強(qiáng)指定驗(yàn)證者代理簽名的密碼學(xué)分析及改進(jìn)

張妮，奚雪峰，吳俊

（蘇州科技學(xué)院電子與信息工程學(xué)院，江蘇蘇州215009）

強(qiáng)指定驗(yàn)證者代理簽名的密碼學(xué)分析及改進(jìn)

張妮，奚雪峰，吳俊

（蘇州科技學(xué)院電子與信息工程學(xué)院，江蘇蘇州215009）

對(duì)文獻(xiàn)[12]提出的一個(gè)強(qiáng)指定驗(yàn)證者代理簽名方案進(jìn)行了安全性分析，指出該方案存在安全缺陷，不誠(chéng)實(shí)的代理簽名人能夠恢復(fù)出原始簽名人的私鑰，從而能偽造原始簽名人的簽名或授權(quán)。在原方案的基礎(chǔ)上提出了一個(gè)改進(jìn)的強(qiáng)指定驗(yàn)證者代理簽名方案，并對(duì)新方案的安全性和有效性進(jìn)行了分析。結(jié)果表明：新方案滿足可驗(yàn)證性和不可偽造性。

強(qiáng)指定驗(yàn)證者；代理簽名；不可偽造性

代理簽名（Proxy Signatures）的概念是在1996年由文獻(xiàn)[1]首先提出的，代理簽名是指原始簽名人可將其簽名權(quán)力委托給代理簽名人，代理簽名人就可以代替原始簽名人行使簽名權(quán)，在電子商務(wù)、移動(dòng)通信等領(lǐng)域有很好的應(yīng)用，受到國(guó)內(nèi)外密碼研究者的關(guān)注，文獻(xiàn)[2-8]相繼提出了一些代理簽名方案。在這些代理簽名方案中，任何能得到原始簽名人和代理簽名人公鑰的人都能對(duì)簽名消息的有效性進(jìn)行驗(yàn)證，然而，當(dāng)簽名的消息是一些比較敏感的信息時(shí)，原始簽名人希望只有他指定的驗(yàn)證者才能驗(yàn)證簽名的有效性，防止這些敏感信息被泄露。文獻(xiàn)[9]首次提出了能指定驗(yàn)證者的簽名方案。結(jié)合代理簽名的概念，文獻(xiàn)[10-14]提出了一些能指定驗(yàn)證者的代理簽名方案。這種代理簽名方案中代理簽名人不能追蹤其簽名的消息，簽名的消息內(nèi)容只有簽名者和其指定的驗(yàn)證者能查看，且只有被指定的驗(yàn)證者才能驗(yàn)證簽名的有效性。然而，經(jīng)過(guò)對(duì)文獻(xiàn)[12]提出的強(qiáng)指定驗(yàn)證者代理簽名方案（以下簡(jiǎn)稱X-W方案）安全性分析，發(fā)現(xiàn)該方案存在安全缺陷，不誠(chéng)實(shí)的代理簽名人能夠恢復(fù)出原始代理簽名人的私鑰，從而能偽造原始簽名人的簽名或授權(quán)，做原始簽名人所能做的一切事情。文中針對(duì)X-W方案的安全缺陷，提出了新的能指定驗(yàn)證人的代理簽名方案，解決原方案存在的安全漏洞。

1 X-W方案

1.1 系統(tǒng)設(shè)置

私鑰生成中心PKG選取橢圓曲線上階為q的加法循環(huán)群G1，其生成元是p，橢圓曲線上階為q的乘法循環(huán)群G2，并隨機(jī)選擇s∈Zq*作為系統(tǒng)主密鑰，計(jì)算Ppub=sP作為系統(tǒng)公鑰，令H1：G1×｛0，｝1*→Zq*， H2：，為密碼學(xué)單向哈希函數(shù)，PKG公開系統(tǒng)的參數(shù)為params={G1，G2，e，q，P， Ppub，H1，H2，H3}。

1.2 秘密鑰的提取

原始簽名者A，代理簽名者B，指定驗(yàn)證者C分別向私鑰生成中心PKG提交自己的身份IDA、IDP、IDC，則其公鑰分別為QIDA=H2（IDA），QIDP=H2（IDP），QIDC=H2（IDC）。PKG驗(yàn)證其身份，若身份相符，分別計(jì)算A、B、C的私鑰SIDA=sQIDA，SIDP=sQIDP，SIDA=sQIDC，并通過(guò)安全信道分別發(fā)給A、B、C。

1.3 方案的過(guò)程

（1）原始簽名者A用他的私鑰對(duì)授權(quán)信息mw（包括代理簽名者的身份ID、簽名授權(quán)的有效期限、需要簽名的信息范圍）進(jìn)行簽名，A隨機(jī)選取k∈Zq*計(jì)算R=kp，V=H3（mw，QIDP，R），Sw=VSIDA然后將簽名對(duì)（mw，R，Sw）通過(guò)安全信道返回給B。

