白永祥

摘 要：基于橢圓曲線密碼系統(tǒng)的優(yōu)勢，設計了一種群簽名方案。方案從群簽名的初始化、簽名過程和驗證進行了詳細的研究和設計，并且使用了目前最新的雜湊函數SHA-3，增強了簽名的安全性。最后分析了該方案的特性，與以基于RSA等通用簽名算法進行比較，該方案在效率和安全性方面具有較好的性能。

關鍵詞：橢圓曲線密碼體制；數字簽名；群簽名；安全性

中圖分類號：TP309.7 文獻標識碼：A 文章編號：2095-2163（2015）01-

Abstract：Based on the advantage of the elliptic curve cryptosystem， a group signature scheme is designed. The design scheme is carried on from the detailed process of initialization， signature and verification of the group signature；after that， the SHA -3 of current latest hash function is used， which enhances the security of the group signature. According to the aboved research， the paper analyzes the characteristics of the scheme， and the analysis results shows that the scheme has better performance in terms of efficiency and safety than signature algorithm based on RSA etc.

Key words：Elliptic Curve Cryptosystem； Digital Signature； Group Signature； Security

0 引 言

在全球電子商務快速發(fā)展的今天，數字簽名有著廣泛的應用前景。數字簽名一般包括普通數字簽名和特殊數字簽名兩類，而特殊數字簽名則有多重簽名、代理簽名、盲簽名、門限簽名、具有消息恢復功能的簽名和群簽名等的區(qū)分[1]，而且與具體的應用環(huán)境密切相關。其中的群簽名在簽名中涉及的用戶數量較大，同時設計上也較為復雜，目前的方案整體而言都是基于離散對數或者知識簽名的，最終簽名均顯冗長，這就使得造成了運算量大，效率降低，各種算法只是理論上可行，但卻很難應用到實際當中，因此，只有提高群簽名的效率，才能使其得到現實的有效應用。

在安全性等同的情況下，基于ECC的數字簽名密鑰長度明顯減短，例如：密鑰長度為160bit的安全性即等同于1 024bit的RSA安全性。短密鑰所需要的網絡帶寬和存儲容量都非常小，而這些因素卻將直接影響群簽名的高效性和安全性，而且與基于大整數因子分解的RSA密碼體系和離散對數問題密碼體系相比較，橢圓曲線密碼系統(tǒng)可供選擇的曲線資源也更為豐富，就是在同一個有限域上呈現有大量不同的橢圓曲線，這種多樣性增加了選擇曲線的隨機性，從而增強了密碼系統(tǒng)的安全性，同時也使得軟、硬件設計與實現更加靈活比便捷。綜合以上分析，ECC已經成為公鑰密碼學未來的發(fā)展標準。本文正是基于橢圓曲線密碼體制的以上優(yōu)勢，并使用全新的SHA-3雜湊函數，設計完成了一種群簽名方案。

1 相關知識

1.1數字簽名

數字簽名方案一般包括兩個部分，分別是帶有陷門的公開簽名算法和驗證算法。具體地，公開簽名算法使用由密鑰控制的函數，對于消息進行簽名：，這里算法是公開的，密鑰是保密的，只有知道密鑰才能進行簽名，由此實現了防偽。同時，驗證算法也是公開的，通過來進行驗證簽名[2]。

數字簽名的定義是：對明文空間，簽名空間，密鑰空間則有映射：

1.2 群簽名

群簽名是1991年由 Chanum和Heyst提出來的[3]，所謂群簽名就是群中的每位成員都可以代表該群組進行簽名，而簽名者的身份將受到匿名保護，如果發(fā)生意外糾紛，簽名者的身份通過管理員或者第三者就可以恢復出來。分析可見，群簽名即具有如下特性[4]：

（1）只有群中成員才能夠代表群體簽名；

（2）簽名接收者可以驗證該簽名是否屬于某群體；

（3）簽名接收者雖然可以驗證簽名的真假，卻無法確認簽名者的具體身份；

（4）出現爭議，可由群中成員或者第三方進行簽名者身份識別。

1.3 橢圓曲線簽名算法

1985年，Koblitz[5]和Miller提出將橢圓曲線用于密碼算法，分別利用有限域上橢圓曲線上的點構成的群實現了離散對數密碼算法。相對于RSA等其它公鑰密碼體制，橢圓曲線密碼體制有著獨特的優(yōu)勢，橢圓曲線數字簽名算法（Elliptic Curve Digital Signature Algorithm， ECDSA）比RSA、DSA等數字簽名的產生與認證速度更快。在此，橢圓曲線數字簽名過程如下[4]。

