胡江紅

（寶雞文理學(xué)院 數(shù)學(xué)系，陜西 寶雞 721013）

1996年，Maobo[1]等人提出了一種特殊的數(shù)字簽名——代理簽名，這種形式的簽名一經(jīng)提出便受到廣泛關(guān)注。代理簽名是指原始簽名人將自己的簽名權(quán)利委托給代理簽名人，由于某種原因不能進(jìn)行簽名時(shí)，代理簽名人可以代表原始簽名者產(chǎn)生有效的簽名.這種簽名可以實(shí)現(xiàn)簽名權(quán)力的委托，讓可靠的代理者代替他簽名。一般地，一個(gè)代理簽名需要滿(mǎn)足五條安全性要求：可區(qū)分性，可驗(yàn)證性，不可偽造性，不可否認(rèn)性，身份可識(shí)別性，但是，在代理簽名方案中存在代理簽名人密鑰泄漏問(wèn)題，一旦秘鑰泄露，就會(huì)導(dǎo)致攻擊者偽造代理簽名，代理簽名密鑰所產(chǎn)生的所有代理簽名將變成無(wú)效。1997年，R.Anderson[2]首次提出了前向安全的概念，前向安全理論可以有效地減少因密鑰泄漏帶來(lái)的安全問(wèn)題，是目前密碼學(xué)研究的熱點(diǎn)。所謂前向安全簽名是把密鑰的有效期分成T個(gè)時(shí)段，在每個(gè)時(shí)段使用不同的簽名密鑰進(jìn)行簽名，而整個(gè)密鑰周期里公鑰保持不變，這樣即使當(dāng)前時(shí)段的密鑰泄露，由于攻擊者無(wú)法推斷以前時(shí)段的簽名密鑰，因而不能偽造過(guò)去時(shí)段里的任何簽名，也就不會(huì)影響以前時(shí)段所產(chǎn)生的簽名的有效性。隨著前向安全性的提出和實(shí)際應(yīng)用的需要，將前向安全性和其他特殊數(shù)字簽名如盲簽名，代理簽名，環(huán)簽名等相結(jié)合，學(xué)者們提出了很多特殊的前向安全數(shù)字簽名方案[3-7]。同時(shí)前向安全的概念在電子貨幣系統(tǒng)，秘鑰交換協(xié)議等方面也有著重要的應(yīng)用。但是，目前很多前向安全代理簽名方案是不安全的，并不具備真正意義上的前向安全性，比如，劉亞麗[8]等人對(duì)基于模m的n方根的前向安全數(shù)字簽名方案進(jìn)行分析，指出文獻(xiàn)[4，6-7]都是不安全的，不能抵抗偽造攻擊，并且簽名不具有前向安全性.本文通過(guò)對(duì)夏祥勝等人[9]，王勇兵等人[10]，王玲玲等人[11]和彭仁杰等人[12]提出的前向安全簽名方案進(jìn)行分析，發(fā)現(xiàn)這些方案也是不安全的，一旦代理簽名人的簽名私鑰泄露，就不能抵抗偽造攻擊，簽名就不具有前向安全性，并總結(jié)了這些簽名方案不安全的原因。

1 對(duì)夏祥勝等人所提方案的安全性分析

具體簽名方案請(qǐng)參見(jiàn)文獻(xiàn)[9]。該方案是一個(gè)前向安全的有代理的廣播多重代理簽名方案，在該方案中，若第j周期的密鑰 xi，j，σi，j被泄露， 攻擊者也無(wú)法知道第 j周期以前的密鑰，所以簽名密鑰具有前向安全性。但是我們通過(guò)分析發(fā)現(xiàn)該方案不能抵抗偽造攻擊，方案的簽名并不具備前向安全性。 若簽名者第 j周期的簽名密鑰 xi，j，σi，j被泄露，攻擊者就可以利用 xi，j，σi，j偽造任意周期的有效簽名（j，m，si，j，ri，j），從而簽名不具備前向安全性。具體過(guò)程如下：

