基于ECC的可转换签密及其门限共享验证方案.PDF

Feb. 2006, Volume 3, No.2 (Serial No.15) 通讯和计算机 Journal of Communication and Computer, ISSN1548-7709, USA 基于ECC 的可转换签密及其门限共享验证方案* 1 2 3 彭长根 ，李 祥 ，罗文俊 (1,2,3 贵州大学计算机软件与理论研究所，贵阳 550025 ；1 贵州大学数学系，贵阳 550025) 摘 要：本文首先基于椭圆曲线密码体制，提出了一个具有可转换功能的签密方案。该方案能抵抗已 知明文攻击，并克服了H-C 方案和W-B 方案不满足语义安全的不足。由于方案是基于椭圆曲线密码体制 建立的，因而它的计算代价和通信代价均很小。基于该签密方案，构建出了一个 (t, n) 门限共享验证签密 方案，其优点在于能防止可信中心的欺诈，并在共享验证和消息恢复阶段，提出了一种能防止验证成员提 供假秘密份额进行欺诈的方法。 关键词：认证加密；签密；可转换性；共享验证；椭圆曲线密码体制 复的消息，他就可以将签密转换成普通签名，从而 1. 引 言 可以宣称自己是合法的接收者。为此 Huang 和 Chang 提出了一个改进方案 （简称 H-C 方案），克 Zheng[1]在 1997 年提出了一个新的认证加密方 服了Wu 方案的不足。但文献[8]和文献[11]都指出 案，称为签密 （Signcryption ）。它是指在一个单一 了 H-C 方案不能抵抗已知明文攻击，而且文献[8] 的逻辑步骤中，同时实现数字签名和公钥加密两项 和文献[12]还指出H-C 方案不具备消息的语义安全 功能，且它的计算代价远比传统的“先签名后加密” 性，同时文献[12]还基于离散对数 （DLP ）困难性 [2] 的方法低得多 。认证加密法是一种能提供消息恢 提出了一个具有语义安全性的认证加密方案。2003 [3] 复的数字签名方案 。传统的方案存在这样的问题： 年Ma 和Chen[9]提出了一个有效的具有公开验证功 由于只有指定接收者才能验证签名和恢复消息，如 [10] 能的认证加密方案，但紧接着Wang 和Bao 等 就 果出现发送者抵赖，那么纠纷就无法通过第三方进 指出该方案存在接收方伪造攻击的漏洞和数学推 行仲裁。公开验证方法和可转换方法就是针对这类 算中的一个错误，并提出了一个可公开验证的方案 问题而提出的。这些方法能够实现当发送者抵赖 （简称W-B 方案）。本文的研究将指出W-B 方案也 时，指定接收者就可以将签密转换成普通的签名， 存在不满足语义安全的弱点。 然后由第三方进行公开验证以证明发送者抵赖。 本文基于椭圆曲线密码体制 （ECC），建立了 1998 年Petersen 和Michels [4]指出，Zheng 的方案存 一个可转换的签密方案。该方案除了具有可转换 在这样的问题：要实现不可抵赖性，必然会失去保 （公开验证）功能外，还能抵抗已知明文攻击，并 密性。之后，不少文献提出了新的或改进的认证加 克服了H-C 方案和W-B 方案不满足语义安全的弱 [5-10] 密方案 ，以实