当前位置:文档之家 › 格上的短签名方案Forward-secure identity-based shorter blind signature schemes from lattices

格上的短签名方案Forward-secure identity-based shorter blind signature schemes from lattices

  • 格式:pdf
  • 大小:778.64 KB
  • 文档页数:69

下载文档原格式

  / 69

合集下载

标准模型下格上基于身份的前向安全签名方案

标准模型下格上基于身份的前向安全签名方案

标准模型下格上基于身份的前向安全签名方案在前向安全签名方案中,即使当前的密钥泄露,也能保证先前生成的签名具有不可伪造性。

目前,前向安全环签名方案都是基于大整数分解和离散对数问题,在量子环境下都不安全,从而提出了标准模型下格上基于身份的前向安全签名方案。

标签:基于身份签名;前向安全;格;小整数解问题1 概述Shamir 等人[1]最早提出基于身份的签名方案,一般的基于身份签名方案必须保证密钥的绝对安全,一旦密钥发生泄漏,生成的签名将无效。

针对这个问题,前向安全概念[2]引入到公钥密码系统中。

Ebri等人[5]构造了高效的基于身份的前向签名方案,但是该方案在密码学领域不能够抵抗量子攻击。

因此,首次提出在标准模型下格上基于身份的前向安全签名方案。

参考文献[1]Shamir A. Identity-based Cryptosystems and Signature Scheme. In:Proceedings of advances in Cryptology-CRYPTO’84,LNCS,vol.196.Spring-Verlag,1984:47-53.[2]Anderson R. Tow remark on public key cryptology [C] //CCS 1997. 1997:462-487.[3]Ebri N,Back J,Shoufan A. Forward-secure signature:new genertic constructions and their applications.J Wireless Mob New,Ubiquitous Comput Dependable Appl,2013,4(1):32-54.[4]李明祥,劉阳,赵秀明.高效格上的基于身份的签名方案[J].计算机应用,2014,3(3):825-828.商玉芳(1990-),女,硕士研究生,主要研究领域为信息安全理论与应用。

基于身份前向安全的代理签名方案

基于身份前向安全的代理签名方案

网络出版时间:2011-07-25 16:23网络出版地址:/kcms/detail/11.2127.TP.20110725.1623.002.html2011-3-2基于身份前向安全的代理签名方案*)张学军1 张岳2(1.西北师范大学 教育技术与传播学院,甘肃 兰州 730070;2.中国人民大学 信息学院,北京 100872)E-mail:xjzhang99@摘 要 在代理签名方案中,原始签名人能将其数字签名权力委托给代理签名人。

前向安全的数字签名能解决密钥泄露问题。

现有基于身份前向安全的代理签名文献数量少,效率也有待进一步提高。

本文结合代理签名和前向安全,利用双线性映射,构造了一种高效的基于身份前向安全的代理签名方案。

分析表明,新方案在保持了前向安全代理签名的各种安全特性的条件下,其效率高于已有方案,更适合于在实际中应用。

关 键 词 基于身份代理签名前向安全中图分类号 TP309ID-Based Forward Secure Proxy Signature SchemeZHANG Xue-jun1ZHANG Yue2(1. College of Education Technology and Communication, Northwest Normal University, Lanzhou730070,China;2. College of Information, Renmin University of China, Beijing 100872,China )Abstract: With proxy signature, an original signer can delegate his signing authority to a proxy signer who cansign a message on behalf of the original one. Forward secure signature can solve the security problem of secretdisclosure. There are only a few ID-based forward secure proxy signatures which need to be improved inefficiency. In this paper, Combined with proxy signature and forward security, an efficient identity-based forwardsecure proxy signature scheme is proposed by using bilinear pairings. It is showed that the proposed scheme’sefficiency is better than that of some existing ones under the condition of keeping the all kinds of securitycharacteristics of forward security proxy signature, so it is more propitious to applications in society.Key words: identity-based; proxy signature; forward security1引 言代理签名的概念1996年由Mambo等人首先提出[1],它指当某个签名人(称为授权人)因某种原因不能签名时,将签名权委托给他人(称为代理人)替自己行使签名权,验证人能够验证并区分原签名人的签名和代理人的签名。

一种改进的前向安全环签名方案

一种改进的前向安全环签名方案

一种改进的前向安全环签名方案黄明军黄明军,,杜伟章(长沙理工大学计算机与通信工程学院,长沙 410114)摘 要:对已有前向安全环签名方案进行安全性分析,指出其不具备前向安全性,存在多种安全隐患。

为此,提出一种改进的前向安全环签名方案。

通过改变环签名算法,将密钥更新和环签名相结合,克服原方案中用常量进行环签名的缺陷。

安全性与效率分析表明,改进方案具有前向安全性、无条件匿名性、抗伪造性,且签名效率较高。

关键词关键词::前向安全;环签名;离散对数问题;密钥更新算法Improved Forward-security Ring Signature SchemeHUANG Ming-jun, DU Wei-zhang(College of Computer and Communication Engineering, Changsha University of Science and Technology, Changsha 410114, China)【Abstract 】This paper analyzes the existing security of the forward secure ring signature scheme, points out that the scheme exists security omission because of lacking forward security. Aiming at these problems, it proposes an improved forward-security ring signature scheme. The defect that the original scheme is signed with constant is overcome by changing the algorithm of ring signature. The algorithm combines the updating secret key and ring signature. The analysis of security and efficiency shows that the improved scheme has forward security, unconditional anonymity and resisting forging attack, as well as higher signing efficiency.【Key words 】forward-security; ring signature; Discrete Logarithm(DL) problem; secret key evolution algorithm DOI: 10.3969/j.issn.1000-3428.2011.24.035计 算 机 工 程 Computer Engineering 第37卷 第24期V ol.37 No.24 2011年12月December 2011·安全技术安全技术·· 文章编号文章编号::1000—3428(2011)24—0106—03 文献标识码文献标识码::A中图分类号中图分类号::TP3091 概述前向安全[1]的本质是对数字签名风险的控制,因此,在前向安全特性提出后,如何改进前向安全特性并将其更好地应用到各类数字签名中,成为信息安全领域研究的热点。

一种具有前向安全性的短签密方案

一种具有前向安全性的短签密方案
关键词 短签密 双线性对 前向安全性 机密性 可公开验证性
中图分类号 TP393.08 文献标识码 A DOI:10.3969/j.issn.1000386x.2019.11.049
Байду номын сангаас
ASHORTSIGNCRYPTIONSCHEMEWITH FORWARDSECURITY
LinNan1,2 XiaPingping2,3 ZuoLiming2,3
1(ElectricPowerResearchInstitute,StateGridJiangxiElectricPowerCo.,Ltd.,Nanchang330096,Jiangxi,China) 2(SchoolofScience,EastChinaJiaotongUniversity,Nanchang330013,Jiangxi,China)
第 11期
林楠等:一种具有前向安全性的短签密方案
307
协议中。传 统 的 基 于 双 线 性 对 的 签 密 方 案[2-4],签 密长度都较长。Boneh等[5]提出短签名的概念,该签名 长度是 DSA签名长度的一半,有效地提高了签名传 输、存 储 效 率,尤 其 适 用 于 计 算 性 能 较 低 的 场 合。 Libert等[6]提出短 签 密 方 案,大 大 降 低 了 签 密 密 文 的 长度及 数 据 的 扩 展 率,但 不 满 足 前 向 安 全 性。Yang 等[7]提出一个具有密钥隐私的签密方案,但该方案不 具有机密 性 和 不 可 伪 造 性 [8]。 Ma[9]提 出 的 短 签 密 方 案同样不具备不可伪造性。杜红珍 提 [10] 出的短签密 方案在签、解密过程中计算量较稍大。Ahmed等 提 [11] 出的公开可验证的签密方案无法保证前向安全性。戚 明平 [12]提出一 种 具 有 前 向 安 全 性 和 可 公 开 验 证 的 签 密方案,但 该 方 案 没 有 在 安 全 模 型 下 证 明 其 安 全 性。 周宣武等 [13]提 出 一 种 适 用 于 物 联 网 环 境 的 椭 圆 曲 线 短签密方案,该方案在签密过程中使用了 3次椭圆曲 线上的标量乘运算,在密文长度和计算性能上有待改 进。Lai等 提 [14] 出一种基于身份的线上 /线下的短签 密方案,该方案线上存储和密文长度中只需椭圆曲线 上的一个元素,但其计算相对复杂,且不具备前向安全 性和公开验证性。