若攻擊者獲得了第 j周期的簽名密鑰 xi，j，σi，j， 由于 j，si，j，ri，j，Rj都可以從公開(kāi)信道中獲取，所以攻擊者想要利用第j周計(jì)算第 t周期的簽名時(shí)，根據(jù)密鑰進(jìn)化算法mod q－1 可 以 得 到 ：此時(shí)簽名密鑰是一個(gè)和周期 j無(wú)關(guān)的常數(shù)，所以不同周期求出的簽名si，j也和時(shí)段j無(wú)關(guān)，故最終的簽名也和周期j無(wú)關(guān)。因此攻擊者一旦獲得某一周期j的簽名密鑰 xi，j，σi，j，就可以根據(jù)成功偽造出任意周期t的簽名，并可以通過(guò)驗(yàn)證。所以該方案的簽名不具備前向安全性。

另外，跟這個(gè)方案類(lèi)似，文獻(xiàn)[9]中還給出了一個(gè)前向安全的有代理的有序多重簽名方案，簽名式子中簽名私鑰依然是一個(gè)與周期j無(wú)關(guān)的常數(shù)，從而也不具有前向安全性，這里不再詳述。

2 對(duì)王勇兵等人所提方案的安全性分析

具體簽名方案請(qǐng)參見(jiàn)文獻(xiàn)[10]。該方案是一個(gè)前向安全的匿名代理簽名方案，雖然利用模二次剩余困難問(wèn)題改進(jìn)了代理私鑰的生成，但依然存在安全漏洞，不能抵抗偽造攻擊，若簽名者第i時(shí)段的密鑰xi被泄露，攻擊者包括原始簽名人A 就可以利用 xi偽造任意時(shí)段的有效簽名（m，IDA，T，e′，s′），從而簽名不具備前向安全性。具體過(guò)程如下：

若攻擊者獲得了第 i時(shí)段的密鑰 xi，由于 mw，rA，IDA，δA都可以從公開(kāi)信道中獲取，所以攻擊者想要通過(guò)第i時(shí)段的簽名得到第j時(shí)段的簽名，只需要知道第j時(shí)段代理簽名私鑰，根據(jù)密鑰進(jìn)化算法 x=i，從而是一個(gè)與時(shí)段i無(wú)關(guān)的常數(shù)，即簽名私鑰xp是一個(gè)和時(shí)段i無(wú)關(guān)的常數(shù)，所以不同時(shí)段求出的簽名s=k－expmod p－1也和時(shí)段i無(wú)關(guān)，故最終的簽名驗(yàn)證也和時(shí)段i無(wú)關(guān)。因此，攻擊者一旦獲得某一時(shí)段 i的簽名密鑰 xi，就可以根據(jù)成功得到任意時(shí)段 j的代理簽名私鑰1從而成功偽造出任意時(shí)段j的有效簽名，并可以通過(guò)驗(yàn)證。所以該方案的簽名不具備前向安全性。

3 對(duì)王玲玲等人所提方案的安全性分析

具體簽名方案請(qǐng)參見(jiàn)文獻(xiàn)[11]。該方案是一個(gè)標(biāo)準(zhǔn)模型下基于雙線(xiàn)性對(duì)的前向安全環(huán)簽名方案，方案聲稱(chēng)即使當(dāng)前時(shí)段的簽名密鑰泄露，敵手也不能偽造先前的簽名，但通過(guò)分析發(fā)現(xiàn)，事實(shí)并非如此，該方案不能抵抗偽造攻擊。如果攻擊者獲得了第 j（1≤j≤T）時(shí)段的簽名密鑰 xs，j和 ys，j，即可偽造任意時(shí)段的有效簽名，簽名不具備前向安全性。具體過(guò)程如下：

