基于橢圓曲線的保護(hù)簽名者隱私的代理簽名方案

田 珂，王洪林

(1.河南工程學(xué)院 教務(wù)處，河南 鄭州 451191；2.平頂山燃?xì)庥邢挢?zé)任公司，河南 平頂山467000)

不論是手寫簽名、印鑒還是數(shù)字簽名，它們都代表了簽名人的一種權(quán)力，這種權(quán)力可以稱之為簽名人的簽名權(quán)力[1](Power of Signing).在現(xiàn)實(shí)生活中，人們常常將自己的簽名(印鑒)權(quán)力委托給可信的代理人，讓代理人代表他們在文件上簽名(蓋章).例如，一個(gè)公司的經(jīng)理在外出度假期間，需要讓他的秘書代替他處理公司的業(yè)務(wù)，包括以公司的名義在一些文件上簽名.為此，這個(gè)經(jīng)理可以將公司的公章交給秘書，讓秘書能夠代表公司在文件上蓋章.可以看出，這種委托簽名權(quán)力的方法有其特點(diǎn)，即公司的客戶不因簽名人的變更而受到影響，他們收到的印鑒都是相同的.

在使用數(shù)字簽名的過程中，人們經(jīng)常會(huì)遇到需要將簽名權(quán)力委托給他人的情況.針對數(shù)字簽名權(quán)力的委托和代理問題，Mambo等人于1996年提出了一種特殊的數(shù)字簽名體制——代理簽名體制[2-4](Proxy Signature Schemes).

任何一個(gè)代理簽名體制都可以由以下幾個(gè)部分組成[3,5,6]：

(1)初始化過程.選定簽名體制的參數(shù)、用戶的密鑰等.

(2)數(shù)字簽名權(quán)力的委托過程.原始簽名人將自己的數(shù)字簽名權(quán)力委托給代理簽名人.

(3)代理簽名的生成過程.代理簽名人代表原始簽名人生成數(shù)字簽名.

(4)代理簽名的驗(yàn)證過程.驗(yàn)證人驗(yàn)證代理簽名的有效性.

1 代理簽名方案初始化

在本方案中，用A代表原始簽名人，CA代表密鑰管理中心，B為代理簽名人，C代表簽名的驗(yàn)證者.

選擇E為定義在域Fp上的一條橢圓曲線，P∈E,P是E上階為n的點(diǎn)，這里F的特征可為2或其他素?cái)?shù).#E表示E中元素個(gè)數(shù)，n為#E的一個(gè)大素?cái)?shù)因子.選擇一安全單向函數(shù)h(·).mW為記載代理簽名人ID的授權(quán)證書.

(1) 原始簽名人A選擇隨機(jī)數(shù)kA作為自己的私鑰，其中0

(2) 原始簽名人A計(jì)算PA=kAP作為自己的公鑰，公開(E,n,P,PA).

(3)CA選擇隨機(jī)數(shù)kCA作為自己的私鑰，其中0

(4)CA計(jì)算PCA=kCAP作為自己的公鑰.

2 代理授權(quán)階段

在本階段，原始簽名人A將委托信息發(fā)送給密鑰管理中心CA.具體過程如下：

(1)原始簽名人A選擇隨機(jī)數(shù)k0， 0

(2)原始簽名人A計(jì)算：

Q0=k0P=(x0,y0),

QCA=k0PCA=(xCA,yCA),

將(σ′,Q0)公開地發(fā)送給CA.

(3)CA解密σ′，計(jì)算：

kCA·Q0=(xCA,yCA),

(4)CA驗(yàn)證是否有：

σP=PA+r0Q0,

若驗(yàn)證成立，接收σ為A的委托信息.否則，拒絕接收.

(5)CA生成代理簽名密鑰：

σCA=σ+kCAmodn.

驗(yàn)證等式的正確性可由下式推得：

σP=(kA+r0k0)P=kAP+r0k0P=PA+r0Q0.

