基于格的群签名方案
- 格式:pdf
- 大小:253.98 KB
- 文档页数:5
文档推荐
-
几个门限群签名方案的弱点页数:7
下载文档原格式
合集下载
简单高深哲理个性签名
简单高深哲理个性签名简单高深哲理个性签名1、世上最美的,莫过于从泪水中挣脱出来的那个微笑。
2、爱和爱过。
多了一个字,却隔了一个曾经。
3、总有一天会面目全非。
时光没有教会我任何东西。
却教会了我不要轻易相信神话。
4、我不会对谁都善良,人心换人心,是人都懂得道理。
5、人生,总有一些忧愁不快融入我们心中,总有一些伤感惆怅有我们一份。
6、只有不快的斧,没有劈不开的柴;只有想不到的人,没有做不到的事。
想干总会有办法,不想干总会有理由!7、路再长也会有终点,夜再长也会有尽头,不管雨下得有多大,总会有停止的时候。
乌云永远遮不住微笑的太阳!8、种子放在水泥地板上会被晒死,种子放在水里会被淹死,种子放到肥沃的土壤里就生根发芽结果。
选择决定命运,环境造就人生!9、有事者,事竟成;破釜沉舟,百二秦关终归楚;苦心人,天不负;卧薪尝胆,三千越甲可吞吴。
/10、每个人都有潜在的能量,只是很容易:被习惯所掩盖,被时间所迷离,被惰性所消磨。
11、即使再甜的糖,也有苦的一天。
12、伟人之所以伟大,是因为他与别人共处逆境时,别人失去了信心,他却下决心实现自己的目标。
13、我曾给过你闭上眼睛捂起耳朵的信任。
就算全世界都说你有错。
只要你否认。
我就相信。
14、为爱坚持的人,记得坚持可以,但是不要为爱受伤。
15、出门走好路,出口说好话,出手做好事。
16、人之所以有一张嘴,而有两只耳朵,原因是听的要比说的多一倍。
17、你可以选择坚持,也可以选择放弃。
没有对错。
我是说对爱情来说,但是重要的是坚持你的选择。
18、不是每个梦都会实现,不是每个人都永远不变。
19、如果你走之前回一下头。
就会不舍我满脸绝望的空洞。
20、后悔是一种耗费精神的情绪后悔是比损失更大的损失,比错误更大的错误所以不要后悔。
21、回避现实的人,未来将更不理想。
22、爱恨是玻璃板上的两滴水,有时混在一起,分不出彼此,有时经过时间的蒸发,全不见了。
23、太过美好的东西从来都不适合经历,若失去便无法忘记。
指定验证者签名方案
指定验证者签名方案摘要:指定验证者签名是一类特殊的数字签名,在指定验证者签名中,只有指定的验证者才能验证签名,任何第三方都无法验证签名的有效性,根源就是指定验证者也可以生成一个与签名者不可区分的有效的模拟签名,实现了任何外部第三方都无法验证签名的有效性。
关键词:指定验证者签名;强壮性;随机预言模型Identity-based strongly designated verifier signature schemeAbstract: The designated verifier signature is a special kind of digital signature. in the designated verifier signature, only the designated verifier can verify the signature, and no third party can verify the validity of the signature. the root cause is that the designated verifier can also generate a valid analog signature that is indistinguishable from the signer, which realizes that no externalthird party can verify the validity of the signature.Keywords: Designated verifier signature; strongness; random prediction model1预备知识2. 1双线性对定义:是素数,假设为阶循环加法群,生成元为,为阶循环乘法群,双线性映射满足以下性质。
1)双线性性:有;2)非退化性:存在使得;3)易计算性:,存在有效算法可以计算putational Diffie-Hellman problem(简称CDH问题),在阶数为的循环加法群中,是的一个生成元,对任意,计算 ,其中是未知的随机数。
基于格的线性同态签名在云存储数据动态验证方案中的应用
摘 要 中图分类号
:TP309
文献标志码:
A
文章编号
=2095 - 2783(2016)20- 2381 - 06
Application of lattice-based linearly homomorphic signatures in cloud storage dynamic verification
云存储是云计算的i 项基础服务, 云存储提供 商为用户提供大量的存储空间, 用户可以随时随地 访问云端数据, 其在为用户提供便利的同时, 也带来 了新的挑战以及安全隐患[1]。用户将本地数据上传 至云端服务器之后, 失去对数据的直接控制, 恶意云 端服务提供商可能出于好奇或者其他不为人知的目 的窥探或篡改用户的数据, 因此, 云端数据的完整性 及可用性成为亟待解决的问题[2]。基于传统密码方 案的云端验证协议一般规约到某个困难问题的难解 性, 比如, 基 于 R S A 签 名 算法的验证协议[34], 基于 D iffie -H e llm a n 困 难 问 题 的 双 线 性 映 射 的 验 证 协 议[5]。伴随科 学 技 术 的 发 展 , 使 量 子计算机的问世 成为可能。量子计算机可以在多项式时间内解决上 述困难问题[6], 从 而 基 于 传 统 密 码方案的数据验证 协议将不再安全。 根据目前的研究成果, 对格上困难问题还没有 有效的破解算法, 基于格的困难问题构造密码方案, 是当前密码体制研究的1 个重 要 方 向 , 根据文献[7] 中格的定义, 基于格的验证协议有以下几个优点:格 在代数上是一个加法交换群, 且格密码方案大都使 用整数格, 格上的线性运算与指数运算相比效率有 很大提高;基于格的困难问题有现成的规约证明, 保 证格密码的安全性。文献[8]中设计的签名方案(简 称 为 G P V 签名) 作为标准数字签名方案, 成为许多 格公钥密码算法的基本工具。界 3!^等 [9]使 用 G P V 签名构建了二元域上基于格的线性同态签名方案 ( lattice-based line ar h om om orp hic s ig n a tu re s , 1^13), 1^1等 [ 1 ( ) ] 在 L H S 的基础上又提出了云存储 公有验证方案。然 而 , 此方案不支持数据动态验证, 在云存储验证中, 由于时常会有文件或数据的插入、
:TP309
文献标志码:
A
文章编号
=2095 - 2783(2016)20- 2381 - 06
Application of lattice-based linearly homomorphic signatures in cloud storage dynamic verification
云存储是云计算的i 项基础服务, 云存储提供 商为用户提供大量的存储空间, 用户可以随时随地 访问云端数据, 其在为用户提供便利的同时, 也带来 了新的挑战以及安全隐患[1]。用户将本地数据上传 至云端服务器之后, 失去对数据的直接控制, 恶意云 端服务提供商可能出于好奇或者其他不为人知的目 的窥探或篡改用户的数据, 因此, 云端数据的完整性 及可用性成为亟待解决的问题[2]。基于传统密码方 案的云端验证协议一般规约到某个困难问题的难解 性, 比如, 基 于 R S A 签 名 算法的验证协议[34], 基于 D iffie -H e llm a n 困 难 问 题 的 双 线 性 映 射 的 验 证 协 议[5]。伴随科 学 技 术 的 发 展 , 使 量 子计算机的问世 成为可能。量子计算机可以在多项式时间内解决上 述困难问题[6], 从 而 基 于 传 统 密 码方案的数据验证 协议将不再安全。 根据目前的研究成果, 对格上困难问题还没有 有效的破解算法, 基于格的困难问题构造密码方案, 是当前密码体制研究的1 个重 要 方 向 , 根据文献[7] 中格的定义, 基于格的验证协议有以下几个优点:格 在代数上是一个加法交换群, 且格密码方案大都使 用整数格, 格上的线性运算与指数运算相比效率有 很大提高;基于格的困难问题有现成的规约证明, 保 证格密码的安全性。文献[8]中设计的签名方案(简 称 为 G P V 签名) 作为标准数字签名方案, 成为许多 格公钥密码算法的基本工具。界 3!^等 [9]使 用 G P V 签名构建了二元域上基于格的线性同态签名方案 ( lattice-based line ar h om om orp hic s ig n a tu re s , 1^13), 1^1等 [ 1 ( ) ] 在 L H S 的基础上又提出了云存储 公有验证方案。然 而 , 此方案不支持数据动态验证, 在云存储验证中, 由于时常会有文件或数据的插入、
基于双线性对的无证书签名与群签名方案
定义 3计算 Difie—Hellman问题。给定一个阶为 q的循 环 群 G,它 的一 个 生 成 元 P 以及 aP,bP∈G (其 中 ,“,b∈Z 且
其值未知),计算 abP∈G。 2.2 无证书签名 方案
一 个无证书签名方案 由系统参数 生成、部分密钥生成、 设置秘密值、设置私钥 、设置公钥、签名 以及验证 7个算法 组成。限于篇幅 ,具体 算法参阅文献【2】。
研 究 生 收稿 日期 :2011-03—18 E·mail:lfyin318@126·cor n
第 37卷 第 24期
李凤银 ,刘培玉 ,朱振方 :基于双线性对 的无证书签名与群签名 方案
19
2.3 安全模 型 在无证书系统中有 2类攻击者 ,即第 1类攻击者 A-与
第 2类攻 击者 A 。第 1类攻击者不知道系统主密钥 ,但是可 以任 意替换 用户的公钥 。第 2类攻击者知道系统的主密钥 , 但是 不能 替换 目标 用户 的公钥 。
基金项 目:国家 自然科 学基金资助项 目(60873247);山东省 自然科学 基金资 助重 点项 目(ZR2009GZ007);山东省高新技术 自主创 新工程
基金资助项 目(2008ZZ28) 作者简介 :李风银(1974一),女 ,副教授、博士研究生 ,主研方向: 信息安全 ,数字签名 ;刘培玉 ,教授、博 士生导师 ;朱振方 ,博士
