格上的短签名方案Forward-secure identity-based shorter blind signature schemes from lattices

合集下载

标准模型下格上基于身份的前向安全签名方案

标准模型下格上基于身份的前向安全签名方案在前向安全签名方案中，即使当前的密钥泄露，也能保证先前生成的签名具有不可伪造性。

目前，前向安全环签名方案都是基于大整数分解和离散对数问题，在量子环境下都不安全，从而提出了标准模型下格上基于身份的前向安全签名方案。

标签：基于身份签名；前向安全；格；小整数解问题1 概述Shamir 等人[1]最早提出基于身份的签名方案，一般的基于身份签名方案必须保证密钥的绝对安全，一旦密钥发生泄漏，生成的签名将无效。

针对这个问题，前向安全概念[2]引入到公钥密码系统中。

Ebri等人[5]构造了高效的基于身份的前向签名方案，但是该方案在密码学领域不能够抵抗量子攻击。

因此，首次提出在标准模型下格上基于身份的前向安全签名方案。

参考文献[1]Shamir A. Identity-based Cryptosystems and Signature Scheme. In：Proceedings of advances in Cryptology-CRYPTO’84，LNCS，vol.196.Spring-Verlag，1984：47-53.[2]Anderson R. Tow remark on public key cryptology [C] //CCS 1997. 1997：462-487.[3]Ebri N，Back J，Shoufan A. Forward-secure signature：new genertic constructions and their applications.J Wireless Mob New，Ubiquitous Comput Dependable Appl，2013，4（1）：32-54.[4]李明祥，劉阳，赵秀明.高效格上的基于身份的签名方案[J].计算机应用，2014，3（3）：825-828.商玉芳（1990-），女，硕士研究生，主要研究领域为信息安全理论与应用。

基于身份前向安全的代理签名方案

网络出版时间：2011-07-25 16:23网络出版地址：/kcms/detail/11.2127.TP.20110725.1623.002.html2011-3-2基于身份前向安全的代理签名方案*)张学军1 张岳2（1.西北师范大学教育技术与传播学院，甘肃兰州 730070；2.中国人民大学信息学院，北京 100872）E-mail:xjzhang99@摘要在代理签名方案中，原始签名人能将其数字签名权力委托给代理签名人。

前向安全的数字签名能解决密钥泄露问题。

现有基于身份前向安全的代理签名文献数量少，效率也有待进一步提高。

本文结合代理签名和前向安全，利用双线性映射，构造了一种高效的基于身份前向安全的代理签名方案。

分析表明，新方案在保持了前向安全代理签名的各种安全特性的条件下，其效率高于已有方案，更适合于在实际中应用。

关键词基于身份代理签名前向安全中图分类号 TP309ID-Based Forward Secure Proxy Signature SchemeZHANG Xue-jun1ZHANG Yue2(1. College of Education Technology and Communication, Northwest Normal University, Lanzhou730070,China;2. College of Information, Renmin University of China, Beijing 100872,China )Abstract: With proxy signature, an original signer can delegate his signing authority to a proxy signer who cansign a message on behalf of the original one. Forward secure signature can solve the security problem of secretdisclosure. There are only a few ID-based forward secure proxy signatures which need to be improved inefficiency. In this paper, Combined with proxy signature and forward security, an efficient identity-based forwardsecure proxy signature scheme is proposed by using bilinear pairings. It is showed that the proposed scheme’sefficiency is better than that of some existing ones under the condition of keeping the all kinds of securitycharacteristics of forward security proxy signature, so it is more propitious to applications in society.Key words: identity-based; proxy signature; forward security1引言代理签名的概念1996年由Mambo等人首先提出[1]，它指当某个签名人（称为授权人）因某种原因不能签名时，将签名权委托给他人（称为代理人）替自己行使签名权，验证人能够验证并区分原签名人的签名和代理人的签名。

一种改进的前向安全环签名方案

一种改进的前向安全环签名方案黄明军黄明军，，杜伟章(长沙理工大学计算机与通信工程学院，长沙 410114)摘要：对已有前向安全环签名方案进行安全性分析，指出其不具备前向安全性，存在多种安全隐患。

