基于無(wú)證書密碼體制的失敗-停止環(huán)簽名方案

張玉磊,宋婷婷,張永潔,王彩芬

(1.西北師范大學(xué) 計(jì)算機(jī)科學(xué)與工程學(xué)院,蘭州 730070; 2.甘肅衛(wèi)生職業(yè)學(xué)院,蘭州 730070;3.深圳技術(shù)大學(xué) 大數(shù)據(jù)和網(wǎng)絡(luò)學(xué)院,廣東 深圳 518000)

0 概述

隨著互聯(lián)網(wǎng)中隱私保護(hù)技術(shù)的發(fā)展,環(huán)簽名因具有強(qiáng)匿名性且能夠?qū)τ脩綦[私信息提供有效保護(hù),而在車聯(lián)網(wǎng)、區(qū)塊鏈和數(shù)字貨幣等領(lǐng)域得到廣泛應(yīng)用。2001年,RIVEST等人[1]在亞密會(huì)上提出環(huán)簽名思想。與群簽名相比,環(huán)簽名只有環(huán)成員而不存在管理者角色,即使沒(méi)有環(huán)成員間的合作也能順利完成簽名,即某個(gè)可能的簽名人生成的簽名均可由任意驗(yàn)證者在不知道簽名者身份的情況下利用公鑰進(jìn)行驗(yàn)證,不僅可實(shí)現(xiàn)對(duì)簽名消息的驗(yàn)證,而且保護(hù)了簽名者的身份。由于環(huán)簽名成員身份的模糊性、自發(fā)性和靈活的群結(jié)構(gòu),因此其被廣泛應(yīng)用于Ad Hoc網(wǎng)絡(luò)認(rèn)證、匿名選舉和區(qū)塊鏈等[2-4]應(yīng)用場(chǎng)景,已成為隱私保護(hù)的重要方式。

為滿足車聯(lián)網(wǎng)、區(qū)塊鏈等應(yīng)用場(chǎng)景的安全性需求,環(huán)簽名也衍生出多種簽名形式。2018年,李佩麗等人[5]提出區(qū)塊鏈技術(shù)在網(wǎng)絡(luò)互助中的應(yīng)用及用戶隱私保護(hù)方案,張凡等人[6]提出基于Borromean環(huán)簽名的隱私數(shù)據(jù)認(rèn)證方案。2019年,任艷麗等人[7]提出基于門限環(huán)簽名的可刪除區(qū)塊鏈。他們都將環(huán)簽名的思想應(yīng)用到區(qū)塊鏈中,充分發(fā)揮了環(huán)簽名的無(wú)條件匿名性和不可追蹤性。隨著攻擊者能力的增強(qiáng),為防止具有強(qiáng)計(jì)算能力的攻擊者成功偽造簽名,WILLY等人[8-10]提出失敗-停止簽名方案。失敗-停止方案的優(yōu)勢(shì)在于即使有非常強(qiáng)的對(duì)手偽造簽名,簽名者也能以絕對(duì)概率證明簽名是偽造的,與此同時(shí)還能中斷偽造者的后續(xù)操作。2014年,YAMAKAWA等人[11]提出基于因子分解的短失敗-停止簽名方案,基于因子分解的簽名方案通常都具有可靠性高的特點(diǎn),但是簽名長(zhǎng)度需大于n,其中n為底層復(fù)合數(shù)長(zhǎng)度。2018年,HSU等人[12]在群簽名基礎(chǔ)上增加失敗-停止特性提出失敗-停止群簽名方案,但是群簽名自身簽名特性的缺陷導(dǎo)致在使用過(guò)程中的匿名安全性較低。在某些特定簽名環(huán)境下,需要知道兩個(gè)簽名是否由同一個(gè)簽名者產(chǎn)生,既保護(hù)了個(gè)人隱私,又避免了重復(fù)簽名,為此LIU等人[13-14]提出關(guān)聯(lián)環(huán)簽名方案(LSAG)的初步概念。之后可自主選擇關(guān)聯(lián)性在一些方案中開(kāi)始逐步應(yīng)用,例如張瑞麗等人[15]于2014年提出的基于可鏈接環(huán)簽名的電子消費(fèi)方案,AU等人[16]于2013年提出的基于安全I(xiàn)D的可鏈接可撤銷環(huán)簽名以及張文芳等人[17]于2017年提出的基于RSA公鑰密碼體制和曹素珍等人[18]于2019年提出的基于DLP的可選擇可轉(zhuǎn)換關(guān)聯(lián)環(huán)簽名方案。上述方案都給傳統(tǒng)數(shù)字簽名增加了新的特征,使其能夠更好地適應(yīng)復(fù)雜的簽名場(chǎng)景,但是上述方案存在證書管理開(kāi)銷大和密鑰保管安全性低等問(wèn)題,因此數(shù)字簽名在使用過(guò)程中受到了一定的限制。

