牛淑芬,李文婷,王彩芬

(西北師范大學(xué) 計算機(jī)科學(xué)與工程學(xué)院,蘭州 730070)

0 概述

自代理重簽名的概念被提出以來[1],研究者相繼設(shè)計了多種代理重簽名方案[2-4]。代理重簽名的特點主要體現(xiàn)為代理者可將用戶(受托者)的簽名轉(zhuǎn)換成另一用戶(委托者)的簽名,在不獲取兩方用戶私鑰的同時實現(xiàn)簽名轉(zhuǎn)換。此特性使其在現(xiàn)有的網(wǎng)絡(luò)環(huán)境下能夠應(yīng)用于數(shù)字版權(quán)管理系統(tǒng)、簡化證書管理及跨域身份認(rèn)證等方面[5-7]。由于基于身份的公鑰密碼體制[8]可減輕用戶對證書的依賴,因此結(jié)合兩者優(yōu)勢,基于身份的代理重簽名既能解決繁瑣的密鑰管理問題,又能滿足在簽名轉(zhuǎn)換過程中對私鑰的保護(hù)。

SHAO等人于2007年首次提出基于身份的代理重簽名方案[9]。2009年,HU等人在強(qiáng)q-SDH困難問題假設(shè)下提出基于身份的代理重簽名方案[10]。2014年,馮婕等人利用目標(biāo)抗碰撞哈希函數(shù)提出一種基于身份強(qiáng)不可偽造的代理重簽名方案[11]。2015年,TIAN等人構(gòu)造了格上基于身份的代理重簽名方案,用于抵抗量子攻擊。2018年,WANG等人利用二次剩余理論提出一種基于身份的代理重簽名方案[13]。由于代理者能夠獲得所轉(zhuǎn)換的消息,因此使用者需要在代理重簽名中添加盲性。為保證代理者的權(quán)益不被濫用,YANG等人于2018年提出部分盲代理重簽名體制[14],并構(gòu)造了可證明安全的簽名方案。

在以上研究中,同類代理重簽名中基于身份的密碼體制存在運(yùn)算開銷大不利于實際應(yīng)用的問題,且缺少部分盲性,不能對簽名者隱匿待簽消息內(nèi)容,從而造成消息泄露。本文在文獻(xiàn)[13]方案的基礎(chǔ)上,基于大整數(shù)分解困難問題,提出一個單向、單用基于身份的部分盲代理重簽名方案,以解決使用雙線性對運(yùn)算開銷較大這一問題,并通過部分盲性避免惡意簽名濫用。

1 基礎(chǔ)知識

大整數(shù)分解困難問題為:給定一個合數(shù)N滿足N=pq,p和q是兩個大素數(shù),要求輸出p或q。

大整數(shù)分解假設(shè)為:設(shè)l是一個安全參數(shù),N為一個合數(shù)滿足N=pq,p和q是兩個l比特的大素數(shù)。如果不存在概率多項式時間的敵手tT以不可忽略的概率εR分解合數(shù)N,則稱(tT,εR)大整數(shù)分解假設(shè)成立。

2 形式化定義及安全模型

定義1無雙線性對的基于身份的部分盲代理重簽名方案由以下9個算法組成:

1)Setup(1λ)→(par,msk):輸入安全參數(shù)λ,運(yùn)行系統(tǒng)參數(shù)生成算法輸出公開參數(shù)par和系統(tǒng)主密鑰msk。

2)Extract(par,msk,ID)→sk:輸入par、msk和用戶身份信息ID,PKG運(yùn)行密鑰提取算法輸出公私鑰對(pk,sk)。

3)Rekey(skA,skB)→rkA→B:輸入Alice(受托者)和Bob(委托者)的私鑰skA和skB,PKG運(yùn)行重簽名密鑰產(chǎn)生算法輸出重簽名密鑰rkA→B。

4)Agree(par)→c:輸入par,受托者Alice與代理者Proxy運(yùn)行協(xié)商消息算法生成一個公共消息c。

5)Sign(par,sk,m,c)→(h,σ):輸入par、c、消息m和受托者私鑰sk,由受托者產(chǎn)生原始簽名σ。

6)Blind(h,c,σA,k,pkA)→(h′,σ′A):輸入c、消息摘要h、原始簽名σA、盲化因子k和受托者公鑰pkA,受托者運(yùn)行盲化算法輸出盲化的消息摘要h′和盲化的原始簽名σ′A,并發(fā)送給代理者。

7)ReSign(rkA→B,c,h′,σ′A,pkA)→σ′B:輸入rkA→B、c、h′、σ′A和pkA,代理者首先驗證σ′A的合法性,若不合法,輸出⊥;否則,代理者運(yùn)行重簽名生成算法輸出與委托者公鑰pkB對應(yīng)的部分盲代理重簽名σ′B,并發(fā)送給受托者。

8)Unblind(σ′B,k,pkB)→σB:輸入部分盲代理重簽名σ′B、盲化因子k和委托者公鑰pkB,受托者首先驗證σ′B的合法性,若不合法,輸出⊥;否則,受托者運(yùn)行脫盲算法輸出代理重簽名σB。

