对一种无证书部分盲签名方案密码学分析.docVIP

对一种无证书部分盲签名方案密码学分析 　　摘 要：指出了一种新的无证书部分盲签名机制存在公钥替换攻击，分析了形成攻击的原因，并且通过修改签名验证算法改进了该部分盲签名机制。分析表明，这一改进方案有效地防止了其存在的公钥替换攻击。 　　关键词：无证书密码体制；部分盲签名；双线性对 　　中图分类号：TP393.08 文献标识码：A 文章编号：1672-7800（2011）09-0025-02 　　 　　0 引言?? 　　Al-Riyamih等人首次提出无证书的公钥密码体制，用于解决基于身份公钥密码体制中的密钥托管问题。盲签名概念由Chaum提出，被广泛应用于具有匿名性要求的领域(如电子支付或匿名的电子选举等)。然而在完全盲签名中，签名者不知道最终签名的任何信息，这样的签名系统是不完善的，可能造成签名被非法使用。部分盲签名克服了完全盲签名的这一缺点，允许将客户与签名者协商好的公共信息嵌入到签名中，以便在签名者不知道所签署消息具体内容情况下有效保护签名者的合法权益。?? 　　最近，余丹、杨晓元和黄大威提出了一种无证书的部分盲签名。但是，本文分析发现该方案具有重大安全缺陷，并且提出了改进方法。?? 　　1 背景知识?? 　　这里简要介绍双线性对(Bilinear Pairings)及其困难问题假设。设??G??1和G??2分别是素阶为q的循环加法群和循环乘法群，定义e:G??1×T??1→G??2为满足以下性质的双线性映射：?? 　　双线性性：对于??(P,Q)∈G??1和??(a,b)∈Z??*??q有e(aP,bQ)=e(p,Q)????ab??,e(aP+bP,Q)=e(aP,Q)e(bP,Q);?? 　　非退化性：存在(P,Q)∈G??1满足e(P,Q)≠1;?? 　　可计算性：对于??(PQ)∈G??1,能有效计算e(P,Q).?И? 　　在给定的双线性对中存在以下主要的困难问题假设。?? 　　CDH(Computational Diffie-Hellman)假设：对于任意未知的??a,b∈??RZ??*??q,给定生成元P∈G??1和aP,bP∈G??1,不存在概率多项式时间算法能成功计算abP?А＊? 　　BDH(Bilinear Diffie-Hellman)假设：对于任意未知的??a,b,c∈??RZ??*??q,给定(P,aP,bP,cP)∈G??1,不存在概率多项式时间算法能成功计算e(P,P????abc??)??。?? 　　2 无证书部分盲签名方案分析与改进?? 　　2.1 无证书部分盲签名方案描述?? 　　余丹等人提出的无证书部分盲签名方案是对荣维坚方案的改进方案，描述如下。?? 　　Setup：产生并发布系统参数??param= {G??l, G??2, e, P, q, P????pub??, H??0, H??1,H??2}。其中，G??l是阶为q的加法循环群，生成元为P；G??2是阶为q的乘法循环群；e:G??l×G??l→G??2是双线性映射； P????pub??=sP为??KGC??的公钥，对应的s∈Z??*??q是??KGC??的主密钥；H??0:{0,1}??*×G??l×G??2×Z??*??q→Z??*??q，H\-1:{0,1}??*→G??l和H\-2:{0,1}??*→Z??*??q是安全的散列函数?А＊? 　　KeyGen：签名者B（拥有身份??ID??B）随机选择x??B∈Z??*??q作为其私有秘密，计算P??B=(X??B, Y??B)=(x??BP,x??BP????pub??); ??KGC??计算Q??B= H??1(ID??B,P??B)和部分私钥D??B=sQ??B，通过安全信道发送D??B给B；B验证等式e(D??B, P)=e(Q??B,P????pub??)成立则接受该部分私钥，然后计算私钥S??B =x??BD??B。同时计算e(P,Y??B)和e(Q??B,Y??B??)作为公钥参数公开。?? 　　Issue：用户??A请求签名者B对消息m进行部分盲签名，c是双方共同协商的说明信息，A和B?е葱幸韵陆换バ?议。?? 　　(1)B选择随机数??r∈Z??*??q，计算R??1=e(Q??B,Y??B)??r，并将R??1发送给A??；?? 　　(2)A随机选择??α,β∈Z??*??q,计算R??2= e(P,Y??B)??βR??1??α,h= H??0(m,c,R??2,Y??B)和h??*=αh?? (mod ??q)，然后发送h??*给B??;?? 　　(3)??B计算S=(rh??* +H??2(c))S??B，将S返回给A;?? 　　(4)A收到S后，计算S′=S+βhY??B，输出对(m,c