張 俊，沈忠華

(杭州師范大學(xué)理學(xué)院,浙江 杭州 310036)

1985年，Miller[1]和Koblitz[2]分別提出將橢圓曲線用于公鑰密碼學(xué)，從而形成橢圓曲線密碼體制(elliptic curve cryptography, ECC).1983年，盲簽名的概念由Chaum[3]給出，簽名者所簽消息為盲化后的信息，其并不知曉所簽消息的具體內(nèi)容.1996年，Mambo 等[4]提出代理簽名的概念，原始簽名者可以將簽名權(quán)力委托給代理簽名者，由代理簽名者行使簽名權(quán)力.2000年，Lin等[5]第一次提出了代理盲簽名方案，該方案具有盲簽名和代理簽名的雙重性質(zhì).此后，不同類型的代理盲簽名方案受到研究者關(guān)注，并提出了多種基于ECC的代理盲簽名方案[6-9].

2011年D. M. Alghazzawi等[10]提出一種基于ECC的代理盲簽名方案，被稱之為“DTS方案”.然而，該方案抗偽造性較差：原始簽名者可以在代理簽名者缺位的情況下產(chǎn)生“合法”簽名，即不能實(shí)現(xiàn)代理保護(hù)；代理簽名者也可獨(dú)立完成簽名.此外，該方案的盲簽名部分設(shè)計(jì)亦有缺陷，使得方案不滿足不可追蹤性.鑒于此，本文提出了一種改進(jìn)的代理盲簽名方案，并給出安全性分析.

1 DTS方案介紹

1.1 系統(tǒng)初始化

設(shè)E是定義在p階有限域Fp上的一條安全的橢圓曲線，G是E上的整數(shù)點(diǎn)構(gòu)成的群，P是群G的基點(diǎn)，其階為n，其中n為大素?cái)?shù).H(·)為單向hash函數(shù).原始簽名者S選擇一個(gè)隨機(jī)整數(shù)dA∈[1,n-1]作為私鑰，并計(jì)算QA=dAP為公鑰.PS為代理簽名者.M表示待簽原消息.

1.2 代理簽名秘鑰生成

1)原始簽名者S選擇一個(gè)隨機(jī)整數(shù)k∈[1,n-1]作為私鑰，計(jì)算R=kP=(x,y)為公鑰，且計(jì)算s=dA+kxmodn，Q=sP，并將(s,R)傳遞給代理簽名者PS，將Q公開.

2)PS接收數(shù)據(jù)對(duì)(s,R)，驗(yàn)證Q=sP=QA+xR是否成立，若成立，s即為代理簽名秘鑰，且執(zhí)行下一步驟，否則，終止協(xié)議.

1.3 代理盲簽名生成

1)PS選擇一個(gè)隨機(jī)整數(shù)t∈[1,n-1]并計(jì)算U=tP，將U傳遞給消息擁有者V.

1.4 簽名驗(yàn)證

驗(yàn)證者接收簽名后，計(jì)算sPP+eQ的值，驗(yàn)證H((sPP+eQ)||M)=e是否成立.若成立，接受簽名，否則，簽名無效.

2 DTS方案安全性分析

2.1 該方案不滿足代理保護(hù)

2.2 代理簽名者PS可獨(dú)立偽造簽名

2.3 不滿足不可追蹤性

3 改進(jìn)方案介紹

3.1 系統(tǒng)初始化

設(shè)E是定義在p階有限域Fp上的一條安全的橢圓曲線，G是E上的整數(shù)點(diǎn)構(gòu)成的群，P是群G的基點(diǎn)，其階為n，其中n為大素?cái)?shù).H(·)為單向hash函數(shù).原始簽名者S選擇一個(gè)隨機(jī)整數(shù)dA∈[1,n-1]作為私鑰，并計(jì)算QA=dAP為公鑰；代理簽名者PS選擇一個(gè)隨機(jī)整數(shù)dP∈[1,n-1]作為私鑰，并計(jì)算QP=dPP=(xP,yP)為公鑰.M表示待簽原消息.

3.2 代理簽名秘鑰生成

1)原始簽名者S選擇一個(gè)隨機(jī)整數(shù)k∈[1,n-1]作為私鑰，并計(jì)算R=kP=(x,y)，sA=dA+xkmodn(sA≠0，否則重新選擇k值)，Q1=sAP，將Q1公開，并將(sA,R)傳遞給代理簽名者PS.

2)PS接收數(shù)據(jù)對(duì)(sA,R)，驗(yàn)證Q1=sAP=QA+xR是否成立，若成立，計(jì)算s=sA+xPdP=dA+xk+xPdPmodn，Q=sP作為公鑰；否則，終止協(xié)議.

3.3 代理盲簽名生成

3.4 簽名驗(yàn)證

驗(yàn)證者V接收簽名后，先驗(yàn)證Q1=QA+xR是否成立.若不成立，簽名無效，否則，計(jì)算Q=Q1+xPQP是否成立.若不成立，簽名無效，否則，計(jì)算sPP-eQP的值，驗(yàn)證H((sPP-eQP)||M)=e是否成立.若成立，接受簽名，否則，簽名無效.

