, yV)为指定接收者V的密钥对,满足
;m为待签名的消息;mw为一个授权证书,记录原始签名人和代理签名人的代理协议,指定签名接收人的公钥、消息类型、有效代理时间等[8-9]。
此外,指定的签名接收者V选取大素数p1和p2,且p1和p2的长度相差不大,(p1-1)和(p2-1)有大素数因子,gcd(p1-1, p2-1)很小,计算nV=p1p2,
。然后随机选取整数eV,满足gcd(eV, 
)=1,计算dV,满足dV eV=1 mod,公开eV和nV [10-11]。
1.2 代理密钥生成阶段
方案中,采用Nicolosi等[7]提出的two-party Schnorr签名方案来生成代理密钥对(xp, yp),具体细节如下:
a. Alice随机选取整数
,计算
,
,然后,将c发送给Bob。
b. Bob随机选取整数
,计算
,将(c, rB)发送给Alice。
c. Alice收到(c, rB)后,先检验
是否成立,若成立,则计算
, 
,然后将(rA, sA)发送给Bob。
d. 收到(rA, sA)后,Bob首先计算
,然后检验
,
,
这3个等式是否成立。若全部成立,则Bob计算
,代理签名密钥对为:
,
。
式中:xP为Bob用于代理签名的秘密密钥;yP为相应的公开密钥。
事实上,(rP, xP)是一个mw的two-party Schnorr签名。只有B知道xP,但是(rP, xP)是A和B联合生成的,任何人(包括Alice和Bob)都不能单独生成合法的代理密钥对(xP, yP)。
1.3 代理签名生成阶段
a. Bob 随机选取一整数
,计算
。
b. 签名请求者C随机选取整数
,
,
,计算
,若
,则重新选择,和
,否则进行以下计算:
,
,
,
。
然后,将e发送给代理签名人Bob。
c. Bob收到e后,计算
,然后,将
发送给C。
d. C计算
,则(b, SP, e′, r′)为消息m的代理盲签名[12]。
1.4 代理签名的验证阶段
指定签名接收者V接收到(b, SP, e′, r′)后,首先用自己的密钥dV从b中恢复出消息m:
,
然后计算
,
,验证
是否成立,若成立,则说明(b, SP, e′, r′)为一个合法的代理盲签名[13]。因为
。
1.5 向第三方证实签名的有效性
对于一个已经公开的代理盲签名δ= 
,假设,
,指定的签名接收人V能够向第3方证实盲签名δ的有效性,同时,又不泄露自己的任何私钥信息。V首先利用自己的私钥xV和dV计算出D和m,然后发送(D,m)给第3方。
接收到(D,m)后,第3方首先检验签名接收人V公开的(D,m)的真实性,具体细节如下:
a. 利用签名接收人V的公钥eV对公布的m进行加密,
,然后验证b′与公开签名中的b是否相等,若相等,则说明V公布的消息m确实是其利用自己的私钥dV通过式子
计算得出的,公布的m是签名产生过程中的所签消息。
b. 利用公开的代理盲签名
中的信息以及签名接收人公布的(D,m),计算
,然后检验等式是否成立,若成立,则说明公布的D是真的。根据hash函数的特性,求具有相同hash值的两个消息在计算上是不可行的。由于前面已经验证得出消息m确实是签名过程中产生的,而不是接收人V伪造的,已知m,r′和yV,接收人V不能伪造出D′ (
)使得
成立,因此,V公布的D确实是签名过程中产生的。
c. 签名的证实或否认。指定接收人V(此时为示证者)计算,然后使用交互式零知识证明协议向第3方证明
。然后第3方检查下列等式是否成立[9]:
,。
若成立,则得到了证实,否则就否认。
2 安全性分析
所提出的指定接收人的代理盲签名方案满足代理盲签名方案的基本安全要求,另外,该方案还能够实现除了签名请求者和指定接收人外,包括代理签名人在内的其他人都不知道消息的具体内容。
2.1 代理授权的不可伪造性
a. 根据yP,伪造者无法伪造xP。这是因为
,而(rP, sA)是A对mw的签名,rP,sA,mw都是不可更改和伪造的。同理,(rP, sB)是B对mw的签名,rP,sB,mw也都是不可更改和伪造的,所以伪造者不可能通过计算yP伪造xP,又已知
,求xP是离散对数问题。
b. 根据
,伪造者无法伪造xP。因为sA和sB对伪造者都是无法得到的。
c. Alice也不可能伪造Bob的代理签名,虽然Alice可以得到sA,却无法得到Bob的sB,所以,Alice也是不可能得到xP。
总之,除了Bob,任何人都无法得到xP,也就不能伪造Alice的代理签名[14]。
2.2 签名的不可伪造性
假如签名请求者C根据签名算法伪造文件m′的代理盲签名(b′,
,e″,r″),那么,C可任取k′,计算
,接着任取
,
和
,计算
,
,
,
,
,但在没有Bob参与的情况下,C无法得到相应的s″,这是因为
,xP对于C是不可能得到的,又根据
等式求s″是离散对数问题,由于
,所以,C就不能生成文件m′的代理盲签名(b′,,e″,r″)。因此,C根据签名算法不能伪造代理盲签名,那么,其他任何人更不可能伪造文件m′的代理盲签名(b′,,e″,r″)。
2.3 不可跟踪性
对Bob而言,盲签名值(SP, e′, r′)和与签名请求者C交互过程中产生的e是已知的,它们存在以下关系式:
; (1)
; (2)
。 (3)
虽然据式(2)可以求出β值,但是无法确定另外2个参数和,而在式(1)中即使已知参数,但是要求出将面对求解离散对数难题。所以,代理者根据签名值(SP, e′, r′)和交互过程中产生的e是无法确定参数和,也就无法推出代理者盲签名参数k,也就是说,已知代理盲签名(b, SP, e′, r′),但是,Bob并不知道哪次盲签名与这个签名相关联,所以,该方案具备不可跟踪性,属于无条件盲签名[15]。
2.4 不可否认性
代理签名人Bob一旦生成一个代理签名以后将不能否认自己的行为,因为代理签名(b, SP, e′, r′)是通过代理签名密钥产生的。其中:sB只有Bob自己掌握,除非sB被泄露。
2.5 签名消息的保密性
签名的消息对除请求签名者和指定的接收人外的其他人(包括代理签名人和原始签名人)保密。首先,其他人(除了请求签名者和指定的接收人)如果在不知道接收人密钥dV的情况下要从签名参数中的b()获得消息m是不可能的,将面临破译RSA公钥密码问题。若想通过接收人的公钥eV和nV求出密钥dV将面临大整数分解的困难性,在计算上是不可行的。
3 结 论
a. 基于Nicolosi等的two-party Schnorr签名方案,提出了一种指定接收人的代理盲签名方案。在该方案中采用two-party Schnorr签名方案生成代理密钥对,消息以密文的形式发送给代理签名者,并且代理签名人只能对发给指定接收人的消息进行代理签名。
b. 该方案具有以下主要优点:只有指定接收人才能验证和向第3方证实签名的有效性;除了签名请求者和指定的签名接收者外,签名的内容对包括代理签名人在内的其他人保密;间接地起到了对代理签名人的代理签名的监督,防止代理签名人滥用他们的代理签名权。