無(wú)證書密碼體制有效解決了身份密碼體制中的密鑰托管問(wèn)題和公鑰密碼體制中的證書管理問(wèn)題,即簽名私鑰由密鑰生成中心(Key Generation Center,KGC)和簽名用戶共同產(chǎn)生。一直以來(lái)很多學(xué)者對(duì)此做了大量研究和探索并取得了顯著成果,例如CHANG等人[19]于2009年提出的無(wú)證書門限環(huán)簽名方案和劉純璐等人[20]于2019年提出的關(guān)聯(lián)無(wú)證書環(huán)簽名方案。本文方案結(jié)合無(wú)證書密碼體制、環(huán)簽名和失敗-停止簽名的優(yōu)勢(shì),設(shè)計(jì)一種基于無(wú)證書密碼體制的失敗-停止環(huán)簽名方案。該方案增加了可選擇關(guān)聯(lián)性,并且由于在密鑰產(chǎn)生過(guò)程中去除了群管理員的參與,整個(gè)簽名過(guò)程由簽名者獨(dú)立完成,因此提高了方案安全性,這對(duì)于需要強(qiáng)匿名性的電子投票、匿名選舉等應(yīng)用場(chǎng)景顯得尤為重要。

1 無(wú)證書失敗-停止環(huán)簽名方案

1.1 無(wú)證書失敗-停止環(huán)簽名形式化定義

無(wú)證書失敗-停止環(huán)簽名方案的參與者包括密鑰產(chǎn)生中心KGC、環(huán)成員ui(i=1,2,…,n)、實(shí)際簽名者us和簽名驗(yàn)證者uv。簽名過(guò)程由初始化算法Setup、部分密鑰提取算法Genkeypart、秘密值生成算法Genkeysecret、私鑰生成算法Genkeysk、公鑰生成算法Genkenpk、簽名算法Ringsign和簽名驗(yàn)證算法Vertify這7個(gè)算法組成。

1)初始化算法Setup:輸入安全參數(shù)k,得到安全參數(shù)集合params,并且公開(kāi)params。

2)部分密鑰提取算法Genkeypart:根據(jù)給定的環(huán)簽名用戶身份IDi,密鑰產(chǎn)生中心計(jì)算出部分密鑰bi,并且將bi發(fā)送給環(huán)簽名用戶。

3)秘密值生成算法Genkeysecret:用戶隨機(jī)選擇秘密值xi。

4)私鑰生成算法Genkeysk:環(huán)簽名用戶收到部分私鑰和秘密值,并且令ski為簽名私鑰。

5)公鑰生成算法Genkenpk:根據(jù)用戶私鑰計(jì)算公鑰pki并公開(kāi)pki。

6)環(huán)簽名算法Ringsign(m,n,L,sks):輸入待簽名消息m,環(huán)成員數(shù)量n,公鑰集合L和簽名者私鑰sks,最后輸出消息m的簽名σ。

7)驗(yàn)證算法Vertify(m,n,L,σ):簽名σ和消息m,由任何一個(gè)驗(yàn)證者用公鑰驗(yàn)證簽名是否有效,返回簽名驗(yàn)證狀態(tài)status;若status為1,則簽名有效,否則簽名無(wú)效。