（2）B接收到A的簽名之后，計(jì)算V=H3（mw，QIDP，R），并驗(yàn)證e（Sw，P）=e（VQIDP，Ppub）的有效性。代理簽名者B計(jì)算代理密鑰對(duì)為Spw=Sw+SIDP，Qpw=VQIDP+QIDP，其中Spw，Qpw分別是B的私鑰，公鑰。

（3）B計(jì)算r=e（QIDc，Spw），則生成的簽名為δ=H1（mp，r），然后將此簽名發(fā)給C。

（4）C接收到簽名之后，通過(guò)驗(yàn)證δ=H1（mp，e（VQIDP，SIDc））是否成立時(shí)，若等式成立，則接受此簽名。否則，拒絕簽名。

（5）C選擇消息m模擬指定驗(yàn)證者的代理簽名生成另一個(gè)簽名，通過(guò)計(jì)算r′=e（Qpw，SIDc），則生成的簽名為δ′=H1（mp，r′）。顯然，δ′=H1（m，e（Qpw，SIDc）），驗(yàn)證通過(guò)。

2 X-W方案的安全性分析

2.1 安全性分析

在原方案中，原始簽名人A先計(jì)算了V=H3（mw，QIDP，R）和其簽名之后，將（mw，R，Sw）發(fā)送給代理簽名人B。代理簽名人B獲得了mw和R，由于QIDP、H3是公開的，代理簽名人B首先計(jì)算出V=（mw，QIDP，R）（注：H3：｛0，｝1*→Zq*，所以V∈Zq*），然后計(jì)算出H3（mw，QIDP，R）的逆H3（mw，QIDP，R）-1∈Zq*。最后，代理簽名人B從原始簽名人A發(fā)給他的簽名（mw，R，Sw）中提取出Sw∈G1后，就能計(jì)算出H3（mw，QIDP，R）-1Sw=SIDA

2.2 對(duì)X-W方案算法的攻擊

假設(shè)B*是一個(gè)不誠(chéng)實(shí)惡意的代理簽名人，他可以隨意改變授權(quán)證書W的內(nèi)容，濫用簽名權(quán)，通過(guò)以下步驟偽造一個(gè)原始簽名人A無(wú)法否認(rèn)的有效代理簽名：（1）原始簽名者A對(duì)授權(quán)信息mw進(jìn)行簽名。A計(jì)算一個(gè)短簽名Sw=VSIDA，然后將（mw，R，Sw）發(fā)送給B*；（2）B*驗(yàn)證e（Sw，P）=e（VQIDA

，Ppub）是否成立，若成立B*計(jì)算：H3（mw，QIDP，R）-1∈Zq*，進(jìn)而計(jì)算出；（3）B*隨意產(chǎn)生授權(quán)信息，進(jìn)而計(jì)算出代理簽名密鑰Spw=Sw+SIDP。

接下來(lái)，不誠(chéng)實(shí)惡意的代理簽名人B*利用代理密鑰Spw，執(zhí)行代理簽名算法計(jì)算出對(duì)任意消息m′的代理簽名δ=H1（m′，r）。由于

簽名δ=H1（m′，r）可以通過(guò)驗(yàn)證者的驗(yàn)證。

由此可見，原始簽名者A把代理授權(quán)參數(shù)（mw、QIDP、Sw）秘密傳遞給代理簽名者，不誠(chéng)實(shí)的代理簽名者B*可以隨意更改代理授權(quán)信息mw的內(nèi)容，在任何時(shí)候?qū)θ魏畏欠ㄐ畔⑦M(jìn)行代理簽名，而接受者通過(guò)驗(yàn)證將認(rèn)為該簽名有效，這嚴(yán)重侵害了原始簽名人的利益。

3 改進(jìn)的方案

為了克服上述的安全缺陷，原始簽名者A在生成代理密鑰時(shí)，應(yīng)嚴(yán)格保護(hù)自己的私鑰。筆者在尊重原方案的基礎(chǔ)上，對(duì)原方案作了改進(jìn)。其中系統(tǒng)設(shè)置和密鑰的提取同原方案。具體過(guò)程如下：

（1）原始簽名者A用他的私鑰對(duì)授權(quán)信息mw（包括代理簽名者的身份ID、簽名授權(quán)的有效期限、需要簽名的信息范圍）進(jìn)行簽名，A隨機(jī)選取k∈Zq*計(jì)算然后將簽名對(duì)（mw，R，Sw）通過(guò)安全信道返回給B；（2）B接收到A的簽名之后，計(jì)算，并驗(yàn)證的有效性。即計(jì)算