3 匿名隱藏階段

為了保護(hù)代理簽名人的隱私，代理簽名人用別名作為自己的身份信息來簽名，這樣就保護(hù)了自己的真實(shí)身份信息.當(dāng)待簽名文件送來時(shí)，若代理簽名人審核同意，則先在此階段實(shí)行匿名隱藏.具體過程如下：

(1)代理簽名人B選擇隨機(jī)數(shù)ki， 0

(2)代理簽名人B計(jì)算：

(3)CA計(jì)算：

(4)CA選擇隨機(jī)數(shù)ki′， 0

其中，c(PB)為代理簽名人的身份信息.

(5)CA將(hB,Qi′,Si′,c(PB))發(fā)送給代理簽名人B.

(6)代理簽名人B驗(yàn)證等式

ver(c(PB))=true，
Si′P=PCA·h(hB,ri′)+ri′·Qi′.

若驗(yàn)證成功，則B接收hB作為自己的秘密身份，CA記錄(hB,IDB)信息對；否則，拒絕接收.驗(yàn)證等式的正確性可由下式推得：

PCA·h(hB,ri′)+ri′·Qi′.

(7)代理簽名人B以秘密身份選擇隨機(jī)數(shù)khB作為自己的私鑰，其中0

PhB=khB·P.

4 委托過程

在此階段，密鑰管理中心CA將代理簽名密鑰發(fā)送給代理簽名人B，具體過程如下：

(1)CA選擇隨機(jī)數(shù)k0′， 0

(2)CA計(jì)算：

將(σhB′,Q0′,Q0)公開發(fā)送給代理簽名人B.

(3)B解密σhB′，計(jì)算：

khB·Q0′=(xhB′,yhB′),
σhB=σhB′·(xhB′)-1.

5 代理簽名產(chǎn)生階段

對于任何消息m， 0

(1)B選擇隨機(jī)數(shù)k， 0

堿破壞試驗(yàn)：加入1 mL 2 mol/L的氫氧化鈉溶液，放置5 h，加2 mol/L的鹽酸溶液調(diào)pH至中性，作為堿破壞試驗(yàn)樣品。

(2)B計(jì)算kP=(x,y)， 其中x,y∈F； 并計(jì)算e=h(m).

(3)B計(jì)算：

r≡xmodn,
T=σhB+khB·hB,
s=k-1(e+rT) modn.

則(m,r,s,Q0,Q0′)一起構(gòu)成了代理簽名.

6 代理簽名的驗(yàn)證過程

任何一個(gè)驗(yàn)證人C在收到(m,r,s,Q0,Q0′)后，進(jìn)行如下計(jì)算：

計(jì)算x′ modn，如果x′ modn=r，則得到驗(yàn)證.

7 方案安全性分析

本文提出的基于橢圓曲線的代理簽名方案的安全性是基于橢圓曲線離散對數(shù)問題難解性的.安全性分析如下：

(1) 滿足可驗(yàn)證性.驗(yàn)證過程如下：

s-1(h(m)+rT)P=kP=(x,y).

定理1 在本章所提出的代理簽名方案中，任何人都無法在代理授權(quán)階段獲取原始簽名人的私鑰.

證明原始簽名人A給予CA的委托信息是(σ′,Q0)，其中：

Q0=k0P,σ′=σ·xCA=(kA+r0k0)xCA.

由Q0可以得到r0.然而，從Q0=k0P中計(jì)算出k0是一個(gè)典型的橢圓曲線離散對數(shù)問題.同樣，即使是CA也無法得到k0.已經(jīng)假定橢圓曲線離散對數(shù)問題是難解的，則其他人從Q0=k0P中計(jì)算出k0是不可能的.所以，其他人不可能通過這種方式獲得原始簽名人的私鑰.另外，因?yàn)閗A,r0k0都是隨機(jī)數(shù)，所以σ也是隨機(jī)的.由SHANNON的信息理論可知，在未知關(guān)于r0k0的任何信息的情況下，從σ′中也不能得到任何關(guān)于kA的信息.

同理，在信息委托階段也無法獲得CA的私鑰信息.

(3)CA無法利用原始簽名人A給的委托信息產(chǎn)生新的委托信息.

