一個(gè)無(wú)可信中心的門(mén)限群簽名方案

尚光龍，曾雪松

(信陽(yáng)職業(yè)技術(shù)學(xué)院數(shù)學(xué)與計(jì)算機(jī)科學(xué)學(xué)院,河南 信陽(yáng) 464000)

一個(gè)無(wú)可信中心的門(mén)限群簽名方案

尚光龍，曾雪松

(信陽(yáng)職業(yè)技術(shù)學(xué)院數(shù)學(xué)與計(jì)算機(jī)科學(xué)學(xué)院,河南 信陽(yáng) 464000)

目的 傳統(tǒng)門(mén)限群簽名方案一般都依賴于可信中心生成基本參數(shù)，然而，現(xiàn)實(shí)中的可信中心不一定是完全可信的。為提高門(mén)限簽名的安全性，對(duì)無(wú)可信中心的門(mén)限群簽名進(jìn)行安全機(jī)制探討。方法 在沒(méi)有可信中心的前提下，基于分布式的RSA秘鑰產(chǎn)生協(xié)議，生成RSA密碼體制相關(guān)參數(shù)。根據(jù)門(mén)限群簽名機(jī)制，簽名群中參與簽名成員生成部門(mén)簽名，并通過(guò)組合部分簽名生成門(mén)限群簽名，簽名驗(yàn)證者驗(yàn)證群簽名的有效性。對(duì)簽名方案的安全性和運(yùn)算量進(jìn)行分析，論證方案的安全性。結(jié)果 通過(guò)分布式秘鑰產(chǎn)生協(xié)議生成的RSA密碼參數(shù)能夠安全實(shí)現(xiàn)門(mén)限群簽名，該簽名完全有效并具備較高的安全性，簽名機(jī)制能夠抵御抗合謀攻擊和偽造簽名攻擊，符合門(mén)限群簽名的安全性要求。結(jié)論 分析論證表明，基于分布式秘鑰生成協(xié)議和Shamir門(mén)限機(jī)制提出的無(wú)可信中心的門(mén)限群簽名方案，克服了傳統(tǒng)門(mén)限群簽名過(guò)于依賴可信中心的弊端，提高了門(mén)限群簽名的安全性，是一個(gè)符合門(mén)限機(jī)制、安全性增強(qiáng)的群簽名方案，具有一定的理論和應(yīng)用價(jià)值。

可信中心；門(mén)限機(jī)制；群簽名

0 引 言

一般地，門(mén)限群簽名相關(guān)參數(shù)的生成都是借助于可信的第三方TA來(lái)完成的[1-7]，然而現(xiàn)實(shí)中沒(méi)有絕對(duì)可信的TA，仍舊存在可能的聯(lián)合偽造簽名問(wèn)題。為此，本文基于Boneh等學(xué)者提出的分布式RSA密鑰產(chǎn)生協(xié)議，解決RSA模數(shù)N和簽名者私鑰di的生成和初始化問(wèn)題，并在學(xué)術(shù)界已有方案[8-14]的基礎(chǔ)上，提出了一個(gè)無(wú)可信中心的門(mén)限群簽名方案。

1 生成參數(shù)

設(shè)G={P1,P2,…，Pn}為有n個(gè)成員的群，G的子群G′={P1,P2,…，Pt}有t個(gè)成員，為簽名群。設(shè)待簽名消息為m，H為一個(gè)強(qiáng)單向安全哈希函數(shù)；每一個(gè)群成員Pi隨機(jī)選取互異的IDi∈ZN作為自己的身份標(biāo)識(shí)并通過(guò)安全信道廣播給其他群成員；群成員合作生成RSA模數(shù)N=pq(p、q是秘密素?cái)?shù))，并公開(kāi)N。此外，給定一個(gè)公開(kāi)的加密指數(shù)e，群成員執(zhí)行分布式RSA密鑰產(chǎn)生協(xié)議[8]得到私鑰d的碎片信息di(i=1,2,…,n)，算法如下：

(1)生成候選參數(shù)

①每個(gè)參與者Pi秘密選擇一個(gè)n-bit的整數(shù)pi；

②利用分布式計(jì)算協(xié)議，n個(gè)成員確定p=p1+p2+…+pn不能被一個(gè)下界為B的小素?cái)?shù)整除，否則返回①。同理，確定；q=q1+q2+…+qn。

(2)計(jì)算N

在維護(hù)pi和qi安全性的前提下，所有成員合作計(jì)算N=(p1+p2+…+pn)·(q1+q2+…+qn)；假設(shè)存在大素?cái)?shù)P使得P>(t2n)2>N，則N的計(jì)算步驟如下：