若簽名有效，代理簽名者B計(jì)算出代理秘鑰Spw=Sw+SIDP和公鑰Qpw=VQIDA＋QIDP+R，否則，終止代理過(guò)程；（3）代理簽名者B計(jì)算r=e（QIDc，Sw），則生成的最終簽名為δ=H1（m，r），然后將此簽名發(fā)給指定驗(yàn)證者C；（4）指定驗(yàn)證者C接收到代理簽名之后，驗(yàn)證δ=H1（m，e（Qpw，SIDc））是否成立，若成立，則接受此簽名，否則拒絕；（5）指定驗(yàn)證者C選擇消息m模擬指定驗(yàn)證者的代理簽名生成另一個(gè)簽名，通過(guò)計(jì)算r′=e（Qpw，SIDc），生成簽名δ′=H1（m，r′）。

4 改進(jìn)后方案的安全性分析

4.1 正確性

只需驗(yàn)證r是否等于e（SIDc，Qpw），如果相等，則有δ=H1（m，e（Qpw，SIDc））=H1（m，r），說(shuō)明簽名是正確。驗(yàn)證過(guò)程如下因此，δ＝H1（m，e（QIDc，Spw））=H1（m，e（Qpw，SIDc））=H1（m，r）。代理簽名者B生成的簽名δ=H1（m，r）總能被指定驗(yàn)證者C接受。改進(jìn)后的代理簽名方案是正確的。

4.2 安全性

4.2.1 可驗(yàn)證性對(duì)于消息m，必須通過(guò)計(jì)算δ=H1（m，e（Qpw，SIDc））來(lái)驗(yàn)證簽名的正確性，驗(yàn)證過(guò)程除了指定驗(yàn)證者C的私鑰SIDc其他參數(shù)都是公開的，指定驗(yàn)證者C通過(guò)驗(yàn)證等式e（QIPC，Spw）=e（Qpw，SIDc），從而驗(yàn)證簽名的有效性。而且從授權(quán)信息mw中可以獲知原始簽名人A對(duì)所簽的消息是認(rèn)可的。

4.2.2 不可為造性除了PKG指定驗(yàn)證者C之外，任何人都不可能對(duì)消息m偽造一個(gè)有效的簽名。攻擊者想要得到代理簽名的私有密鑰Spw=Sw+SIDP，必須獲得SIDP，他需要知道s。s被PKG秘密保存，通過(guò)Ppub=sP得到s相當(dāng)于求解離散對(duì)數(shù)問(wèn)題DLP。普通攻擊者不知道原始簽者A的私有密鑰和代理簽名者B的私有密鑰SIDP，無(wú)法計(jì)算出Sw，更不能計(jì)算出代理密鑰Spw，因此，也就無(wú)法偽造代理簽名。原始簽名者A不知道代理簽名者B的私有密鑰SIDP，無(wú)法計(jì)算代理密鑰Spw，也無(wú)法偽造消息m的代理簽名。代理簽名者B不知道原始簽名者A的私有密鑰（k，SIDA），想從等式中解出k相當(dāng)于求橢圓曲線的離散對(duì)數(shù)問(wèn)題，因此，他無(wú)法計(jì)算出Sw，也就無(wú)法偽造原始簽名者A的授權(quán)。因此，只有代理簽名者B才能產(chǎn)生有效的代理簽名，原始簽名者A和沒有被指定為代理簽名人的任何第三方，都不能產(chǎn)生，更不能偽造一個(gè)有效的代理簽名。

4.2.3 不可否認(rèn)性代理簽名者B生成代理簽名密鑰Spw，密鑰Spw中有代理簽名者B的私鑰SIDP，除了B，其他任何人都無(wú)法得到B的私鑰SIDP，因此，一旦代理簽名者B完成了對(duì)消息的有效簽名后，他就不能否認(rèn)自己的簽名。

4.3 效率分析

有關(guān)符號(hào)的定義參照X-W方案（|p|=1 024 bits，|q|= 160 bits）。經(jīng)分析，改進(jìn)方案只在驗(yàn)證階段增加了1|p|=1 024 bits，而代理密鑰生成和代理簽名的計(jì)算復(fù)雜度與X-W方案一致。因此，改進(jìn)方案的簽名長(zhǎng)度為|p|+|q|，而文獻(xiàn)[15]的簽名是（rp，c，s，t），其中，c，s，t∈Zq*，rp∈Zq*，簽名長(zhǎng)度為3|q|+|p|。改進(jìn)方案雖然比X-W方案的簽名長(zhǎng)度長(zhǎng)，但仍比文獻(xiàn)[15]方案的簽名長(zhǎng)度短，且安全性得到了提高。分析結(jié)果見表1。

表1 不同方案的性能比較

5 結(jié)語(yǔ)

