二类基于离散对数问题的信息恢复多签名体制.pdfVIP

二类基于离散对数问题的信息恢复多签名体制 陈伟东 (北京市7223信箱10分箱，100072) 摘要 本文设计了两种基于离散对数问题的数字多签名体制: Mulct-MR(q)-DSA 以及Multi-MR(p)-S3; 与现有体制比较，新体制的计算速度较快、签名长度较短，尤其是具有信 息恢复功能;安全分析指出:Multi-MR(q)-DSA体制的安全性至少与改 进后的DSA相当，Multi-MR(分S3体制能抵抗各种伪造签名攻击. 关挂词:密码学 数字多签名 信息恢复 强等价单向环同态 I.引言 数字签名是密码学的一个重要应用，依据参与签名者人数多少，可分 为单签名与多签名。目前的签名体制多为单签名，但多签名也有广泛的实 际应用需求。如多位政府官员对同一文件签名，商业上多方签订合同。 本文讨论的多签名体制采取顺序多签名形式，即参与签名者按顺序对 待签消息签名，顺序可以固定，亦可随机，每个签名者完成签名后，将待 签消息、本人签名等相关消息发送给下一位签名者。当今社会日趋信息化、 网络化，顺序多签名的实际应用范围还是很广泛的. 多签名体制与单签名体制比较，由于多人参与签名，安全性更为复杂， 应具备下面性质: 1)抗外部攻击:签名团体以外的人不能伪造部分或整体签名; 2)抗内部攻击:签名团体中任一恶意签名者或部分恶愈签名者合 作都不能伪造团体中他人的签名。进而达到整体签名效果盆 3)待签消息在顺序传送时具有防窜扰性，每一签名者都具有消息 333 确认和验证上一名签名者签名的能力。 现有的数字签名体制绝大多数属单签名体制，因此由单签名体制来构 造多签名体制不失为一种有效的方法.但是现有的多签名体制多属RSA 类型，产生数字签名时速度太慢。不够有效;文献[[1]构造了一种单向环同 态F，通过对之循环迭代提出了一种多签名体制，该体制在计算速度上优 于RSA,验证也容易，该体制的主要安全保证一-$1向环同态F的 “单向性” 实质是由离散对数问题作保证的，故从设计思想上看，该体制是安全的。 本文构造的两类多签名体制是基于离散对数问题的，是根据单签名体 制[2)加以构造的。它的签名长度较 1〔〕中同类体制要短，同时还具有信息 恢复特性，所谓信息恢复，即待签信息含于签名之中。在验证地可据签名 将消息恢复出来，也就是说。较短的待签消息不必经杂凑变换或与签名一 道发送，因此可节省空间。 有关多签名体制的应用可以参阅[3,4,5,6,7」。 2预备知识 定义2.1(强等价性)两个 (单)签名体制称为是等价的，如果在不 知私钥的条件下，这两个体制的签名可相互有效转换。 这里我们可以把这一定义推广到多签名体制上，即自然推广，把单签 名换为多签名。 [2]首先构造7六类基本的EIGamal单签名体制:S,,S:,Ss,S,,Ss,Se;从 中取SS:为代表，从每个代表出发，可派生出5个变形体制，其中每一 类中含两个信息恢复单签名体制。具体说来，第一类信息恢复单签名体制 主要包括:MR(4)-DSA,S};第二类主要包括:S,,R(q)-New.具体形式后面会 提及，这里不再详述. 变形体制之间的关系中，最重要的是等价关系，因为两个强等价的签 334 名体制的安全性是相当的。我们有如下结论: 定理2.1设q是素数，特签消息%EZq。则下面单签名体制是等价的: (1)ElGamal (2)DSA (3)皿(q)-DSA. 对于S,(i=1,… 。S)体制，关于其安全性有如下结论: 定理2.2设4是P-1的素因子，特签消息形如.=118(8是阶为q的生 成元)，则有:对于单签名体制S,,S,,S,,S,，以及选定的vEZ如下事实是 完全可能的，即找到eEZq,reZp,sEZq,使得(r,s)是m的合法信息恢 复签名。 证明:见