前向安全的基于身份代理签名方案

前向安全的基于身份代理签名方案

前向安全的基于身份代理签名方案
王艳;于佳;李大兴
【期刊名称】《计算机工程与设计》
【年(卷),期】2007(28)21
【摘要】前向安全是数字签名方案的一个重要的方面.现在已经提出了许多前向安全的数字签名方案,但前向安全的代理签名方案到目前为止并不多.提出了一个前向安全的基于身份的代理签名方案,方案的安全参数与总的时间周期数量无关,可以在保证代理签名者私钥长度和公钥保持不变的条件下无限制的进行代理私钥更新.由于双线性配对的使用,方案具有短签名和短密钥的特点.最后给出了代理签名方案的安全性分析.
【总页数】3页(P5103-5104,5326)
【作者】王艳;于佳;李大兴
【作者单位】山东大学,网络信息安全研究所,山东,济南,250100;山东大学,网络信息安全研究所,山东,济南,250100;山东大学,网络信息安全研究所,山东,济南,250100【正文语种】中文
【中图分类】TP309
【相关文献】
1.基于身份的前向安全代理签名方案 [J], 张小莹;张锋;刘凯
2.基于身份前向安全的代理签名方案 [J], 张学军;张岳
3.基于身份的前向安全门限代理签名方案 [J], 李村;李志华
4.基于身份前向安全的代理签名方案的安全性分析 [J], 王勇兵;王小杰
5.基于身份的前向安全代理签名方案 [J], 张小莹;张锋;刘凯;
因版权原因,仅展示原文概要,查看原文内容请购买。

格上基于身份的增量签名方案

格上基于身份的增量签名方案

其中 u ∈
n 也是公开参数。
q
3) 本文证明了在标准的小整数解困难假设下,
所提格上基于身份的增量签名方案在标准模型下
满足适应性选择身份和选择消息攻击下的不可伪
造性。
2 预备知识
2.1 符号定义 本文的安全参数为 n。令 和 分别表示实数
集 和 整 数 集 。 给 定 正 整 数 d , 令 [d] 表 示 集 合
{0, , d −1} ,令 BitDecompb (d ) 表示 d 的 ⎡log b⎤ 维
·110·
通信学报
第 42 卷
比特分解,其中 b 为正整数。令矩阵 A 的格拉姆−
施密特正交化为 A ,并且令其最大奇异值为
s1( A) = maxu Au ,其中, u 是任意的单位向量,


范数。
2
如果对任意的常数 c,存在整数 N,当 n>N 时,
数[20] HK :{0,1}n →
n×nt q
嵌入用户身份信息 id
∈{0,1}n

得到 H K (id) ,其中 K 是该哈希函数的密钥,n 和 t 均是正整数;其次,利用文献[21]提出的陷门概念
及 相 关 算 法 , 为 身 份 为 id 的 用 户 生 成 私 钥
Rid ∈
m×nt ,满足 ARid = G − H K (id) ,其中 A ∈
增量签名这一概念被提出以来,许多增量签名 方案[3,5-6]相继被提出,然而现有的增量签名方案都 依赖于公钥基础设施(PKI, public key infrastructure),用户的公钥是一串随机字符,需要通过数字 证书绑定用户的身份与其公钥的匹配关系,这会给 系统带来额外的存储开销和计算开销。为了解决这 个问题,本文借鉴基于身份的密码学思想[7],提出 了基于身份的增量签名概念,用户使用能唯一标识 其身份的字符串(如电话号码、邮箱地址等)作为 其公钥,相应的私钥由可信的私钥生成器(PKG, private key generator)根据系统主密钥和用户身份 生成,从而消除了传统增量签名方案存在的证书 管理问题。

一种无可信中心门限签名方案

一种无可信中心门限签名方案

一种无可信中心门限签名方案岳胜;辛小龙【摘要】利用双线性对构造了一个无可信中心门限签名方案.在方案中,假设PKG 是不可信的,组成成员共同生成群公钥和私人密钥,避免了成员私人密钥的泄漏,解决了以往方案中过分依赖可信中心和可信中心权力过于集中的问题.证明了提出的方案具有健壮性和不可伪造性.【期刊名称】《计算机工程与应用》【年(卷),期】2011(047)003【总页数】3页(P87-89)【关键词】双线性对;无可信中心;门限签名;私钥产生中心【作者】岳胜;辛小龙【作者单位】西北大学数学系,西安710127;西北大学数学系,西安710127【正文语种】中文【中图分类】TP309自文献[1]提出基于Weil对的短签名方案后,双线性对逐渐受到关注。

双线性映射及相关计算问题的提出和椭圆曲线上Weil对和Tate对的成功应用[2],使得基于身份的密码体制可以高效实现和快速发展。

门限签名[3-5]是最普遍、最常用的群体签名[6],它是密码学的重要组成部分。

1991年,Y.Desmedt等人提出门限签名,特点是必须有足够多的成员参与密钥获取和签名生成,设置门限的主要目的是用于解决密钥泄露问题给加密带来的威胁,签名是在共享密钥的基础上以分布式的方式完成的[7]。

(t,n)门限签名的思想是把签名私钥分成n个片段,由n个成员分别保管,当需要签名时,由不少于t个成员用所保存的密钥片段签名得到部分签名,签名执行者根据t个部分签名计算出真正的签名。

门限签名保证了长期有效密钥的安全,并解决了权力过于集中的问题。

1984 年Shamir提出了基于身份的加密、签名、认证思想[8],将公开的身份信息(例如姓名、地址、电子邮件地址等)作为用户的公钥,而用户私钥则由一个称为私钥生成中心(PKG)的可信第三方生成。

然而在现实中,如果每个签名过程都要有可信中心参与,则对有些情况方案是不理想的。

比如:当n个人没有共同相信的可信中心时,就需要共同协作产生签名密钥。

零知识证明的前向安全不可否认数字签名方案

零知识证明的前向安全不可否认数字签名方案

2 前向安全数字签名的一般定义
—27—
时段,分别记为 1,2,…,T。在有效期内公钥 PK 保持不变,而 秘密钥则随时段的变化而进化更新。 以 SKi 记第 i(1≤i≤T)时段 的秘密钥,进入 i 时段时,首先计算 SKi=f(SKi-1),这里 f 是 密码学单向函数,确保不能由 SKi 计算出 SKi-1,求得 SKi 后 立即删除 SKi-1。这样,即使在 i 时段泄露了 SKi,攻击者无法 获得 SKi-1,SKi-2,…,SK0。这样就提供了所谓的前向安全性。密 钥进化过程如图 1 所示。
f f f f SK 0 ⎯ ⎯→ SK1 ⎯ ⎯→ SK 2 ⎯ ⎯→ "⎯ ⎯→ SKT
z = SGN ( M , xi ) = g hxi mod n ,则签名为
< i, SGN ( M , xi ), yi , DLZK {α : yi = g α ∧ yT = g α
2 2T −i +1
}(Φ ) >
该签名由 2 个部分组成: (1) SGN ( M , xi ) 是以 yi 为公钥 以 xi 为 秘 密 钥 对 信 息 M 的 签 名 ; (2) 零 知 识 证 明
DLZK {α : yi = g α ∧ yT = g α
2 2T −i +1
}(Φ ) 保 证 了 yi 结 构 的 合 法 性 证
( p − 1)( p2 − 1) 2q1 2q2 | QRn |= 1 = = q1q2 4 4
3.4 验证 验证者采用“提问 / 应答” (challenge/response) 协议实现 签名的有效性和不可否认性验证。 3.4.1 签名的有效性验证协议 下面的签名有效性验证协议,验证某时段在某消息上的 签名确实是签名者生成的。 假设 i(1 ≤ i ≤ T ) 时段,在消息 M 上的签名为

前向安全的基于身份群签名方案

前向安全的基于身份群签名方案
( 2 ) 非 退化性 : 存在 P∈G , 使得 e ( P, P)≠ 1。 ( 3 ) 可 计算性 : 对 任意 的 P, Q∈G , 存在 计算 e ( P, Q)的有效算 法 。
则称 e 为 双线性 对 。 假设 群 G 和 G 上 的离散 对数 问题 ( DL P ) 是 困难 的 , 定义 C DH 问 题 和 D DH 问 g ] 和基 于身份 的群 签名方 案 已有很多 [ 1 。 , 迄今, 尚未 见前 向安 全 的基 于身 份
的群 签名 方案提 出 , 本 文结 合前 向安全 思想 和 马 慧然 等[ 1 给 出 的基 于身 份 的群 签名 方 案 , 首 次提 出了前 向 安全 的基 于身份 的群 签名方 案 , 本 方案 不仅 具 有 前 向安 全 性 , 同时 还具 有 支 持懒 更 新 、 签 名 长度 短 、 追 踪 快
性 等一 般 性 的安 全 要求 , 同时 还具 有 支 持懒 更 新 、 签名 长 度短 、 追 踪 快捷 、 群 成 员 的撤 销 即
时、 效率 高等 优点 。 因而该方 案能够 减小 密钥 泄露带来 的不 安全 性 , 降低 通信 成本 。 关键词 : 前 向安全 ; 群签 名 ; B L S短签名 ; 匿名性 ; 基于身 份 的签名
捷、 群 成员 的撤 销 即时 、 效率 高等优 点 。
1 预 备 知 识
设 ( G , +)和 ( G 2 , ・ )是两个 q( q 为 素数 ) 阶循 环群 , 若 映射 e : G ×G 一G 满 足 以下 性质 : ( 1 ) 双 线性性 : 对 任意 的 m, EZ, P, Q E G1, e ( m P, n Q)一 e ( P, Q)
2 定 义
前 向安全 的基 于身份群 签名方 案参 与方 有三个 : 秘 钥 产 生 中心 ( 简 记为 P KG) 、 群 管 理员 和 用户 。P K G