針對(duì)文獻(xiàn)[12]提出的基于身份的強(qiáng)指定驗(yàn)證者代理簽名方案進(jìn)行了安全性分析，通過(guò)對(duì)該方案的攻擊，發(fā)現(xiàn)一個(gè)不誠(chéng)實(shí)惡意的代理簽名人可以偽造一個(gè)原始簽名人無(wú)法否認(rèn)的有效代理簽名，可以在任何時(shí)候?qū)θ魏畏欠ㄐ畔⑦M(jìn)行代理簽名，該簽名能通過(guò)接受者的驗(yàn)證，侵害了原始簽名人的利益。為了克服上述的安全缺陷，在尊重原方案的基礎(chǔ)上，對(duì)原方案做了改進(jìn)，代理簽名人可以代表原始簽名人對(duì)消息進(jìn)行簽名，只有指定的驗(yàn)證者能驗(yàn)證代理簽名的有效性，保證了消息的可認(rèn)證性和數(shù)據(jù)的完整性。經(jīng)分析表明，改進(jìn)方案能具有簽名的可驗(yàn)證性和不可偽造性，且效率也較高。

[1]Mambo M，Usuda K，Okamoto E.Proxy signatures：delegation of the power to sign messages[J].IEICE Transactions on Fundamentals of Electronics，Communications and Computer Sciences，1996，E79-A（9）：1338-1354.

[2]Du Hongzhen，Wen Qiaoyan.Efficient certificateless designated verifier signatures and proxy signatures[J].Chinese Journal of Electronics，2009，18（1）：95-100.

[3]陳海濱，楊曉元，梁中銀，等.一種無(wú)證書的前項(xiàng)安全代理簽名方案[J].計(jì)算機(jī)工程，2010，36（2）：156-157，160.

[4]余磊.一種基于格的代理簽名方案[J].計(jì)算機(jī)工程，2013，39（10）：123-126.

[5]YANG Changhai.Analysis and improvement of two certificateless proxy signature schemes[J].Computer Engineering and Applications，2011，47（15）：101-103.

[6]張建中，魏春艷.一種新的無(wú)證書代理簽名方案[J].計(jì)算機(jī)工程，2010，36（10）：168-169.

[7]申軍偉，楊曉元，梁中銀，等.一種新的無(wú)證書代理簽名方案的分析與改進(jìn)[J].計(jì)算機(jī)工程與應(yīng)用，2010，46（8）：96-98.

[8]崔濤，劉培玉，王珍，等.前向安全的指定驗(yàn)證者（t，n）門限代理簽名方案[J].小型微型計(jì)算機(jī)系，2014，35（5）：1055-1060.

[9]Jacobson M，Sako K，Impagliazzo K R.Designated verifier proofs and their applications[C]//Proc of EUROCRYPT’96.[S.l.]：Springer-Verlag，1996：143-154.

[10]Dai Jiazhu，Yang Xiaohu，Dong Jinxiang.Designated receiver proxy signature scheme for electron commerce[C]//Proc of IEEE International Conference on Systems，Man and Cinematic.[S.l.]：IEEE Press，2003：384-389.

[11]Wang Guilin.Designated verifier proxy signatures for ecommerce[C]//Proc of IEEE International Conference on Multimedia and Expo Piscataway，USA：IEEE Press，2004.

[12]向新銀，王曉峰，王尚平，等.新的基于身份的強(qiáng)指定驗(yàn)證者代理簽名方案[J].計(jì)算機(jī)工程與應(yīng)用，2007，43（1）：130-131.

[13]梁景玲，高德智，張?jiān)?，?一種具有指定驗(yàn)證者的高效代理簽名方案[J].計(jì)算機(jī)工程，2012，38（7）：105-106.

[14]崔濤，劉培玉.前向安全的指定驗(yàn)證者代理簽名方案[J].計(jì)算機(jī)工程，2013，39（4）：177-179.

[15]Wang G.Designated-verifier proxy signature schemes[C]//Security and Privacy in the Age of Ubiquitous Computing（IFIP/SBC 2005），2005：409-423.

Cryptanalysis and improvement of strongly designated verifier proxy signature scheme

ZHANG Ni，XI Xuefeng，WU Jun
（School of Electronic&Information Engineering，SUST，Suzhou 215009，China）

Through security analysis of strongly designated verifier proxy scheme proposed by Xiang et al，we found that their scheme had security leaks.The proxy signer can recover the original signer's private key and forge the signing capabilities of the original signer.On the basis of their scheme，we proposed an improved strongly designated verifier proxy signature scheme and analyzed its security and efficiency.The result shows that this improved scheme can satisfy the verifiability and unforgeability.

strongly designated verifier；proxy signature；unforgeability

TP309

A

1672－0687（2015）03－0056－04

責(zé)任編輯：艾淑艷

2014－11－03

蘇州科技學(xué)院院科研基金資助項(xiàng)目（341111607）

張妮（1977-），女，陜西渭南人，講師，碩士，研究方向：信息安全與密碼學(xué)。