第 37卷 第 24期
V_ 0l-37 NO.24
· 博 士论 文 ·
计 算 机 工 程
Com puter Engineering
文章编号:100o-_3428(2011)24__00l8._一l4 文献标识码:A
2011年 l2月
其值未知),计算 abP∈G。 2.2 无证书签名 方案
一 个无证书签名方案 由系统参数 生成、部分密钥生成、 设置秘密值、设置私钥 、设置公钥、签名 以及验证 7个算法 组成。限于篇幅 ,具体 算法参阅文献【2】。
研 究 生 收稿 日期 :2011-03—18 E·mail:lfyin318@126·cor n
第 37卷 第 24期
李凤银 ,刘培玉 ,朱振方 :基于双线性对 的无证书签名与群签名 方案
19
2.3 安全模 型 在无证书系统中有 2类攻击者 ,即第 1类攻击者 A-与
第 2类攻 击者 A 。第 1类攻击者不知道系统主密钥 ,但是可 以任 意替换 用户的公钥 。第 2类攻击者知道系统的主密钥 , 但是 不能 替换 目标 用户 的公钥 。
基金项 目:国家 自然科 学基金资助项 目(60873247);山东省 自然科学 基金资 助重 点项 目(ZR2009GZ007);山东省高新技术 自主创 新工程
基金资助项 目(2008ZZ28) 作者简介 :李风银(1974一),女 ,副教授、博士研究生 ,主研方向: 信息安全 ,数字签名 ;刘培玉 ,教授、博 士生导师 ;朱振方 ,博士
第 37卷 第 24期
V_ 0l-37 NO.24
· 博 士论 文 ·
计 算 机 工 程
Com puter Engineering
文章编号:100o-_3428(2011)24__00l8._一l4 文献标识码:A
2011年 l2月
基于格的代理签名方案
t a o or ce Co he r nd m a l . mpa e t he s h m e a e n a t rng or dic e e l g,t r d wih t c e s b s d o f c o i s r t o he pub i nd s c e lc a e r t ke s o r s he r a ge y fou c me a e l r r,buti e uie l i a pe a i n n s a li e r . tr q r son y lne r o r to o m l nt ge s Ke r s:atie;r n m r c e; r y sgn t e;pr i g a y wo d l tc a do o a l p ox i a ur e ma e s mpln ig
难 性假 设 , 明该 方 案在适 应性 选择 消息攻 击 下是 安 全 的. 证 与基 于数 论 假 设 方案 相 比 , 方 该 案 密钥 空 间较 大 , 但计 算 效率 更 高. 关 键词 : ; 格 随机 预 言机 ; 理签 名 ; 代 原像 采样 中图分 类号 : P 0 T 39 文献标 识 码 : A
摘
要 : 用原像 采样 单 向 陷门 函数 和 盆景树 下格 的扩展及 格 基 的 随机 化 方 法 , 于格 利 基
构 造 了一 个代理 签 名方案 .在 随机 预 言机 下 , 于平 均 情 况 的小整 数 解 问题 SS S l I— 基 I ( mal n
tg r ouin 和 非 均 匀 小 整 数 解 问 题 II (n o g n o sS l Itg rS lt n 的 困 e e lt ) S o SS I h mo e e u mal ne e oui ) o
难 性假 设 , 明该 方 案在适 应性 选择 消息攻 击 下是 安 全 的. 证 与基 于数 论 假 设 方案 相 比 , 方 该 案 密钥 空 间较 大 , 但计 算 效率 更 高. 关 键词 : ; 格 随机 预 言机 ; 理签 名 ; 代 原像 采样 中图分 类号 : P 0 T 39 文献标 识 码 : A
摘
要 : 用原像 采样 单 向 陷门 函数 和 盆景树 下格 的扩展及 格 基 的 随机 化 方 法 , 于格 利 基
构 造 了一 个代理 签 名方案 .在 随机 预 言机 下 , 于平 均 情 况 的小整 数 解 问题 SS S l I— 基 I ( mal n
tg r ouin 和 非 均 匀 小 整 数 解 问 题 II (n o g n o sS l Itg rS lt n 的 困 e e lt ) S o SS I h mo e e u mal ne e oui ) o
一种基于格的高效签密方案的分析与设计
一种基于格的高效签密方案的分析与设计郑晓;王茜;鲁龙【摘要】Signcryption is a cryptographic primitive that performs simultaneously both the functions of digital signature and public-key encryption, at a cost significantly lower than that required by the traditional signature-then-encryption approach. Designs an efficient signcryption scheme that can send a message of length L one time. Proves that the proposed scheme has the indistinguishability against adaptive cho-sen ciphertext attacks under the learning with errors assumption and strong unforgeability against adaptive chosen messages attacks under the inhomogeneous small integer solution assumption inthe random oracle model. Compared with the schemes based on factoring or dis-crete log, the public and secret keys of the scheme are large, but it requires only linear operation on small integers.%签密是同时执行数字签名和公共密钥加密两种功能的一个加密原语,所需成本比通过传统的先签名后加密的方法低。
聚合签名及其应用研究综述
聚合签名及其应用研究综述随着网络技术的飞速发展,数据安全和隐私保护问题越来越受到人们的。
聚合签名作为一种新型的数字签名技术,在保证数据安全和隐私方面具有重要作用。
本文将对聚合签名的基本原理、应用场景及最新研究进展进行综述。
聚合签名是一种特殊的数字签名技术,它能够将多个用户的签名聚合在一起形成一个聚合签名。
聚合签名可以验证所有用户的签名,同时保持用户签名的隐私性。
聚合签名具有以下特点:不可伪造性:只有真正的签名者才能生成有效的聚合签名。
不可抵赖性:签名者无法否认自己的签名,因为聚合签名包含了所有用户的签名。
隐私性:聚合签名不会暴露用户的真实身份,保护了用户的隐私。
可验证性:聚合签名可以验证所有用户的签名,确保数据的完整性和真实性。
电子投票:在电子投票中,聚合签名可以保证投票结果的准确性和公正性,同时保护投票者的隐私。
分布式系统:在分布式系统中,聚合签名可以用于验证系统中所有节点的签名,确保系统的安全性和稳定性。
区块链技术:区块链技术中的智能合约需要数字签名来保证合约的有效性和可执行性,聚合签名可以用于多个用户对智能合约的签名。
数据共享与访问控制:通过使用聚合签名,数据拥有者可以授权第三方对数据进行访问和操作,同时保护数据的安全和隐私。
近年来,研究者们在聚合签名的效率和安全性方面取得了许多进展。
例如,基于格的聚合签名方案具有更高的效率和更好的安全性,能够抵抗量子攻击。
基于属性的加密技术也被应用于聚合签名中,提高了聚合签名的可扩展性和灵活性。
最近,研究者们还提出了基于链式的聚合签名方案,这种方案可以更好地保护用户的隐私和提高签名的效率。
聚合签名作为一种重要的数字签名技术,在保护数据安全和隐私方面具有广泛的应用前景。
本文对聚合签名的基本原理、应用场景及最新研究进展进行了综述。
随着技术的不断发展,相信未来会有更多高效的聚合签名方案被提出,为解决数据安全和隐私保护问题提供更好的解决方案。
聚合签名方案是一种基于密码学的数据验证方法,它的主要作用是将多个签名者的签名聚合成一个单独的签名,从而提高了签名处理的效率和安全性。
格上基于身份的群签名方案
格上基于身份的群签名方案
汤永利;李元鸿;张晓航;叶青
【期刊名称】《计算机研究与发展》
【年(卷),期】2022(59)12
【摘要】现有的格上群签名方案,虽然能够有效抵抗量子计算的攻击,但是难以避免用户公钥证书复杂的管理问题.基于格基委派、拒绝采样等技术,将基于身份的加密体制与格上群签名相结合,构造了随机预言模型下的格上基于身份的群签名.首先通过陷门生成算法生成系统主密钥;然后通过格基委派技术提取用户身份信息并获取用户密钥;最后在签名阶段不使用零知识证明,而是采用了拒绝采样算法生成签名,并使用LPR加密算法保证群管理员能够通过追溯密钥打开群签名.安全性分析表明,该方案满足完全匿名性、不可伪造性和完全可追溯性,且能够规约到RSIS和RLWE 困难假设.与现有的格上群签名相比,该方案实现了基于身份的功能,并且在存储开销方面具有一定的优势,其中密钥开销减小了约79.6%,签名开销减小了约39.9%.【总页数】12页(P2723-2734)
【作者】汤永利;李元鸿;张晓航;叶青
【作者单位】河南理工大学计算机科学与技术学院;河南工业和信息化职业学院【正文语种】中文
【中图分类】TP309
【相关文献】
1.格上基于身份的抗量子攻击的部分盲签名方案
2.一种格上基于身份的群签名
3.格上基于身份的增量签名方案
4.格上基于身份的授权函数线性同态签名方案
5.格上基于身份的可链接环签名方案
因版权原因,仅展示原文概要,查看原文内容请购买。
集体签名方案范文