一种具有前向安全的无证书数字签名方案

一种具有前向安全的无证书数字签名方案

109一种具有前向安全的无证书数字签名方案赵雪娇(四川民族学院,四川康定626001)摘要:文章结合前向安全和无证书公钥密码体制的优势,在HLL 数字签名方案的基础上,在不同的签名阶段将签名者私钥中的秘密值进行更新,构造了一种新的具有前向安全的无证书数字签名方案。

并对该方案进行了安全性分析,证明了方案的正确性,方案的前向安全性及方案能够抵抗无证书数字签名的两类敌手的伪造性攻击。

关键词:前向安全;无证书;数字签名;安全中图分类号:TP309文献标识码:A文章编号:1673-1131(2019)02-0109-02A Certificateless Signature Scheme with Forward-securityAbstract:Based on the HLL digital signature scheme,this paper proposed a new certificateless signature scheme with forward-security,combining the advantages of forward-security and certificateless public key cryptosystem.The security of the scheme is analyzed.The scheme is proved to be correct,forward-secure and can resist two kinds of forgery attacks by the adversary with-out certificate digital signature.Key words:forward-secure;certificateless;signature;secure 在实际应用中,数字签名可为用户提供认证性、数据完整性、不可否认性。

一个可公开验证和前向安全的签密方案

一个可公开验证和前向安全的签密方案

1引言1997年文献[1]提出了签密的概念,并给出了一个具体的签密方案。

由于签密比先签名再加密的常规消息传递的代价要小得多,所以非常适合大量数据的认证安全传递。

又因为签密的节省代价与方案中采用的安全参数的长度成正比,当取较大的安全参数时,签密方案的安全性能更佳[2]。

基于身份的密码体制最初是由文献[3]提出,但直到2001年才由文献[4]利用Weil Pairing和Tate Pairing给出了一个很好的实现方案。

2002年文献[5]定义了基于身份的签密方案的安全模型,利用双线性对构造了第一个基于身份的签密方案,该方案提供了消息的保密性和签名的不可伪造性。

文献[6]提出了3个新方案,然而在这3个方案中,没有一个方案能同时满足公开验证性和前向安全性。

文献[7]提供了公开验证性和前向安全性,然而方案同时也有一些不好的特性,如密文的无关联性和匿名性。

文献[8]设计了一个能同时满足公开验证性和前向安全性的签密方案,然而他们的方案需要两个私钥:一个用于签密,一个用于解签密。

该文利用双线性对提出了一个新的基于身份的签密方案,该方案可以在基于身份的密码体制中运行,能够将数字签名和加密有效地结合起来,可以使接受者在不作任何转换的情况下由任意第三方来验证密文消息的来源并可以独立进行签名验证和消息恢复,具有很好的应用前景。

此外,方案效率也非常高。

2基于身份的签密方案的形式化定义采用Malone-Lee定义的基于身份的签密方案的安全概念。

这些概念是语义安全的,即具有在适应性选择密文攻击下不可区分性和在适应性选择消息攻击下不可伪造性。

2.1基于身份的签密方案的组成一个基于身份的签密方案由以下几个算法组成:(1)系统初始化算法(Setup):此算法由PKG完成,PKG输入安全参数k。

输出系统主密钥s和系统参数params,PKG保密s,公开系统参数params。

(2)密钥生成算法(Extract):用户U将其身份信息ID U提交给PKG,PKG计算用户公钥Q U=H0(ID U)和私钥S U=sQ U并通过安全方式发送给这个用户。

一个前向安全的结构化多重签名方案

一个前向安全的结构化多重签名方案

一个前向安全的结构化多重签名方案付竟芝;斯桃枝;周振江【摘要】Based on the difficulty of computing discrete logarithm over finite field of large prime order, forward-secure technique is introduced into structured multisignature signature, then a new structured multisignature scheme with forward-secure is presented. It has not only characteristic of general structured multisignature, but characteristic of forward-secure .%基于有限域上计算离散对数的困难性,将前向安全的概念引入到结构化签名方案中,提出了一个新的具有前向安全性质的结构化签名方案。

该方案同时具有一般结构化签名和前向安全签名的特点。

【期刊名称】《上海第二工业大学学报》【年(卷),期】2012(000)003【总页数】4页(P187-190)【关键词】前向安全;数字签名;结构化数字签名【作者】付竟芝;斯桃枝;周振江【作者单位】南京人口管理干部学院信息科学系,南京210042;上海第二工业大学计算机与信息学院,上海201209;南京人口管理干部学院信息科学系,南京210042【正文语种】中文【中图分类】TN918.91结构化数字签名[1-2]是一种特殊的多重数字签名,即在签名的过程中每个签名成员必须按照预先规定好的顺序签名,签名的顺序是固定不变的。