为此，提出一种改进的前向安全环签名方案。

通过改变环签名算法，将密钥更新和环签名相结合，克服原方案中用常量进行环签名的缺陷。

安全性与效率分析表明，改进方案具有前向安全性、无条件匿名性、抗伪造性，且签名效率较高。

关键词关键词：：前向安全；环签名；离散对数问题；密钥更新算法Improved Forward-security Ring Signature SchemeHUANG Ming-jun, DU Wei-zhang(College of Computer and Communication Engineering, Changsha University of Science and Technology, Changsha 410114, China)【Abstract 】This paper analyzes the existing security of the forward secure ring signature scheme, points out that the scheme exists security omission because of lacking forward security. Aiming at these problems, it proposes an improved forward-security ring signature scheme. The defect that the original scheme is signed with constant is overcome by changing the algorithm of ring signature. The algorithm combines the updating secret key and ring signature. The analysis of security and efficiency shows that the improved scheme has forward security, unconditional anonymity and resisting forging attack, as well as higher signing efficiency.【Key words 】forward-security; ring signature; Discrete Logarithm(DL) problem; secret key evolution algorithm DOI: 10.3969/j.issn.1000-3428.2011.24.035计算机工程 Computer Engineering 第37卷第24期V ol.37 No.24 2011年12月December 2011·安全技术安全技术·· 文章编号文章编号：：1000—3428(2011)24—0106—03 文献标识码文献标识码：：A中图分类号中图分类号：：TP3091 概述前向安全[1]的本质是对数字签名风险的控制，因此，在前向安全特性提出后，如何改进前向安全特性并将其更好地应用到各类数字签名中，成为信息安全领域研究的热点。

一种具有前向安全性的短签密方案

关键词短签密双线性对前向安全性机密性可公开验证性
中图分类号ＴＰ３９３．０８文献标识码ＡＤＯＩ：１０．３９６９／ｊ．ｉｓｓｎ．１０００３８６ｘ．２０１９．１１．０４９
Байду номын сангаас
ＡＳＨＯＲＴＳＩＧＮＣＲＹＰＴＩＯＮＳＣＨＥＭＥＷＩＴＨＦＯＲＷＡＲＤＳＥＣＵＲＩＴＹ
ＬｉｎＮａｎ１，２ＸｉａＰｉｎｇｐｉｎｇ２，３ＺｕｏＬｉｍｉｎｇ２，３
１（ＥｌｅｃｔｒｉｃＰｏｗｅｒＲｅｓｅａｒｃｈＩｎｓｔｉｔｕｔｅ，ＳｔａｔｅＧｒｉｄＪｉａｎｇｘｉＥｌｅｃｔｒｉｃＰｏｗｅｒＣｏ．，Ｌｔｄ．，Ｎａｎｃｈａｎｇ３３００９６，Ｊｉａｎｇｘｉ，Ｃｈｉｎａ）２（ＳｃｈｏｏｌｏｆＳｃｉｅｎｃｅ，ＥａｓｔＣｈｉｎａＪｉａｏｔｏｎｇＵｎｉｖｅｒｓｉｔｙ，Ｎａｎｃｈａｎｇ３３００１３，Ｊｉａｎｇｘｉ，Ｃｈｉｎａ）
第１１期
林楠等：一种具有前向安全性的短签密方案
３０７
协议中。传统的基于双线性对的签密方案［２－４］，签密长度都较长。Ｂｏｎｅｈ等［５］提出短签名的概念，该签名长度是ＤＳＡ签名长度的一半，有效地提高了签名传输、存储效率，尤其适用于计算性能较低的场合。Ｌｉｂｅｒｔ等［６］提出短签密方案，大大降低了签密密文的长度及数据的扩展率，但不满足前向安全性。Ｙａｎｇ等［７］提出一个具有密钥隐私的签密方案，但该方案不具有机密性和不可伪造性［８］。Ｍａ［９］提出的短签密方案同样不具备不可伪造性。杜红珍提［１０］出的短签密方案在签、解密过程中计算量较稍大。Ａｈｍｅｄ等提［１１］出的公开可验证的签密方案无法保证前向安全性。戚明平［１２］提出一种具有前向安全性和可公开验证的签密方案，但该方案没有在安全模型下证明其安全性。周宣武等［１３］提出一种适用于物联网环境的椭圆曲线短签密方案，该方案在签密过程中使用了３次椭圆曲线上的标量乘运算，在密文长度和计算性能上有待改进。Ｌａｉ等提［１４］出一种基于身份的线上／线下的短签密方案，该方案线上存储和密文长度中只需椭圆曲线上的一个元素，但其计算相对复杂，且不具备前向安全性和公开验证性。

