付曉鵑

基于ElGamal簽名體制中簽名方程的變形方程設(shè)計(jì)了一個(gè)強(qiáng)盲簽名方案，實(shí)現(xiàn)了無(wú)條件的不可追蹤性和匿名性。方案安全性基于求解離散對(duì)數(shù)的困難性。

強(qiáng)盲簽名（完全盲簽名）數(shù)字簽名不可追蹤性匿名性ElGamal

1引言

盲簽名是由David Chaum于1983年提出的，他曾經(jīng)給出了一個(gè)非常直觀的說(shuō)明：所謂盲簽名，就是將要隱蔽的文件放進(jìn)信封里，而除去盲因子的過(guò)程就是打開(kāi)這個(gè)信封。當(dāng)文件在一個(gè)信封中時(shí)，任何人都不能讀它。對(duì)文件簽名就是通過(guò)在信封里放一張復(fù)寫(xiě)紙，當(dāng)簽名者在信封上簽名時(shí)，簽名便透過(guò)復(fù)寫(xiě)紙簽到文件上。強(qiáng)盲簽名是一類(lèi)要求更強(qiáng)的盲簽名，又稱(chēng)為完全盲簽名，無(wú)論簽名者存儲(chǔ)多少中間信息，待求簽名者公開(kāi)消息和消息的簽名，都無(wú)法將盲化后消息的簽名和脫盲后原消息的簽名進(jìn)行聯(lián)系，不可能對(duì)消息擁有者進(jìn)行跟蹤，強(qiáng)盲簽名實(shí)現(xiàn)了無(wú)條件的不可追蹤性和匿名性。

2強(qiáng)盲簽名

強(qiáng)盲簽名是一類(lèi)要求更強(qiáng)的盲簽名，它不僅滿(mǎn)足盲簽名的要求，還要滿(mǎn)足下面的兩個(gè)條件（1）消息的內(nèi)容對(duì)簽名者來(lái)說(shuō)是不可知的；（2）求簽名者把已簽名的消息和簽名公布后，即使簽名者保留了對(duì)盲化后消息的簽名Sig（m′）及其他有關(guān)數(shù)據(jù)，也無(wú)法追蹤所簽的消息，即簽名者無(wú)法將Sig（m）與Sig（m′）進(jìn)行聯(lián)系。

3強(qiáng)盲簽名方案

3.1方案描述如下

3.1.1參數(shù)選取

（1）簽名者隨機(jī)選擇：大素?cái)?shù)p并滿(mǎn)足在Zp中求解離散對(duì)數(shù)為困難問(wèn)題；

g是Zp中乘群Z*p的一個(gè)生成元或本原元；

（2）簽名者選擇私鑰x，x∈Z*p，并計(jì)算公鑰y=gxmodp；

簽名者公開(kāi)p，g，y，x保密。

3.1.2簽名過(guò)程

（1）簽名者生成隨機(jī)數(shù)k∈Zp-1，計(jì)算r=gkmodp，然后把r發(fā)送給求簽名者；

（2）求簽名者收到r后，隨機(jī)生成α，β∈Zp-1，對(duì)待簽名的消息m進(jìn)行盲化，計(jì)算：

m′=r1-α-βmmod（p-1），

并把m′發(fā)送給簽名者進(jìn)行簽名。

（3）簽名者收到m′后，從m′=sk+rxmod（p-1）計(jì)算得到s，把（r，s）作為對(duì)m′的簽名，并把（m′，（r，s））發(fā)給求簽名者。