集体签名方案范文引言集体签名方案是一种常见的组织行为,用于代表团体或集体对某项事务或文件的认可、支持或承诺。
本文将介绍一个典型的集体签名方案范文,以帮助读者更好地理解集体签名的结构和内容。
背景集体签名是一种表达群体共识的方式,经常用于政府文件、公开信、请愿书、联合声明和业务合作协议等场合。
这对于个体或组织来说,可以增加声势、加强共同利益的表达和推动力度。
集体签名方案范文标题致XX机构:关于XXX问题的联名信正文尊敬的XX机构:我们,来自各界的一群关注XXX问题的旗帜人物,因共同关切,特向贵机构致以此信。
我们希望通过此信向您传递我们的共同声音和诉求。
首先,我们对贵机构在XXX问题上的努力和成果表示由衷的赞赏。
贵机构致力于XXX事业,为这个社会做出了卓越的贡献,我们对此深感钦佩。
然而,我们也认识到XXX问题仍然存在一些挑战和困难。
在这个关键的时刻,我们希望凝聚我们的力量,与贵机构共同努力,一同解决这些问题,为XXX事业带来更大的发展。
基于上述情况,我们特向贵机构提出以下建议:1.加强跨部门合作,实现信息共享和资源集约化,推动XXX事业在各领域的发展;2.加大对XXX事业的投入,提高相关政策的拨款比例,为项目的顺利实施提供更多的资金保障;3.组织建设专家顾问团队,为贵机构在推进XXX事业中提供专业支持和意见;4.加强与相关利益方的合作,共同制定XXX事业的发展规划,并促进各方合力。
我们相信,在贵机构的领导下,通过我们的共同努力,一定能够解决XXX问题,为XXX事业的繁荣发展做出更大的贡献。
最后,我们再次向贵机构表达我们的支持和感激之情,并期待您对此信的关注和积极回应。
诚挚地,XXX(代表集体签名者姓名)结论集体签名方案是一种有效的表达集体共识和诉求的方式,通过联名信、请愿书等形式,可以凝聚人心、推动事业的发展。
本文介绍了一个典型的集体签名方案范文,希望能够帮助读者了解集体签名的结构和内容,并能应用于实际的团体活动中。
基于格上原象抽样的固定长度的环签名方案
Ke wo d y rs Rig sg au e L t c P ema e s mp ig B sse tn i g C n tn —ie n in t r at e i r i g a l a i xe dn o sa tsz n
[4 指 出利用 该碰撞 可 以构造一 个数 字签名 方案 。本 文 利用 1]
干方案提出 4。这些环签名方案大部分都是基 于大整 数分解 I J
和离散对数问题的 。但在量 子计算 机得到应 用 的前 提下 , 大整 数分解问 题 和离 散 对 数 问题 都 可 以在 多 项 式 时 间 内得 到 解 决 , 所以这些环签名将不再 安全 。因此 需要设计 在后量 子时 代依 然安全的环签名方案。 格上的困难问题作为在 量子计算 环境下 依然安全 的难题 , 成为近年来研究 的热点 E 1 。本文基 于格 给 出了一个 固定 长 61 —] 度的环签名方案。文献 [2 提 出了格 的扩展 算法 , 1] 利用它 可 以
系 的 问题 , 于 大群 组应 用 。 适
关键 词
中图分类号
环签名 格
T 39 P0
原像抽样
基扩展算 法 固定长度
A
文献标识码
A CoNS TANT- I ED NG I SZ RI S GNATURE CH E S NⅡeB ED AS
o N PRE M GE AM PLI S NG oN LATTI CE
s aueln h i i ie rw t h u e f igme e ,n ssi befrtea piaino rego p . i tr e g s n l a i te n mb ro n mh  ̄ a d i ut l o p l t fl g ru s n g t n h r a h c o a
[4 指 出利用 该碰撞 可 以构造一 个数 字签名 方案 。本 文 利用 1]
干方案提出 4。这些环签名方案大部分都是基 于大整 数分解 I J
和离散对数问题的 。但在量 子计算 机得到应 用 的前 提下 , 大整 数分解问 题 和离 散 对 数 问题 都 可 以在 多 项 式 时 间 内得 到 解 决 , 所以这些环签名将不再 安全 。因此 需要设计 在后量 子时 代依 然安全的环签名方案。 格上的困难问题作为在 量子计算 环境下 依然安全 的难题 , 成为近年来研究 的热点 E 1 。本文基 于格 给 出了一个 固定 长 61 —] 度的环签名方案。文献 [2 提 出了格 的扩展 算法 , 1] 利用它 可 以
系 的 问题 , 于 大群 组应 用 。 适
关键 词
中图分类号
环签名 格
T 39 P0
原像抽样
基扩展算 法 固定长度
A
文献标识码
A CoNS TANT- I ED NG I SZ RI S GNATURE CH E S NⅡeB ED AS
o N PRE M GE AM PLI S NG oN LATTI CE
s aueln h i i ie rw t h u e f igme e ,n ssi befrtea piaino rego p . i tr e g s n l a i te n mb ro n mh  ̄ a d i ut l o p l t fl g ru s n g t n h r a h c o a
基于 ElGamal 体制的无需配对无证书签名方案
基于 ElGamal 体制的无需配对无证书签名方案彭程;杨邓奇【摘要】Certificateless cryptosystem became more and more popular because it eliminates the complicated certificates manage-ment in PKI and the keys escrow problem.However,it shows poor efficiency because it based on bilinear pairs.A new certificateless signature scheme without paring is proposed,which based on ElGamal algorithm.The ElGamal algorithm can eliminate the bilinear pairs operation,and then the security proofs of signature scheme has been described by Random Oracles Model.The security vulnera-bility in existing schemes has been avoided in our scheme.Analysis result shows that both the amount of calculation in verification process and the signature length have been reduced by 20 and 33.3 ,respectively,compared with the existing scheme.%基于双线性对的无证书密码系统避免了基于 PKI 密码技术中复杂的证书管理问题,也避免了基于身份密码系统中的密钥托管问题,具有较好的优势而得到了推广。
2024年励志正能量个性签名
3、不要评价别人容貌,因为他不靠你吃饭;不要评价别人德行,因为你未必有他高尚;不要评价别人家庭,因为那和你无关。记住不要评价任何人。不要乱花钱,因为明天你就可能失业;不要趾高气扬,因为明天你就可能失势;不要吹嘘爱情,因为明天你就可能失恋;不要委屈自己,因为明天会更美好。好好爱自己。
4、心若计较,处处都是怨言;心若放宽,时时都是晴天。
7、自己喜爱的东西要自己去争取,这年头女人装柔软算哪门子功夫,独立才是王道,不要老是想依赖别人,更不能奢望别人在你需要的时候第一时间站出来,毕竟你们谁都不是谁的谁,爱自己靠自己。
8、青春是一本太仓促的书,我们含着泪,一读再读。
9、单身时间久了会变成习惯,懒得去恋爱;梦想搁置久了会习以为常,懒得去追逐。时间会改变人的性情,越来越怕开始新鲜的一切。惧怕开始,本质上还是因为惧怕结束。快乐时常让人胆怯,因为它总是短暂。人最易被转瞬易逝的快乐伤了心劲。勇气,不光要能承受漫长的痛苦,更要敢接纳短暂的快乐。
15、谁说过人生苦短,我们有泪不轻弹。
16、眼泪终究流不成海洋,人总要不断成长。
17、没有人一路能单纯到底。但别忘记,当初的自己
18、如果你看到前面的阴影,别怕,那是因为你背后有阳光。
19、期待,很多生命里还未发生的幸福。
20、逆风的方向,更适合奋力飞翔
21、喜欢一个人,就要努力去追,有时,一刻迟疑,便是一生天涯。
8、当下的奋进与堕落,皆是一种积淀,它们会默默为你铺路。
9、跟着理智走,要有勇气;跟着感觉走,就要有倾其所有的决心。
10、岁月老人终究会教会我们坚强。
11、事事非非,要勇敢去面对。
12、你的未来,你知道的,所有的浩劫,都是成长的祭奠。
13、一分耕耘一分收获,要想收获的好就要耕耘得好。
4、心若计较,处处都是怨言;心若放宽,时时都是晴天。
7、自己喜爱的东西要自己去争取,这年头女人装柔软算哪门子功夫,独立才是王道,不要老是想依赖别人,更不能奢望别人在你需要的时候第一时间站出来,毕竟你们谁都不是谁的谁,爱自己靠自己。
8、青春是一本太仓促的书,我们含着泪,一读再读。
9、单身时间久了会变成习惯,懒得去恋爱;梦想搁置久了会习以为常,懒得去追逐。时间会改变人的性情,越来越怕开始新鲜的一切。惧怕开始,本质上还是因为惧怕结束。快乐时常让人胆怯,因为它总是短暂。人最易被转瞬易逝的快乐伤了心劲。勇气,不光要能承受漫长的痛苦,更要敢接纳短暂的快乐。
15、谁说过人生苦短,我们有泪不轻弹。
16、眼泪终究流不成海洋,人总要不断成长。
17、没有人一路能单纯到底。但别忘记,当初的自己
18、如果你看到前面的阴影,别怕,那是因为你背后有阳光。
19、期待,很多生命里还未发生的幸福。
20、逆风的方向,更适合奋力飞翔
21、喜欢一个人,就要努力去追,有时,一刻迟疑,便是一生天涯。
8、当下的奋进与堕落,皆是一种积淀,它们会默默为你铺路。
9、跟着理智走,要有勇气;跟着感觉走,就要有倾其所有的决心。
10、岁月老人终究会教会我们坚强。
11、事事非非,要勇敢去面对。
12、你的未来,你知道的,所有的浩劫,都是成长的祭奠。
13、一分耕耘一分收获,要想收获的好就要耕耘得好。
基于格上原象抽样的固定长度的环签名方案.
