摘 要:基于双线性映射的隐藏身份签名方案不满足可开脱性和选择密文攻击(CCA)匿名性,而在RSA群上构造的隐藏身份签名方案具有较高的通信和运算耗费。为此,利用块消息签名技术实现了可开脱性,提出一个允许设置分布式打开权威的改进方案。改进方案通过将分布式密钥提取和可同时执行的知识证明技术应用于底层门限加密方案,有效地实现了对打开权威的权利分发。此外, 为了克服传统串行注册方式无法抵抗拒绝服务攻击的不足,利用承诺的知识证明技术将注册过程增强为满足并发安全性的协议。在随机预言模型下,改进方案可证满足所要求的所有安全性质。对比实验结果表明:改进方案的签名长度更短, 签名与验证算法开销更小,由可信服务器执行的门限解密过程是并发安全的且在自适应攻击者模型下满足可证安全性。
关键词:数字签名;群签名;基于身份的签名;知识证明;门限加密;自适应安全性
中图分类号: TP309.7 文献标志码:A
�
Hidden identity�based signature scheme with distributed open authorities
�
LIU Xin��1,2�*�
�(
1.School of Information Engineering, Shandong Youth University of Political Science, Jinan Shandong 250014, China�;��
2.School of Computer Science and Technology, Shandong University, Jinan Shandong 250101, China
)�
Abstract:
Hidden identity�based signature schemes from bilinear maps do not achieve exculpability and Chosen�Ciphertext Attack (CCA) anonymity, while schemes of this type built on RSA groups suffer from significant communication and computation overheads. Concerning this situation, an improved scheme with distributed open authorities was put forward, which satisfied exculpability by making use of the block messages signature. It achieved efficient distribution of the open authority by applying distributed key extraction and simultaneous proof of knowledge to the underlying threshold encryption scheme. Furthermore, to cope with the shortcomings of traditional serial registration, i.e., being vulnerable to the denial�of�service attack, its registration protocol was enhanced to be concurrent�secure by using the method of committed proof of knowledge. In the random oracle model, the proposed scheme could be proved to fulfill all the required properties. Performance comparison shows that the resultant signature is shorter and the algorithms (i.e., Sign and Verify) are more efficient. Moreover, the process of threshold decryption by trusted servers is proved to be concurrently�secure and it is also immune to adaptive adversaries.
�Key words:
digital signature; group signature; identity�based signature; knowledge proof; threshold encryption; adaptive security
�
0 引言�
群签名方案��[1]1,[2]427,[3]�的设计目标是向签名者提供可撤销的匿名性,且签名者有能力代表群体进行签名。在群签名方案中,通常设置两个管理员,其中群管理员(Group Manager, GM)负责加入新的成员,打开权威(Open Authority, OA)负责在发生争议时撤销原始签名者的匿名性。在2007年,Kiayias与Zhou��[4]136,[5]3�提出了所谓的隐藏身份签名(Hidden identity�Based Signature, Hidden�IBS)方案,并且指出此类方案特别适合于在匿名路由系统中提供可仲裁的匿名性。与普通的群签名方案相比,Hidden�IBS方案具备以下的独特性质,即:OA可以在不借助身份管理员(Identity Manager, IM)的条件下独立地打开争议签名。此外,由于Hidden�IBS方案对用户的IP地址与真实身份进行了绑定,因此一旦用户滥用自己的匿名性,OA可以将其身份(即IP地址)提供给匿名路由系统的运营商,而后者将在此后拒绝来自该IP地址的数据包。�
