一个基于ID的群签字的安全性分析.pdfVIP

一个基于，D的群签字的安全性分析1 韦永壮 桂林电子工业学院通信与信息工程系 桂林541004 摘要：在群签字中，群体成员可以匿名的代表群体进行有效签字。最近，MA。AO和HE利 用向量空问的秘密分享扣w．ei配对技术提出了一种新的基于身份∞)的群签字方案，并声称该 方案是安全有效的。然而，本文作者指出：MA，A0和HE的群签字方案对于广义伪造攻击是 脆弱的。基于作者的攻击方法：任何人(不一定是群体成员)都可以成功地进行群签字伪造， 并使得权威机构都无法区分扣追踪。 关键词：群签字广义伪造攻击 匿名 秘密分享 1 引言 数字签字在通信网安全中具有重要的应用，这是由于它同时拥有两个功能即身份的有效 性认证和数据的完整性检验。其中，身份的有效性认证能够确保数据的发送方身份是合法的、 不可冒充的：数据的完整性检验能够保证数据是不可窜改的。正是基于这些重要功能，多种 数字签字方案(如盲签字、群签字、不可否认签字等)被相续提出【1．2．3,4,81并被广泛应用。 1991年Chaum和Van Heyst首次提出了群签字的概念Il】：在群签字中，群体成员可以匿 名的代表群体进行有效签字。如果出现签字的有效性争议，那么可以由群权威(Group Authority)打开签字，并找出真正的签字者。通常情况下，一个安全的群签字方案应该满足以 下六个性质u即l：正确性、不可伪造性、匿名性、无连接性、不可开脱性和权威的可追踪性。 用向量空间的秘密分享和Wei配对技术又提出了一种新的基于身份(，D)的群签字方案【8】，并声 称该方案是安全有效的。 本文中我们指出：MA，AO和HE的群签字方案对于广义伪造攻击是脆弱的。基于我们的 攻击方法：任何人(不一定是群体成员)都可以成功地进行群签字伪造，并使得权威机构都 无法区分和追踪。 本文结构安排如下：第二部分回顾MA,AO和HE的群签字方案；第三部分，我们将分 析MA。AO和HE的群签字的安全性；第四部分是本文的总结。 2文【8】的群签字方案 这一部分，我们将回顾MA，AO和HE的群签字方案【8】，并-皇qiE其中的一些错误。 1挂电科研基金资助课题(No．Z20420) ·805· 2．1系统初始化 者)，Receiver(接收方)及Aumority(群权威机构)。 c Q是 一接人结构：m是待签字的消息； (Gl，+)和(G2，×)是阶为鼋的循环群，口为一大素数，P 为Gl的生成元，设在群G。和G2中离散对数问题是困难的，两个群之间的双线性映射为e： 日l由Dealer(经销商)和Authority(群权威机构)秘密共享。 首先，Dealer随机选取秘密参数sE Zq，作为他和Authority(群权威机构)共享的密钥， 数通过计算k=-ClWl+c2w2+…+QM，ciEK。这里参数k和y文vl，v2…．，vt)是保密的。Dealer公开 舻，并将子秘密vieK(f=2…．，f)秘密分发给授权子集的每个成员。 2．2个体签字生成 ri=e(Rlsub。p)：Ui=sH1(IDOP+R1sub Pj。 SignerPi计算喀和Ti如下： d辛WiHo(m)：正=咖阢 这样只的个体签字为(以以，f’碌肌)，进一步地Signer尸f公开H怛，并发送签字信息(玩以矗 瓦肌)给combiner。 2．3个体签字认证 当Combiner收到Signer 证其有效性： 已(Ti，p)=?e(Ho(m)，wfP)e(HI(IDi)P，sP)P(刚袖。P)(1) 若等式成立，则该个体签字信息是有效的，因为