内容提取签名.docVIP

内容提取签名 Ron Steinfeld, Laurence Bull, and Yuliang Zhen 摘要：在新兴的在线交互需求的推动下，我们定义了一种新的数字签名叫做“内容提取签名”（Content Extraction Signature，CES）。在文档已经由Alice签名的情况下，CES允许文档的所有者Bob在原始文档中有选择的提取一部分产生一个“提取的签名”，它不需要文档的未提取部分的知识就能被任意第三方Cathy验证。这种新的签名因此在最小的多方交互下达到可验证内容提取。我们详细说明了CES期望的功能和安全需求（包括效率需求：与简单多签名解决方案相比，CES应该在计算量上或者在通信量上更有效率）。我们提出并分析了四种满足以上要求的可证安全性的CES方案，然后评价了它们的性能特点。 关键字：内容提取，片段提取，内容隐藏，事实验证，内容验证，数字签名，可证安全性 引言 在一个人一生的过程中，他需要用到诸如出生证，结婚证，财产契约和学位证等“正式文档”。这些文档由一些公认的可信权威发行，然后由所有者在同其他人或组织打交道的时候使用以证明某些声明的真实性（基于发行权威中验证者的信任）。 在电子世界中，数字签名与公钥基础设施（PKI）一起能够用来确保正式文档电子版本的真实性和完整性。然而，随着数字签名使用越来越广泛，出现这样一种情况，数字签名的使用会显著地增加文档处理操作的成本。换句话说，数字签名的使用有时候增加合法用户额外的束缚，这种束缚超过了真正需要阻止非法用户伪造的成本。 本文我们考虑到一个使用数字签名昂贵的特别的文档处理过程，即一个签名文档有选择的部分的提取。也就是说，我们考虑这样一种情形，在文档已经由Alice签名的情况下，文档的所有者Bob不想把整个文档给第三方（验证方）Cathy。相反地，Bob提取文档的一部分并且仅发送给Cathy那部分。在这里假设Alice同意Bob执行这样的提取操作（在后面给出启发例子），尽管如此，Cathy仍想验证Alice是不是她从Bob那里收到的部分文档的发证人。 忽略其他要求，我们在这种情形下使用数字签名的难度。显然，如果Alice仅使用标准数字签名签整个文档，那么Cathy将无法验证除非Bob发送整个文档。最简单的解决方案是，Alice把报文分成n个片段并给每个片段签名，给Bob一个签名集以让Bob能够转发签名集中对应提取文档片段的签名子集给Cathy。这个过分单纯化的方法包含的问题是：对Alice和Cathy有很大的计算量（n个签名），从Alice到Bob以及Bob到Cathy有很大的通信量（达到一个签名长度的n倍）。我们想比这个简单方案做得更好：a，节省通信量；或者b，节省计算量；同时c，签名人可以指定文档内容允许提取的部分；d，满足可证安全性； 我们把这种使用文档片段提取比简单方案更好的方案叫做内容提取签名（CES）。 本文目录 由于空间所限，详细的定义和一些证明省略了，包含在本文的完整版，可以从作者那里得到。本文组织如下：第2部分解释推动CES的现实生活背景以及相关工作。第3部分描述CES的期望功能与安全要求（与标准数字签名不同，CES有一个新的隐私要求，而在标准数字签名中没有相对应的部分），引出满足这些要求的新的CES定义。第4部分介绍四种在众所周知的密码学假设下可证安全的CES方案。我们的CES方案并不采用新的密码学技术。然而，对于已知的密码学技术，我们认为这种应用是新颖的，就RSA方案而言，在这些应用中（即减少通信带宽）采用这些额外的性质是有用的。第5部分，我们以一些结论性的评价结束。 背景 2.1 新兴的需求 为引起下文，考虑下面图1相关的例子。在这个例子中，大学（A）发给学生（B）一个正式文档：学位证书（原始文档）。学生将工作申请和学位证书（复印本）发给预期的雇主（C）。注意到学位证书很可能包含学生的个人细节，特别地，如学生的出生日期（Date Of Birth,DOB）。为避免年龄歧视，学生B可能不愿向雇主C展示他的DOB（确实，在某些国家预期的雇主查找应聘者的DOB是非法的）。大学A知道这种情况，允许雇主验证移除DOB的学位证书（可能在其他领域也同意由A移除，但不是需要A必须包括在任意提取的文档之中的其他人）。但是如果A用标准数字签名签署了学位证书，那么学生B必须将整个文档发给C，允许C验证。 于是，在这种情况下我们提出使用本文所描述的内容提取签名CES。大学A使用CES方案的签名算法签署原始文档，分成各个部分（子报文m0，m1，…）,并产生内容提取签名与完整文档一起给B。学生然后提取所选的原始文档子报文组成的子文档A’（例如，不包括B的DOB，m1，但包括所有其它子报文）。学生运行CES方案的提取算法产生大学A为提取的子文档A’准备的提取签名。雇