完成多重数字签名的全体成员构成了一个群组。

成员签名的顺序称为群组的结构,群组的结构有顺序结构、并行结构和混合结构。

顺序结构是指在签名时,群组中的成员按照顺序方式执行签名;而并行结构是指群组成员可以按任意顺序执行签名协议;混合结构是将以上两种结构混合而得到的群组结构。

紧致安全的基于身份的签名方案

紧致安全的基于身份的签名方案

密码学报 ISSN 2095-7025 C N 10-1195/TNJournal of Cryptologic Research , 2021, 8(1): 132-141©《密码学报》编辑部版权所有.h t t p ://w w w .j c r .c a c r n e t .o r g .c n T e l /Fax : +86-10-82789618E -m a i l : j c r @c a c r n e t .o r g .c n 紧致安全的基于身份的签名方案1.上海交通大学计算机科学与工程系,上海2002402.密码科学技术国家重点实验室,北京1008783. 成都卫士通信息产业股份有限公司摩石实验室,北京100070通信作者:刘胜利,E -m a i l : sl l i u @s j t u .e d u .c n 摘要:本文提出了第一个紧致安全的基于身份的签名(IBS )方案.我们的构造基于B e l l a r e 等人提出 的基于证书思想的通用转化方法,包括两个组件,即选择消息攻击下不可伪造安全(EUF -C M A 安全)的 签名方案S .和多用户场景中选择消息攻击&动态密钥窃取攻击下不可伪造安全(M U -EUF -C M A e °"安 全)的签名方案§.组件S 的公私钥用作IBS 的主公钥和主私钥,用户id 的签名私钥包含了组件§所产 生的一对公私钥,以及主私钥对id 和§的公钥的签名证书.用户对消息的签名包含了组件§的公钥和证 书,以及$的私钥对此消息的签名.IBS 的安全性可以紧致归约到组件S 的EUF -C M A 安全性和组件§ 的M U -EUF -C M A e Q n ■安全性.最后,我们给出了组件S 和§的实例化,并分别在随机预言机糢型和标准 糢型下得到了紧致(与几乎紧致)EUF -C M A &C I A 安全的IBS 方案.关键词:基于身份的签名方案;紧致安全;通用构造中图分类号:TP 309.7 文献标识码:A DOI : 10.13868/j .c n k i .j c r .000426中文引用格式:刘翔宇,刘胜利,谷大武.紧致安全的基于身份的签名方案I J j .密码学报,2021, 8(1): 132-141.[DO 1: 10.13868/j .c n k i .j c r .000426]英文引用格式:LIU X Y , LIU S L,GU D W . T i g h t l y s e c u r e i d e n t i t y -b a s e d s i g n a t u r e s c h e m e [J ]. J o u r n a l o f C r y p t o l o g i c R e s e a r c h , 2021, 8(1): 132 141. [DOI : 10.13868/j .c n k i .j c r .000426]T ig h tly S e c u re Id e n tity -B a s e d S ig n a tu re S ch em eLIU Xian g -Yu 12, LIU Sheng -L i 12,3, GU Da -W u 11. Department of Compu t e r Science and Engineering, Shanghai Jiao To n g University, Shanghai 200240, China2. State K e y Laboratory of Cryptology, Beijing 100878, China3. Westone Cryptologic Research Center, Beijing 100070, ChinaCorresponding author: L I U Sheng-Li,E-mail:**************.cnA b s t r a c t : T h i s p a p e r p r o p o s e s a t i g h t l y s e c u r e i d e n t i t y -b a s e d s i g n a t u r e (IBS ) scheme . The c o n ­s t r u c t i o n f o l l o w s t h e c e r t i f i c a t i o n paradigm , d u e t oB e l l a r e et al .^ w h i c h c o n s i s t s o f t w o b u i l d i n g b l o c k s , i .e ., an u n f o r g e a b l e s i g n a t u r e sc he me S s e c u r e a g a i n s t c h o s e n m e s s a g e a t t a c k s (EUF-CMA s e c u r i t y ), and an u n f o r g e a b l e s i g n a t u r e scheme S s e c u r e a g a i n s t c h o s e n m e s s a g e Sz a d a p t i v e c o r r u p t i o n a t t a c k s i n t h e m u l t i -u s e r s e t t i n g (M U -EUF -C M A c o r r s e c u r i t y ). The p u b l i c /p r i v a t e k e y s o f s i g n a t u r e s c he me ** 基金项目:国家自然科学基金(61925207, U1636217);广东省基础与应用基础研究重大项目(2019B030302008)Foundation: National Natural Science Foundation of China (61925207, U1636217); Guangdong Major Project of Basic and Applied Basic Research (2019B030302008)收稿日期:2020-03-31 定稿日期:2020~11-27刘翔宇等:紧致安全的基于身份的签名方案133S s e r v e a s t h e main p u b l i c/p r i v a t e k e y s o f t h€'IBS.F o r e a c h u s e r id,i t s s i g n i n g s e c r e t k e y c o n s i s t s o f a k e y p a i r o f s i g n a t u r e sc heme S,and a s i g n a t u r e o f id and t h e p u b l i c k e y o f S,w h i c h i s s e r v e d a s t h e c e r t i f i c a t e.The f i n a l s i g n a t u r e c o n t a i n s t h e p u b l i c k e y o f S,t h e c e r t i f i c a t e,and a s i g n a t u r e o f t h e m e s s a g e u n d e r S.S e c u r i t y o f I B S c a n b e t i g h t l y r e d u c e d t o t h e EUF-CMA s e c u r i t y o f S and t h e M U-EUF-C M A c o r r s e c u r i t y o f S.At l a s t,we p r e s e n t i n s t a n t i a t i o n s o f S and S,and o b t a i n t i g h t l y(a n d a l m o s t t i g h t l y)EUF-C MA&C IA s e c u r e IBS s c h e m e s i n t h e random o r a c l e and t h e s t a n d a r d models, r e s p e c t i v e l y.Key words:i d e n t i t y-b a s e d s i g n a t u r e;t i g h t s e c u r i t y;g e n e r i c c o n s t r u c t i o ni引言在可证明安全中,密码学方案总是基于某些困难问题,且其安全性是通过安全归约证明来实现的.安 全归约的思路如下:如果存在某个运行时间为t的敌手^能以优势e攻击某个密码方案S,我们通过 调用算法构造出另一个运行时间f的算法使得算法S以e'的优势解决某个困难问题参数L := 定义为安全归约中的损失因子.在安全归约中,一般要求L是一个关于安全参数A的多项式.因为问题P的困难性假设认为不存在算法可以在多项式时间内解决问题P,所以密码方案S不存 在多项式时间的敌手_4,故而证明了 S的安全性.当f = 0(f)时,归约损失因子可等价定义为L := e/e'.如果L是一个常数,那么此安全归约是紧致的.如果L=O(A) (A为安全参数),归约是几乎紧致的.在很 多签名方案(S i g n a t u r e,简称SIG)中,松散安全归约的损失因子L与敌手得到的签名数Q及其涉及的 用户数p紧密相关.假设L»24Q,这就造成了一个很大的安全损失.为了弥补这个损失,在密码方案的实 施过程中,我们需要选择更大的安全参数,导致元素尺寸的增大和计算次数的增加,从而降低算法的效率. 因此,近些年来的许多密码方案都在追求紧致安全性基于身份的签名(i d e n t i t y-b a s e d s i g n a t u r e,IBS).方案最早由Shamir11£)】提出•I BS的实施通常建 立在一个群组中,群组管理员产生主公钥m v k和主私钥msk,并借助m s k为每个用户产生一个与其身 份id关联的私钥s k i d.用户可以用s k i d产生对消息m的签名(T,任何验证者可以结合主公钥m v k和相 应的i d,对(m,a)进行验证.通常一个签名方案的基本安全要求是“选择消息攻击下的不可伪造性”(简称EUF-C M A安全).该安全性是指,即使某一敌手得到了多个消息签名对,他也很难伪造出一个新消息 的合法签名.在基于身份的签名方案中,敌手还可能冒充某个身份,从群组管理员中获得其身份私钥.因 此,IBS安全性要求是:对于用户i d%只要敌手不知道其私钥s k i d*,那么即使敌手得到多个由s k i d*产生 的消息签名对,他也很难伪造一个针对i d*的新消息的签名,这就是EUF-C M A&C I A安全(正式定义见 第2节).紧致安全的签名方案分为单用户和多用户场景(基于身份的签名方案默认为多用户场景).单用户场 景下的紧致安全要求其安全损失因子与敌手得到的签名数Q无关(紧致EUF-C M A安全);多用户场景下 的紧致安全不仅要求损失因子与Q无关,还要求与用户数无关(紧致M U-EUF-C M A安全).目前己有许 多紧致安全的签名方案的研宄.在单用户场景的紧致安全方面,Cramer和Damg&d W基于R S A假设 给出了第一个紧致EUF-C M A安全的签名方案.随后出现了许多基于树结构的紧致安全的签名方案,如 文献[2-7j,另外,紧致安全的签名方案可由紧致安全的基于身份的加密方案导出,如文献[11,12].近年来,还出现了利用非交互零知识证明构造的紧致安全签名方案,如文献丨13,14].在多用户场景的紧致安全方 面,Hofheinz和J a g e r w基于D L I N假设构造了第一个紧致M U-EUF-C M A安全的签名方案.随后,张 等将其扩展为一个通用构造,并在M D D H假设和D C R假设下给出了具体实例.在基于身份的签名 方面,目前鲜有紧致安全的研宂.Ki l t z和Neven在文献丨15]中总结了 IBS的三种通用构造方法,分别基 于证书思想I1'身份认证协议和分层的基于身份的加密方案,但其构造都没有考虑紧致安全性.己有的一 些IBS的具体构造如文献丨17 19]等,其安全归约都是松散的.张等在文献丨7丨中给出了第一个紧致(弱) 安全的IBS,他们在IBS的安全性定义中要求,若敌手得到了某个id下的消息签名对后,不能再获取此 id对应的私钥s k i d,因此方案实际上只达到了弱EUF-CN1A&C I A安全性.目前,还没有真正意义上紧致 EUF-C M A&C I A安全的基于身份的签名方案.134JoumaZ 〇/C V ypfoZ o夕zc/Research 密码学报 Vol.8,No.1,Feb.2021本文主要研宄如何实现紧致安全的IBS.我们进一步研宂了文献115]的第一种通用构造方法,即Be l l a r e等人[161所提出的基于证书思想的通用转化方法,结合一个紧致EUF-C M A安全的签名方案S 和一个安全性更高(紧致M U-EUF-C M A M"安全,见第2节)的签名方案孓构造了第一个紧致EUF-C M A&C I A安全的基于身份的签名方案.与文献[15,16]的通用构造相比,我们的目标是追求紧致安全特 性,因此对子组件的安全要求不同,安全归约证明过程也有所差异.我们分别在随机预言机模型(random o r a c l e model)和标准模型(s t a n d a r d model)下给出相应的具体实例,主要工作如图1所示.R O模型,基于D D H的S I G【2Q I标准模型,基于M D D H的SIG I7】_______紧致E U F-C M A安全签名方案S1用构%紧致E U F-C M A&C I A安全R O模型,基于D D H的SIG [9丨--------标准模型,基于M D D H的SIG [81-------紧致M U-E U F-C M A C Qn■安全 |>签名方案§1IBS 图1构造与实例化F i g u r e 1C o n s t r u c t i o n a n d i n s t a n t i a t i o n s2预备知识本节给出(常规)签名方案与基于身份的签名方案的定义及安全性要求.首先对符号做说明如下.用 A表示安全参数;对于自然数/a用M表示集合{1,2,…,"丨;用a: 4A表示从集合A1中均匀随机地 选取巧用y卜乂(c c)表示输入r r运行算法并将结果赋值给用0表示空字符;用丨|表示串联符 号;P P T是概率多项式时间的缩写;p o l y(_)为多项式函数;可忽略函数n e g l(.)定义为当A足够大时,都 有 n e g l(A) <l/p o l y(A).2.1签名方案及其安全性定义1 (签名方案)一个签名方案S==(Se t u p,KGen,S i g n,V e r)由如下四个算法组成:•S e t u p(l A):预备算法输入安全参数1A,输出公开参数pp.假定pp为Sign和Ver的一个隐式输入.•KGen(pp):密钥生成算法输入pp,输出…对验证公钥/签名私钥(vk,s k).•S i g n(s k,m):签名算法输入私钥sk和消息m,输出一个签名(7.•V e r(vk,m,c T):验证算法输入公钥v k,消息m和签名〇■,输出一个比特,1代表是消息m的一个 合法签名,0代表不合法.正确性:对任意 p p S e t u p(l A), (v k,s k) ■(-KGen(pp),任意消息 m,都有 V e r(vk.m,S i g n(s k,m))=1成立.针对一个签名方案,敌手可能会自主选择一些消息,并获得这些消息的相应签名.不可伪造性要求即 使敌手看到了这些消息签名对,他也不能对一个新的消息伪造出合法签名.安全定义具体如下.定义2 (EUF-C M A安全)对签名方案S = (S e t Up,KGen,S i g n,V er),定义敌手在选择消息攻击下的攻击优势A ,c m a/>N D P P^S e t u p(l A);(v k,s k)KGen(pp),.,»*、,Advs,^(A) := P r,,、:m^ A V e r(v k,m,c r ) = 1(m,a ))(ppj V k)这里〇s,™(.)是个签名预言机,集合Q m用于存储己问询签名的消息.〇s,C N(m)调用<r e S i g n(s k,m),将m存入Q m并返回〇•.如果对于任意P P T敌手有Adv|"^A) =n e g l⑶成立,那么我们称S具有 选择消息攻击下的不可伪造性,即EUF-C M A安全.一般签名方案都部署于多用户场景.即敌手会看到多对(用户)公钥,他可以选择某一用户进行攻击. 在某些多用户应用场景如认证密钥交换中,敌手还可以动态地窃取部分用户的私钥s k,方案安全性在这 时要求没有被窃取密钥的那些用户(以及对应公私钥)下的签名的不可伪造性,即M U-EUF-C M A1^安 全|8).安全定义具体如下.刘翔宇等:紧致安全的基于身份的签名方案135定义3 (M U-EUF-C M A11。