①令l=[(n-1)/2]簽名參與者Pi隨機(jī)選取2個(gè)度數(shù)為l的多項(xiàng)式fi,gi∈Zp[x](fi(0)=pi,gi(0)=qi)， 另外， 隨機(jī)選取一個(gè)度數(shù)為2l的多項(xiàng)式hi∈ZP并滿足hi(0)=0；

②每個(gè)群成員Pi計(jì)算pi,j=fi(j)，qi,j=gi(j)，hi,j=hi(j)，(j=1,2,…,n)，然后將三元組?pi,j,qi,j,hi,j?通過(guò)安全信道秘密發(fā)送給成員Pj；

(3)素性檢測(cè)

所有成員合作驗(yàn)證N是否確實(shí)是2個(gè)素?cái)?shù)的乘積，若不是，則重新執(zhí)行步驟(1)。

檢測(cè)過(guò)程如下：

②成員P1計(jì)算g在N上的Jacobi符號(hào)， 如果(g/N)≠1， 則返回①重新選取g；

證明：因?yàn)镹=pq，且p=p1+p2+…，pn，q=q1+q2+…，qn，由整數(shù)分解的唯一性可知，p和q是素?cái)?shù)， 因而N是2個(gè)大素?cái)?shù)的乘積。

(4)Φ(N)的共享

(5)私鑰d的產(chǎn)生與共享

給定公開(kāi)的加密指數(shù)e，群成員分布式計(jì)算解密指數(shù)d和被全體成員分存的秘密份額di， 但d不能顯式出現(xiàn)， 對(duì)群成員是不可見(jiàn)的。

di計(jì)算步驟如下：

①每個(gè)成員Pi隨機(jī)選取ri∈Ze；

②所有成員計(jì)算ψ=(∑ri)·(∑Φi(N))mode； 如果ψ對(duì)于模e是不可逆的， 則返回①重新選取ri；

③每個(gè)成員Pi獨(dú)立計(jì)算ξ=riψ-1mode， 則由上式可得∑ξi=(∑ri)·ψ-1=Φ-1(N)mode。 因此， 所有成員沒(méi)有泄露其秘密份額Φ-1(N)mode的任何信息;

2 部分簽名的生成和組合

生成部分簽名

sigi=H(R,m,G′)dimodN

并通過(guò)安全信道將(ri,sigi)秘密發(fā)送給簽名合成者DC。DC收到所有的(ri,sigi)后， 生成消息m的群簽名(R,Sig,G′)，其中

3 群簽名的驗(yàn)證

驗(yàn)證者只需用群公鑰e來(lái)驗(yàn)證下式是否成立

Sige≡H(R,m,G′)modN

證明：

故群簽名有效。

4 方案分析

(1)安全性分析

在方案中，由于p=p1+p2+…+pn，q=q1+q2+…+qn， 其中pi和qi均為簽名參與者秘密選取的參數(shù)， 因此攻擊者要想獲取p和q只能有兩種方法： ①分解大整數(shù)N； ②攻破Shamir門(mén)限方案，n個(gè)成員合謀恢復(fù)p和q。 而這些途徑在現(xiàn)有計(jì)算能力下均是不可行的。另外由d的產(chǎn)生過(guò)程可知， 任何少于t人的群體要想求出私鑰d，都需要求出Φ(N)=(p-1)(q-1)與-Φ-1(N)mode， 而Φ(N)和-Φ-1(N)mode是通過(guò)Shamir門(mén)限方案共享的，攻破Shamir門(mén)限方案在現(xiàn)有計(jì)算能力下缺乏可行性。因此本方案能抗合謀攻擊和偽造簽名攻擊。

(2)方案的計(jì)算量分析

為計(jì)算方便，假定乘法運(yùn)算用M來(lái)表示，哈希運(yùn)算用H來(lái)表示，指數(shù)運(yùn)算用Exp來(lái)表示，加法運(yùn)算用A來(lái)表示，拉格朗日插值運(yùn)算用Lag來(lái)表示，Jacobi符號(hào)運(yùn)算用Jac來(lái)表示，方案的算法復(fù)雜性統(tǒng)計(jì)見(jiàn)表1：

表1 計(jì)算量統(tǒng)計(jì)

5 結(jié) 論

基于分布式的RSA秘鑰產(chǎn)生協(xié)議，不同于傳統(tǒng)的依賴可信中心的門(mén)限群簽名方案。本文提出了一個(gè)無(wú)可信中心的門(mén)限群簽名方案，解決了RSA模數(shù)簽名私鑰的生成問(wèn)題，并對(duì)模數(shù)進(jìn)行了素性檢測(cè)，對(duì)簽名私鑰不能被簽名群成員偽造這一安全性進(jìn)行了分析證明，并據(jù)此按照部分簽名的生成和組合、群簽名的生成和驗(yàn)證實(shí)現(xiàn)了整個(gè)簽名方案。通過(guò)方案分析和定理證明，由于RSA加密體制和Shamir門(mén)限方案的良好安全性能，具有較好的抗合某攻擊和抗偽造簽名攻擊性能；在發(fā)生簽名糾紛時(shí)，方案還具有身份追蹤性能，解決了身份追蹤問(wèn)題；最后對(duì)整個(gè)方案進(jìn)行了計(jì)算量分析，分析表明，方案滿足群簽名方案的安全性要求和低計(jì)算量要求，具有一定的研究和應(yīng)用價(jià)值，是一個(gè)安全可行的門(mén)限群簽名方案。

[1]張福泰,張方國(guó),王育民.群簽名及其應(yīng)用[J].通信學(xué)報(bào),2001(01):77-85.