为了具体实现Hidden�IBS方案,Kiayias与Zhou��[4]140-142,[5]7-9�提出了基于双线性群的方案(简称KZ�Ⅰ方案)。该方案效率较高,且所得签名仅为约570字节。此外,由于注册协议采用了“单一消息以及签名回应”的2轮交互过程,因而直接满足并发加入的理想性质��[6]�。然而,KZ�Ⅰ方案的缺点是仅实现了较弱的CPA(Chosen�Plaintext Attack)匿名性(即可抵抗选择明文攻击的匿名性,该性质要求在安全性证明中不允许攻击者访问Open预言机),且未能实现可开脱性(即必须假设IM保持诚实),因而严重影响了其实用性。尽管Kiayias与Zhou��[5]14-15�随后追加了一个声称能实现CCA(Chosen�Ciphertext Attack)匿名性(即可抵抗选择密文攻击的匿名性)和可开脱性的方案(简称KZ�Ⅱ方案),但KZ�Ⅱ方案是在RSA
【:
作者回复:
RSA是密码学领域中的一个经典缩写,正是Rivest, Shamir, Adleman这三个人提出了最经典的RSA公钥密码体制。在密码学文献中大家都这样描述,不至于引起误解。若需要补充的话,可以描述为"RSA(Rivest-Shamir-Adleman)"。
类型的群上实现的,整体效率不高且并未提供安全性证明。此外,Kiayias与Zhou指出,可以在实际的Hidden�IBS系统中设置分布式的OA,但未能提供具体的方案。最近,Zhou与Lin��[1]13-14�以及Boyen与Waters��[2]432-433�分别提出了同样支持OA独立地打开争议群签名的方案
(以下分别简称
Zhou�Lin方案和Boyen�Waters方案)
,因此可以将它们归入Hidden�IBS的范畴。然而,Zhou�Lin方案的缺点是不支持并发加入且所得签名太长。Boyen�Waters方案同样不支持并发加入而且仅实现了较弱的安全性质(即仅满足CPA匿名性且未能实现可开脱性)。尽管Boyen�Waters方案是在标准模型下构造的,但该方案并不实用,这体现在所得签名的长度以及验证过程要求执行的对运算次数均与群成员数量的对数呈线性关系。�
综上,Hidden�IBS方案��[1]13-14,[2]432-433,[4]140-142,[5]7-9,13-14�并不完全令人满意,即尚未提出能同时满足以下性质的方案:�1)在双线性群上构造,�具有较高的效率且满足CCA匿名性与可开脱性;2)允许设置分布式的OA,即由分布式的可信服务器执行签名的打开算法;3)保持原始方案��[4]141�的并发加入性质,从而能有效防止互联网环境下的拒绝服务攻击��[7]62�。�
本文提出一个基于双线性群的改进方案,新方案的设计思路与特点如下:1)在KZ�Ⅰ方案中,IM借助Boneh�Boyen签名方案��[8]�为用户颁发成员证书,但Boneh�Boyen方案具有难以对涉及消息的操作与涉及签名私钥的操作进行分离的弱点,因此不易于实现可开脱性。本文方案使用块消息签名��[7]49-51�技术克服了这个弱点。2)为了实现分布式的OA,本文方案将CCA安全的Shoup�Gennaro门限加密方案��[9]�作为重要的底层模块。最近,Kiayias等��[10]62-68�提出了基于多服务器协议的Shoup�Gennaro门限解密方法。然而,该协议的缺点是解密服务器必须以顺序方式执行且要求做出仅存在静态攻击者的较强假设。本文方案利用Lysyanskaya��[11]3-5,10-14�的技术对Kiayias等的方法进行了增强,使得解密服务器可以以并发方式执行且允许存在更强的自适应攻击者��[12]�。3)通过引入承诺的证明技术��[11]�,实现了并发安全的成员注册协议。4)在随机预言模型下,改进方
1 预备知识�
1.1 Pedersen陷门承诺方案��
公共输入 1)(G�q,g,h),其中,G�q为素数q阶循环群,使得该群上的离散对数问题是难解的;g与h为群G�q的生成元,使得g与h相互间的离散对数是未知的。2)抗碰撞的散列函数H:{0,1}�*→Z�*�q。�
承诺 为了对秘密元素x进行承诺,承诺者选取�r∈�R Z�q,�向验证者发送c=g��H(x)�h�r。�
打开承诺 承诺者向验证者发送x与r,后者验证是否满足c=g��H(x)�h�r。�
文献[11]指出,若σ=��log���gh为承诺者所掌握,则上述方案就构成了陷门承诺方案。�
1.2 3轮诚实验证者的公开抛币零知识的知识证明系统�
3轮诚实验证者的公开抛币零知识的知识证�明(Three�round Honest�verifier Public�coin Zero�knowledge Proof of knowledge, THPZP)�系统��[13]�是由多项式时间算法对(P,V)定义的,其中P=(P�1,P�2)。�THPZP�系统的公共输入为�Pedersen�承诺方案实例(G�q,g,h)以及元素x∈�RG�q。证明者的输入为证据w,使得(w,x)∈R(R表示多项式时间可计算的关系)以及随机数r∈�R Z�q。�THPZP�系统的具体执行过程如下:�
1)证明者计算m�1=P�1(x,w,r),并向验证者发送m�1;�
2)验证者产生随机硬币∈�R Z�q,并返回作为挑战;�
3)证明者计算m�2=P�2(x,w,,r),并向验证者发送m�2;�
4)验证者输出Ver(x,m�1,,m�2)=�accept/reject。���
1.3 承诺的THPZP系统�
承诺的THPZP(Committed THPZP, C�THPZP)�系统��[11]3-5�是由多项式时间算法对(P,V)定义的,其中P=(P�1,P�2)。�C�THPZP�系统的公共输入为�Pedersen�承诺方案实例(G�q,g,h)。证明者的输入为证据w,使得(w,x)∈R,元素x∈�RG�q以及随机数r∈�R Z�q。验证者的目标是获得x并且判断证明者是否掌握证据w,使得(w,x)∈R。�C�THPZP�系统的具体执行过程如下:