9)Verify(m,c,pk,σ)→{0,1}:輸入消息m、公共消息c、對應(yīng)的公鑰pk和簽名σ,若關(guān)于消息m和公共消息c的簽名σ對應(yīng)于公鑰pk合法,驗證者接受簽名,輸出1;否則,輸出0。

新方案的安全性分別由存在性不可偽造性和部分盲性構(gòu)成。存在性不可偽造性在新方案中要求不存在一個外部敵手能夠偽造一個新消息的代理重簽名。下面先以敵手A與挑戰(zhàn)者C的交互游戲來定義方案的存在性不可偽造性。

1)系統(tǒng)建立。挑戰(zhàn)者C運(yùn)行Setup算法獲得系統(tǒng)參數(shù)par、系統(tǒng)主公鑰mpk和系統(tǒng)主密鑰msk,挑戰(zhàn)者將mpk及系統(tǒng)參數(shù)發(fā)送給敵手,保密msk。

2)詢問。敵手A能夠自適應(yīng)地向挑戰(zhàn)者C進(jìn)行以下詢問:

(1)密鑰提取詢問。當(dāng)敵手A提交身份ID的密鑰提取詢問時,挑戰(zhàn)者C運(yùn)行Extract算法輸出skID并返回給敵手A。

(2)重簽名密鑰詢問。當(dāng)敵手A提交(IDA,IDB)的重簽名密鑰詢問時,挑戰(zhàn)者C首先對身份IDB進(jìn)行密鑰提取詢問來獲得skIDB,然后C運(yùn)行Rekey算法輸出重簽名密鑰rkA→B并返回給敵手A。

(3)簽名詢問。A與C運(yùn)行Agree算法產(chǎn)生公共消息c,當(dāng)敵手A提交(ID,m,c)的簽名詢問時,挑戰(zhàn)者C首先對身份ID進(jìn)行密鑰提取詢問來獲得skID,然后C運(yùn)行算法輸出原始簽名sig并返回給敵手A。

(4)重簽名詢問。當(dāng)敵手A提交(sig′A,h′,c,IDA,IDB)的重簽名詢問時,挑戰(zhàn)者C首先驗證盲化的sig′A是否為對應(yīng)于pkA關(guān)于盲化消息摘要h′和c的合法簽名,若不合法,輸出⊥;否則,C對(IDA,IDB)進(jìn)行重簽名密鑰詢問獲得rkA→B,然后運(yùn)行Resign算法輸出部分盲代理重簽名sig′B。假設(shè)攻擊者A在Blind算法中選擇k為盲化因子,A最后運(yùn)行Unblind算法輸出(h,c)的重簽名。

3)偽造。敵手A輸出偽造的簽名(sig*,m*,c*,ID*),若滿足以下條件,敵手A贏得這個游戲:(1)Verify(sig*,m*,c*,ID*)=1;(2)A沒有進(jìn)行過ID*的密鑰提取詢問;(3)A沒有進(jìn)行過(ID*,m*)的簽名詢問;(4)A沒有進(jìn)行過(sigi,h'*,ci,IDi,ID*)的重簽名詢問,IDi表示任一用戶,sigi表示任何一個簽名。

定義2若敵手A在以上游戲中攻擊成功的概率是可忽略的,則稱新的部分盲代理重簽名方案在適應(yīng)性選擇消息攻擊下是存在性不可偽造的。

部分盲性在新方案中是指代理者不能夠?qū)⒆罱K的代理重簽名與部分盲代理重簽名相對應(yīng)。參考已有的部分盲簽名方案的安全定義[16-17],下面將通過敵手B與挑戰(zhàn)者D的游戲來定義新方案的部分盲性。

1)系統(tǒng)建立。挑戰(zhàn)者D運(yùn)行Setup算法、Extract算法和Rekey算法,產(chǎn)生系統(tǒng)參數(shù)par、受托者和委托者的密鑰對(skA,pkA)和(skB,pkB)以及重簽名密鑰rkA→B,發(fā)送par和rkA→B給敵手B。

2)準(zhǔn)備。敵手B選擇兩個長度相等可區(qū)分的消息m0和m1,以及公共消息c發(fā)送給挑戰(zhàn)者D。

3)詢問。挑戰(zhàn)者D隨機(jī)選取b∈{0,1},對消息(m0,c)和(m1,c)運(yùn)行Blind算法,得到盲化的消息摘要與盲化的消息簽名(h′b,c,σ′A,b)和(h′b-1,c,σ′A,b-1)發(fā)送給敵手B進(jìn)行重簽名。B收到(h′b,c,σ′A,b)和(h′b-1,c,σ′A,b-1)后運(yùn)行ReSign算法得到部分盲代理重簽名σ′B,b和σ′B,b-1并返回給挑戰(zhàn)者D。D收到簽名σ′B,b和σ′B,b-1后運(yùn)行Unblind算法進(jìn)行脫盲得到最終重簽名σB,b和σB,b-1,并將(mb,c,σB,b)和(mb-1,c,σB,b-1)返回給敵手B。