前向安全的基于身份代理签名方案

前向安全的基于身份代理签名方案
王艳;于佳;李大兴
【期刊名称】《计算机工程与设计》
【年(卷),期】2007(28)21
【摘要】前向安全是数字签名方案的一个重要的方面.现在已经提出了许多前向安全的数字签名方案,但前向安全的代理签名方案到目前为止并不多.提出了一个前向安全的基于身份的代理签名方案,方案的安全参数与总的时间周期数量无关,可以在保证代理签名者私钥长度和公钥保持不变的条件下无限制的进行代理私钥更新.由于双线性配对的使用,方案具有短签名和短密钥的特点.最后给出了代理签名方案的安全性分析.
【总页数】3页(P5103-5104,5326)
【作者】王艳;于佳;李大兴
【作者单位】山东大学,网络信息安全研究所,山东,济南,250100;山东大学,网络信息安全研究所,山东,济南,250100;山东大学,网络信息安全研究所,山东,济南,250100【正文语种】中文
【中图分类】TP309
【相关文献】
1.基于身份的前向安全代理签名方案 [J], 张小莹;张锋;刘凯
2.基于身份前向安全的代理签名方案 [J], 张学军;张岳
3.基于身份的前向安全门限代理签名方案 [J], 李村;李志华
4.基于身份前向安全的代理签名方案的安全性分析 [J], 王勇兵;王小杰
5.基于身份的前向安全代理签名方案 [J], 张小莹;张锋;刘凯;
因版权原因，仅展示原文概要，查看原文内容请购买。

格上基于身份的增量签名方案

其中 u ∈
n 也是公开参数。
q
3) 本文证明了在标准的小整数解困难假设下，
所提格上基于身份的增量签名方案在标准模型下
满足适应性选择身份和选择消息攻击下的不可伪
造性。
2 预备知识
2.1 符号定义本文的安全参数为 n。令和分别表示实数
集和整数集。给定正整数 d ，令 [d] 表示集合
{0, , d −1} ，令 BitDecompb (d ) 表示 d 的 ⎡log b⎤ 维
·110·
通信学报
第 42 卷
比特分解，其中 b 为正整数。令矩阵 A 的格拉姆−
施密特正交化为 A ，并且令其最大奇异值为
s1( A) = maxu Au ，其中， u 是任意的单位向量，
⋅
是
范数。
2
如果对任意的常数 c，存在整数 N，当 n>N 时，
数[20] HK :{0,1}n →
n×nt q
嵌入用户身份信息 id
∈{0,1}n
，
得到 H K (id) ，其中 K 是该哈希函数的密钥，n 和 t 均是正整数；其次，利用文献[21]提出的陷门概念
及相关算法，为身份为 id 的用户生成私钥
Rid ∈
m×nt ，满足 ARid = G − H K (id) ，其中 A ∈
增量签名这一概念被提出以来，许多增量签名方案[3,5-6]相继被提出，然而现有的增量签名方案都依赖于公钥基础设施（PKI, public key infrastructure），用户的公钥是一串随机字符，需要通过数字证书绑定用户的身份与其公钥的匹配关系，这会给系统带来额外的存储开销和计算开销。为了解决这个问题，本文借鉴基于身份的密码学思想[7]，提出了基于身份的增量签名概念，用户使用能唯一标识其身份的字符串（如电话号码、邮箱地址等）作为其公钥，相应的私钥由可信的私钥生成器（PKG, private key generator）根据系统主密钥和用户身份生成，从而消除了传统增量签名方案存在的证书管理问题。

一种无可信中心门限签名方案

一种无可信中心门限签名方案岳胜;辛小龙【摘要】利用双线性对构造了一个无可信中心门限签名方案.在方案中,假设PKG 是不可信的,组成成员共同生成群公钥和私人密钥,避免了成员私人密钥的泄漏,解决了以往方案中过分依赖可信中心和可信中心权力过于集中的问题.证明了提出的方案具有健壮性和不可伪造性.【期刊名称】《计算机工程与应用》【年(卷),期】2011(047)003【总页数】3页(P87-89)【关键词】双线性对;无可信中心;门限签名;私钥产生中心【作者】岳胜;辛小龙【作者单位】西北大学数学系,西安710127;西北大学数学系,西安710127【正文语种】中文【中图分类】TP309自文献[1]提出基于Weil对的短签名方案后，双线性对逐渐受到关注。

