micili公平的群盲签名方案.docxVIP

micili公平的群盲签名方案 群盲签名方案 a、liyashana和z.ramgam于1998年首次提出了盲签名的概念。这是组签名和盲签名的结合，即组签名中的盲性增加。因此它除了满足群签名的安全性要求之外,还应满足签名的盲性。 签名的盲性:群成员不知道他所签署的消息的任何信息。事后,群成员可以像其他人一样验证签名的有效性,但是,他无法将签名与他在协议中收到的任何信息相关联。 群盲签名与群签名类似,它只是将群签名方案中的签名算法转变成了群成员与应用者之间的一个交互的签名协议,而它的创建算法、注册协议、验证算法和打开算法与群签名方案的完全相同。 签名协议:群成员和应用者之间的一个交互协议,通过执行该协议,应用者能从群成员处得到某个消息的盲签名。 群盲签名方案能够允许应用者从某个群成员处得到消息的盲签名,但事后群成员无法将消息签名对与某个具体的签名协议联系起来,它可以用来实现多个银行匿名地分发不可跟踪的电子现金。然而由于在群盲签名方案中,签名者无法将消息签名对与某个具体的签名协议联系起来,这给犯罪份子进行非法活动提供了便利。 我们根据Micali公平的密码体制的思想,基于CS97的第一个群签名方案,利用不经意传输协议提出了一个公平的群盲签名方案,它有一个附加性质,即在一个可信实体的帮助下,签名者能够将消息签名对与相应的签名协议联系起来,从而使其在保护用户隐私的同时,又能防止不法份子利用它的盲性进行犯罪活动。并且方案的签名长度,计算复杂度和通信复杂度都与安全参数呈线性关系。 1 相关知识 在介绍公平的群盲签名方案之前,我们先介绍设计我们的方案所需的不经意传输协议和CS97的第一个群签名方案。 1.1 f-ot1212协议的实现方案 (1)二选一的不经意传输(记为OT1212):这是发送者与接收者之间的一个协议。发送者向接收者发送两个消息,使得接收者可以从中任意选择一个消息接收,且只能接收一个消息。但发送者无法判断接收者选择了哪个消息。 设m0与m1表示发送者发送的两个消息,c表示接收者的选择比特(c∈{0,1}),一个OT1212协议的操作可以记作 (2)公平的二选一的不经意传输(记为f-OT1212):是一个OT1212的修改方案,它允许法官有能力确定c的值,从而判断出接收者收到了哪个消息。 一个f-OT1212协议的操作可以记作 下面我们给出一个f-OT1212协议的具体实现方案。 设nJ=PJQJ是两个大素数的乘积,使得只有法官知道nJ的因子分解。设g∈QRnJ是一个具有大的乘法阶的元素,h是Z*nJ上具有正的雅克比符号的平方非剩余。“encr”与“decr”分别表示简单的加密与解密函数(如DES),它们用来传送发送者的消息。 由平方剩余假设知,发送者不能判断接收者最终收到了{m0,m1}中的哪个消息,但法官能够很容易地判断接收者收到了哪个消息,这是因为法官知道nJ的因子分解,他可以很容易地判断t是否是Z*nJ上的平方剩余,从而判断出c的具体值。另一方面,由Diffie-Hellman假设知接收者无法求出k!-c的值,从而不能计算m!-c的值。 1.2 cs97组签名方案1 (1) 离散系数的计算 群经理计算如下一些值: ①选择一个RSA公开密钥(n,e)与一个阶为n的循环群G=〈g〉,使得在此群中计算离散对数是困难的,(例如选择G为Z*p的一个子群,其中p是使得n|(p-1)|成立的素数)。 ②选择元素a∈Z*n,其中a在模n的两个素因子时都具有大的乘法阶。 ③选择秘密密钥长度的上界λ与一个安全特征ε1。 从而得群的公开密钥Y=(n,e,G,g,a,λ,ε)。 (2) 注册协议 若Alice想加入群,她可以与群经理执行如下交互协议。 alice选择xr{0，，21}，并计算y=ax莫霍、z=gy莫霍和签名v=spk{sz=ga}“ 将z作为她的公开密钥,并将y,z,V送给群经理。 a组经理收到y、z和v后，确认签名v和z-gymodp是否正确 若成立,则计算一个RSA签名v=(y+1)1/e(modn),并将v送给Alice,作为Alice的身份证书。 (3) 群签名的生成 为了对消息m签名,Alice首先选择随机数r∈RZ*n,并计算 ?g=gr(modp)??z=?gy(modp) 然后再计算两个知识签名 V1=SΡΚ{α∶?z=?gaα}(m)V2=SΡΚ{β∶?z?g=?gβe}(m) 从而可以得消息m的群签名为(?g,?z,V1,V2)。 (4) 验证算法 可以通过检验知识签名V1和V2的正确性来判断签名的有效性。 (5) gyp=zp副产是否成立 因为群经理知道每个群成员的密钥yp=gxp(modn),因此对于上述签名,他可以逐个验证?gyp=?zp(modp)是否成立。当群经理找到使得?gy=?z(modp)