3.1.3除盲過(guò)程

求簽名者收到（m′，（r，s））后，計(jì)算：

則求簽名者得到消息m的簽名為（r′，s′）。

3.1.4驗(yàn)證過(guò)程

求簽名者得到消息m的簽名（r′，s′）后，進(jìn)行驗(yàn)證，驗(yàn)證如下等式：

令v1=yr′r′s′modp，v2=gmmodp，如果v1=v2，表示簽名有效，否則簽名無(wú)效拒絕接受。

3.2方案正確性，強(qiáng)盲性及安全性分析

3.2.1.方案正確性分析

簽名驗(yàn)證算法證明：

m′=sk+rxmod（p-1）

r1-α-βm=sk+rxmod（p-1）

m=skrα+β-1+rxrα+β-1mod（p-1）

m=skrα+β-1+xrα+βmod（p-1）

m=k（α+β）（α+β）-1srα+β-1+r′xmod（p-1）

m=k（α+β）s′+r′xmod（p-1）

又因?yàn)閞′=gk（α+β）mod（p-1），所以簽名（m，（r′，s′））滿(mǎn)足簽名方程m=k（α+β）s′+xr′mod（p-1）；

下面考察簽名驗(yàn)證中的等式：

v2=gmmodp=gk（α+β）s′+xr′modp

=gk（α+β）s′gxr′modp

=r′s′yr′modp

=v1modp

所以有v1=v2，該方案是正確的。

3.2.2方案的強(qiáng)盲性分析

（1）求簽名者選擇隨機(jī)數(shù)α，β∈Zp-1，對(duì)待簽名的消息m進(jìn)行盲化后得到

m′=r1-α-βmmod（p-1），由于α，β是隨機(jī)的，且對(duì)簽名者是保密的，所以簽名者得不到消息m，即消息的內(nèi)容對(duì)簽名者來(lái)說(shuō)是不可知的，因而滿(mǎn)足強(qiáng)盲簽名的條件（1）。

（2）求簽名者公布簽名的消息和簽名后，簽名者利用（m，（r′，s′））和他所保留的對(duì)盲消息的簽名（m′，（r，s））及相關(guān)數(shù)據(jù)k，x，來(lái)求解α，β。由方程組r′=rα+βmod（p-1）和s′=（α+β）-1rα+β-1smod（p-1）及m′=r1-α-βmmod（p-1）求解α，β屬于有限域上離散對(duì)數(shù)難解問(wèn)題。即簽名者利用（m，（r′，s′））和（m′，（r，s））得不到他們之間的聯(lián)系，即不能對(duì)消息擁有者（求簽名者）進(jìn)行追蹤，所以滿(mǎn)足強(qiáng)盲簽名的條件（2）。

綜上這個(gè)盲簽名是一個(gè)強(qiáng)盲簽名方案。

3.2.3方案的安全性分析

（1）體制安全性分析

這個(gè)強(qiáng)盲簽名方案的設(shè)計(jì)是基于ElGamal盲簽名體制而設(shè)計(jì)的，安全性是基于求解離散對(duì)數(shù)的困難性。只要參數(shù)的選擇在ElGamal簽名體制的安全范圍內(nèi)，本方案就是體制上安全的，在此我們不再闡述。

（2）不可為造性

如果一個(gè)敵手要偽造簽名者的合法簽名，那么他必須要知道簽名者的私鑰x，而通過(guò)公開(kāi)的p，g，y，求x屬于離散對(duì)數(shù)困難問(wèn)題。即敵手無(wú)法偽造簽名。

（3）不可追蹤性

由于方案滿(mǎn)足強(qiáng)盲性，所以能夠保證方案的不可追蹤性。

結(jié)語(yǔ)：作者基于ElGamal簽名體制中簽名方程的變形方程構(gòu)造了一個(gè)強(qiáng)盲簽名方案并做了詳細(xì)的論證，關(guān)于正確性、安全性以及強(qiáng)盲性，當(dāng)然也可以根據(jù)其他變形方程構(gòu)造出強(qiáng)盲簽名方案，形式可以多樣。強(qiáng)盲性簽名方案是目前性能最好的方案，在電子商務(wù)中使用的許多電子貨幣系統(tǒng)和電子投票系統(tǒng)都采用了這種技術(shù)。

參考文獻(xiàn)：

[1]蔡勉，衛(wèi)宏儒.信息系統(tǒng)安全與理論技術(shù)[M].北京工業(yè)大學(xué)出版社：2006.

[2]Chaum D. Blind signature for untraceable payments[A].Proc，Crypto'82[C].New York：Plenum press，1983：199-203.

[3]ElGamal T.A public-key cryptosystem and a signatures scheme based on discrete logarithms[J].IEEE Transations on Information Theory，1985，31（4）：469-472.

[4]MENEIESA，VAN OORSCHOR PC，VANSTONE S.HANDBOOK of Applied Cryptography[M].New York CRC Press 1996.

基金項(xiàng)目：國(guó)家自然科學(xué)基金（61672199，61100100）；浙江省自然科學(xué)基金（Y1110232）；杭州電子科技大學(xué)科研啟動(dòng)基金（KYS055609040）。