几个门限群签名方案的弱点.pdfVIP

* 几个门限群签名方案的弱点 王贵林 卿斯汉 (中国科学院软件研究所信息安全国家重点实验室 北京 100080) (中国科学院信息安全技术工程研究中心 北京 100080) E-mail: glwang@, qsihan@ 摘 要：门限群签名是一类重要的数字签名，但现有的门限群签名方案几乎都有缺点。本文 首先给出了良好门限群签名所应具备的性质，随后详细分析了三个门限群签名方案的弱点。 其中最主要的弱点是：部分成员可以合谋得到系统的秘密参数，从而伪造群签名，甚至彻底 攻破签名系统。 关键词：数字签名 群签名 门限群签名 密码学 毫无疑问，数字签名是现代密码学的一项重要发明。数字签名也是保证数据完整性、实 现网络认证和开展现代电子商务的重要工具。使用普通的数字签名时，无论是产生签名还是 验证签名，都只有一个用户参与。但随着网络应用的蓬勃发展，普通的数字签名技术已经不 能满足许多应用的要求。近十年来，众多研究者提出了许多特殊的数字签名。群签名，门限 群签名，非否认群签名和多方签名就是其中的四种。群签名方案首次由 Chaum 和 Heyst 提出 [1]。在群签名方案中，每个成员都可以代表整个群体签名。在群签名方案中引入秘密分存[2] , 就形成门限群签名方案[3-8], 使得群体中的某些给定子集可以代表整个群体签名。在非否认 群签名中，签名的验证需要签名者的合作。而在多方签名方案中，各签名成员的身份是公开 的，且验证签名时一般需要各成员的公钥。在门限群签名方案中，门限群签名是由参加签名 的各个成员所签署的部分数字签名按某种方式结合后产生的。根据分存秘密的分发方式的不 同，现有的门限群签名方案可分为两种类型：带有秘密分发中心的门限群签名方案[4,7,8]和 分布式分发分存秘密的门限群签名方案[5-7]。就目前的研究来看，我们认为良好的门限群签 名应该具备以下性质： （1）群签名特性：只有群体中的成员才可以生成有效的部分签名，非群成员无法伪造有 效的部分签名； （2）门限特性：只有当签名人数不少于门限时，才可以产生出有效的门限群签名； （3）防冒充性：任何小组不能假冒其他小组生成群签名； （4）验证简单性：签名的验证者可以方便而简单地验证签名是否有效； （5）匿名性：签名的验证者不知道该签名是群体中哪些成员签署的； （6）可追查性：事后发生纠纷时，可以追查出签名者的身份。 （7）强壮性：恶意成员大于等于门限时仍然无法获取系统秘密参数； （8）系统稳定性：剔除违规成员或加入新成员时，勿需或只需少量改变系统参数和老成 员参数。 * 本文研究得到国家自然科学基金跨学科重点项目(No和国家 973 高科技项目基金 (No. G1999035810)资助。作者王贵林，1968 年生，博士生，主要研究领域为协议分析，信息安全基础。卿斯汉， 1939 年生，研究员，博士生导师，主要研究领域为信息安全理论和技术。 本文通讯联系人：卿斯汉，北京 100080，中国科学院软件研究所。电话 1 按这八条性质去检查，现有的门限群签名方案几乎都有缺点。Desmedt 和 Frankel 首次 提出基于 RSA的门限群签名方案[4]，但是[9]发现[4]中的恶意成员大于或等于门限时，他们 合谋可以高概率获取系统秘密（群秘密密钥），进而可不负责任地伪造其他成员的群签名。 Langford 在[10]中指出：[5],[6]和[7]中的密钥生成协议有问题。对[11]所提出的门限群签 名方案，[12]指出了对该方案的两个攻击：攻击者根据已有的群签名可伪造出关于其它消息 的群签名。 本文主要分析[11]、[4]和[13]所提出的三个群门限签名的弱点。其中最主要的缺点在于 强壮性和防伪造性：t 或(t +1) 个成员可以合谋得到（至少是以高概率得到）系统的秘密参数， 从而可伪造群签名，甚至由此彻底攻破签名系统。同时，我们还分析了这三个方案在可追查 性和匿名性方面的缺点。对于[11]和[4]提出的方案，我们的攻击不仅不同于[9]和[12]中所 发现的攻击，而且我们的攻击更彻底，成功的概率更高，具有更强的实践性。 为方便起见，以下把文献[11]、文献[4]和文献[13]所提出的这三个群门限群签名方案分 别简称为 WLC、DF、