4 结 语
本文利用格上的基扩展抽样算法和原象抽样函数构造了一 个固定长度的环签名方案。基于 SIS问题的困难性,方案满足 匿名性和不可伪造性。与其他环签名方案相比,文中的方案基 于格上的困难问题,因此可抵抗量子攻击。方案中环签名的长 度固定,与环成员数目无关,与其他签名长度随环成员数目增加
2 环签名方案
方案中环成员掌握一个格的校验矩阵作为公钥,格上的一 组好基作为成员的签名密钥。成员签名时将自己的公钥与其他 环成员的公钥进行级联得到一个更大位数的格,利用基扩展算 法得到该格上的一组好基,进而在此格上利用原像抽样函数得 到环签名。
2.1 密钥生成
系统参数为(n,L,m,q,σ),设 U1,U2,…,Uk是 k个用户,分 别随机均匀的产生一个矩阵 Ai∈Znq×m,以及对应格上的一组好 基 Si∈Znq×m,‖珘Si‖≤30 槡nlgq,用户 Ui的公钥为:Ai,i=1,2, …,k,对应格的好 基 Si作 为 用 户 的 签 名 密 钥。令 H:{0,1}→ Znq×m是一个单向 hash函数。
3 方案的安全性分析
签名验证的正确性很容易得到,下面 我 们 分 析 签 名 的 安 全性。
3.1 签名者的匿名性
签名 e是利用签名格上一组好基和 SamplePre算法得到的 一个 范 数 满 足 要 求 向 量,而 SamplePre算 法 的 构 造 是 利 用 SampleGaussian抽样算 法 得 到 的,所 得 的 结 果 近 似 服 从 高 斯 分 布,因此 e具有很好的随机性,并没有泄露好基的相关信息。另 一方面,签名过程中 B的一组好基是通过基扩展算法抽样生成 的,近似满足高斯分布,也具有很好的随机性,因此好基不会给 出签名人任何信息。由于签名结果和签名过程中好基这两个主 要的信息都不会关联签名人信息,所以签名方案满足匿名性。
本文利用格上的基扩展抽样算法和原象抽样函数构造了一 个固定长度的环签名方案。基于 SIS问题的困难性,方案满足 匿名性和不可伪造性。与其他环签名方案相比,文中的方案基 于格上的困难问题,因此可抵抗量子攻击。方案中环签名的长 度固定,与环成员数目无关,与其他签名长度随环成员数目增加
2 环签名方案
方案中环成员掌握一个格的校验矩阵作为公钥,格上的一 组好基作为成员的签名密钥。成员签名时将自己的公钥与其他 环成员的公钥进行级联得到一个更大位数的格,利用基扩展算 法得到该格上的一组好基,进而在此格上利用原像抽样函数得 到环签名。
2.1 密钥生成
系统参数为(n,L,m,q,σ),设 U1,U2,…,Uk是 k个用户,分 别随机均匀的产生一个矩阵 Ai∈Znq×m,以及对应格上的一组好 基 Si∈Znq×m,‖珘Si‖≤30 槡nlgq,用户 Ui的公钥为:Ai,i=1,2, …,k,对应格的好 基 Si作 为 用 户 的 签 名 密 钥。令 H:{0,1}→ Znq×m是一个单向 hash函数。
3 方案的安全性分析
签名验证的正确性很容易得到,下面 我 们 分 析 签 名 的 安 全性。
3.1 签名者的匿名性
签名 e是利用签名格上一组好基和 SamplePre算法得到的 一个 范 数 满 足 要 求 向 量,而 SamplePre算 法 的 构 造 是 利 用 SampleGaussian抽样算 法 得 到 的,所 得 的 结 果 近 似 服 从 高 斯 分 布,因此 e具有很好的随机性,并没有泄露好基的相关信息。另 一方面,签名过程中 B的一组好基是通过基扩展算法抽样生成 的,近似满足高斯分布,也具有很好的随机性,因此好基不会给 出签名人任何信息。由于签名结果和签名过程中好基这两个主 要的信息都不会关联签名人信息,所以签名方案满足匿名性。
浅谈格密码在环签名中的应用
一、环签名环签名是数字签名的一种,在公钥密码体制中,每个用户都有对应的公钥和私钥,在签名方案中,用户的公钥是对外公开的,私钥只有用户本人知道,通常用户用自身私钥对消息进行签名,其他人通过公开的公钥对签名后的消息进行验证。
一般情况下,签名方案是单用户的,即一个用户签名,其他用户可以进行验证,而环签名方案则可以实现多用户的签名,即多个用户中任意一个用户对消息进行签名,其他用户可以对消息进行验证。
环签名方案具有良好的匿名性,其他验证的用户只能知道是多个用户中其中一个用户进行的签名,并不能知道具体是哪个用户进行的签名,而且,签名者在环签名时并不需要取得其他用户的同意,只需要得知其他用户的公钥即可,与可追踪的群签名相比,环签名方案是无条件匿名的,实现更为简单,不需要群管理员,不需要中心机构,所以,环签名技术被广泛运用在匿名选举、电子投票等场景中。
二、格密码与环签名(一)环签名发展Rivest [1]等学者在2001年第一次提出了环签名技术的概念,并设计了第一个环签名方案。
在这个Rivest提出的环签名方案中,环成员的任意一个参与者都可以对消息进行签名,其他用户可以对签名后的消息进行验证,判断该签名是否为是环成员所为,但无法知晓具体是环中哪个成员对消息进行了签名。
在这个方案中,环中的一个成员用自身公钥和其他成员的公钥组成一个环,其中任意一个用户都可利用自身私钥完成对消息的签名。
而验证者则可以通过环中所有成员公钥组成的环对消息签名进行认证。
在此后,密码学领域中涌现了诸多环签名方案,密码学者们开始对环签名进行更加深入、更加细致的研究,提出了很多新的环签名方案以及一些新的环签名思想,使得环签名方案在安全性和效率上都得到了很大的提升,同时很多密码学者将环签名方案与其他密码学思想结合,提出了不少具有很强实用性的环签名方案,极大地促进了环签名的发展。
但是,这些新提出的环签名方案大多都是基于双线性问题或者其他传统困难问题,在目前还能满足安全性的要求,但是如果在量子计算条件下,这些基于传统困难问题的签名方案都是不安全的,都是可以被攻破的。
群签名
格上基于身份的群签名方案摘 要:群签名作为一种特殊的数字签名,能够允许群体中的任何一个群成员代表群体进行签名,而且签名满足匿名性。
一旦发生争议,群管理员就可以通过打开算法,识别出签名者身份。
由于群签名的匿名性和可追踪性,使其在公共资源管理、命令签发、选举、新闻发布、电子商务等方面有着广泛的应用背景。
而基于格的密码系统是被公认的可以抵抗量子攻击的密码系统,而且格密码还具备算法的结构简单、运算快捷、格上困难问题在最坏和一般情形下的困难性等价等这些优点。
因此,构造格上的群签名方案是群签名研究的一个热点问题。
关键字:群签名 格 基于身份签名1、 格理论基础知识首先,我们会介绍一个较新的数学概念—格,这一概念是在18世纪末由数学家拉格朗日和高斯等人提出的。
格是n 维空间里一类有着周期性结构的离散点的集合。
近年来,随着基于格上困难问题的密码方案的提出,格理论的研究空前活跃。
1.1格的基本概念定义 1.1(格) 设12n b ,b ,...,b 是n R 上一组线性无关的向量,则1(){|Z}ni i i i L s b s =Λ==∈∑12n b ,b ,...b 称为n R 上的格Λ,向量组12n b ,b ,...,b 构成格Λ上的一组基。
则有,定义()=12n B b ,b ,...,b 是一个m n ⨯矩阵,由B 生成的格即为n ()(){|Z }L L Λ===∈12n B b ,b ,...,b Bx x ,那么格Λ的秩为n ,维数为m ,如果n m =则格Λ为满秩格。
一个格可以有不同的基,例如,由基T (1,0)和T (0,1)生成的格即为2Z ,这个格包含所有的整数点。
然而这组基并不是唯一的一组基,基T (1,1)和T (2,1)也可以生2Z ,2Z 的另一组基可以为T (2005,1)和T (2006,1)。
但是T (1,1)和T (2,0)不是2Z 的一组基,这组基生成的是坐标之和为偶数的所有整数点的格。
一种基于身份的高效短群签名方案
的群签 名方案 ,这 2个方案在弱化 B MW 模 型时是安全 的,
即方案 的匿名性能抵抗选择 明文攻击 。前一个方案使 用的是
零 知识 证明技术 ,将签名者的身份逐 比特加密后作为签名 的
一
部分 ,签名含 有 O 1n个群元素 ,其 中, 为群成 员数 , ( ) g
方案的群 公钥也与成员数成对数关系 。后一个方案对前一个
2 S a g a Ke a o aoy o tg a dMa a e n e h o o yRe e rho f r t nS c ry S a g a 2 0 4 , ia . h n h i yL b r tr f ne rt n g me t c n l g sa c f n o mai e u t , h n h i 0 2 0 Chn ) I e T I o i
heacia etyb sdgo ps n tr o s u t nme o .t l ws e me eso oni ego pd nmia ywi o t p an ego p ir hcldni —ae ru g auecnt ci t d Ia o w mb r t i t ru y a cl t u d t gt ru r i t i r o h l n j nh l h u i h
名长度。
关健 词 :短群签名 ;可追踪性 ;防陷害性 ;不可伪造 性 ;基于身份
I e t yb s dE ce t h r o pS g au eS h me d n i — a e f in o t t i S Gr u in t r c e
CAIZh . i 。 W ANG - i , M A i we , ’ Lib n , 。 Cha ng.he , s 。 ( . o ue S h o , o t h n No ma Unv r t, a g h u5 0 3 , hn ; 1 C mp t c o l S uhC ia r l ie s y Gu n z o 1 6 1 C ia r i
紧致安全的基于身份的签名方案