不妨設(shè)系統(tǒng)進(jìn)入到了第 t（1≤t≤j）個(gè)時(shí)段，攻擊者想代表群體對(duì)消息m進(jìn)行偽造簽名，在環(huán)簽名階段，由于σi，P，R都可以從公開(kāi)信道中獲取，所以攻擊者想要通過(guò)第j（1≤j≤T）時(shí)段的簽名私鑰得到第 t（1≤t＜j）時(shí)段的簽名，只需要通過(guò)第 t（1≤t＜j）時(shí)段的簽名私鑰 xs，t，ys，t計(jì)算最終的簽名 σs=（1/所以簽名中的都是一個(gè)常數(shù)，說(shuō)明不同時(shí)段求出的簽名都與時(shí)段j無(wú)關(guān)，驗(yàn)證等式e（P，R）也和時(shí)間段j也無(wú)關(guān)。因此，攻擊者一旦獲得了第j（1≤j≤T）時(shí)段的簽名密鑰 x和 y，就可以根據(jù)

s，js，jmod N和mod N成功偽造任意時(shí)段t的有效簽名，并可以通過(guò)驗(yàn)證。所以該方案的簽名也不具備前向安全性。

4 對(duì)彭仁杰等人所提方案的安全性分析

具體簽名方案請(qǐng)參見(jiàn)文獻(xiàn)[12]。該方案是一個(gè)基于Euler準(zhǔn)則的前向安全數(shù)字簽名方案，方案也稱(chēng)即使當(dāng)前的簽名密鑰泄露了，攻擊者得不到此前的各階段簽名密鑰的任何信息，也不能偽造前階段的簽名。但通過(guò)分析發(fā)現(xiàn)，該方案并不能抵抗攻擊者的偽造攻擊，簽名不滿(mǎn)足前向安全性。具體過(guò)程如下：

若攻擊者獲得了第i時(shí)段的簽名密鑰si，攻擊者就可以偽造任意時(shí)段的有效簽名，不妨設(shè)系統(tǒng)進(jìn)入到了第j時(shí)段，攻擊者按照簽名過(guò)程計(jì)算：Pm=H（m||ppub）隨機(jī)選取，計(jì)算R=rP， 并利用第 i時(shí)段的簽名密鑰 si計(jì)算，由于R∈E（FP），S′∈E（FP），不妨設(shè)R=（Rx，Ry），S′=（），則（j，就是在第j時(shí)段對(duì)消息m的偽造簽名。驗(yàn)證如下：

根據(jù)以上分析可得，攻擊者一旦獲得了簽名者第i時(shí)段的簽名密鑰si，就可以成功偽造任意j時(shí)段的有效簽名，所以該簽名方案的簽名不具備前向安全性。

5 方案不安全的原因分析

綜上所述，這幾個(gè)前向安全簽名方案均存在安全隱患，都不能抵抗偽造攻擊，雖然密鑰進(jìn)化具有前向安全性，但是簽名并不具有前向安全性，主要原因如下：

2）兩個(gè)方案中，最后的簽名驗(yàn)證等式都與具體時(shí)段無(wú)關(guān)，使得時(shí)段參數(shù)不是一個(gè)有效的參數(shù)。

其實(shí)，有學(xué)者已經(jīng)指出目前很多前向安全簽名方案都不滿(mǎn)足前向安全性，比如文獻(xiàn)[4－7，11]都相繼被指出是不安全的，所以，在實(shí)際應(yīng)用中，我們?cè)O(shè)計(jì)前向安全代理簽名方案時(shí)應(yīng)注意避免出現(xiàn)此類(lèi)安全隱患，使方案具有真正意義上的前向安全性。

6 結(jié)束語(yǔ)

本文對(duì)幾種前向安全的簽名方案的安全性進(jìn)行了深入討論，通過(guò)分析發(fā)現(xiàn)這幾個(gè)簽名方案都存在安全漏洞，不能抵抗偽造攻擊，最終的簽名并不具有前向安全性。因此，設(shè)計(jì)具有真正意義上的安全高效的前向安全簽名方案依然具有很大的研究?jī)r(jià)值。

[1]Mambo M，Usuda K，Okamoto E.Proxy signatures for delegating signing Operation[C]//Proceedings of the 3th ACM Conference on Computer and Communications Security，ACM Press，1996:48-57.