1.2 無(wú)證書失敗-停止環(huán)簽名安全模型

一個(gè)多項(xiàng)式時(shí)間敵手以可忽略的概率贏得與挑戰(zhàn)者之間的安全游戲,則稱方案∏滿足自適應(yīng)選擇消息攻擊下的不可偽造性(Existential UnForgeability against adaptive Chosen-Message Attacks,EUF-CMA)。方案∏的EUF-CMA攻擊游戲GAME1過(guò)程如下:

1)開(kāi)始運(yùn)行系統(tǒng)初始化

2)詢問(wèn)過(guò)程

3)偽造

方案∏的EUF-CMA攻擊游戲GAME2過(guò)程如下:

1)開(kāi)始運(yùn)行系統(tǒng)初始化

2)詢問(wèn)過(guò)程

與GAME1相同,可對(duì)GAME2進(jìn)行哈希詢問(wèn)h0和h1、公鑰詢問(wèn)及簽名詢問(wèn),但是需要注意GAME2不能進(jìn)行公鑰替換詢問(wèn)和部分私鑰詢問(wèn)。

3)偽造

簽名私鑰為ski(i=1,2,…,n),所有環(huán)成員的公鑰集合為L(zhǎng)={pk1,pk2,…,pkn},如果對(duì)于任意的pki、消息m及生成的簽名σ(m),概率多項(xiàng)式時(shí)間算法P輸出的i滿足sk=ski(i=1,2,…,n)的概率僅為1/n,則稱該環(huán)簽名方案具有強(qiáng)匿名性。

2 無(wú)證書失敗-停止環(huán)簽名方案的具體實(shí)現(xiàn)

無(wú)證書失敗-停止環(huán)簽名方案由以下7個(gè)算法組成:

2)部分密鑰提取算法Genkeypart:輸入環(huán)簽名用戶ui身份IDi,計(jì)算θi=h0(IDi),KGC計(jì)算出部分密鑰bi=γθi,并將bi通過(guò)保密信道發(fā)送給環(huán)簽名用戶ui。

4)私鑰生成算法Genkeysk:ui收到部分密鑰bi和秘密值xi,令ski=(xi,bi)為簽名私鑰。

5)公鑰生成算法Genkenpk:根據(jù)環(huán)簽名用戶私鑰ski=(xi,bi),計(jì)算出公鑰pki=yi=gxi,將公鑰pki公開(kāi)。

6)簽名算法Ringsign:

(1)設(shè)簽名用戶私鑰為sks=(xs,bs),待簽名消息m∈{0,1}*,簽名用戶公鑰為ys=gxs,n個(gè)環(huán)簽名用戶公鑰集合L={pk1,pk2,…,pkn}。

vis+1=h1(m‖j,vs)

vis+2=h1(m‖j,vis+1⊕mis+1)

?

vis-1=h1(m‖j,vis-2⊕mis-2)

vis=h1(m‖j,vis-1⊕mis-1)

3 無(wú)證書失敗-停止環(huán)簽名方案分析

3.1 正確性

假設(shè)KGC可信,如果方案中所有參與環(huán)簽名用戶ui的簽名驗(yàn)證等式和環(huán)驗(yàn)證等式均成立,則無(wú)證書失敗-停止環(huán)簽名方案滿足正確性。

1)通過(guò)簽名過(guò)程可得m+r6s=csEs+es(modN)和Es=gesmodp0,所以有g(shù)m+r6s=gcsEs+esmodp0,gcsEs+es=gcsEsEsmodp0,即驗(yàn)證等式gm+r6s=gcsEsEsmodp0成立。

3)環(huán)簽名驗(yàn)證等式具體如下:

vis+1=h1(m‖j,vs)

vis+2=h1(m‖j,vis+1⊕mis+1)

?

vis-1=h1(m‖j,vis-2⊕mis-2)

vis=h1(m‖j,vis-1⊕mis-1)

?

vi0=h1(m‖j,mi0+n-1⊕h1(m‖j,mi0+n-2⊕

h1(m‖j,…⊕h1(m‖j,m⊕vi0)…)))

