左黎明，郭紅麗，張婷婷，陳祚松

（華東交通大學(xué)理學(xué)院，江西 南昌330013）

一種無雙線性對的代理盲簽名方案

左黎明，郭紅麗，張婷婷，陳祚松

（華東交通大學(xué)理學(xué)院，江西 南昌330013）

對林振宇等人提出的改進(jìn)代理盲簽名方案進(jìn)行了安全性分析，指出其方案不能抵抗有惡意原始簽名者參與的合謀攻擊，在此基礎(chǔ)上提出了一種改進(jìn)的無雙線性對的代理盲簽名方案，證明了改進(jìn)方案在隨機(jī)預(yù)言機(jī)模型下是存在性不可偽造。

代理盲簽名；無雙線性對；合謀攻擊；隨機(jī)預(yù)言機(jī)；不可偽造性

代理簽名是一類重要的簽名，由Mambo等［1］在1996年提出。在此之前Chaum［2］于1982年提出了盲簽名的概念，盲簽名具有盲性和不可追蹤性。2000年Lin［3］首次提出代理盲簽名方案，該方案具有盲簽名和代理簽名的特點(diǎn)。2003年譚作文［4］提出了一種基于Schnorr［5］簽名的代理盲簽名方案，將代理簽名應(yīng)用到電子支付和電子選舉等。2005年Awasthi［6］基于Mambo方案提出一種新的代理簽名方案。2005年谷利澤等［7］提出一種基于離散對數(shù)困難問題的代理盲簽名方案，但2010年王國瞻等［8］指出文獻(xiàn)［7］存在漏洞，不滿足不可偽造性和不可鏈接性，原始簽名者通過構(gòu)造代理私鑰可以偽造一個新的簽名方案，代理簽名者通過簽名和簽名參數(shù)可追蹤到代理盲簽名。2015年林振宇等［9］指出文獻(xiàn)［8］中的改進(jìn)方案依舊存在漏洞，不滿足不可偽造性和不可鏈接性。在研究文獻(xiàn)［9］過程中，發(fā)現(xiàn)其改進(jìn)方案值得商榷，存在代理公鑰替換攻擊漏洞。

1 對原始方案的攻擊

預(yù)備知識、原方案具體過程詳見文獻(xiàn)［9］，文獻(xiàn)［10］中周明和王箭細(xì)致歸納和描述了代理盲簽名方案的形式化定義、安全模型和3種類型敵手能力模型（類型I代表惡意原始簽名者，類型II代表惡意代理簽名者，類型III代表惡意用戶），本文沿用文獻(xiàn)［10］中的安全定義和敵手模型，限于篇幅本文也不再另行說明。

1.1 代理公鑰替換攻擊

惡意攻擊者Jack與不誠實(shí)的原始簽名人A進(jìn)行串謀，冒充合法代理簽名者進(jìn)行B簽名。隨機(jī)選擇v∈Zq*，計(jì)算yp=gv·yB-1，yB為B的公鑰，Jack將yp作為B的代理公鑰。假設(shè)簽名接受者Rose是誠實(shí)的，從盲簽名階段開始，攻擊過程如下:

（S1）Jack隨機(jī)選擇v∈Zq*，計(jì)算:r=gkmod p，將（rA，r，mwΓ）發(fā)送給簽名接收者Rose；

（S2）Rose隨機(jī)選擇α，β，γ∈Z*q，并計(jì)算:r′=rαgβ（yByp）-ymod p，e′=h（m‖r′），e=（（e′-γ）/α）mod p，Rose將e發(fā)給了冒充者Jack；

（S3）Jack計(jì)算s=（k+ev）mod p，將s傳給簽名接收者Rose；

（S4）Rose接收到s后驗(yàn)證:gs=r（yByp）mod p，若此式成立，則計(jì)算:s′=（αs+β）mod q，簽名接收者Rose接受（m，（mwΓ，rA），（e′，s′））作為原始簽名者A的代理盲簽名；若不成立，則代理盲簽名無效。

在簽名驗(yàn)證過程中，根據(jù)文獻(xiàn)［9］驗(yàn)證等式:e′=h（m‖gs′（yByp）-e′）mod p，可見上述攻擊是有效的。證明過程如下:

