对一种具有消息恢复代理多重签名方案伪造攻击.docVIP

对一种具有消息恢复代理多重签名方案伪造攻击 　　摘要 针对张少婷等人提出的基于离散对数具有消息恢复的代理多重签名方案进行了密码学分析,给出了对该方案的一种伪造攻击方法。任何一个签名接受者都可以伪造代理多重签名,从而证明了该方案的不安全性。 　　关键词 消息恢复;代理多重签名;伪造攻击 　　中图分类号TP309文献标识码 A 文章编号 1674-6708(2010)17-0126-02 　　 　　0 引言 　　数字签名是密码学的重要问题之一,随着密码学研究的不断深入,数字签名作为现代密码学的主要研究内容也有了更进一步的发展。1994年,Nyberg和Ruepple[1]首次提出了一类具有消息自动恢复特性的数字签名方案,即验证人可以从签名中恢复出原始消息,使得签名人不需要将被签名的消息发送给验证人,从而可以节省传输带宽,提高传输效率。之后很多具有消息恢复特性的签名方案被提了出来[2-8],张少婷等人结合具有效恢复的数字签名技术和代理多重签名,提出一个具有消息恢复的代理多重签名方案[9],以下称之为ZL方案,笔者给出了对该方案的一种伪造攻击方法,使得签名的接收者在收到一个有效的签名后,便可以伪造签名者对任何消息的签名,从而证明ZL方案是不安全的。 　　2 ZL方案 　　2.1参数设置 　　p为大素数,q是p-1的大素因子,gc是Z*p上的阶元,是个原始签名者,他们的私钥是(i=1,2,…,n),对应的公钥是,(i=1,2,…,n)。的群公钥是 　　B是代理签名者,其私钥是,公钥是,是一个安全的Hash 函数,系统公开参数。 　　2.2代理签名密钥的生成 　　原始签名者约定B为其代理签名者,并产生代理授权书mw,其中mw包含所有原始签名者的身份标示,代理签名者B的身份标示、代理权限等。 　　每个原始签名者选择随机数,计算,并将在所有的中公开,从而每个可以计算 　　并将发送给代理签名者B。 　　代理签名者B收到所有的后,计算 　　验证是否成立。 　　如果对所有的都成立,则接受 　　的授权;否则,拒绝代理。然后B用自己的私钥计算,其中满足;B计算 　　,并把S作为代理签名密钥,其满足 　　2.3代理签名的生成和验证 　　假定m是待签名的消息,代理签名者B选取随机数,计算 　　 任何验证者收到之后,可根据公开的信息计算 　　然后验证是否成立,如果成立,则认为是有效的签名;否则,认为签名无效。 　　3 对ZL方案的伪造攻击 　　给出ZL方案的一种伪造攻击。假设攻击者E欲对消息m*伪造签名,在其伪造攻击过程中,会利用已有的合法签名。 　　E利用已有合法签名和公开信息可计算 　　E选择随机数,并进行一下计算: 　　则为消息m*的代理签名。 　　能过成功通过签名验证,因为:根据签名验证方程计算 　　容易看出,则是对消息m*的有效签名,从而E伪造成功。 　　在以上伪造攻击中, 在收到一个有效签名以后,便可以伪造任意一个消息的有效签名,Hash函数并没有防止这个攻击的作用. 这个事实表明,ZL方案所使用的签名算法不是一个“适当”的签名算法. 　　4 结论 　　以上给出了对ZL方案的一种伪造攻击方法,由此认为该方案作为消息恢复数字签名方案是不安全的。除此以外,由于该算法的签名验证过程使用原始签名者和代理签名者的公钥,所以,任何接收者都能验证签名的有效性,并恢复原始消息这是该方案的又一个明显缺点。 　　 　　参考文献 　　[1]Nyberg K,Rueppel R A.Message recovery for signature schemesbased on the discrete logarithm[C]//Advances in Cryptology-Eurocrypt’94.Berlin:Springer-Verlag,1994:175-190. 　　[2]Chen Ke-fei.Signature with message recovery[J].Electronics Letters,1998,34(2):1934. 　　[3]BERG K,RUEPPEL R A1Message recovery for signature schemes based on the discrete logarithm problem [J].Designs Codes andCryptography,1996,7:61-811. 　　[4]MIYAJ I A1Another countermeasure to forgeries over message recovery signature [J].IEICE Trans Fundamentals,November 1997,