若以上驗(yàn)證等式成立,則表明本文無(wú)證書失敗-停止環(huán)簽名方案滿足正確性。

3.2 不可偽造性

1)哈希詢問(wèn)

2)部分私鑰詢問(wèn)

3)密鑰值詢問(wèn)

4)公鑰詢問(wèn)

5)公鑰替換詢問(wèn)

6)簽名詢問(wèn)

3.3 強(qiáng)匿名性

定理3本文方案具備強(qiáng)匿名性。

此外,由于簽名過(guò)程中所有環(huán)成員的關(guān)系呈環(huán)狀分布,因此滿足環(huán)驗(yàn)證等式vi0=h1(m‖j,mi0+n-1⊕h1(m‖j,mi0+n-2⊕h1(m‖j,…⊕h1(m‖j,m⊕vi0)…)))。而對(duì)于環(huán)外驗(yàn)證者而言,能夠猜出真實(shí)簽名者的概率不超過(guò)1/n,環(huán)內(nèi)成員猜出真實(shí)簽名者的概率不超過(guò)1/n-1,因此本文方案滿足強(qiáng)匿名性。

3.4 可選擇關(guān)聯(lián)性

4 性能分析

本節(jié)將本文方案與文獻(xiàn)[12,17-18,21]方案進(jìn)行比較,運(yùn)算符號(hào)定義如表1所示。安全性、匿名性、關(guān)聯(lián)性以及簽名與驗(yàn)證開(kāi)銷4個(gè)方面的比較結(jié)果如表2所示。

表1 運(yùn)算符號(hào)定義Table 1 Operation symbol definition

表2 方案匿名性及效率比較Table 2 Comparison of scheme anonymity and efficiency

本文方案和文獻(xiàn)[17]方案都具有強(qiáng)匿名性和選擇關(guān)聯(lián)性,但是文獻(xiàn)[17]方案所依賴的困難問(wèn)題是基于RSA公鑰密碼體制的大整數(shù)分解問(wèn)題,密鑰尺寸較大,運(yùn)行效率較低。本文方案和文獻(xiàn)[12,18]方案依賴的困難問(wèn)題均為離散對(duì)數(shù)問(wèn)題,但相比文獻(xiàn)[18]方案在安全性、匿名性和關(guān)聯(lián)性相同的情況下,本文方案的簽名與驗(yàn)證開(kāi)銷相對(duì)較小,并且文獻(xiàn)[12]方案在簽名長(zhǎng)度相同的情況下,僅具備弱匿名性而不具有選擇關(guān)聯(lián)性,同時(shí)其簽名過(guò)程需要群管理員的參與,可能存在安全隱患。另外,文獻(xiàn)[21]方案只具備計(jì)算匿名性,簽名與驗(yàn)證開(kāi)銷也高于本文方案。綜合上述對(duì)比,本文提出的無(wú)證書失敗-停止環(huán)簽名在保證關(guān)聯(lián)性和強(qiáng)匿名性的同時(shí),其失敗-停止機(jī)制使得具有強(qiáng)計(jì)算能力的攻擊者無(wú)法偽造出合法簽名,安全性相對(duì)較高,且計(jì)算開(kāi)銷較小。

5 結(jié)束語(yǔ)

本文在失敗-停止群簽名方案基礎(chǔ)上設(shè)計(jì)了一種無(wú)證書失敗-停止環(huán)簽名方案,增加了強(qiáng)匿名性和可選擇關(guān)聯(lián)性,并且在隨機(jī)預(yù)言機(jī)模型下證明其安全性。性能分析結(jié)果表明,與同類環(huán)簽名方案相比,本文方案提高了安全性及降低了簽名驗(yàn)證開(kāi)銷。下一步將以失敗-停止環(huán)簽名技術(shù)為基礎(chǔ),面向車聯(lián)網(wǎng)和區(qū)塊鏈等應(yīng)用場(chǎng)景提出具有良好擴(kuò)展性的簽名認(rèn)證方案,進(jìn)一步降低通信消耗并提高簽名驗(yàn)證效率。