c. 该方案是安全高效的,可应用到电子货币、电子投票、电子拍卖等电子商务领域,解决它们在实际应用中存在的难题。
参考文献:
[1] Mambo M, Usuda K, Okamoto E. Proxy signatures: Delegation of the power to sign message[J]. IEICE Trans of Fundamentals, 1996, E79-A(9): 1338-1354.
[2] Mambo M, Usuda K, Okamoto E. Proxy signatures for delegation signing operation[C]//Proc of the 3rd ACM Conf on Computer and Communication Security. New York: ACM Press, 1996: 48-57.
[3] Chaum D. Blind signature systems[C]//Chaum D. Proceedings of the Crypto’83. New York: Springer-Verlag, 1998: 153-156.
[4] Chaum D, Fiat A, Naor M. Untraceable electronic cash[C]//Goldwasser S, ed. Proceedings of the Crypto’88. New York: Springer-Verlag, 1990: 319-327.
[5] Liu W D, Jan J K. A security personal learning tools using a proxy blind signature scheme[C]//Proceeding of International Conference on Chinese Language Computing. Illinois, 2000: 273-277.
[6] 戴佳筑, 杨小虎, 董金祥. 一种指定接收人的代理签名方案[J]. 浙江大学学报: 工学版, 2004, 38(11): 1422-1425.
DAI Jia-zhu, YANG Xiao-hu, DONG Jin-xiang. Designated-receiver proxy signature scheme[J]. Journal of Zhejiang University: Engineering Science, 2004, 38(11): 1422-1425.
[7] Nicolosi A, Krohn M, Dodis Y, et al. Proactive two-party signatures for user authentication[C]//Proceedings of 10th Annual Network and Distributed System Security Symposium. The Internet Society, 2003: 233-248.
[8] Wang G. Designated-verifier proxy signature schemes[C]// Security and Privacy in the Age of Ubiquitous Computing (IFIP/SEC 2005). Springer, 2005: 409-423.
[9] Huang Z, Wang Y. Convertible nominative signatures[C]//Proc. of Information Security and Privacy (ACISP’04). LNCS 3108. Springer-Verlag, 2004: 348-357.
[10] 谭作文, 刘卓军, 唐春明. 基于离散对数的代理盲签名[J]. 软件学报, 2003, 14(11): 1931-1935.
TAN Zuo-wen, LIU Zhuo-jun, TANG Chun-ming. A proxy blind signature scheme based on DLP[J]. Journal of Software, 2003, 14(11): 1931-1935.
[11] 王晓明, 符方伟. 可撤销匿名性的盲代理签名方案[J]. 计算机学报, 2003, 26(1): 51-54.
WANG Xiao-ming, FU Fang-wei. An anonymity-revoking blind proxy signature scheme[J]. Chinese Journal of Computers, 2003, 26(1): 51-54.
[12] Lal S, Awasthi A K. Proxy blind signature scheme[EB/OL]. http://eprint.iacr.org/2003/72.pdf.
[13] 戴佳筑, 杨小虎, 董金祥. 一种消息保密的代理签名方案[J]. 浙江大学学报: 工学版, 2005, 39(5): 701-704.
DAI Jia-zhu, YANG Xiao-hu, DONG Jin-xiang. Digital proxy signature scheme with privacy protection[J]. Journal of Zhejiang University: Engineering Science, 2005, 39(5): 701-704.
[14] Sun H M, Hsieh B T. On the security of some proxy signature schemes[EB/OL]. http://eprint.iacr.org/2003/068. pdf.
[15] Lee J Y, Cheon J H, Kim S. An analysis of proxy signatures: Is a secure channel necessary[C]//Topics in Cryptology. CT-RSA 2003, LNCS 2612. 2003: 68-79.
收稿日期:2007-04-10;修回日期:2007-05-28
基金项目:国家自然科学基金资助项目(60773013);湖南省自然科学基金资助项目(07JJ5078)
作者简介:施荣华(1963-),男,湖南常德人,教授,从事密码学和信息安全方面的研究
通信作者:汪秋国,男,硕士研究生;电话:13787793396;E-mail: wangqiuguo@yahoo.com.cn