定理2 在本章所提出的代理簽名方案中，CA無法利用原始簽名人A給的委托信息產(chǎn)生新的委托信息.

證明: 我們先約定一個(gè)符號，設(shè)Q=(x′,y)∈E為E中的任一點(diǎn)，r≡x′ modn，本文約定用f表示由Q計(jì)算r的函數(shù)，亦即，記r=f(Q).這里f事實(shí)上是一個(gè)泛函數(shù)，其定義域?yàn)榧螮，值域是小于n的非負(fù)整數(shù)，這樣約定后，σ可表示為σ≡(kA+f(Q0)k0) modn.同樣，σP=PA+f(Q0)Q0.CA為了利用原始簽名人A所給的委托信息產(chǎn)生新的假委托信息，它隨意選取一個(gè)整數(shù)k1后，再計(jì)算Q1=k1P以及Q′=Q0+Q1和σ1=(σ+f(Q1)k1) modn.但是容易看出這樣得到的σ1和σ′是不符合等式σP=PA+f(Q0)Q0的.因?yàn)檫@時(shí)等式的左邊為：

σ1P=(σ+f(Q1)k1)P=PA+f(Q0)Q0+f(Q1)Q1，

等式的右邊為：

PA+f(Q′)Q′=PA+f(Q0+Q1)(Q0+Q1).

由于P(Q0+Q1)(Q0+Q1)≠f(Q0)Q0+f(Q1)Q1，所以委托信息σ1和Q′不滿足需求，欺騙行為不能得逞.同理，代理簽名人B也無法利用CA給的委托代理簽名密鑰產(chǎn)生新的代理簽名密鑰.

(4)A賦予代理簽名人的簽名權(quán)利，他可以通過宣布Q0無效來撤銷此代理的簽名權(quán)利.因此，方案滿足不可偽造性，密鑰依賴性及可撤銷性.

(5)代理簽名的不可偽造性.因?yàn)閗CA是CA自己秘密隨機(jī)選取的，而k和khB是代理簽名人B秘密隨機(jī)選取的.因此,任何人都不能偽造B的有效代理簽名.

(6)滿足代理簽名的可追蹤性.在代理簽名人B接收秘密身份信息后，同時(shí)CA還會(huì)記錄身份信息IDB和秘密身份的信息對，這樣在簽名生成后，原始簽名人可以通過查詢CA來確定代理簽名人的身份.

(7)滿足代理簽名的可區(qū)分性.由于在驗(yàn)證原始簽名人和代理簽名人的簽名時(shí)所用到的公鑰不同，所以可區(qū)分代理簽名和正常的原始簽名人的簽名.

8 結(jié) 語

本文提出了一種新的基于橢圓曲線密碼體制的代理簽名方案，該方案解決了代理簽名人的匿名隱藏問題，保護(hù)了代理簽名人的隱私，加強(qiáng)了委托信息傳遞的安全性.通過密鑰管理中心的合理使用，保證了簽名過程無需原始簽名人的參與.

參考文獻(xiàn)：

[1] MITCHELL C J, PIPER F, WILD P. Digital Signatures[C]. In Contemporary Cryptology, The Science of Information Integrity, IEEE Press,1992.325-378.

[2] SCHNORR C P. Efficient signature generation by smart cards [J].Journal of Cryptology, 1991,(4):161-174.

[3] MAMBO M,USUDA K,OKAMOTO E. Proxy signatures for delegation signing operation[A].Pros 3td ACM Conference on Computer and Communications Security[C].ACM Press,1996.48-57.

[4] MAMBO M,USUDA K,OKAMTOTO E. Proxy signatures: delegation of the power to sign messages[J].IEICE Trans Fundam,1996,(90): 1 338-1 354.

[5] 徐茂智,游 林.信息安全與密碼學(xué)[M].北京:清華大學(xué)出版社,2007.1-2.

[6] 李繼國,曹珍富,李建中.代理簽名的現(xiàn)狀與進(jìn)展[J].通信學(xué)報(bào),2003，24(10)：114-123.