双线性映射及相关计算问题的提出和椭圆曲线上Weil对和Tate对的成功应用[2]，使得基于身份的密码体制可以高效实现和快速发展。

门限签名[3-5]是最普遍、最常用的群体签名[6]，它是密码学的重要组成部分。

1991年，Y.Desmedt等人提出门限签名，特点是必须有足够多的成员参与密钥获取和签名生成，设置门限的主要目的是用于解决密钥泄露问题给加密带来的威胁，签名是在共享密钥的基础上以分布式的方式完成的[7]。

(t,n)门限签名的思想是把签名私钥分成n个片段，由n个成员分别保管，当需要签名时，由不少于t个成员用所保存的密钥片段签名得到部分签名，签名执行者根据t个部分签名计算出真正的签名。

门限签名保证了长期有效密钥的安全，并解决了权力过于集中的问题。

1984 年Shamir提出了基于身份的加密、签名、认证思想[8]，将公开的身份信息（例如姓名、地址、电子邮件地址等）作为用户的公钥，而用户私钥则由一个称为私钥生成中心（PKG）的可信第三方生成。

然而在现实中，如果每个签名过程都要有可信中心参与，则对有些情况方案是不理想的。

比如：当n个人没有共同相信的可信中心时，就需要共同协作产生签名密钥。

零知识证明的前向安全不可否认数字签名方案

2 前向安全数字签名的一般定义
—27—
时段，分别记为 1,2,…,T。在有效期内公钥 PK 保持不变，而秘密钥则随时段的变化而进化更新。以 SKi 记第 i(1≤i≤T)时段的秘密钥，进入 i 时段时，首先计算 SKi=f(SKi-1)，这里 f 是密码学单向函数，确保不能由 SKi 计算出 SKi-1，求得 SKi 后立即删除 SKi-1。这样，即使在 i 时段泄露了 SKi，攻击者无法获得 SKi-1,SKi-2,…,SK0。这样就提供了所谓的前向安全性。密钥进化过程如图 1 所示。
f f f f SK 0 ⎯ ⎯→ SK1 ⎯ ⎯→ SK 2 ⎯ ⎯→ "⎯ ⎯→ SKT
z = SGN ( M , xi ) = g hxi mod n ，则签名为
< i, SGN ( M , xi ), yi , DLZK {α : yi = g α ∧ yT = g α
2 2T −i +1
}(Φ ) >
该签名由 2 个部分组成： (1) SGN ( M , xi ) 是以 yi 为公钥以 xi 为秘密钥对信息 M 的签名； (2) 零知识证明
DLZK {α : yi = g α ∧ yT = g α
2 2T −i +1
}(Φ ) 保证了 yi 结构的合法性证
( p − 1)( p2 − 1) 2q1 2q2 | QRn |= 1 = = q1q2 4 4
3.4 验证验证者采用“提问 / 应答” (challenge/response) 协议实现签名的有效性和不可否认性验证。 3.4.1 签名的有效性验证协议下面的签名有效性验证协议，验证某时段在某消息上的签名确实是签名者生成的。假设 i(1 ≤ i ≤ T ) 时段，在消息 M 上的签名为

