基于椭圆曲线的代理签名体制.docxVIP

? ? 基于椭圆曲线的代理签名体制 ? ? 杨淑娣，王世亮，刘小靖 （曲阜师范大学 数学科学学院，山东 曲阜 273165） Summary：代理签名是一种特殊的数字签名，是指原始签名人委托代理签名人替自己行使签名权.传统的代理签名体制都是基于离散对数问题的，一种新的基于椭圆曲线的代理签名体制被提出，该体制比传统代理签名体制的密钥和签名长度更短，并具有较好的安全性. Keys：椭圆曲线密码体制；椭圆曲线；代理签名 TP309 ：A ：1673-260X（2011）06-0072-02 1 引言 在现实世界里，人们经常需要将自己的某些权力委托给可靠的代理人，让代理人代表本人去行使这些权利.在这些可以委托给他人的权力中包括人们的签名权.例如，某公司的经历需要到外地出差，为了不影响公司的业务，该经理可以委托一个可靠的助手，让该助手在他出差期间代表他在一些重要的文件上签字. 1996年，Mambo等人首次在文献[1]中提出了代理签名的概念，并给出了解决这个问题的一种方案.在代理签名体制中，一个被称为原始签名人的用户，可以将他的数字签名权力委托给另外一个被称为代理签名人的用户.代理签名人可以代表原始签名人对消息进行签名.与其它数字签名一样，代理签名是可以公开验证的. 一个好的代理签名应满足以下的安全性要求： (1)不可伪造性.除了代理签名人外，任何其他人都不能生成有效的代理签名. (2)可验证性.任何人都可以验证代理签名的有效性，并且根据有效地代理签名确认原始签名人承认被签名的信息. (3)可区分性.任何人都能区别代理签名和普通的数字签名，原始签名人的签名和代理签名人的代理签名. (4)不可抵赖性.代理签名人不能否认他产生的，且被认可的代理签名. 2 基于椭圆曲线的签名体制（椭圆曲线数字签名算法ECDSA） 2.1 参数与密钥生成 设Fq是有限域，E是Fq上的椭圆曲线，G是E上的一个有理点，称为基点，G的阶为素数n，E的有理点群的阶ord(E)=hn.通常要求n是大素数，h是一个小的正整数.当域的特征为2时，常选h=2或h=4；当域的特征为大素数时，多选h=1.用户随机选择自己的私钥a，1an，计算相应的公钥是Q=aG.H:{0,1}*→Zn*为一个安全的Hash函数. 消息空间为M={0,1}*（所有长度有限的比特串的集合），签名空间A=Zn×Zn，密钥空间K={q,n,E,P,a,Q:q是大素数或2的幂，E是Fq上的椭圆曲线，n为大素数，G是E上的一个n阶点，a∈Zn*,Q=aG}. 2.2 签名算法 设用户（即签名人）的密钥对为(a,Q)，他要对消息m签名，则需要执行以下过程： 随机选择一个整数k，1kn，计算kG=(x,y)，r=xmodn，e=H(m)，s=k-1(e+ra)modn，则对m的签名为(r,s). 2.3 签名的验证算法 任何人都可以验证签名是否有效，只需执行以下过程： 计算e=H(m)，u=s-1emodn，v=s-1rmodn，(x1,y1)=uG+vQ, r1=x1modn. 如果r=r1，则签名有效. 这是因为，若(r,s)是对m的有效签名，则有k=s-1(e+ra)=s-1e+s-1ra=u+vamodn，因此，(x,y)=kG=uG+vQ=(x1,y1)，所以r1=x1=x=rmodn. 3 基于椭圆曲线的代理签名体制 3.1 主要参数 参数的选择与椭圆曲线签名算法（ECDSA）相同：定义在有限域Fq上的椭圆曲线E，Fq的特征是p，#E(Fq)为E上Fq有理点的个数，#E(Fq)可被一个大素数n整除，基点G∈E(Fq).将参数记为： D=(q,FR,a,b,G,n,h),H， 其中：q是有限域的元素个数，此时q=p或q=2m；FR是有限域中元素的表示方法（如多项式表示等）；a,b∈Fq；定义Fq上的椭圆曲线：y2=x3+ax+b p3，y2+xy=x3+ax+b p=2；G=(xc,yc)是E(Fq)上的一个点，且ord(G)=n；n是一个素数，n160且n4q；h=#E(Fq)/n称为余因子，h远小于n，利用h可以较快地找到满足上面条件的基点G：随机取G∈E(Fq)，计算hG，如果hG≠0，则令G=hG；H:{0,1}*→Zn*为一个安全的Hash函数. 设原始签名人和代理签名人的密钥和公钥对分别是(xA,yA)和(xB,yB)，其中yA=xAGmodp和yB=xBGmodp，将yA，yB公开，xA，xB保密. 3.2 委托过程 3.5 安全性分析 3.5.1 基本的不可伪造性.在这个代理签名协议中，代理签名人虽然得到K和?滓1，但他不能从中推算出xA,这是由于从K不能得到k（这相当于解椭圆曲线上的对数问题），因此就不能获得xA，从而不能伪造原始签名人的普通签名，这也说明任何其他攻击者都难以