ACJT群签名改进方案的密码学分析.pdfVIP

笫3O卷第6期 泰 山 学 院 学 报 Vo1．3O NO．6 2008年 11月 JOURNALOFTAISHAN UNIVERSITY NOV． 20o8 ACJT 群 签 名 改 进 方 案 的 密 码 堂-41分 析 王凤和 ，王春晓 (1．泰山学院 数学与系统科学学院，山东泰安 271021；2．山东建筑大学理学院，山东济南 250014) [摘 要] 对一个ACJT群签名改进方案的安全性进行分析，指出了其中存在的安全漏洞，针对这一漏洞 给出了一种伪造攻击方法，利用这种攻击可使得一个 已经被撤销的群成员仍然可以通过作弊的手法生成群签 名，而验证者无法发现 ． [关键词] 攻击；成员撤销；ACJT群签名 [中图分类号] TP309 [文献标识码] A [文章编号] 1672—2590(2008)06—0045—03 l 引言 成员撤销是群签名的一个重要问题，因为群组的成员总是动态的，不仅会有新成员加入群组，而且 会有成员退出群组．近年来，密码工作者提出一些带有成员撤销功能的群签名方案 ¨-3J，然而这些群签 名的撤销效率较低，这些群签名的签名算法或验证算法线性的依赖群成员的个数或线性的依赖被撤销 成员的个数．因此，设计安全高效的群成员撤销算法一直是群签名领域研究的一个热点．然而，到目前尚 没有令人满意的方案． 2005年文献[1]基于著名的ACJT群签名[2]设计了一个新的群成员撤销算法，能够实现快速的成 员撤销．但是在签名过程中利用了两个零知识证明，因此他的签名算法和验证算法的计算量较大．注意 到文献[3]对[1]进行改进，使得签名算法中只含有一个零知识证明协议，从而大大提高了签名的效率． 然而，本文的工作说明文献 [3]中存在安全漏洞，利用这个漏洞一个已经被撤销的群成员仍然可以伪造 群签名而不会被验证者发现，从而使改进方案是不安全的． 2 改进方案的回顾 本节简要介绍改进算法．详细部分请参阅[6]． 2．1 参数选择 参数 ，k，z。，△=[2 一2 ，2 +2 ]，F=[2 一2 ，2 +2z]同文献 [6]．成员加入过程和ACJT 群签名一致．于是群公钥Y=(凡，。，n。，Y，g，h)，群成员的签名秘钥 。，成员证书[A，e]． 2．2 签名 1)利用扩展的GCD算法计算n，b，使得 t／e+bE=1； 2)选择随机数 ∈{0，I ’，计算： T1=A ·Y (modn)， =g (modn)， ：gh (modn) 74= 。h (modn)， =gebh～(modn)， = [收稿 日期]2008—09—16 [基金项 日]泰山学院科技项 目资助 (Y07—2一lO) [作者简介] 风和(1979一)，男，山东潍坊人，泰山学院数学与系统科学学院讲师 46 泰 山学 院学 报 第30卷 3)选择：rl∈{0，1} 2川 ，r2∈{0，1}c(A2+k)，r3∈{0，1}e(rl 川 ，r4、r5、r6∈±{0，1} ，㈣‘ 计算： d1=T1 ／a Y ，d2=g ，d3= ／g ； d4=gr|，d5：r3hq，d6=gr6^一r4 4)计算： c=H(tlIgIlhl【yl】n。lIEI} II Il Il lI ll lId Ild lld，IId IldsIId Ilm)， s1=rl—c(e一2 )，s2=r2一c(；一2 ) S3 I3一cel ，4=i4一co)，5 5一c0，6=16一cb 5)输出：(711， ， ， ， ， ，c，5l，s2，s3，s4，s5，s6)． 2．3 验证 1)计算： C：H(tllgIlhIIYlIo。llaIlEl