[2]張鍵紅,伍前紅,鄒建成,等.一種高效的群簽名[J].電子學(xué)報(bào).2005(06):1113-1115.

[3]王海艷,王汝傳.群簽名方案之比較研究[J].計(jì)算機(jī)應(yīng)用研究，2005(10):93-95.

[4]李鳳銀,禹繼國(guó),鞠宏偉.一種基于RSA的群簽名方案[J].計(jì)算機(jī)工程與設(shè)計(jì)，2006(08):2955-2957.

[5]CROFTRA,HARRISSP.Public-keycryptographyandre-usablesharedsecrets[J].CryptogrCoding,1989:16(06):24-32.

[6]DESMEDTY,FRANKELY.Thresholdcryptosystems[J].OnAdvancesinCryptology,1989,435:307-315.

[7]HEJ,DAWSONE.Multistagesecretsharingbasedonone-wayfunction[J].ElectronLett,1994,30(19):1591-1592.

[8]HARNL.Grouporientedthresholddigitalsignatureschemaandmultisignature[J].IEEproceed-CompDigitalTech,1994,141(05):307-313.

[9]LIZC,ZHANGJM,LuoJ,etal.Grouporiented(t,n)thresholddigitalsignatureschemeswithtraceablesigners[C]//ProceedingsoftopicsinElectroniccommerce:secondinternationalsymposium.Berlin:SpringerVerlag,2001:57-69.

[10]YASUAKII,NAKANOSB.TheparallelFDFMprocessorcoreapproachforCRT-basedRSAdecryption[J].InternJNetwComput,2012(02):79-96.

[11]肖振久,胡馳,陳虹.改進(jìn)的RSA算法在數(shù)字簽名中的應(yīng)用[J].計(jì)算機(jī)工程與應(yīng)用，2014，50(17):106-109.

[12]王明文,朱清新,卿利,等.無(wú)可信中心的(t,k)門(mén)限RSA數(shù)字簽名體制[J].華中科技大學(xué)學(xué)報(bào)(自然科學(xué)版)，2006,34(06):33-35.

[13]王斌,李建華.無(wú)可信中心的(t,n)門(mén)限簽名方案[J].計(jì)算機(jī)學(xué)報(bào)，2003，26(11):1581-1584.

[14]王斌,潘皓東,李建華.一種安全的(t,m)門(mén)限群簽名方案[J].上海交通大學(xué)學(xué)報(bào)，2002，36(09):1333-1336.

[責(zé)任編輯：關(guān)金玉 英文編輯：劉彥哲]

Threshold Group Signature Scheme Without TA

SHANG Guang-long,ZENG Xue-song

(School of Mathematics and Computer Science,Xinyang Vocational Technical College,Xinyang,Henan 464000,China)

Objective In a general way,the threshold group signature scheme depends the TA to generate the parameters.However,the TA is not necessarily to be fully trusted in reality.To increase the security of threshold signature,the security mechanism of threshold group signature without the trusted center is discussed.Methods Without the trusted center,the distributed protocol is based on to generate the RSA keys.Under this mechanism,each participant completes the part-signature and the signature by combining the part-signature and the signature verifier to verify the validity of the group signature.At last,the computational complexity of the scheme is analyzed and the security of the scheme is demonstrated.Results Analysis shows that this scheme can implement threshold group signature and the signature is fully effective with high security;this signature scheme can resist collusion attack and forgery signature attack,and meet the security requirements of threshold group signature. Conclusion The analysis shows that the scheme overcomes the traditional disadvantages of the traditional threshold group signature which is too dependent on the TA,and improves the security of threshold group signature.So,it is a safe and feasible threshold group signature scheme,which has certain theoretical and practical value.

TA;threshold mechanism;group signature

河南省科技廳重點(diǎn)科技攻關(guān)項(xiàng)目(142102210331)

尚光龍(1979-)，男，河南南陽(yáng)人，講師，碩士研究生，主要研究方向?yàn)樾畔踩?、密碼學(xué)。

TP

A

10.3969/j.issn.1673-1492.2017.05.002

來(lái)稿日期：2016-08-30