密码学报 ISSN 2095-7025 C N 10-1195/TNJournal of Cryptologic Research , 2021, 8(1): 132-141©《密码学报》编辑部版权所有.h t t p ://w w w .j c r .c a c r n e t .o r g .c n T e l /Fax : +86-10-82789618E -m a i l : j c r @c a c r n e t .o r g .c n 紧致安全的基于身份的签名方案1.上海交通大学计算机科学与工程系,上海2002402.密码科学技术国家重点实验室,北京1008783. 成都卫士通信息产业股份有限公司摩石实验室,北京100070通信作者:刘胜利,E -m a i l : sl l i u @s j t u .e d u .c n 摘要:本文提出了第一个紧致安全的基于身份的签名(IBS )方案.我们的构造基于B e l l a r e 等人提出 的基于证书思想的通用转化方法,包括两个组件,即选择消息攻击下不可伪造安全(EUF -C M A 安全)的 签名方案S .和多用户场景中选择消息攻击&动态密钥窃取攻击下不可伪造安全(M U -EUF -C M A e °"安 全)的签名方案§.组件S 的公私钥用作IBS 的主公钥和主私钥,用户id 的签名私钥包含了组件§所产 生的一对公私钥,以及主私钥对id 和§的公钥的签名证书.用户对消息的签名包含了组件§的公钥和证 书,以及$的私钥对此消息的签名.IBS 的安全性可以紧致归约到组件S 的EUF -C M A 安全性和组件§ 的M U -EUF -C M A e Q n ■安全性.最后,我们给出了组件S 和§的实例化,并分别在随机预言机糢型和标准 糢型下得到了紧致(与几乎紧致)EUF -C M A &C I A 安全的IBS 方案.关键词:基于身份的签名方案;紧致安全;通用构造中图分类号:TP 309.7 文献标识码:A DOI : 10.13868/j .c n k i .j c r .000426中文引用格式:刘翔宇,刘胜利,谷大武.紧致安全的基于身份的签名方案I J j .密码学报,2021, 8(1): 132-141.[DO 1: 10.13868/j .c n k i .j c r .000426]英文引用格式:LIU X Y , LIU S L,GU D W . T i g h t l y s e c u r e i d e n t i t y -b a s e d s i g n a t u r e s c h e m e [J ]. J o u r n a l o f C r y p t o l o g i c R e s e a r c h , 2021, 8(1): 132 141. [DOI : 10.13868/j .c n k i .j c r .000426]T ig h tly S e c u re Id e n tity -B a s e d S ig n a tu re S ch em eLIU Xian g -Yu 12, LIU Sheng -L i 12,3, GU Da -W u 11. Department of Compu t e r Science and Engineering, Shanghai Jiao To n g University, Shanghai 200240, China2. State K e y Laboratory of Cryptology, Beijing 100878, China3. Westone Cryptologic Research Center, Beijing 100070, ChinaCorresponding author: L I U Sheng-Li,E-mail:**************.cnA b s t r a c t : T h i s p a p e r p r o p o s e s a t i g h t l y s e c u r e i d e n t i t y -b a s e d s i g n a t u r e (IBS ) scheme . The c o n s t r u c t i o n f o l l o w s t h e c e r t i f i c a t i o n paradigm , d u e t oB e l l a r e et al .^ w h i c h c o n s i s t s o f t w o b u i l d i n g b l o c k s , i .e ., an u n f o r g e a b l e s i g n a t u r e sc he me S s e c u r e a g a i n s t c h o s e n m e s s a g e a t t a c k s (EUF-CMA s e c u r i t y ), and an u n f o r g e a b l e s i g n a t u r e scheme S s e c u r e a g a i n s t c h o s e n m e s s a g e Sz a d a p t i v e c o r r u p t i o n a t t a c k s i n t h e m u l t i -u s e r s e t t i n g (M U -EUF -C M A c o r r s e c u r i t y ). The p u b l i c /p r i v a t e k e y s o f s i g n a t u r e s c he me ** 基金项目:国家自然科学基金(61925207, U1636217);广东省基础与应用基础研究重大项目(2019B030302008)Foundation: National Natural Science Foundation of China (61925207, U1636217); Guangdong Major Project of Basic and Applied Basic Research (2019B030302008)收稿日期:2020-03-31 定稿日期:2020~11-27刘翔宇等:紧致安全的基于身份的签名方案133S s e r v e a s t h e main p u b l i c/p r i v a t e k e y s o f t h€'IBS.F o r e a c h u s e r id,i t s s i g n i n g s e c r e t k e y c o n s i s t s o f a k e y p a i r o f s i g n a t u r e sc heme S,and a s i g n a t u r e o f id and t h e p u b l i c k e y o f S,w h i c h i s s e r v e d a s t h e c e r t i f i c a t e.The f i n a l s i g n a t u r e c o n t a i n s t h e p u b l i c k e y o f S,t h e c e r t i f i c a t e,and a s i g n a t u r e o f t h e m e s s a g e u n d e r S.S e c u r i t y o f I B S c a n b e t i g h t l y r e d u c e d t o t h e EUF-CMA s e c u r i t y o f S and t h e M U-EUF-C M A c o r r s e c u r i t y o f S.At l a s t,we p r e s e n t i n s t a n t i a t i o n s o f S and S,and o b t a i n t i g h t l y(a n d a l m o s t t i g h t l y)EUF-C MA&C IA s e c u r e IBS s c h e m e s i n t h e random o r a c l e and t h e s t a n d a r d models, r e s p e c t i v e l y.Key words:i d e n t i t y-b a s e d s i g n a t u r e;t i g h t s e c u r i t y;g e n e r i c c o n s t r u c t i o ni引言在可证明安全中,密码学方案总是基于某些困难问题,且其安全性是通过安全归约证明来实现的.安 全归约的思路如下:如果存在某个运行时间为t的敌手^能以优势e攻击某个密码方案S,我们通过 调用算法构造出另一个运行时间f的算法使得算法S以e'的优势解决某个困难问题参数L := 定义为安全归约中的损失因子.在安全归约中,一般要求L是一个关于安全参数A的多项式.因为问题P的困难性假设认为不存在算法可以在多项式时间内解决问题P,所以密码方案S不存 在多项式时间的敌手_4,故而证明了 S的安全性.当f = 0(f)时,归约损失因子可等价定义为L := e/e'.如果L是一个常数,那么此安全归约是紧致的.如果L=O(A) (A为安全参数),归约是几乎紧致的.在很 多签名方案(S i g n a t u r e,简称SIG)中,松散安全归约的损失因子L与敌手得到的签名数Q及其涉及的 用户数p紧密相关.假设L»24Q,这就造成了一个很大的安全损失.为了弥补这个损失,在密码方案的实 施过程中,我们需要选择更大的安全参数,导致元素尺寸的增大和计算次数的增加,从而降低算法的效率. 因此,近些年来的许多密码方案都在追求紧致安全性基于身份的签名(i d e n t i t y-b a s e d s i g n a t u r e,IBS).方案最早由Shamir11£)】提出•I BS的实施通常建 立在一个群组中,群组管理员产生主公钥m v k和主私钥msk,并借助m s k为每个用户产生一个与其身 份id关联的私钥s k i d.用户可以用s k i d产生对消息m的签名(T,任何验证者可以结合主公钥m v k和相 应的i d,对(m,a)进行验证.