注意到引發(fā)原方案漏洞的主要問題在于驗(yàn)證等式中沒有使用原始簽名人A的授權(quán)信息而是直接使用了代理公鑰，在原始簽名人A合謀的情況下代理公鑰的生成和發(fā)布并不一定是權(quán)威的。事實(shí)上不難發(fā)現(xiàn)不誠實(shí)的簽名接收者Rose與不誠實(shí)的原始簽名人A進(jìn)行串謀，可以通過替換代理公鑰實(shí)現(xiàn)偽造合法代理簽名者B的代理簽名，攻擊方法與上述攻擊過程類似。

2 改進(jìn)的代理盲簽名方案

針對文獻(xiàn)［9］的公鑰替換攻擊漏洞，本文提出一個改進(jìn)的代理盲簽名方案。

2.1 符號說明

設(shè)A為原始簽名者，B為代理簽名者，R是簽名接收者。p和q為大素?cái)?shù)，且滿足q｜（p-1），選擇Zp的q階生成元g，1≤g≤p，即gq=1（mod p）。選擇抗碰撞的哈希函數(shù)h∶｛0，1｝1∞→Zq*。設(shè)A的私鑰為xA，公鑰為yA= gxAmod p，B的私鑰為xB，公鑰為yB=gxBmod p，mw為代理授權(quán)信息。

2.2 代理授權(quán)

原始簽名者A隨機(jī)選擇kA∈Zq*，并計(jì)算rA=gkAmod p，計(jì)算sA=xAh（mw，rA）+kAyBmod q，A將（rA，sA，mw）通過安全渠道秘密發(fā)送給代理簽名者B，并在線公開（rA，gsA，mw）為代理簽名者B的授權(quán)信息。代理簽名者B收到（rA，sA，mw）后，驗(yàn)證等式gsA=yAh（mw，yA）rAyBmod p是否成立 ，若成立，則計(jì)算xp=SA+xBmod q，yp=gxpmod p，將xp作為代理私鑰，yp作為代理公鑰。

2.3 代理盲簽名

（S1）B隨機(jī)選擇k∈Zq*，計(jì)算r=gkmod p，將（r，yp）發(fā)送給R；

（S2）R查詢B的代理信息（rA，gsA，mw），隨機(jī)選擇α，β∈Zq*計(jì)算:r′=rgαypβmod p，e′=h（m‖r′），e=e′+βmod q，將e傳給B；

（S3）B計(jì)算:s=k+xpemod q，將s發(fā)送給R；

（S4）R收到s后，驗(yàn)證等式:gs=rgsAByBemod p，若成立，則計(jì)算s′=s+αmod q，R接受（m，（rA，gsA，mw），（e′，s′））作為A的代理盲簽名；若不成立，則拒絕該簽名。

2.4 簽名驗(yàn)證

驗(yàn)證者查詢B的代理信息（rA，gsA，mw），計(jì)算r′=gs′（gsA·yB）-e′，驗(yàn)證等式:e′=h（m‖r′），若該等式成立，則代理盲簽名（m，（rA，gsA，mw），（e′，s′））有效；否則簽名無效。

等式的正確性在于r′，驗(yàn)證有效性如下:

2.5 代理資格注銷

原始簽名者A發(fā)布公告含有（rA，gsA，mw）的簽名均無效，并刪除B的在線代理信息。

3 安全性分析

3.1 不可偽造性

以下證明在DLP困難假設(shè)和隨機(jī)預(yù)言機(jī)模型下，本文方案針對類型I的敵手在適應(yīng)性選擇消息攻擊下是不可偽造的，相關(guān)安全模型和敵手能力的細(xì)致描述參考文獻(xiàn)［10］。

定理 假設(shè)存在挑戰(zhàn)者C可以在多項(xiàng)式時間t內(nèi)以一個不可忽略的概率ε偽造一個有效的簽名，則存在敵手Au在多項(xiàng)式時間t2內(nèi)以不可忽略概率優(yōu)勢ε2解決DLP。

3.2 效率分析

在盲簽名階段，為了修補(bǔ)原始方案漏洞，本文方案比原始方案增加了2個乘運(yùn)算和1個指數(shù)運(yùn)算，其他階段與原始簽名的計(jì)算復(fù)雜度相同。