基于中国剩余定理的前向安全的聚合签名方案

基于中国剩余定理的前向安全的聚合签名方案

收稿日期:2020-06-08 修回日期:2020-10-11基金项目:青海省基础研究计划项目(2019-ZJ-7099)作者简介:韦性佳(1991-),男,助教,硕士,研究方向为代数组合与密码学㊁数字签名;通信作者:芦殿军(1970-),男,教授,研究方向为代数组合与密码学㊁多项式理论㊁数字签名等㊂基于中国剩余定理的前向安全的聚合签名方案韦性佳,芦殿军*(青海师范大学数学与统计学院,青海西宁810008)摘 要:随着信息技术的发展,信息安全研究成为目前国内外急需解决的突出问题㊂数字签名技术作为信息安全领域的关键技术之一,能有效地解决由于密钥泄露与敌手攻击等对用户造成的危害㊂该文利用中国剩余定理,结合双线性对技术,基于椭圆曲线循环群提出了一种具有前向安全性质的聚合签名方案㊂该方案具备如下特点:第一,利用强RSA 假设实现了签名信息的前向安全性,即使敌手获取第j 个时间段的签名信息,也无法得到关于之前签名的任何信息;第二,实现可信中心与签名用户的双向验证,可以有效甄别出方案中的伪造者,提高方案的安全性;第三,在随机预言模型下,证明了该方案抗存在性伪造;第四,方案的实现基于椭圆曲线循环群,能有效减少签名的计算量与存储空间㊂关键词:中国剩余定理;前向安全性;聚合签名;强RSA 假设;随机预言模型;抗存在性伪造中图分类号:TP309  文献标识码:A 文章编号:1673-629X (2021)04-0137-05doi:10.3969/j.issn.1673-629X.2021.04.023Forward Secure Aggregated Signature Scheme Based onChinese Remainder TheoremWEI Xing -jia ,LU Dian -jun *(School of Mathematics and Statistics ,Qinghai Normal University ,Xining 810008,China )Abstract :With the development of information technology ,information security research has become an outstanding problem that needs to be solved urgently at home and abroad.As one of the key technologies in the field of information security ,digital signature technology can effectively solve the harm caused to users due to key leakage and adversary ing the Chinese residual theorem ,combined with bilinear pairing technology ,based on the elliptic curve cyclic group ,we propose an aggregate signature scheme with forward security properties.The scheme has the following characteristics :Firstly ,using the strong RSA assumption to achieve forward security of the signature information ,even if the adversary obtains the signature information of the j time period ,he cannot get any information about the previous signature ;secondly ,the implementation of the trusted center and the signature user two -way verification can effectively identify the forgers in the scheme and improve the safety of the scheme ;thirdly ,under the random oracle model ,it is proved that the scheme is re⁃sistant to existence forgery ;fourthly ,the realization of the scheme is based on the elliptic curve cyclic group ,effectively reducing the amount of signature calculation and storage space.Key words :Chinese remainder theorem ;forward security ;aggregated signature ;strong RSA hypothesis ;random oracle model ;anti -existence forgery0 引 言随着时代的发展,信息安全问题目前已经成为制约中国乃至全球经济发展的重要问题㊂随着中国第一部‘密码法“的颁布,信息安全领域的发展迎来了新的机遇和挑战㊂数字签名作为信息安全领域的重要内容之一,已经成为国内外研究的热点课题之一[1-2]㊂聚合签名作为一种多方参与的数字签名方案,在保障数据的安全传递与高效存储方面具有较强的实践价值[3-4]㊂聚合签名的概念最早由Boneh 等人[5]在2003年的欧密会上提出,并且基于双线性对技术构造了第一个抗存在性伪造的聚合签名方案,对聚合签名的发展具有深远的影响㊂但是Shao 等人[6]通过安全性分析指出Boneh 等人的方案在安全性方面存在漏洞,可以被模拟敌手攻击㊂Cheon 等[7]提出了第一个基于身份的聚合签名方案,将身份信息作为验证工具,第31卷 第4期2021年4月 计算机技术与发展COMPUTER TECHNOLOGY AND DEVELOPMENT Vol.31 No.4Apr. 2021提高了方案的安全性㊂近年来,区块链与云计算技术的不断发展,聚合签名已经广泛应用于许多现实领域,2018年苑超等人[8]将区块链中共识算法的改进算法dBFT为研究对象,结合聚合签名技术以及双线性映射技术对该算法的共识过程进行优化,有效降低了区块链系统签名的空间复杂度,为区块链的发展提供了重要的实践依据㊂2020年杨小东等人[9]针对车载自组网(VANET)中的隐私泄露和签名验证效率较低等问题,结合聚合签名技术,提出了一种基于身份聚合签名的车载自组网消息认证方案,有效缩短了车辆对通信消息的认证响应时间㊂在实践应用中,由于敌手计算能力的提升以及签名成员的变动导致签名过程是动态的,在这个背景下,前向安全性理论由此产生㊂1997年,Anderson[10]首次提出了前向安全性理论,解决了传统数字签名中因秘密的被动或主动泄露对系统安全所带来的隐患问题㊂1999年,Bellare和Miner[11]提出了第一个具有前向安全性质的数字签名方案,为前向安全性理论的进一步发展奠定了基础㊂随着前向安全性理论的不断发展,各种前向安全的数字签名方案不断提出[12-14]㊂2018年,王岩等人[15]基于中国剩余定理提出了一种动态门限签名方案,该方案实现了签名私钥的前向安全性,能有效地抵抗移动攻击,同时具有较高的效率与实践价值㊂同年,Jihye K等人[16]提出了一种前向安全的顺序聚合签名方案,该方案可以有效地应用于计算机审核日志的安全管理中,为计算机网络安全提供了重要的安全保障㊂2019年,洪璇等人[17]基于中国剩余定理提出一种前向安全的群签名方案,为该文提供了重要的研究思路㊂但是,目前将前向安全性结合到聚合签名方案中的文献相对较少,由于聚合签名具有较强的实践价值,该文基于中国剩余定理提出了一种具有前向安全性质的聚合签名方案,方案的签名,验证过程基于椭圆曲线循环群,能有效降低数据的存储空间㊂同时,在随机预言模型下,方案具有抗存在性伪造的特性㊂1 基础知识1.1 双线性映射令(G1,+),(G2,㊃)是两个循环群,且|G1|= |G2|=q(q是大素数),P是G1的生成元,存在双线性映射e:G1×G1→G2满足下列的性质: (1)双线性性:∀P,Q,Q1,Q2∈G1,a,b∈Z*q有如下的性质:(i)e(aP,bQ)=e(P,Q)ab;(ii)e(P,Q1+Q2)=e(P,Q1)e(P,Q2)㊂(2)非退化性:∃P∈G1,使得e(P,P)≠1㊂(3)可计算性:∀P,Q∈G1,存在有效的算法能够计算e(P,Q)㊂1.2 椭圆曲线离散对数问题(ECDLP问题)给定一个椭圆曲线加法群G1,已知任意的两个元素P,Q∈G1,求解a∈Z*q使得Q=aP成立,则称该问题就是椭圆曲线离散对数问题㊂1.3 计算性Diffie-Hellman(CDH)问题对于∀x,y∈Z*q,给定P,xP,yP∈G1,其中P是G1的生成元,称计算xyP∈G1为G1上的计算性Diffie⁃Hellman(CDH)问题,并且对于一个多项式敌手O,定义O在时间T内针对G1中CDH问题的优势为: adv CDH(T)=Pr[O(P,xP,yP)=xyP:P,xP,yP∈G1]㊂计算性Diffie-Hellman(CDH)假设:对于任意一个概率多项式时间运算O,adv CDH O,G是可忽略的㊂1.4 强RSA问题与假设强RSA问题:给定一个RSA模数N=pq,随机选择z∈R Z*N,计算r,y∈Z*N,使得满足条件y r=z mod N (其中r>1,y∈Z*n),称为强RSA问题㊂强RSA假设:在不清楚N的因子分解的前提下,强RSA问题是难于求解的㊂1.5 前向安全性理论前向安全性理论:(1)参与者首先通过可信中心的广播信息得到验证子秘密SP i;(2)通过秘密信道从可信中心得到并保密自己的初始子秘密S i0;(3)将秘密的有效期分为T个时间段,1,2, ,T㊂在整个有效期内验证子秘密SP i保持不变,但第j个时段子秘密S ij 随着时间段j的改变而变换,具体如下:进入第j个时段时,参与者首先通过非交互式方式计算出S ij=f(Si(j-1)),其中f是一个单向函数(类似于Hash函数),在计算出S ij后,参与成员H i立即删除前一时间段的子秘密S i(j-1),这样就保证了即使攻击者获得了第j个时段的子秘密S ij后也不能获得S i0,S i1, ,S i(j-1)的任何信息㊂密钥更新流程如图1所示㊂1T...