对一种高效部分盲签名方案的密码学分析及改进.pdfVIP

第30卷第 1期 云南师范大学学报 V01．30No．1 2010年 1月 JournalofYunnanNormalUniversity Jan．2010 对一种高效部分盲签名方案的密码学分析及改进 农 强， 郝艳华， 黄茹芬 (漳州师范学院计算机科学与工程系，福建 漳州 363000) 摘 要： 对最近利用椭圆曲线上的双线性对提出的一种基于身份的部分盲签名方案进行了密码学分 析，指出该方案无法满足盲性，盲签名人可以将 自己在签名协议中的签名和签名的消息联系起来从而跟 踪消息的拥有者，并给出了攻击方法。针对此方案的缺陷，提出了改进的方案，并证明改进后的方案是 安全的，可抵抗签名人的恶意追踪。 关键词： 基于身份；部分盲签名；盲性；双线性对 中图分类号：TP309 文献标识码：A 文章编号： 1007—9793(2010)01—0032—04 作为一种特殊的数字签名，部分盲签名 ¨能确保被签消息对签名者的隐秘性，又能阻止消息提供 者提供非法消息而滥用签名，因而在电子商务领域具有非常重要的应用价值。最近，结合椭圆曲线上的 双线性对和基于身份的公钥密码体制，Chow等人 首次提出了一个基于身份的部分盲签名方案，并在 随机预言机模型下证明了其安全性。随后，张学军等人 在 Chow等人方案的基础上，提出了一个改进 的方案。但在2008年，闫东升在文献 中指出张学军等人的方案是不安全的，原因是攻击者能在不被 察觉的情况下篡改事先协商好的嵌入在部分盲签名中的公共信息，然后嵌入一个用户指定的信息 (未 与签名者协商的、有利于用户的信息)，从而得到该信息的部分盲签名。随后，闰东升对张学军等人的 方案进行了改进 ，并声称在 CDH困难问题假设下，新方案能够满足部分盲签名的各种安全性要求。遗 憾的是，经过分析发现，该签名方案实际上仍然不能达到预期的安全性，因为无法满足亡陛|。具体来说， 盲签名人在签名时和签名后都能将 自己在签名协议中的签名和签名的消息联系起来从而跟踪消息的拥 有者。针对此方案的缺陷，本文进行了必要的改进 ，分析表明，改进后的方案在保留原方案优点的同时 有效克服了原方案的安全隐患。 1 双线性对及困难假设 设 (G。，×)和(G，+)为q阶循环群 ，q为一大素数。P为G。的生成元 ，设在群G ，G：中离散对数问 题是困难的，可定义双线性映射为 ：G ×G 一G，其满足双线性性、非退化性和可计算性三种特性。对 于这样定义的G，，我们可以定义离散对数问题 (DLP)、可计算 Diffie—Hellman问题 (CDHP)、可判定 Diffie—Hellman问题 (DDHP)、GapDiffe—Hellman(GDH)问题等难解问题，并称具有CDH问题难解而 DDH问题易解特征的群为 GDH群。有关详细内容可参看文献 。 2 对文献[4]部分盲签名方案的安全性分析 2．1文献[4]方案回顾 收稿 日期：2009—10—22 基金项目：福建省 自然科学基金资助项 目(2009J01307)；福建省教育厅科技项 目(JA09161)． 作者简介：农强 (1978一)，男，广西 自治区南宁市人，讲师，硕士，主要从事密码学与网络安全方面研究 第 l期 农 强，等： 对一种高效部分盲签名方案的密码学分析及改进 ·33 · (1)系统参数设置：PKG选取 G，G，e，g，选取任意的生成元P∈G和3个强无碰撞的密码哈 希函数日1：{0，1} ×G2×Zq，H2：{0，1}一Gl，H3：{0，1}一Zq．PKG选择s∈RZ：，计算Pp6=sP， 将S作为私钥秘密保存 ，公开系统参数Params= {G，G：，e，q，P，尸 ，H。， ，H3}． (2)密钥提取：签名者提交其身份信息 给PKG，PKG计算Q，D=H2( )，将Q加作为签名者的公 钥，将Sm=sQm作为签名者的私钥，通过安全信道发送给签名者。 (3)部分盲签名发布 ：假设用户需要得到消息rn的部分盲签名，share为用户和签名者事先协商的 公共信息，则部分盲签名过程如下： ①签名者随机的选择r∈Zq，计算U=