通常一个签名方案的基本安全要求是“选择消息攻击下的不可伪造性”(简称EUF-C M A安全).该安全性是指,即使某一敌手得到了多个消息签名对,他也很难伪造出一个新消息 的合法签名.在基于身份的签名方案中,敌手还可能冒充某个身份,从群组管理员中获得其身份私钥.因 此,IBS安全性要求是:对于用户i d%只要敌手不知道其私钥s k i d*,那么即使敌手得到多个由s k i d*产生 的消息签名对,他也很难伪造一个针对i d*的新消息的签名,这就是EUF-C M A&C I A安全(正式定义见 第2节).紧致安全的签名方案分为单用户和多用户场景(基于身份的签名方案默认为多用户场景).单用户场 景下的紧致安全要求其安全损失因子与敌手得到的签名数Q无关(紧致EUF-C M A安全);多用户场景下 的紧致安全不仅要求损失因子与Q无关,还要求与用户数无关(紧致M U-EUF-C M A安全).目前己有许 多紧致安全的签名方案的研宄.在单用户场景的紧致安全方面,Cramer和Damg&d W基于R S A假设 给出了第一个紧致EUF-C M A安全的签名方案.随后出现了许多基于树结构的紧致安全的签名方案,如 文献[2-7j,另外,紧致安全的签名方案可由紧致安全的基于身份的加密方案导出,如文献[11,12].近年来,还出现了利用非交互零知识证明构造的紧致安全签名方案,如文献丨13,14].在多用户场景的紧致安全方 面,Hofheinz和J a g e r w基于D L I N假设构造了第一个紧致M U-EUF-C M A安全的签名方案.随后,张 等将其扩展为一个通用构造,并在M D D H假设和D C R假设下给出了具体实例.在基于身份的签名 方面,目前鲜有紧致安全的研宂.Ki l t z和Neven在文献丨15]中总结了 IBS的三种通用构造方法,分别基 于证书思想I1'身份认证协议和分层的基于身份的加密方案,但其构造都没有考虑紧致安全性.己有的一 些IBS的具体构造如文献丨17 19]等,其安全归约都是松散的.张等在文献丨7丨中给出了第一个紧致(弱) 安全的IBS,他们在IBS的安全性定义中要求,若敌手得到了某个id下的消息签名对后,不能再获取此 id对应的私钥s k i d,因此方案实际上只达到了弱EUF-CN1A&C I A安全性.目前,还没有真正意义上紧致 EUF-C M A&C I A安全的基于身份的签名方案.134JoumaZ 〇/C V ypfoZ o夕zc/Research 密码学报 Vol.8,No.1,Feb.2021本文主要研宄如何实现紧致安全的IBS.我们进一步研宂了文献115]的第一种通用构造方法,即Be l l a r e等人[161所提出的基于证书思想的通用转化方法,结合一个紧致EUF-C M A安全的签名方案S 和一个安全性更高(紧致M U-EUF-C M A M"安全,见第2节)的签名方案孓构造了第一个紧致EUF-C M A&C I A安全的基于身份的签名方案.与文献[15,16]的通用构造相比,我们的目标是追求紧致安全特 性,因此对子组件的安全要求不同,安全归约证明过程也有所差异.我们分别在随机预言机模型(random o r a c l e model)和标准模型(s t a n d a r d model)下给出相应的具体实例,主要工作如图1所示.R O模型,基于D D H的S I G【2Q I标准模型,基于M D D H的SIG I7】_______紧致E U F-C M A安全签名方案S1用构%紧致E U F-C M A&C I A安全R O模型,基于D D H的SIG [9丨--------标准模型,基于M D D H的SIG [81-------紧致M U-E U F-C M A C Qn■安全 |>签名方案§1IBS 图1构造与实例化F i g u r e 1C o n s t r u c t i o n a n d i n s t a n t i a t i o n s2预备知识本节给出(常规)签名方案与基于身份的签名方案的定义及安全性要求.首先对符号做说明如下.用 A表示安全参数;对于自然数/a用M表示集合{1,2,…,"丨;用a: 4A表示从集合A1中均匀随机地 选取巧用y卜乂(c c)表示输入r r运行算法并将结果赋值给用0表示空字符;用丨|表示串联符 号;P P T是概率多项式时间的缩写;p o l y(_)为多项式函数;可忽略函数n e g l(.)定义为当A足够大时,都 有 n e g l(A) <l/p o l y(A).2.1签名方案及其安全性定义1 (签名方案)一个签名方案S==(Se t u p,KGen,S i g n,V e r)由如下四个算法组成:•S e t u p(l A):预备算法输入安全参数1A,输出公开参数pp.假定pp为Sign和Ver的一个隐式输入.•KGen(pp):密钥生成算法输入pp,输出…对验证公钥/签名私钥(vk,s k).•S i g n(s k,m):签名算法输入私钥sk和消息m,输出一个签名(7.•V e r(vk,m,c T):验证算法输入公钥v k,消息m和签名〇■,输出一个比特,1代表是消息m的一个 合法签名,0代表不合法.正确性:对任意 p p S e t u p(l A), (v k,s k) ■(-KGen(pp),任意消息 m,都有 V e r(vk.m,S i g n(s k,m))=1成立.针对一个签名方案,敌手可能会自主选择一些消息,并获得这些消息的相应签名.不可伪造性要求即 使敌手看到了这些消息签名对,他也不能对一个新的消息伪造出合法签名.安全定义具体如下.定义2 (EUF-C M A安全)对签名方案S = (S e t Up,KGen,S i g n,V er),定义敌手在选择消息攻击下的攻击优势A ,c m a/>N D P P^S e t u p(l A);(v k,s k)KGen(pp),.,»*、,Advs,^(A) := P r,,、:m^ A V e r(v k,m,c r ) = 1(m,a ))(ppj V k)这里〇s,™(.)是个签名预言机,集合Q m用于存储己问询签名的消息.〇s,C N(m)调用<r e S i g n(s k,m),将m存入Q m并返回〇•.如果对于任意P P T敌手有Adv|"^A) =n e g l⑶成立,那么我们称S具有 选择消息攻击下的不可伪造性,即EUF-C M A安全.一般签名方案都部署于多用户场景.即敌手会看到多对(用户)公钥,他可以选择某一用户进行攻击. 在某些多用户应用场景如认证密钥交换中,敌手还可以动态地窃取部分用户的私钥s k,方案安全性在这 时要求没有被窃取密钥的那些用户(以及对应公私钥)下的签名的不可伪造性,即M U-EUF-C M A1^安 全|8).安全定义具体如下.刘翔宇等:紧致安全的基于身份的签名方案135定义3 (M U-EUF-C M A11。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
[24 ]
利用正交抽样的方法分配群成员的签名密钥, 生成追踪密钥, 最后结合格基证明技术实现了方案的匿名性和可追踪性 . 本 文对该方案的安全性和实用性进行了分析, 指出该方案存在 以下问题: 1 ) 该方案不能防止陷害攻击, 群管理员可以假冒任意群 成员生成合法签名; 2 ) 该方案不能灵活有效地增删群成员, 不适用于实际中 的动态群. 基于以上攻击方法和不足, 我们利用统计零知识证明方 法 对原方案进行了改进, 并引入时间参数, 成功地抵御了 陷害攻击, 并且能够方便地增加或者删除群成员 . 新方案具有 以下特点: 1 ) 群管理员无法伪造群成员的合法签名 . 2 ) 能够有效地实现新成员的加入 . 当新成员加入时, 利
Abstract: An attack is mounted on a group signature scheme based on lattice posted in Asia Crypt 2010. It show s the group signature scheme is vulnerable to trap attacks and a dishonest group manager can get all group members' signing keys and then forge all group members' valid signatures. M eanw hile,the scheme can't increase or delete group members flexibly and efficiently w hich is not applicable to dynamic groups. Every time a new member joins,the system has to update the public key and all group members' signing keys w hich are of huge calculation and low efficiency. Also ,the scheme doesn't provide an effective method to revoke group members. Using statistical zeroknow ledge proofs and time parameters,an improved scheme based on the hardness of the closest vector problem is proposed. The improved scheme is antitrap attacks and can dynamic increase or deletes group members more efficiently and applicably. Key words: group signature; trap attack; statistical zeroknow ledge proof ; dynamic group
2
预备知识
本文中假定系统安全参数为 n.