图1 密钥更新流程2 方案的构造2.1 系统初始化(1)PKG:密钥分配中心;(2){P1,P2, ,P n}:签名用户集合;(3)G1:有限域上的乘法循环群,G2:椭圆曲线上㊃831㊃ 计算机技术与发展 第31卷的加法循环群,P :G 2的生成元;(4)抗碰撞的哈希函数H 1,H 2:{0,1}*×G 2→G 1;(5)T 时间周期,分为1,2, ,T 时间段;(6)选择s ∈Z *q 作为系统主密钥,计算P pub =sP ,最终PKG 公开Ω={e ,G 1,G 2,P ,P pub ,H 1,H 2,T },秘密保存s ㊂2.2 私钥生成运算(1)PKG 选择q 1,q 2, ,q n ∈Z *q ,q =q 1q 2 q n ,其中q i 是大素数,且(q i ,q j )=1,当i ≠j 时,然后将q 1,q 2, ,q n 分别发送给用户P 1,P 2, ,P n ㊂(2)用户P i 选择r i ∈Z *q ,在第j 个时间段计算:(i )P i ,j =x i ,j P ,i =1,2, ,n ;j =0,1,2, ,T ;(ii )y i ,0=H 1(P i ,0,ID i ),公开(P i ,j ,y i ,0);(iii )PKG 收到(P i ,j ,y i ,0)后:(a )利用这n 个同余方程式计算c :c =y 1,0mod q 1c =y 2,0mod q 2c =y n ,0mod q ìîíïïïïn利用中国剩余定理可以计算该同余方程组的解为:c ≡y 1,0Q '1Q 1+y 2,0Q '2Q 2+ +y n ,0Q 'n Q n mod q ,其中,q =q 1q 2 q n ,Q i =q /q i ,Q i Q 'i ≡1mod q i ,i =1,2, ,n ㊂(b )PKG 计算P (i )=q i P ,k i =s y ,(i =1,2, ,n )公开P (i ),秘密保存k i ,通过秘密信道发送给用户P i ㊂2.3 签名运算(1)签名用户P i 选择r i ∈R Z *q ,对于待签名的消息m i (i =1,2, ,n ),计算:(i )U i =r i P ;(ii )h i =H 2(m i ,ID i ,U i );(iii )V i ,j =x i ,j h i P pub +r i k -y i P ㊂(2)则σi ,j =(U i ,V i ,j )就是用户P i 在第j 个时间段对消息m i 的签名㊂2.4 聚合签名运算(1)聚合签名者首先验证n 个单一签名σi ,j =(U i ,V i ,j )的有效性,通过检验如下n 个等式是否成立:e (P ,V i ,j )=e (h i P i ,j +U i ,P pub ),i =1,2, ,n (2)如果上述等式都有效,则聚合者计算:(i )U =∑n i =1Ui,V j =∑n i =1Vi ,j;(ii )则σj =(U ,V j )就是第j 个时间段对消息m ={m 1,m 2, ,m n }的聚合签名㊂2.5 聚合验证运算验证者收到聚合签名σj =(U ,V j ),m ={m 1,m 2,,m n },ID ={ID 1,ID 2, ,ID n }后:(1)计算h i =H 2(m i ,ID i ,U i );(2)验证等式:e (P ,V j )=e (∑ni =1h i P i ,j ,P pub )e (U ,P pub )2.6 签名者的加入假设存在一个用户B 想要成为合法的签名者,首先B 向可信中心PKG 发出申请,PKG 为其选择大素数q n +1∈Z *q ,然后发送给用户B ,用户B 选择自己的初始签名私钥x n +1,0,计算P n +1,0=x n +1,0P ,y n +1,0=H (P n +1,0,ID n +1),发送y n +1,0给PKG ,PKG 重新计算c ,P pub =sP ,P (n +1)=q n +1P ,k n +1=s y ,秘密保存k n +1,通过秘密信道发送给用户B ㊂2.7 签名者撤销如果有签名成员P k 未通过聚合签名者的验证,则说明该签名者是伪造者,因此可信中心PKG 需要撤销该成员,具体如下:PKG 将P k 发送过来的y k ,0修改为y ',重新计算c ,而其他签名用户信息不需再改变㊂2.8 密钥更新对于第j 个时间段的签名用户私钥x i ,j ,在第j +1个时间段的私钥为x i ,j +1=x 2mod q i ,更新完后,签名用户立即销毁第j 个时间段的签名私钥x i ,j ㊂3 方案的正确性与安全性3.1 方案的正确性定理1:方案在聚合签名阶段的验证是正确的,即等式:e (P ,V i ,j )=e (h i P i ,j +U i ,P pub ),i =1,2, ,n 成立㊂证明:因为V i ,j =x i ,j h i P pub +r i k -y i P ,利用双线性对性质有:e (P ,V i ,j )=e (P ,x i ,j h i P pub +r i k -y i P )=e (P ,x i ,j h i P pub )e (P ,r i k -y i P )=e (x i ,j P ,h i P pub )e (r i P ,(s y )-y P )=e (x i ,j P ,h i P pub )e (r i P ,sP )=e (x i ,j h i P ,P pub )e (U i ,P pub )=e (U i +x i ,j h i P ,P pub )证毕㊂定理2:方案在聚合验证阶段的验证是正确的,即等式:e (P ,V j )=e (∑n i =1h i P i ,j ,P pub )e (U ,P pub )成立㊂证明:因为U =∑n i =1Ui,V j =∑n i =1Vi ,j,则有:e (P ,V j )=e (P ,∑n i =1V i ,j )=e (P ,∑n i =1x i ,j h i P pub +r i k -y i P )=㊃931㊃ 第4期 韦性佳等:基于中国剩余定理的前向安全的聚合签名方案e (P ,∑ni =1x i ,j h i P pub )e (P ,∑ni =1r i k -y i P ){∏ni =1e (P ,x i ,j h i P pub )}e (P ,∑ni =1r i k -y i P )={∏ni =1e (P ,xi ,jh i P pub )}e (∑n i =1r iP ,sP )={∏ni =1e (x i ,j P ,h i P pub )}e (∑ni =1U i ,P pub )=∏n i =1e (Pi ,j,h i P pub )e (U ,P pub )=e (∑ni =1h i P i ,j ,P pub )e (U ,P pub )3.2 方案的安全性定理3:方案具有前向安全性㊂该方案的前向安全性的保障基于签名私钥的前向安全性,若敌手掌握了第j 个时间段的所有的签名信息σj =(U ,V j )以及签名私钥x i ,j ,r i ,k i ,目的是想获取之前的签名信息σk =(U ,V k ),k =1,2, ,j -1㊂首先,根据条件,由于V i ,k =x i ,k h i P pub +r i k-y i P ,则必须获得私钥x i ,k ,r i ,k i ,虽然敌手已经掌握私钥r i ,k i ,但是x i ,j =x 2i ,k mod q i ,求解x i ,k 将面对解决强RSA 假设,由于强RSA 假设是难解问题,因此敌手无法获取关于σk =(U ,V k ),k =1,2, ,j -1的任何信息,这就保证了签名信息的前向安全性㊂定理4:方案实现了可信中心与签名用户的双向验证㊂可信中心与签名用户的双向验证分为两个方面:第一:可信中心的诚实性㊂对于签名用户P i 要验证可信中心PKG 的诚实性,通过如下的等式:k -y P =P pub ,若等式成立,则说明PKG 是诚实的,假设有人冒充PKG ,选择k 'i 发送给用户P i ,但是由于k i =s y ,k -y P =(s y )-y P =sP =P pub ,而s 是PKG 自己的私钥,则用户P i 验证等式必然有(k 'i )-y P ≠P pub ,则可以证明可信中心PKG 的诚实性㊂第二:签名用户的诚实性㊂对于可信中心PKG 要验证签名用户P i 的诚实性,通过如下的过程:(1)可信中心计算P C =cP ,然后公开P C ;(2)可信中心或者用户P j (i ≠j )通过等式(y i ,0mod p i )P =P C 验证用户P i 的诚实性,假设有人冒充签名用户P i 选择y ',由于(y i ,0mod p i )P =cP =P C ,这里c 是由PKG 利用中国剩余定理结合签名用户发送的y i ,0,(i =1,2, ,n )产生,则PKG 或者用户P j (i≠j )验证上述等式必然有(y 'mod p i )P ≠P C ,则可以证明签名用户P i 的诚实性㊂定理5:在随机预言模型下,假设存在一个敌手A 以不可忽略的优势ε攻破了该方案,则存在一个算法C ,以优势ε'>ε+negl (n )内解决CDH 问题㊂证明:由定理可知,敌手A 通过调用算法C ,在一个概率多项式时间内解决了CDH 难题㊂假设(aP ,bP )是椭圆曲线加法循环群G 1上CDH 难题的一个实例,则算法C 的目标就是输出该CDH 问题的解abP :(1)C 维护三张列表L 1,L 2,E list 分别保存对H 1,H 2,私钥的询问,然后C 运行系统初始化算法,定义系统的公钥P