4)應(yīng)答。B輸出對b的猜測b′,若b=b′,則B贏得了游戲。

B在上述游戲中獲勝的優(yōu)勢定義為:

Adv(B)=|2Pr[b=b′]-1|

定義3若敵手B在以上游戲中攻擊成功的概率是可忽略的,則稱新的部分盲代理重簽名方案具有部分盲性。

3 具體方案

本文基于WANG等人方案[13]設(shè)計了一個無雙線性對的基于身份的部分盲代理重簽名方案,具體算法如下[18]:

2)Extract算法。輸入系統(tǒng)參數(shù)par、系統(tǒng)主密鑰msk和用戶身份信息ID,PKG運(yùn)行密鑰提取算法計算用戶私鑰sk=H(ID)dmodN和pk=H(ID)modN,得到公鑰/私鑰對(sk,pk)。

4)Agree算法。受托者Alice與代理者Proxy協(xié)商一個公共消息c。

7)ReSign算法。輸入rkA→B、c、h′、sig′A和受托者的公鑰pkA,代理者首先驗證(σ′A)2=Rc·pkh′A是否成立,若不成立,輸出⊥;否則,代理者計算σ′B=rkA→B·σ′A,最后輸出部分盲代理重簽名sig′B=(σ′B,R,IDB)發(fā)送給受托者。

9)Verify算法。輸入消息m、公共消息c、對應(yīng)的公鑰pk和簽名σ,驗證者驗證等式σ2=Rc·pkh是否成立,若成立,驗證者接受簽名,輸出1;否則,輸出0。

4 安全性證明與效率分析

4.1 正確性證明

本文方案的正確性證明如下:

Rc·H(IDA)d·2h·H(IDA)2k=

Rc·H(IDA)h·H(IDA)2k=

4.2 不可偽造性證明

證明假設(shè)存在一個敵手A能夠以不可忽略的概率偽造簽名,下面將構(gòu)造一個算法C作為挑戰(zhàn)者與敵手A進(jìn)行交互游戲,回答A的哈希詢問、密鑰提取詢問、重簽名密鑰詢問、簽名詢問和重簽名詢問,從而解決因子分解問題。具體詢問過程如下:

1)系統(tǒng)建立。挑戰(zhàn)者C運(yùn)行Setup算法獲得系統(tǒng)參數(shù)par、系統(tǒng)主公鑰mpk和系統(tǒng)主密鑰msk,將mpk及系統(tǒng)參數(shù)發(fā)送給敵手,保密msk。

4)密鑰提取詢問。挑戰(zhàn)者C收到敵手A關(guān)于身份IDi的密鑰提取詢問時,C首先查找Hlist列表中是否有(IDi,ui,pki)的項,若存在,則返回u給A;否則重新進(jìn)行H()詢問獲得(IDi,ui,pki)的項并添加至列表Hlist,將ui作為回答返回給敵手A。

4.3 部分盲性證明

定理4本文提出的部分盲代理重簽名方案具有部分盲性。

證明敵手B的目的是要將最終的重簽名與部分盲代理重簽名相對應(yīng),所以,本文假設(shè)挑戰(zhàn)者D擁有任一用戶的私鑰并且能夠產(chǎn)生原始簽名,B擁有重簽名密鑰。下面將以挑戰(zhàn)者D與敵手B的交互游戲來證明。

2)準(zhǔn)備。敵手B選擇兩個長度相等可區(qū)分的消息m0和m1,以及公共消息c發(fā)送給挑戰(zhàn)者D。

4)應(yīng)答。B輸出對b的猜測b′。

4.4 效率分析

表1 運(yùn)算效率比較

由表1可以看出:文獻(xiàn)[19]的方案使用了7次雙線性對與2次指數(shù)運(yùn)算,使得一般設(shè)備難以負(fù)擔(dān)其計算開銷,因此,與本文方案相比實用性較差;文獻(xiàn)[10]方案雖然增加了部分盲性,但同樣存在計算開銷大影響實際應(yīng)用;文獻(xiàn)[20]方案存在的安全漏洞為不能抵御受托者的重簽名偽造攻擊,本文依據(jù)給出的安全模型及證明保證了方案的不可偽造性;與文獻(xiàn)[13]的方案相比,本文方案在重簽名階段計算效率持平的前提下,增加了部分盲的特性,能夠保護(hù)受托者的隱私并且保證了代理者的權(quán)利不被濫用,可用性更強(qiáng)。

5 結(jié)束語

為解決現(xiàn)有部分盲代理重簽名方案計算成本高與證書管理難的問題,本文提出一種建立在大整數(shù)分解困難問題上基于身份的部分盲代理重簽名方案,通過避免使用雙線性對提高了計算效率。本文方案在隨機(jī)預(yù)言模型下滿足正確性、不可偽造性和部分盲性,效率分析結(jié)果也表明了其性能優(yōu)勢。本文方案不滿足雙向、多用的特性,在應(yīng)用中具有一定程度的局限性,因此,下一步工作將在此方面對方案進(jìn)行改進(jìn)。