椭圆曲线的可追踪门限签名-AET-电子技术应用

椭圆曲线的可追踪门限签名

来源:微型机与应用2010年第21期

景运革

(运城学院公共计算机教学部，山西运城 044000)

摘要： 提出新的(t，n)门限数字签名方案，即基于椭圆曲线可追踪的门限数字签名方案，构造以椭圆曲线为基础和核心的门限数字签名，以实现用更短的密钥达到和RSA同等安全强度的门限签名系统。同时，实现在事后发生争执或需要追究责任时，可以通过仲裁机制追查出参与签名成员的身份。

关键词： 监测与报警系统椭圆曲线密码体制数字签名门限签名可追踪

Abstract：

Key words :

摘要： 提出新的(t，n)门限数字签名方案，即基于椭圆曲线可追踪的门限数字签名方案，构造以椭圆曲线为基础和核心的门限数字签名，以实现用更短的密钥达到和RSA同等安全强度的门限签名系统。同时，实现在事后发生争执或需要追究责任时，可以通过仲裁机制追查出参与签名成员的身份。
关键词： 椭圆曲线密码体制；数字签名；门限签名；可追踪

    自1991年DESMEDT F首次提出门限签名方案以来，门限签名引起了密码学界的广泛关注和研究，并且提出了各种各样的(t，n)门限群签名方案[1]，也对这些方案提出了很多攻击方法和改进措施。与普通的数字签名相比，由于门限群签名需要多方参与，其安全性和健壮性有了很大的提高；与群签名相比，门限签名具有易操作性和方便性[2]。
    椭圆曲线密码体制ECC(Elliptic Curve Cryptography)[3-5]的安全性是基于椭圆曲线上离散对数问题ECDLP(Ellip tic Curve Discrete Logarithm Problem)的。与其他公钥密码相比，椭圆曲线具有每比特数据最高的安全强度，这样的好处是计算参数更小、密钥更短、运算速度更快、签名也更加短小。
参考文献[1]证明了(t，n)门限群签名方案不能抵抗合谋攻击和伪造攻击，也不具备可追踪性。本文针对这些问题对上述方案进行了改进，提出了一种基于椭圆曲线的可追踪门限数字签名方案。该方案以椭圆曲线为基础，采用二次签名等方式，可有效地避免参考文献[1]所暴露的缺陷和不足。
1 椭圆曲线的可追踪门限签名方案
    该方案根据分工不同，有三种角色，即签名者、签名组合者和秘密处理者。
    签名者pi进行门限签名操作。用集合T={p1、p2、p3…pn}表示由n个签名者组成的签名者群体。该方案主要由参数选择、子密钥产生过程、签名过程、签名验证和事后追踪等5个部分组成。
    签名组合者C，收集单个签名者的操作结果，然后将收集的数据进行验证并组合。C同时是群签名消息的唯一发布者，C自选一个合适的签名体制(称为群签名消息发布签名系统)来对群签名消息再次签名。这样通过将群签名消息的发布权进行控制以提高系统安全。C保留其私钥Dc，公开公钥Ec。
秘密处理者D，即可信任中心，主要是在系统初始化阶段处理、协调系统参数设置和子密钥分配等操作。一旦系统初始化成功则退出签名系统。

    否则该等式不成立。因此C可利用该等式对各签名者身份的真实性进行判断。
2.2 抗群内成员合谋攻击
    由于本方案采用了二次签名的方式，同时签名者的选取是由C来完成的，因此可以有效地抵抗T内成员的合谋攻击。在整个签名过程中C都必须参与其中。签名者的选取必须由C来完成，bi和g’(0)等数据计算要C来完成，S的合成也要由C来完成。即使假设在这些过程中合谋者绕过C来进行，不要C的参与，T内成员的合谋也是不可能成功的。这是因为群签名消息的发布权限完全是局限在C的身上，没有C的参与，T内的成员是无法产生有效的群签名消息的。因此没有最后一步C的签名，接收者可以立即发现该签名消息异常，从而拒绝该签名。
2.3 抗C伪造签名攻击
    由于在本方案中，C只是对签名过程进行组织以及对签名消息进行发布，他除了掌握签名发布密钥外并不掌握系统其他的任何密钥，即C不能获取到签名者的私有密钥di，也就是不能伪造T内成员进行签名。同时也不能通过构建多项式获取群的私钥d。这是因为，在Lagrange公式中要恢复d必须要有t个签名者的私钥di和身份标志ui。而C只能获得签名者的身份标志，但是不能获得签名者的私钥。同时，由于在本方案中对群签名消息发布的权限进行了绑定和限制，整个群消息的发布只能是C来完成。因此，如果C和T内的t个成员进行合谋对某个文件m′进行非法签名，在事后追查时，则首先就可以确定C是参与了m′的签名。这是因为只有C知道他自己的私钥Dc，别人不得而知，其他人也就不能对群签名消息进行发布。因此，只要接收者公布其接收到对m′的签名消息，仲裁者就可以通过验证确认C是否参与了合谋。一旦发现C参与了合谋就必须对其进行严厉的制裁，使其承担所有责任。因此，通过绑定群签名消息的发布权限在C身上，采用二次签名的方式从实际上阻止了合谋攻击。
2.4 抗群外人员选择消息攻击
    选择消息攻击是指攻击者通过分析签名群体对多个消息的签名，从而构造出对另一消息(设为N)的有效签名[7]。
　攻击者可从签名者群体公开的参数和发送的数据得到以下信息：E，P，Q，q，g(x)，H()，S，r。如果群体外攻击者要对消息N构造出一个有效的签名，则必须通过对以前的签名进行分析(假设以对消息m的签名进行分析为例)，以构造一个S0、e0和g0(x)。攻击者将面临以下难题：

    本文提出了一个基于椭圆曲线的可追踪(t，n)门限数字签名方案，并对该方案进行了安全性分析。在本方案中，除了秘密共享阶段需要保密通信外，在签名和验证过程中都不需要进行保密通信，这可以保证方案方便使用。基于椭圆曲线密码体制保证了方案的安全性。通过将群签名消息的权限绑定在C身上，采用二次签名的方式，不仅可以抵抗外部成员的攻击，也可以有效地抵抗T集合内部成员的合谋攻击，同时还可以有效地防止签名组织者C的攻击。
参考文献
[1] 黄梅娟，张建中．一种安全的门限群签名方案[J]．计算机应用研究，2006(6)：116-117.
[2] 王化群，张力军，赵君喜．基于椭圆曲线的无可信中心(t，n)门限群签名[J]．信号处理，2006，2(22)：189-192.
[3] 张方国，王常杰，王育民. 基于椭圆曲线的数字签名与盲签名[J]. 通信学报，2001，18(2)：186-192.
[4] 龙芳. 数字签名算法研究[J].信息安全与通信保密，2007(5)：143-145.
[5] 秦志光，张险峰，周世杰，等．基于ECC的门限数字签名方案及其安全性[J]．电子科技大学学报，2005，34(1)：109-112.
[6] 王书文．秘密分享密码体制进展[J]．西北民族大学学报，2003，24(2)：53-68.
[7] 杨义先，钮心忻．应用密码学[J]．北京：北京邮电大学出版社，2005．

原创声明：此内容为AET网站原创，未经授权禁止转载。

相关内容