2. 1
格 定义 1 . 在 n 维线性空间中 m ( m ≤ n) 个线性无关的向量 ( b1 , b2 , …, b m ) 所生成的向量集合: L ( b1 , b2 , …, b m ) = { ∑ λ i b i | λ i ∈Z }
i =1 m
^
b2 , …, b m ) 称为格的一组基. 在 GKV 方案中主 称为格. ( b1 , 要使用了两类整数格: T m T ∧( A ) = { y ∈Z q | y = A s( mod q) }
[10 ] 定 理 2 . 存 在 一 个 PPT ( Probabilistic Polynomial Time) 算法 TrapSamp,给定输入 1 n , 1 m 和 q ( 满足 q ≥2 且 m n×m m ×m ≥8nlog q) , 输出矩阵 A ∈Z q 和 T ∈Z q , 其中 A 统计接近
Email: yongdzx@ yahoo. com. cn
摘
要: 提出了对亚洲密码学会 2010 给出的一个基于格的群签名方案的攻击, 表明了已有的群签名不能防止陷害攻击, 不诚
实的群管理员可以得到所有群成员的签名秘钥进而伪造出所有群成员的合法签名 . 该方案也不能灵活有效地增删群成员, 每新 系统需要更新系统公钥和所有群成员的签名密钥, 计算量大, 效率低, 同时该方案也未给出有效删除群成员的方 增一个群成员, 法, 不适用于实际中的动态群 . 基于格上最近向量问题的困难性, 利用统计零知识证明, 同时引入时间参数, 给出了一种改进方 新方案可以有效抵御陷害攻击, 能够实现动态增加或删除群成员, 且效率更高, 实用性更强. 案, 关 键 词: 群签名; 陷害攻击; 统计零知识证明; 动态群 中图分类号: TP309 文献标识码: A 1220 ( 2011 ) 11224305 文 章 编 号: 1000-
Group Signature Scheme Based on Lattice
2 WU Yongdong 1, 1 2
( Department of Computer Science , Shanghai Jiaotong University, Shanghai 200240 ,China) ( Shanghai Key Laboratory of Scalable Computing and System,Shanghai Jiaotong University, Shanghai 200240 ,China)
1
引
[1 ]
言
, 它允许群中用户代表群进行签名, 签名接收者能够
案
[6 ]
( 简称为 GKV 方案) , 该方案利用陷门抽样函数的方法
群签名最早是由 D. Chaum 和 E. Van. Heyst 在 1991 年提 出的 验证签名是该群的有效签名, 但无法判断是哪个群成员签了 名, 当出现争议时, 只有群管理员能够打开签名确定签名者的 身份. 自群签名的概念被提出后, 由于它具有匿名性、 可追踪 非常适用于电子现金、 电子投票等应用领域, 性等多种特点, 国内外涌现了许多相关方面的研究
于 Zq
的均匀分布, 并且 T 的列向量是 ∧ ┴ ( A ) 的一组基, 即有 A ·T = 0 ( mod q) . 11]中提出了 Gentry ,Peikert 和 Vaikuntanathan 在文献[ 一个利用 TrapSamp 算法构造单向原像抽样函数的方案 . 假定 q 是以 n 参数变量的多项式, m ≥8nlogq, s = ω( 槡 nlog q log n) , n 则单向 原 像 抽 样 函 数 由 如 下 的 GPVGen ( 1 ) 和 GPVInvert
பைடு நூலகம்[7 ]
, 但是这些方案都是
如大整数分解问题、 离散对数问题、 椭 基于传统的数论知识, 圆曲线问题等, 随着量子计算的发展, 已经出现了解决这些问 题的量子算法
[5 ]
. 为了避免量子时代的密码危机, 基于格困
难问题的群签名近年来重新成为密码学研究的热点 . 2010 年 S. Dov Gordon、 Jonathan Katz 和 Vinod Vaikuntanathan 在亚洲密码学会上提出了第一个基于格的群签名方
2244
小
型
微
型
计
算
机
系
统
2011 年
用统计零知识证明方法来保护新成员的签名密钥, 有效地防 止了陷害攻击. 3 ) 能够简单高效地实现群成员的撤销 . 当有成员撤销 时, 群管理员不需要改变其他群成员的密钥, 仅需做简单的公 钥更新操作, 更加高效.
s←Z n y ) ←LWE m , y ) = 1]- Δ = | Pr[ q ; ( A, q, X ( s) : D ( A , ( A, y ) ←U m , y ) = 1]| Pr[ q : D( A, 且 Δ 是可忽略的, 则由 LWE m , q, X ( s ) 反求出 s 的计算问题是 困难问题. 如果将 LWE m , 即 q, X ( s ) 中的概率分布 X 取为 D αq, c ( X) , LWE m , ( s ) , LWE , GKV 不失一般性, 可简写为 方案 q, D αq, m , q , α c α 是 1 / poly ( n ) , 指出当 m 和 q 是参数 n 的多项式 poly ( n ) , LWE m , n时, 且 α· q > 2 槡 q, α ( s ) 是困难问题 . 若将 LWE m , 即 q, X ( s ) 中 的 概 率 分 布 X 取 为 D Z m, αq , LWE m , ( s) , GKV 方 不失一般性, 可简写为 LWE m , q, D z m, q, α, αq 案证明了: [6 ] q = q ( n) , 定理 1 . 对于任意的 m = m ( n ) , α = α ( n) , log n ) 时, 当满足 α × q = ω ( 槡 如 果 LWE m , 则 q, α 是 困 难 的, LWE m , q, α 也是困难的 . 2. 4 格上的陷门抽样函数和 GPV 签名 GKV 方案利用陷门抽样函数来生成追踪密钥, 并结合 GPV 签名实现群签名的可追踪性 .