pub =aP ,生成系统参数Ω={e ,G 1,G 2,P ,P pub ,H 1,H 2,T },并将其发送给敌手A ;(2)敌手A 收到系统参数后,执行如下询问:(i )H 1询问㊂敌手A 以(ID i ,P i ,0)作为输入,C 调出列表L 1,若列表中有记录则返回定义的值,否则选择y i ,0∈Z *q ,添加(y ',ID i ,P i ,0),i =1,2, ,n 到列表L 1中,最后返回y'i ,0给敌手A ㊂(ii )H 2询问㊂敌手A 以(m i ,ID i ,U i )作为输入,C 调出列表L 2,若列表中有记录则返回定义的值,否则选择h i ∈Z *q ,添加(m i ,ID i ,U i ,h '),i =1,2, ,n 到列表L 2中,最后返回h 'i给敌手A ㊂(iii )私钥解析询问㊂敌手A 以ID i ,P i ,0作为输入,C 从列表L 1中调出记录(y ',ID i ,P i ,0),如果列表E list 中存在记录,则返回记录,否则计算k i =a y ,添加到列表E list 中,任选t i ∈Z *q ,计算P i ,j =t i bP ,最后返回k i ,P i ,j 给敌手A ㊂(iv )签名询问㊂当以(ID i ,m i )进行签名询问时,C 调出列表L 1,L 2,E list ,任选αi ,j ∈Z *q ,计算V 'i ,j =αi ,j P Pub ,则计算U 'i =(k 'i )y (V 'i ,j -h 'i aP i ,j ),由单个验证等式得:e (P ,V 'i ,j )=e (h 'i P i ,j +U 'i ,P pub )=e (h 'i P i ,j +V 'i ,j -ah 'i P i ,j ,P pub )⇔e (P ,αi ,j P pub )=e (h 'i t i bP +V 'i ,j -ah 'i t i bP ,P pub )⇔e (αi ,j P ,aP )=e (h 'i t i bP +V 'i ,j -ah 'i t i bP ,P pub )⇔e (αi ,j P ,P pub )=e (h 'i t i bP +V 'i ,j -h 'i t i abP ,P pub )⇔αi ,j P =h 'i t i bP +V 'i ,j -h 'i t i abP⇔h 'i t i abP =h 'i t i bP +V 'i ,j -αi ,j P⇔abP =(h 'i t i )-1(h 'i t i bP +V 'i ,j -αi ,j P )=bP +(h 'i t i )-1(αi ,j aP -αi ,j P )最终,C 输出abP 作为对敌手A 的挑战的应答,因此C 解决了CDH 难题的一个实例㊂定理6:方案可以抗存在性伪造㊂由定理5可知,假设存在敌手以不可忽略的优势伪造了该方案的签名,则说明CDH 也能以不可忽略的优势被解决,当时CDH 问题是一个难解问题,故不存在敌手C 在多项式时间内能破解该方案,因此方案是抗存在性伪造㊂㊃041㊃ 计算机技术与发展 第31卷4 效率分析本方案的效率与文献[18]进行比较,如表1所示,其中T S表示标量乘法,T E表示双线性运算,T R表示指数运算,G1加法循环群的阶㊂表1 方案效率比较运算MPO方案[18]文中方案Sign T S+T R+T E3T SVerify T S+T E T S+2T ESignature size n|G1|2|G1|Forward security No Yes 通过比较发现,该文在签名阶段与验证阶段相较文献[18]效率相对较高,同时提出的方案签名的长度是固定的,而文献[18]签名长度不固定,随着签名人数的增加呈现线性增长,这也体现了聚合签名方案的优势:能有效降低数据的存储空间㊂5 结束语目前结合中国剩余定理构造的聚合签名方案相对较少,由于聚合签名方案的优越性,该文在文献[15, 17]的基础上,基于中国剩余定理,提出了一种新的具有前向安全性质的聚合签名方案㊂然后对方案的安全性与正确性进行了详细的分析,在随机预言模型下证明了方案抗存在性伪造,同时实现了签名方案的可撤销性,签名用户与可信中心的双向验证性以及签名信息的前向安全性等特性㊂最后通过方案的效率分析,证明方案具有较好的运行效率㊂参考文献:[1] ZHANG C M,ZHU Y,CHEN J J,et al.Practical quantumdigital signature with configurable decoy states[J].QuantumInformation Processing,2020,19(5):1-7.[2] KHURANA M,SINGH H.Two level phase retrieval in frac⁃tional Hartley domain for secure image encryption and au⁃thentication using digital signatures[J].Multimedia Toolsand Applications,2020,79:13967-13986.[3] KAMILI A,OGUNDOYIN S O.An improved certificatelessaggregate signature scheme without bilinear pairings for ve⁃hicular ad hoc networks[J].Journal of Information Securityand Applications,2019,44(FEB.):184-200. [4] LU Y,LI J G.A forward-secure certificate-based signaturescheme with enhanced security in the standard model[J].Ksii Transactions on Internet and Information Systems,2019, 13(3):1502-1522.[5] BONEH D,GENTRY C,LYNN B,et al.Aggregate and veri⁃fiably encrypted signatures from bilinear maps[C]//Pro⁃ceedings of the22nd international conference on theory and applications of cryptographic techniques.Warsaw,Poland: Springer-Verlag,2003:416-432.[6] SHAO Z.Enhanced aggregate signatures from pairings[C]//Information security and cryptology;lecture notes in comput⁃er science.Beijing:[s.n.],2005:140-149.[7] CHEON J H,KIM Y,YOON H J.A new ID-based signaturewith batch verification[J].Trends in Mathematics Informa⁃tion Center for Mathematical Sciences,2005,8(1):119-131.[8] 苑 超,徐蜜雪,斯雪明.基于聚合签名的共识算法优化方案[J].计算机科学,2018,45(2):53-56.[9] 杨小东,裴喜祯,安发英,等.基于身份聚合签名的车载自组网消息认证方案[J].计算机工程,2020,46(2):170-174.[10]ANDERSON R.Two remarks on public-key cryptology[C]//Fourth ACM conference on computer and communi⁃cations security.Zurich,Switzerland:ACM,1997. [11]BELLARE M,MINER S K.A forward-secure digital signa⁃ture scheme[C]//Proceedings of the19th annual interna⁃tional cryptology conference on advances in cryptology.San⁃ta Barbara,California,USA:Springer,1999:431-448. [12]徐 潜,谭成翔,冯 俊,等.基于格的前向安全无证书数字签名方案[J].计算机研究与发展,2017,54(7):1510-1524.[13]左黎明,胡凯雨,张梦丽,等.一种具有双向安全性的基于身份的短签名方案[J].信息网络安全,2018(7):47-54.[14]程亚歌,胡明生,公 备,等.具有强前向安全性的动态门限签名方案[J].计算机工程与应用,2020,56(5):125-134.[15]王 岩,侯整风,章雪琦,等.基于中国剩余定理的动态门限签名方案[J].计算机应用,2018,38(4):1041-1045. [16]JIHYE K,HYUNOK O.FAS:forward secure sequential ag⁃gregate signatures for secure logging[J].Information Sci⁃ences,2018,471:115-131.[17]洪 璇,张绪霞.基于中国剩余定理的前向安全群签名方案[J].计算机应用研究,2020,37(9):2806-2810. [18]MESHRAM C Y,POWAR P L,OBAIDAT M S.An UF-IB⁃SS-CMA protected online/offline identity-based short sig⁃nature technique using PDL[J].Procedia Computer Science, 2016,93:847-853.㊃141㊃ 第4期 韦性佳等:基于中国剩余定理的前向安全的聚合签名方案。

