Shoup门限RSA签名方案的改进.pdfVIP

Shoup 门限RSA 签名方案的改进* 王贵林 卿斯汉 王明生 中国科学院软件研究所信息安全国家重点实验室 中国科学院信息安全技术工程研究中心 北京 100080 Email: glwang@ 摘 要 ：门限签名是对普通数字签名的推广，其中签名的生成必须由多个成员合作才能完 成，但签名的验证只需要知道群体的公开密钥即可进行。V. Shoup 在 2000 年的欧洲密码会 议上提出了一个切实可行的门限 RSA 签名方案。本文对 Shoup 的这一方案作了改进，使得 改进方案不仅在安全性上与原方案相同，而且性能更好。更为重要的是，改进方案还可以 扩展到门限不可否认签名的情形。 关键词：数字签名 门限签名 RSA 密码学 中文图法分类号: TP309 1. 引 言 门限签名是门限密码学的主要研究内容之一，最初由Desmedt 等人引进[1, 2, 3] 。在一个 (t, n) 门限签名方案中，n 个成员共享群体的签名密钥，使得成员数不少于t 的任何子集都 可以代表群体产生签名，而任何成员数少于t 的子集则不能产生签名。门限签名方案的基 本假设是：在系统生命周期中，至多只有(t −1) 个非诚实成员。 对于离散对数密码系统型的门限签名研究得比较多。文献[4] 提出了一个性能良好的 门限Schnorr 签名[5]方案。文献[6]中通过改变DSS[7] 的签名方程，使得其中不再有秘密的乘 积和逆，然后利用文献[8]提出的可验证秘密共享得到门限签名方案。但文献[6]中没有证明 [9] [7] 他们提出的变种签名方案的安全性是否等价于 ElGamal 签名 或 DSS 签名 。对离散对数 型门限签名作出实质性、创造性工作的是 Gennaro 等人[10] 。同时，这也是到目前为止最好 的有关离散对数门限签名的工作。他们设计了两个重要的子协议：一个用来计算两个共享 秘密的乘积，另一个用来计算共享秘密的逆。由此比较完满地得到了门限 DSS 签名方案。 但他们的方案有一个缺点：签名密钥是(t, n) 共享的，可是要生成一个有效的签名，却至少 要有(2t −1) 个人参加！ 但对于 RSA 密码系统，情况就复杂了。首先，Zϕ(N ) 不是域，于是不能利用一般的秘 密共享方法共享签名密钥d ；其次，为了保护 RSA 模数N 的因子分解，不能让参与签名 的成员知道ϕ(N ) 。首次展开对门限RSA 密码系统研究的是 Desmedt 和 Frankel [3] 。随后文 献 [11, 12]对门限 RSA 密码系统作了进一步的研究，但为了克服由于 RSA 密钥结构引起的 问题，他们采用了复杂的数学结构( 比如代数扩张) 。基于对Z N * 的一个子群的认识，Shoup 在 2000 年的欧洲密码会议上提出了一个简单、现实的门限 RSA 签名方案[13] 。 * 本文的研究得到国家自然科学基金跨学科重点项目(No和 973 高科技项目(No.G1999035810)基 金资助。 1 本文给出了对 Shoup 门限RSA 签名[13] 的一个改进，使得其安全性不降低，而效率却高 于 Shoup 原方案。更为重要的是，我们的方案可以推广到门限不可否认 RSA 签名的情形[14, 15]，但要对 Shoup 原方案进行这样的推广似乎是不可行的。从本质上讲，我们所作的改进 主要是简化了 Shoup 原方案的签名方程。另外，在改进方案中，成员的诚实性是可以验证 的，且各成员独立地产生部分签名，相互之间互不影响。 下面先介绍记号和离散对数恒等式协议 DLE ，然后给出改进门限 RSA 签名方案的描述 和分析，最后是将来工作的介绍。 2. 记 号 系统参与者由庄家D 和群体U 中的n 个成员U (i 1,2,L,n) 组成。记t 为门限值，而B