1.4 SHA-3

Hash函數在密碼學領域占據極其重要的位置，可是，近年來對傳統(tǒng)Hash 函數如MD4、MD5、SHA0、SHA1和SHA2等的成功攻擊，使得人們開始質疑這些在密碼學上發(fā)揮著主要作用的算法安全性。為此， NIST分別舉行了兩屆密碼Hash 研討會，并于2007年正式宣布在全球范圍內征集新的下一代Hash算法，新的Hash算法即可命名為SHA-3，并且將其作為新的安全Hash標準，進而增強現有的FIPS 180-2標準。2012年10月2日，Keccak成為NIST競賽的最終勝利者， 隨即將其定名為SHA-3。Keccak與SHA-2在設計上存在極大差別，所有適于SHA-2的攻擊方法均將不能作用于Keccak[6]。

2 研究現狀

群簽名的概念最先由Chaum和Van.Heyst[3]在1991年歐密會議上提出。迄今為止，群簽名的發(fā)展歷經了四個重要階段，現給出概略分析如下：

第一階段為1999年之前，主要是對群簽名方案初步探索，推動方案的數學實現，J.Camenisch等人在文獻[7-8]即對群簽名進行了深入的研究，取得了重大的進展，其中注重利用知識證明構造實際有效的群簽名方案，有效地推廣了群簽名在電子商務中的實用型應用。

第二階段為 1999年-2002年，Ateniese等人在文獻[9]中提出了著名的能夠抵抗聯(lián)合攻擊的ACJT群簽名方案，這也是一種符合非形式化安全要求的體制。

第三階段為2002年-2005年，Bellare等人在文獻[10]和[11]中針對群簽名的形式化安全定義進行了研究，并為群簽名方案安全性研究和分析指明了方向； Boneh等人則在文獻[12]中提出了短群簽名方案的形式化安全證明，這種方案效率極高。

第四階段為2006年之后，在標準模型下可證明安全性的群簽名方案相繼獲得提出[13-15]。

可以說，群簽名的發(fā)展與公鑰密碼學技術的研究是密切相關的，隨著群簽名成員數量的增多，使得群簽名的復雜性和可證安全性變得非常困難，迫使密碼學研究者們必需去尋求更為高效、合理的數學算法，橢圓曲線密碼算法正好適應這種要求。

3 簽名方案設計

3.1 初始化

選擇一條安全性較高的橢圓曲線， 且滿足。代表橢圓曲線上的點數，這里，是一個素基點，。群管理者（Group manager，）隨機選擇數為私鑰，且計算得到公鑰：，其后將公開參數。

3.2群成員添加

如果用戶要加入簽名群組中，那么就必需隨機地選擇私鑰，并計算出自已的公鑰：，同時用公鑰加密，再發(fā)送給群成員管理者，則用自身私鑰解密，且隨機選擇，進一步執(zhí)行如下計算：

使用的公鑰對上述結果進行加密運算，并發(fā)送給群簽名加入者，即對保存記錄，如果后面發(fā)生爭執(zhí)，則可進行驗證。用戶收到發(fā)送的消息M后，將使用私鑰解密，再驗證下面等式是否成立：。如果成立，則為群簽名的證明書，即用戶加入群成員。

3.3 簽名過程

假設為群中成員，且要對消息M進行簽名，即需要對自己的簽名證書進行盲化，因為群簽名具有匿名性，也就是不希望由外界探知。有鑒于此，若要對消息簽名，具體實現步驟可作如下遞推：

3.4 簽名驗證

如果上式成立，則群簽名有效。

3.5爭執(zhí)裁決

假如發(fā)生爭執(zhí)，需要裁決，群管理者就要打開群簽名信息，由于先前保存了群中每位簽名者的證書，因此，只要找出滿足的即能找出簽名者。

4 方案分析

由于橢圓曲線密碼體制建立在離散對數難解問題（Elliptic Curve Discrete Logarithm Problem ，ECDLP）之上，且橢圓曲線種類豐富多樣，為此，這種基于ECC的群簽名方案是非常安全的，詳細過程分析如下。

4.1具有不可偽造性

假如群中其它成員想偽造對消息進行群簽名，那么就必須獲取的用戶證明書，由于的證明書是群管理者前期使用的公鑰加密后再發(fā)送給本人的，這就使得群中其它成員無由獲得。即便偽造者掌握了的證明書，但簽名卻必須符合等式，且由于，其中的則是隨機選擇的，因而偽造者勢將無法猜測。攻擊者即或想從上面的運算式推導出相應參數，也就是求解橢圓曲線上的離散對數問題，而這幾乎是不可能的數學難題。

4.2具有不可鏈接性

群中簽名成員每次簽名時，都要選擇隨機兩個數，因此，相同群簽名成員重復簽名亦不具有可鏈接性。攻擊者想通過求解如上幾個方程而得到，也是不可能的，因為要取得，并且能夠解答橢圓曲線離散對數問題才具實現可能，但就目前的技術水平而言，卻根本不可能達到。