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

Introduction Preliminaries Our construction I Our construction II Conclusions
Forward-secure identity-based shorter blind signature schemes from lattices
Signer Key
Blind Signature
3 / 18
Introduction Preliminaries Our construction I Our construction II Conclusions
Identity-based signature,IBS
IBS was introduced by Shamir in Crypto 1984.
1 / 18
Introduction Preliminaries Our construction I Our construction II Conclusions
Contents
1
Introduction Preliminaries Our construction I Our construction II Conclusions
5 / 18
Introduction Preliminaries Our construction I Our construction II Conclusions
Forward-secure blind signature,FSBS
FSBS was introduced by Duc. et al. in ICICS 2003.
Useful Facts: · Generate a ’uniform’ A with a ’trapdoor’ for Λ⊥ q (A) [Ajtai’96,AP’09,MP’12] · Given a basis T to obtain another ’short basis’ T for Λ⊥ q (A) [CHKP’10]
7 / 18
Introduction Preliminaries Our construction I Our construction II Conclusions
Lattice
×m For a prime q , a matrix A ∈ Zn and a vector u in Zn q q deﬁne: m s.t. Ae = u mod q }, Λu q (A) = {e ∈ Z m s.t. Ae = 0 mod q }. Λ⊥ q (A) = {e ∈ Z
Lattice
×m For a prime q , a matrix A ∈ Zn and a vector u in Zn q q deﬁne: m s.t. Ae = u mod q }, Λu q (A) = {e ∈ Z m s.t. Ae = 0 mod q }. Λ⊥ q (A) = {e ∈ Z
u · Sample a ’short vector’ x form Λ⊥ q (A) or Λq (A) [GPV’08,AP’09,MP’12]
Useful Facts: · Generate a ’uniform’ A with a ’trapdoor’ for Λ⊥ q (A) [Ajtai’96,AP’09,MP’12]
8 / 18
Introduction Preliminaries Our construction I Our construction II Conclusions
8 / 18
Introduction Preliminaries Our construction I Our construction II Conclusions
Lattice
×m For a prime q , a matrix A ∈ Zn and a vector u in Zn q q deﬁne: m s.t. Ae = u mod q }, Λu q (A) = {e ∈ Z m s.t. Ae = 0 mod q }. Λ⊥ q (A) = {e ∈ Z
7 / 18
Introduction Preliminaries Our construction I Our construction II Conclusions
This work
We propose the ﬁrst forward-secure identity-based shorter blind signature(FSIBBS) on lattices. Our construction satisﬁes blindness, forward secrecy, and unforgeability in the random model.
6 / 18
Introduction Preliminaries Our construction I Our construction II Conclusions
Forward-secure blind signature,FSBS
FSBS was introduced by Duc. et al. in ICICS 2003. A larger number of FSBS schemes [LC’05,HC’07,YKL’10,ZH’11,HSQ’13] have been proposed so far based on large integer factoring or discrete logarithms. However, the classic assumptions have been unable to resist quantum attacks.
Zhang Yanhua∗ , Hu Yupu
State Key Laboratory of Integrated Service Networks, Xidian University, Xi’an, 710071 ∗ E-mail: yhzhangxidian@
24,October 2015
5 / 18
Introduction Preliminaries Our construction I Our construction II Conclusions
Forward-secure
The security of most BS schemes depends on the assumption that the signing secret keys are absolutely secure. Non-interactive forward-secure was ﬁrst introduced by Anderson in CCS 1997 and further formalized by Bellare and Miner in Crypto 1999.
4 / 18
Introduction Preliminaries Our construction I Our construction II Conclusions
Identity-based signature,IBS
IBS was introduced by Shamir in Crypto 1984. The identity of a signer is regarded as the public key. KGC can generate the secret key corresponding to that identity information.
2
3
4
5
2 / 18
Introduction Preliminaries Our construction I Our construction II Conclusions
Blind signature,BS
BS was introduced by Chaum in Crypto 1982.
3 / 18
Introduction Preliminaries Our construction I Our construction II Conclusions
Blind signature,BS
BS was introduced by Chaum in Crypto 1982.
User Message BUndillg Unblillding Signature Message Sigllature Verifier True / False Message
8 / 18
Introduction Preliminaries Our construction I Our construction II Conr a prime q , a matrix A ∈ Zn and a vector u in Zn q q deﬁne: m s.t. Ae = u mod q }, Λu q (A) = {e ∈ Z m s.t. Ae = 0 mod q }. Λ⊥ q (A) = {e ∈ Z
Useful Facts: · Generate a ’uniform’ A with a ’trapdoor’ for Λ⊥ q (A) [Ajtai’96,AP’09,MP’12] · Given a basis T to obtain another ’short basis’ T for Λ⊥ q (A) [CHKP’10]
6 / 18
Introduction Preliminaries Our construction I Our construction II Conclusions
This work
We propose the ﬁrst forward-secure identity-based shorter blind signature(FSIBBS) on lattices.