4 結(jié)語

代理盲簽名是電子金融應(yīng)用中一種非常重要的簽名形式，適用于實(shí)時性要求比較高，需要采用多臺簽名服務(wù)器分擔(dān)主簽名服務(wù)器的負(fù)擔(dān)的場合［11］（比如鐵路網(wǎng)上售票系統(tǒng)）。本文在對文獻(xiàn)［9］提出的代理盲簽名方案分析時發(fā)現(xiàn)原方案存在一些值得商榷的安全缺陷，導(dǎo)致不能抵抗代理公鑰替換攻擊。隨后提出了一種改進(jìn)的代理盲簽名方案，針對類型I敵手，改進(jìn)方案能夠被證明在隨機(jī)預(yù)言機(jī)模型下是存在不可偽造的。本文方案沒有使用實(shí)現(xiàn)困難且效率低下的雙線性對運(yùn)算，易于實(shí)現(xiàn)。

［1］MAMBO M，USUDA K，OKAMOTO E.Proxy signatures for delegating signing operation［C］//Proc of 3rd ACM Conference on Computer and Communications Security，New Delhi:ACM Press，1996:48-57.

［2］CHAUM D.Blind signatures for untraceable payments［C］//Proceedings of CRYPTO’82，New York:Plenum Press，1983:199-203.

［3］LIN W D，JAN J K.A security personal learning tools using a proxy blind signature scheme［C］//Proc of International Conference on Chinese Language Computing，Illinois，USA:ICCLC Bess，2000:273-277.

［4］TAN Z W，LIU Z J，TANG C M.A proxy blind signature schemes based on DLP［J］.Joumal of Software，2003，14（11）:1931－1935.

［5］SCHNORR C.Efficient identification and signature for smart cards［C］//Proceedings of CRYPTO 89，LNCS 435，Berlin:Springer，1990:239-252.

［6］AWASTHI A K，LAL S.Proxy blind signature scheme［J］.JFCR Transaction on Cryptology，2005，2（1）:5-11.

［7］谷利澤，張勝，楊義先.代理盲簽名方案及其在電子貨幣中的應(yīng)用［J］.計(jì)算機(jī)工程，2005，31（16）:11-13.

［8］王國瞻，亢保元，成林.一個代理盲簽名方案的分析［J］.計(jì)算機(jī)工程，2010，36（3）:134-135.

［9］林振宇，賀亞威，候整風(fēng).改進(jìn)的代理盲簽名方案［J］.合肥工業(yè)大學(xué)學(xué)報，2015，38（1）:40-43.

［10］周明，王箭.一個可證安全的高效的代理盲簽名方案［J］.計(jì)算機(jī)工程與科學(xué)，2015，37（9）:1643-1651.

［11］湯鵬志，陳仁群，左黎明.一種基于橢圓曲線的門限部分盲簽名方案［J］.華東交通大學(xué)學(xué)報，2014，31（6）:96-102.

An Improved Proxy Blind Signature Scheme without Nilinear Pairing

Zuo Liming，Guo Hongli，Zhang Tingting，Chen Zuosong
（School of Science，East China Jiaotong University，Nanchang 330013，China）

The cryptanalysis of an improved proxy blind signature scheme without bilinear pairing proposed by Lin et al.pointed out that the scheme couldn’t resist conspiracy attack which was made by the participant malicious original signer.Therefore，an improved proxy blind signature scheme without bilinear was put forward and proved to be existentially unforgeable against malicious original signers in random oracle model.

proxy blind signature；no bilinear pairing；collusion attacks；random oracle；unforgeability

TP309.2

A

1005-0523（2016）05-139-04

（責(zé)任編輯 劉棉玲）

2016-04-05

國家自然科學(xué)基金項(xiàng)目（11361024，11261019）；江西省自然科學(xué)基金項(xiàng)目（20151BAB201002）；江西省研究生創(chuàng)新項(xiàng)目（YC2015-S255）

左黎明（1981—），男，副教授，碩士，研究方向?yàn)樾畔踩蔷€性系統(tǒng)。