4.3具有匿名性

群中任一成員群簽名時，都要隨機選擇，而由上述方程可知，均為經過這兩個隨機數盲化產生的，而外界對于卻無從得知，因此本簽名方案具有匿名性。

4.4具有可跟蹤性

如果發(fā)生爭執(zhí)，需要打開群簽名，揭示簽名者的真實身份，由上面證書生成過程可知，在生成群成員證明書時，已經保存了簽名者的身份信息，也就是具有了可跟蹤功能。

4.5 具有更高指標的性能

目前，在計算復雜度上，ECC離散對數問題計算是完全指數級的，而RSA卻是亞指數級的，所以ECC比RSA每一位安全性都要更高。而且ECC計算量小，處理速度快，比RSA、DSA要快上許多，同時密鑰生成速度比RSA更要迅捷百倍，因此在相同條件下，ECC表現了更高的加密性能。在其它方面，ECC占用存儲空間小，對帶寬要求也非常低。這里，即給出ECC與常見簽名算法的性能比較，具體則如表1所示。

5 結束語

群簽名具有可追蹤性、匿名性、復雜性和多樣性等多重特點，近年來，雖然在電子拍賣、電子現金等商業(yè)活動中發(fā)揮了一定的現實作用，但要進行全面的普及推廣使用，卻仍有待進一步的研究和應用探索。比如：對群中成員的動態(tài)管理，使群中成員的添加和刪除快速、高效、靈活。而且，在群成員數量不斷增加的情況下，群簽名的復雜性也隨之激增，因此，下一步的研究重點即在于提高算法效率上，這時就應充分發(fā)揮橢圓曲線密碼體制的深層研發(fā)優(yōu)勢。同時，隨著電子商務活動的多樣性和廣泛性，傳統(tǒng)的群簽名方案已經難于適應匹配網絡時代的快速變化，為此還需結合其它簽名方案，開發(fā)獲得適用于現代電子商務活動的多樣化群簽名方案。

參考文獻

[1]李洪心.電子商務安全[M].大連：東北財經大學出版社，2012：68-86.

[2]胡向東，魏琴芳，胡蓉.應用密碼學 [M].第2版.北京：電子工業(yè)出版社，2011：201-211.

[3]Chaum，Heyst. Groupsignatures[J].EUROCRYPT，1991：257–265.

[4]張先紅.數字簽名原理及技術[M].北京：機械工業(yè)出版社，2004：170-175.

[5]Kbolitz. Elliptic Curve Cryptosystems[J]. Mathematics of computation，1987，48（177）：203-209.

[6]William Stallings. Cryptography and Network Security-Principles and Practice， Fifth Edition[M] .Beijing：Publishing House of Electronics Industry，2011：329-353.

[7] CAMENISCH. Ef?cient and generalized group signatures[A]. Fumy， W. （ed.） EUROCRYPT 1997. LNCS[C] . Heidelberg：Springer Press，1997：465–479.

[8] CAMENISCH，STADLER. Ef?cient group signature schemes for large groups（extended abstract）[A]. CRYPTO97：Proceedings of the 17th Annual International Cryptology Conferenceon Advancesin Cryptology， LNCS [C]. London： Springer-Verlag， 1997：410–424.

[9] ATENIESE， CAMENISCH， MARCJOYE，etc. Apractical and provably secure coalition-resistant group signature scheme[A]. Bellare， M. （ed.） CRYPTO 2000， LNCS CRYPTO[C]. Heidelberg： Springer ， 2000：255–270.

[10] BELLARE， MICCIANCIO，WARINSCHI. Foundations of group signatures：Formal de?nitions，simpli?ed requirements， and aconstruction based on general assumptions[A]. Proc. of EUROCRYPTO， LNCS[C] . Heidelberg：Springer Press ，2003：614–629.

[11] BELLARE，HAIXXIASHI， ZHANG Chong. Foundations of group signatures：The case of dynamic groups[A]. MENEZES A. （ed.）. CT-RSA 2005， LNCS [C]. Heidelberg： Springer-Verlag，2005：136–153.

[12] BONEH， BOYEN， SHACHAM. Short group signatures[A ]. CACHIN C， CAMENISCH J L （eds.） EUROCRYPT 2004， LNCS[C]. Heidelberg：Springer，2004：41–55.

[13]BOYEN，WATERS. Compact group signatures without random oracles[A]. Proc. Eurocrypt06， LNCS 4004 [C]. Saint Petersburg： Springer-Verlag， 2006：427–444.

[14]GROTH.Simulation-sound nizk proofs for apractical language and constant size group signatures[A]. LAI X， CHEN K （eds.） ASIACRYPT06， LNCS[C] . Heidelberg：Springer，2006： 444–459.，

[15]BOYEN，WATERS. Full-domain subgroup hiding and constant-size group signatures[A]. Public Key Cryptography 2007， LNCS [C]. Heidelberg：Springer， 2007：1–15.