[2]Anderson R.Two remarks on public key cryptology[C]//Invited lecture In:Forth Annual Conference on computer and communications Security，ACM，1997.

[3]Lin WD，JAN JK.A security personal learning tools using a proxy blind signature scheme[C]//Proceedings of International Conference on Chinese Language Computing.USA:Chinese language computer society knowledge systems institute，2000:273-277.

[4]譚作文，劉卓軍.一個(gè)前向安全的強(qiáng)代理簽名方案[J].信息與電子工程，2003，1（4）:257-259.TAN Zuo-wen，LIU Zhuo-jun.A forward secure strong proxy signature scheme[J].Information and Electronic Engineering，2003，1（4）:257-259.

[5]周萍，何大可.兩種具有前向安全性的代理盲簽名方案[J].計(jì)算機(jī)工程與應(yīng)用，2012，48（5）:51-53.ZHOU Ping，HE Da-ke.Proxy blind signature schemes with forward secure property[J].Computer Engineering and Applications，2012，48（5）:51-53.

[6]肖紅光，譚作文.一種前向安全的代理盲簽名方案[J].通信技術(shù)，2009，42（5）:193-196.XIAO Hong-guang，TAN Zuo-wen.A forward proxy blind signature scheme[J].Communication Technology，2009，42（5）:193-196.

[7]王曉明，陳火炎，符方偉，等.前向安全的代理簽名方案[J].通信學(xué)報(bào)，2005，26（11）:38-42.WANG Xiao-ming，CHEN Huo-yan，F(xiàn)U Fang-wei，et al.Forward secure proxy signature scheme[J].Journal of Communications，2005，26（11）:38-42.

[8]劉亞麗，秦小麟，殷新春，等.基于模m的n方根的前向安全數(shù)字簽名方案的分析與改進(jìn)[J].通信學(xué)報(bào)，2010，31（6）：82-88.LIU Ya-li，QIN Xiao-lin，YIN Xin-chun，et al.Analysis and improvement for forward security digital signature schemes based on n-th root modulem[J].Journal of Communications，2010，31（6）:82-88.

[9]夏勝祥，耿永軍，洪帆，等.前向安全的有代理的多重?cái)?shù)字簽名方案[J].小型微型計(jì)算機(jī)系統(tǒng)，2009，5（5）:854-858.XIA Shen-xiang，GENG Yong-jun，HONG Fan，et al.Forward secure multisignature with proxy signature scheme[J].Journal of Chinese Computer Systems，2009，5（5）:854-858.

[10]王勇兵，張建中.一種前向安全的匿名代理簽名方案[J].計(jì)算機(jī)工程與應(yīng)用，2006，25:133-135.WANG Yong-bing，ZHANG Jian-zhong.A forward secure anonymous proxy signature scheme[J].Computer Engineering and Applications，2006，25:133-135.

[11]王玲玲，張國(guó)印，馬春光.標(biāo)準(zhǔn)模型下基于雙線(xiàn)性對(duì)的前向安全環(huán)簽名方案[J].電子與信息學(xué)報(bào)，2009，31（2）:448-452.WANG Ling-ling，ZHANG Guo-yin，MA Chun-guang.A forward-secure ring signature scheme based on bilinear pairing in standard model[J].Journal of Electronics&Information Technology，2009，31（2）:448-452.

[12]彭仁杰，楊小東.基于Euler準(zhǔn)則的前向安全數(shù)字簽名方案[J].計(jì)算機(jī)應(yīng)用與軟件，2009，26（4）:260-261.PENG Ren-jie，YANG Xiao-dong.A forward secure digital signature scheme based on Euler’s criterion[J].Computer Applications and Software，2009，26（4）:260-261.