基于身份的具有前向安全性的部分盲签名方案

基于身份的具有前向安全性的部分盲签名方案

Identity- based forward secure partially blind
signature scheme
作者: 张晓辉[1,2];欧海文[1]
作者机构: [1]北京电子科技学院信息安全与保密重点实验室,北京100070;[2]西安电子科技大学,西安710071
出版物刊名: 北京电子科技学院学报
页码: 61-65页
主题词: 基于身份;前向安全性;密钥托管;双线性
摘要:本文在基于身份的部分盲签名的基础上,进行功能扩展,提出了一个新的基于身份的具有前向安全特性的盲签名方案。

在方案提出以后,本文对其进行了正确性和安全性分析。

本文所提出的签名方案除具有前向安全性之外,还克服了基于身份的签名方案的密钥托管问题。

一种新的可证明安全的数字签名方案(英文)

一种新的可证明安全的数字签名方案(英文)

一种新的可证明安全的数字签名方案(英文)
韩嵩;王杰;高立
【期刊名称】《北京大学学报:自然科学版》
【年(卷),期】2003(39)5
【摘要】利用了一个密码学上新的数学问题 ,构造了一个新的数字签名方案 ,并且证明了该方案是安全的。

【总页数】5页(P607-611)
【关键词】RSA问题;决定性相关的RSA问题;安全的签名
【作者】韩嵩;王杰;高立
【作者单位】北京大学数学科学学院;北京工业大学数理学院
【正文语种】中文
【中图分类】O157.2
【相关文献】
1.一种基于格的可证明安全数字签名方案 [J], 牟雁飞;赵一鸣
2.一种新的前向安全可证实数字签名方案 [J], 秦波;王尚平;王晓峰;罗喜召
3.一种高效的可证明安全的无证书数字签名方案 [J], 路标
4.一种新的前向安全数字签名方案 [J], 黄岩渠;谢冬青
5.一种新的安全无证书数字签名方案 [J], 马陵勇;
因版权原因,仅展示原文概要,查看原文内容请购买。

一个可证明安全的短环签密方案

一个可证明安全的短环签密方案

一个可证明安全的短环签密方案孙静;廖凯宁;王伟【期刊名称】《计算机工程》【年(卷),期】2011(037)008【摘要】Signcryption is such a public key cryptographic primitive that simultaneously provides the functionality of signature and encryption within a single logic step. Ring signature allows a member in a group to anonymously leak a secret, namely anonymity. Combining the two notations of signcryption and ring signature together, it leads to a concept called ring signcryption. Ring signcryption is an important cryptographic primitive for private and authenticated communication. This paper proposes an efficient Short Ring Signcryption(SRSC) scheme based on bilinear pairings. In anonymous communications, the scheme allows the message sender to send the message anonymously, while the confidentiality and authenticity of the message are realized at the same time. It proves that the scheme is confidential and unforgeable in random oracle.%签密能在一个逻辑步骤内实现签名和加密2项功能.环签名允许一个群体内某成员匿名地泄露秘密.结合签密和环签名提出环签密概念.环签密既有保密性,又具认证功能.基于双线性对构造一个高效的短环签密方案.该方案允许发送者以匿名方式发送消息,使消息具有保密性和认证性.在随机预言模型下,证明该方案具有保密性和不可伪造性.【总页数】4页(P140-142,145)【作者】孙静;廖凯宁;王伟【作者单位】安徽省地震局,合肥,230031;安徽省地震局,合肥,230031;安徽省地震局,合肥,230031【正文语种】中文【中图分类】TP309【相关文献】1.一种可证明安全的有效无证书签密方案 [J], 孙华;郑雪峰2.可证明安全的基于身份的聚合签密方案 [J], 王大星;滕济凯3.一种可证明安全的基于身份的高效环签密方案 [J], 孙华;王爱民;郑雪峰4.一个基于椭圆曲线的可证明安全签密方案 [J], 王天芹5.基于RLWE的可证明安全无陷门签密方案 [J], 刘镇; 韩益亮; 杨晓元; 柳曙光因版权原因,仅展示原文概要,查看原文内容请购买。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Introduction Preliminaries Our construction I Our construction II Conclusions
Forward-secure identity-based shorter blind signature schemes from lattices
Signer Key
Blind Signature
3 / 18
Introduction Preliminaries Our construction I Our construction II Conclusions
Identity-based signature,IBS
IBS was introduced by Shamir in Crypto 1984.
1 / 18
Introduction Preliminaries Our construction I Our construction II Conclusions
Contents
1
Introduction Preliminaries Our construction I Our construction II Conclusions
5 / 18
Introduction Preliminaries Our construction I Our construction II Conclusions
Forward-secure blind signature,FSBS
FSBS was introduced by Duc. et al. in ICICS 2003.
Useful Facts: · Generate a ’uniform’ A with a ’trapdoor’ for Λ⊥ q (A) [Ajtai’96,AP’09,MP’12] · Given a basis T to obtain another ’short basis’ T for Λ⊥ q (A) [CHKP’10]
7 / 18
Introduction Preliminaries Our construction I Our construction II Conclusions
Lattice
×m For a prime q , a matrix A ∈ Zn and a vector u in Zn q q define: m s.t. Ae = u mod q }, Λu q (A) = {e ∈ Z m s.t. Ae = 0 mod q }. Λ⊥ q (A) = {e ∈ Z
Lattice
×m For a prime q , a matrix A ∈ Zn and a vector u in Zn q q define: m s.t. Ae = u mod q }, Λu q (A) = {e ∈ Z m s.t. Ae = 0 mod q }. Λ⊥ q (A) = {e ∈ Z
u · Sample a ’short vector’ x form Λ⊥ q (A) or Λq (A) [GPV’08,AP’09,MP’12]
Useful Facts: · Generate a ’uniform’ A with a ’trapdoor’ for Λ⊥ q (A) [Ajtai’96,AP’09,MP’12]
8 / 18
Introduction Preliminaries Our construction I Our construction II Conclusions
8 / 18
Introduction Preliminaries Our construction I Our construction II Conclusions
Lattice
×m For a prime q , a matrix A ∈ Zn and a vector u in Zn q q define: m s.t. Ae = u mod q }, Λu q (A) = {e ∈ Z m s.t. Ae = 0 mod q }. Λ⊥ q (A) = {e ∈ Z
7 / 18
Introduction Preliminaries Our construction I Our construction II Conclusions
This work
We propose the first forward-secure identity-based shorter blind signature(FSIBBS) on lattices. Our construction satisfies blindness, forward secrecy, and unforgeability in the random model.
6 / 18
Introduction Preliminaries Our construction I Our construction II Conclusions
Forward-secure blind signature,FSBS
FSBS was introduced by Duc. et al. in ICICS 2003. A larger number of FSBS schemes [LC’05,HC’07,YKL’10,ZH’11,HSQ’13] have been proposed so far based on large integer factoring or discrete logarithms. However, the classic assumptions have been unable to resist quantum attacks.
Zhang Yanhua∗ , Hu Yupu
State Key Laboratory of Integrated Service Networks, Xidian University, Xi’an, 710071 ∗ E-mail: yhzhangxidian@
24,October 2015
5 / 18
Introduction Preliminaries Our construction I Our construction II Conclusions
Forward-secure
The security of most BS schemes depends on the assumption that the signing secret keys are absolutely secure. Non-interactive forward-secure was first introduced by Anderson in CCS 1997 and further formalized by Bellare and Miner in Crypto 1999.
4 / 18
Introduction Preliminaries Our construction I Our construction II Conclusions
Identity-based signature,IBS
IBS was introduced by Shamir in Crypto 1984. The identity of a signer is regarded as the public key. KGC can generate the secret key corresponding to that identity information.
2
3
4
5
2 / 18
Introduction Preliminaries Our construction I Our construction II Conclusions
Blind signature,BS
BS was introduced by Chaum in Crypto 1982.
3 / 18
Introduction Preliminaries Our construction I Our construction II Conclusions
Blind signature,BS
BS was introduced by Chaum in Crypto 1982.
User Message BUndillg Unblillding Signature Message Sigllature Verifier True / False Message
8 / 18
Introduction Preliminaries Our construction I Our construction II Conr a prime q , a matrix A ∈ Zn and a vector u in Zn q q define: m s.t. Ae = u mod q }, Λu q (A) = {e ∈ Z m s.t. Ae = 0 mod q }. Λ⊥ q (A) = {e ∈ Z
Useful Facts: · Generate a ’uniform’ A with a ’trapdoor’ for Λ⊥ q (A) [Ajtai’96,AP’09,MP’12] · Given a basis T to obtain another ’short basis’ T for Λ⊥ q (A) [CHKP’10]
6 / 18
Introduction Preliminaries Our construction I Our construction II Conclusions
This work
We propose the first forward-secure identity-based shorter blind signature(FSIBBS) on lattices.