3.5 方案的正確性

若簽名合法，Q1=QA+xR=sAP，Q=Q1+xPQP顯然成立，另外，

α(tdPα-1(β+e)+s)P+γP-eQP=etdPP+βtdPP+αsP+γP-eQP=

eQP+αQ+βQP+γP-eQP=αQ+βQP+γP，

4 改進(jìn)方案的安全性分析

對(duì)于系統(tǒng)之外的任何敵手C如果就系統(tǒng)內(nèi)的公鑰來偽造簽名，C必須從各公鑰中求得私鑰，這是困難的，因?yàn)樗麑⒚媾RECDLP.以下就系統(tǒng)內(nèi)部參與者對(duì)方案的安全性威脅和原消息的不可追蹤性進(jìn)行分析.

4.1 改進(jìn)方案具有代理保護(hù)性質(zhì)

若原始簽名者試圖獨(dú)立完成簽名，將通過偽造代理簽名秘鑰s或公鑰Q來偽造簽名，然而這是困難的.

因Q=Q1+xPQP=QA+xkP+xPQP，若A通過選擇“適當(dāng)”的k使得xkP=-xPQP， 從而消除代理簽名者私鑰dP對(duì)構(gòu)造Q和s的影響，由方程xkP=-xPQP，其中P,QP,xP為已知，欲求解k值需面臨ECDLP.若A直接通過偽造R使xR=-xPQP，從而偽造Q=QA=sP，使得s=dA，A亦無法構(gòu)造正確的sA使得Q1=sAP通過V的驗(yàn)證，因?yàn)镼1=QA+xR=QA-xPQP=sAP，QA,QP,xP均為固定公鑰，欲求解sA需面臨ECDLP.因此，改進(jìn)方案是滿足代理保護(hù)性質(zhì)的.

4.2 代理簽名者無法獨(dú)立偽造簽名

若代理簽名者偽造簽名，他需要偽造Q1=QA+xkP=sAP使驗(yàn)證者V“相信”其原始簽名者的身份.因代理簽名者不知原始簽名者私鑰dA,他將無法構(gòu)造合法的Q1及sA，從而無法完成合法簽名.若代理簽名者試圖從公鑰QA中獲得原始簽名者私鑰dA，他將面臨ECDLP.

4.3 盲性

4.4 不可追蹤性

5 效率分析

本文選取一種同類的代理盲簽名方案[11]與改進(jìn)方案進(jìn)行效率比較.記Y1，Y2，Y3，Y4分別表示兩整數(shù)相加運(yùn)算、兩整數(shù)相乘運(yùn)算、整數(shù)與群

中元素?cái)?shù)乘運(yùn)算、

中兩元素相加運(yùn)算.忽略其他運(yùn)算.

表1 運(yùn)算效率對(duì)比表

由表1可知，文獻(xiàn)[11]方案3個(gè)階段的總運(yùn)算量約為6Y1+11Y2+14Y3+8Y4，而本文方案3個(gè)階段的總運(yùn)算量約為5Y1+7Y2+11Y3+6Y4.顯然，改進(jìn)方案的運(yùn)算效率明顯高于文獻(xiàn)[11]所列方案.

6 結(jié) 語

針對(duì)Alghazzawi等所提代理盲簽名的不安全性，本文提出一種新的代理盲簽名方案.新方案改進(jìn)了代理簽名秘鑰，重新設(shè)計(jì)了盲簽名方案.從安全性分析可知，改進(jìn)方案具有抗偽造性、不可追蹤性等多項(xiàng)安全性優(yōu)點(diǎn).通過與同類型簽名方案的運(yùn)算效率對(duì)比可知，本方案具有運(yùn)算量小的優(yōu)點(diǎn).

[1] Miller V C. Use of elliptic curves in cryptography[C]//Williams H C. Advances in cryptology-proceedings：CRYPTO’85 proceedings. Berlin: Springer-Verlag,1986：417-426.

[2] Koblitz N. Elliptic curve cryptosystems[J]. Mathematics of Computation.1987,48: 203-209.

[3] Chaum D.Blind signatures for untraceable payments[C]//Advances in cryptology.New York:Springer,1983:199-203.

[4] Mambo M, Usda K, Okamoto E. Proxy signature for delegating signing operation[C]//Proceedings of the 3rd ACM conference on computer and communication security.New York：ACM Press,1996：48-57.

[5] Lin W D, Jan J K. A security personal learning tools using a proxy blind signature scheme[C]//Proceedings of international conference on Chinese language computing. Illinois：[s.n.]，2000:273-277.

[6] 趙澤茂．基于橢圓曲線的代理盲簽名方案[J]．河海大學(xué)學(xué)報(bào):自然科學(xué)版，2006，34(3)：329-332．

[7] 李沛，王天芹，李海平．一種基于橢圓曲線的代理盲簽名方案[J]．計(jì)算機(jī)與現(xiàn)代化，2008(5)：84-85．

[8] Pradhan S, Mohapatra R K. Proxy blind signature based on ECDLP[J]. International Journal of Engineering Science and Technology, 2011, 3(3): 2244-2248.

[9] 孫劍，李昆，徐瑩．一種新的基于橢圓曲線的代理盲簽名方案[J]．工業(yè)控制計(jì)算機(jī)，2013，26(6)：97．

[10] Alghazzawi D M, Salim T M, Hasan S H. A secure proxy blind signature scheme using ECC[M]//Fong S.Networked digital technologies. Berlin：Springer-Verlag,2011:47-52.

[11] 逯玲娜，周夢(mèng)．基于橢圓曲線的代理盲簽名新方案[J]．重慶科技學(xué)院學(xué)報(bào):自然科學(xué)版，2010，12(4)：155-157．