小 型 微 型 计 算 机 系 统 Journal of Chinese Computer Systems
2011 年 11 月 第 11 期 Vol. 32 No. 11 2011
基于格的群签名方案
吴雍东
1 2
1, 2
( 上海交通大学 计算机系, 上海 200240 ) ( 上海市可扩展计算与系统重点实验室, 上海 200240 )
[8 ]
( A, T, s, μ) 构成: GPVGen( 1 n ) : 由 TrapSamp ( 1 n , 1m , q ) 获得( A , T) , 然后 m 利用 A 定义单向函数 f A ( e) = Ae mod q, 其中 e∈Z 且‖e‖ m. 单向函数逆运算的困难性是由离散高斯分布 D Z m , ≤s 槡 s 保证的 m GPVInvert( A , T, s, μ) : 首先计算得到一个 t∈Z 满足 At = μ( mod q) , 然后进行抽样得到 e←D ∧ ┴( A ) + t, 输出 e. s, 2. 5 格上的正交抽样方法 GKV 方案提出了一个正交采样的方法, 可以有效实现群 成员密钥的分配. [6 ] n 定理 3 . 存在一个 PPT 算法 SuperSamp, 给定输入 1 , m n×m 1 和 q( 满足 q≥2 且 m ≥ n + 8nlog q ) , , 以及 B ∈ Z 输出
利用正交抽样的方法分配群成员的签名密钥, 生成追踪密钥, 最后结合格基证明技术实现了方案的匿名性和可追踪性 . 本 文对该方案的安全性和实用性进行了分析, 指出该方案存在 以下问题: 1 ) 该方案不能防止陷害攻击, 群管理员可以假冒任意群 成员生成合法签名; 2 ) 该方案不能灵活有效地增删群成员, 不适用于实际中 的动态群. 基于以上攻击方法和不足, 我们利用统计零知识证明方 法 对原方案进行了改进, 并引入时间参数, 成功地抵御了 陷害攻击, 并且能够方便地增加或者删除群成员 . 新方案具有 以下特点: 1 ) 群管理员无法伪造群成员的合法签名 . 2 ) 能够有效地实现新成员的加入 . 当新成员加入时, 利
Abstract: An attack is mounted on a group signature scheme based on lattice posted in Asia Crypt 2010. It show s the group signature scheme is vulnerable to trap attacks and a dishonest group manager can get all group members' signing keys and then forge all group members' valid signatures. M eanw hile,the scheme can't increase or delete group members flexibly and efficiently w hich is not applicable to dynamic groups. Every time a new member joins,the system has to update the public key and all group members' signing keys w hich are of huge calculation and low efficiency. Also ,the scheme doesn't provide an effective method to revoke group members. Using statistical zeroknow ledge proofs and time parameters,an improved scheme based on the hardness of the closest vector problem is proposed. The improved scheme is antitrap attacks and can dynamic increase or deletes group members more efficiently and applicably. Key words: group signature; trap attack; statistical zeroknow ledge proof ; dynamic group
2
预备知识
本文中假定系统安全参数为 n.
2. 1
格 定义 1 . 在 n 维线性空间中 m ( m ≤ n) 个线性无关的向量 ( b1 , b2 , …, b m ) 所生成的向量集合: L ( b1 , b2 , …, b m ) = { ∑ λ i b i | λ i ∈Z }
i =1 m
^
b2 , …, b m ) 称为格的一组基. 在 GKV 方案中主 称为格. ( b1 , 要使用了两类整数格: T m T ∧( A ) = { y ∈Z q | y = A s( mod q) }
[10 ] 定 理 2 . 存 在 一 个 PPT ( Probabilistic Polynomial Time) 算法 TrapSamp,给定输入 1 n , 1 m 和 q ( 满足 q ≥2 且 m n×m m ×m ≥8nlog q) , 输出矩阵 A ∈Z q 和 T ∈Z q , 其中 A 统计接近
Email: yongdzx@ yahoo. com. cn
摘
要: 提出了对亚洲密码学会 2010 给出的一个基于格的群签名方案的攻击, 表明了已有的群签名不能防止陷害攻击, 不诚
实的群管理员可以得到所有群成员的签名秘钥进而伪造出所有群成员的合法签名 . 该方案也不能灵活有效地增删群成员, 每新 系统需要更新系统公钥和所有群成员的签名密钥, 计算量大, 效率低, 同时该方案也未给出有效删除群成员的方 增一个群成员, 法, 不适用于实际中的动态群 . 基于格上最近向量问题的困难性, 利用统计零知识证明, 同时引入时间参数, 给出了一种改进方 新方案可以有效抵御陷害攻击, 能够实现动态增加或删除群成员, 且效率更高, 实用性更强. 案, 关 键 词: 群签名; 陷害攻击; 统计零知识证明; 动态群 中图分类号: TP309 文献标识码: A 1220 ( 2011 ) 11224305 文 章 编 号: 1000-
Group Signature Scheme Based on Lattice
2 WU Yongdong 1, 1 2
( Department of Computer Science , Shanghai Jiaotong University, Shanghai 200240 ,China) ( Shanghai Key Laboratory of Scalable Computing and System,Shanghai Jiaotong University, Shanghai 200240 ,China)
1
引
[1 ]
言
, 它允许群中用户代表群进行签名, 签名接收者能够
案
[6 ]
( 简称为 GKV 方案) , 该方案利用陷门抽样函数的方法
群签名最早是由 D. Chaum 和 E. Van. Heyst 在 1991 年提 出的 验证签名是该群的有效签名, 但无法判断是哪个群成员签了 名, 当出现争议时, 只有群管理员能够打开签名确定签名者的 身份. 自群签名的概念被提出后, 由于它具有匿名性、 可追踪 非常适用于电子现金、 电子投票等应用领域, 性等多种特点, 国内外涌现了许多相关方面的研究
于 Zq
的均匀分布, 并且 T 的列向量是 ∧ ┴ ( A ) 的一组基, 即有 A ·T = 0 ( mod q) . 11]中提出了 Gentry ,Peikert 和 Vaikuntanathan 在文献[ 一个利用 TrapSamp 算法构造单向原像抽样函数的方案 . 假定 q 是以 n 参数变量的多项式, m ≥8nlogq, s = ω( 槡 nlog q log n) , n 则单向 原 像 抽 样 函 数 由 如 下 的 GPVGen ( 1 ) 和 GPVInvert
பைடு நூலகம்[7 ]
, 但是这些方案都是
如大整数分解问题、 离散对数问题、 椭 基于传统的数论知识, 圆曲线问题等, 随着量子计算的发展, 已经出现了解决这些问 题的量子算法
[5 ]
. 为了避免量子时代的密码危机, 基于格困
难问题的群签名近年来重新成为密码学研究的热点 . 2010 年 S. Dov Gordon、 Jonathan Katz 和 Vinod Vaikuntanathan 在亚洲密码学会上提出了第一个基于格的群签名方
2244
小
型
微
型
计
算
机
系
统
2011 年
用统计零知识证明方法来保护新成员的签名密钥, 有效地防 止了陷害攻击. 3 ) 能够简单高效地实现群成员的撤销 . 当有成员撤销 时, 群管理员不需要改变其他群成员的密钥, 仅需做简单的公 钥更新操作, 更加高效.
s←Z n y ) ←LWE m , y ) = 1]- Δ = | Pr[ q ; ( A, q, X ( s) : D ( A , ( A, y ) ←U m , y ) = 1]| Pr[ q : D( A, 且 Δ 是可忽略的, 则由 LWE m , q, X ( s ) 反求出 s 的计算问题是 困难问题. 如果将 LWE m , 即 q, X ( s ) 中的概率分布 X 取为 D αq, c ( X) , LWE m , ( s ) , LWE , GKV 不失一般性, 可简写为 方案 q, D αq, m , q , α c α 是 1 / poly ( n ) , 指出当 m 和 q 是参数 n 的多项式 poly ( n ) , LWE m , n时, 且 α· q > 2 槡 q, α ( s ) 是困难问题 . 若将 LWE m , 即 q, X ( s ) 中 的 概 率 分 布 X 取 为 D Z m, αq , LWE m , ( s) , GKV 方 不失一般性, 可简写为 LWE m , q, D z m, q, α, αq 案证明了: [6 ] q = q ( n) , 定理 1 . 对于任意的 m = m ( n ) , α = α ( n) , log n ) 时, 当满足 α × q = ω ( 槡 如 果 LWE m , 则 q, α 是 困 难 的, LWE m , q, α 也是困难的 . 2. 4 格上的陷门抽样函数和 GPV 签名 GKV 方案利用陷门抽样函数来生成追踪密钥, 并结合 GPV 签名实现群签名的可追踪性 .
小 型 微 型 计 算 机 系 统 Journal of Chinese Computer Systems
2011 年 11 月 第 11 期 Vol. 32 No. 11 2011
基于格的群签名方案
吴雍东
1 2
1, 2
( 上海交通大学 计算机系, 上海 200240 ) ( 上海市可扩展计算与系统重点实验室, 上海 200240 )
[8 ]
( A, T, s, μ) 构成: GPVGen( 1 n ) : 由 TrapSamp ( 1 n , 1m , q ) 获得( A , T) , 然后 m 利用 A 定义单向函数 f A ( e) = Ae mod q, 其中 e∈Z 且‖e‖ m. 单向函数逆运算的困难性是由离散高斯分布 D Z m , ≤s 槡 s 保证的 m GPVInvert( A , T, s, μ) : 首先计算得到一个 t∈Z 满足 At = μ( mod q) , 然后进行抽样得到 e←D ∧ ┴( A ) + t, 输出 e. s, 2. 5 格上的正交抽样方法 GKV 方案提出了一个正交采样的方法, 可以有效实现群 成员密钥的分配. [6 ] n 定理 3 . 存在一个 PPT 算法 SuperSamp, 给定输入 1 , m n×m 1 和 q( 满足 q≥2 且 m ≥ n + 8nlog q ) , , 以及 B ∈ Z 输出