可容忍信息泄露指定验证者签名方案.docVIP

可容忍信息泄露指定验证者签名方案 　　摘要：指定验证者签名（DVS）克服了传统的数字签名中可公开验证的缺点，可防止验证者向第三方表明他获得了签名方发布的数字签名但传统的密码方案的安全性依赖理想的假设，即攻击者不能获得保密的密钥的信息，而边信道攻击表明攻击者可以获得部分的秘密信息，因此有必要设计可以容忍信息泄露的指定验证者签名方案基于“或”证明的技术，把Okamoto认证方案推广到指定验证者签名的情形，并在给定的泄露界下，证明了所提出的指定验证者签名方案在相对泄露模型下是安全的 关键词：指定验证者签名；边信道攻击；相对泄露模型；公开验证；数字签名 中图分类号： TP309 文献标志码：A 0引言 数字签名方案允许签名人用密钥对消息签名，而任何人都可以通过签名人的公钥验证消息签名的合法性但在某些场合下，例如关于个人健康记录等私密信息，人们不希望验证者把获得的信息和签名传递给第三方进行公开验证为了解决这个问题，Jakobsson等[1]提出了指定验证者签名（Designated Verifier Signature，DVS）的概念，可以防止验证者在检验了数字签名的合法性后，将消息和数字签名传递给第三方进行公开验证这里的关键是验证者可以生成模拟签名，它与签名人发布的真实签名是不可区分的指定验证者的数字签名在软件版权等领域有重要的应用 但数字签名传统意义下的安全性依赖理想的假设，即攻击者不能访问签名算法内部的秘密状态（例如签名密钥或签名时使用的随机性）然而边信道攻击（sidechannel attacks）[2]表明攻击者通过算法运行时间、功耗和温度等因素可能获得内部秘密状态的部分信息冷启动攻击（coldboot attack）[3]表明即使在机器关机之后，攻击者仍可以从内存恢复保存在其中的密钥的部分信息通过边信道攻击，人们发现许多在理想条件下被证明为安全的方案存在薄弱环节而通过物理的手段来阻断所有可能的信息泄露渠道是不太现实的，所以人们开始研究在信息泄露的条件下来证明密码方案的安全性 由于目前的指定验证者签名方案的安全定义[13]没有涵盖信息泄露的情形，因此研究在信息泄露条件下可被证明为安全的指定验证者签名方案就很有意义本文基于相对泄露模型定义了指定验证者签名方案的安全模型，在允许密钥信息泄露的条件下对指定验证者的签名的不可伪造性的定义进行了扩展然后基于“或”零知识证明（OR Proof）技术和FiatShamir变换把Okamoto身份认证方案[14]转换为指定验证者的数字签名方案，并使用通用分叉引理[15]，在给定的泄露上界条件下，证明所提出的指定验证者签名方案是不可伪造的 1相关知识 5结语 本文首先基于相对泄露模型，设计了可容忍信息泄露的、指定验证者签名方案的安全模型在允许密钥信息泄露的条件下，对指定验证者签名的不可伪造性的定义进行了扩展然后基于“或”的零知识证明技术和FiatShamir变换把Okamoto身份认证方案转换为指定验证者的数字签名方案在给定的泄露上界下，最后证明了所提出的方案可以满足安全模型中不可伪造性的定义，且具有完美的不可传递性 参考文献： [1]JAKOBSSON M， SAKO K， IMPAGLIAZZO R. Designated verifier proofs and their applications [C]// EUROCRYPT 1996： Proceedings of the 15th Annual International Conference on Theory and Application of Cryptographic Techniques， LNCS 1070. Berlin： SpringerVerlag，1996：143-154. [2]KOCHER P C. Timing attacks on the implementations of DiffieHellman， RSA， DSS， and other systems [C] // CRYPTO 1996： Proceedings of the 16th Annual International Cryptology Conference on Advances in Cryptology. Berlin： SpringerVerlag， 1996：104-113. [3]HALDERMAN J A， SCHOEN S D， HENINGER N， et al. Lest we remember： cold boot attacks on encryption keys [C]// Proceedings of 17th USENIX