一个可公开验证和前向安全的签密方案
无可信中心的可公开验证签密方案
[ src] MotD—ae in rpinsh me t u l e f blyh v eui rbe ea s f e srw S ip p r rp ss Abta t s I b sdsg c t ce s hp bi vri it a esc rypo lms cueo yeco . ot s a e o oe y o wi c i a i t b k h p a
p bi v r a l I — a e in rp ins h me t o tr se r a e n rtrP u l ei be D b sd s cy t c e h u u td P i t K yGe e ao( KG) A s ce au h s n b i e d e s h at l c i f g o wi t ve . r t lec o e y s n r s d da ep ri e v g ia t a
证。文献【】 2指出 ,在某些应 用环境 中需要第三 方对签密消息 进行公 开验 证 ,例如 :某个 电子商务 网站应用防火墙来过滤
消息 ,如果 验证是合法用户的签名的消息 ,则让其通过 ,否 则 ,丢弃该数据包 。文献[]l 3i 用双线性对提出一个第三方可  ̄ J
循环群 ,G 、G 的阶都是素数 q 双线性对 e G x i ÷ 2 l 2 。 : i G - G 是 满足 以下性质的射 : () 1双线性 :对任 意 P Q∈G 及 口b ,有 : , i ,∈
ea ,Q : ( , ) (P b ) eP Q
的场合 中使 用。然而文献[ 中的签密 方案都只能 由指定人在 1 】 解密 之后恢 复明文才能对签名进行验证 ,第三方无法实施验
p i a e k y S h td s o e t rv t e , O t a ih n s PKG a o o g h i n t r fu e rd c y ta d r so e p an e twi o ta t o z to . e u i n l ss s o c n n tf r e t e sg a u e o s ro e r p n e t r li t x t u u r a i n S c rt a a y i h ws h h i y t a h r p e c e s s c r g i s x s e ta _ g r n a p i ey c o e s a e a d i e tt t c n e h a do o a l d l a d h tt e p o os d s h me i e u ea a n te i tn i l 0 e y O da tv l h s n ma s g n d n i at k u d rt e r n m r c e mo e , fr y a n i h s t ep o e te f o fd n i l y a d ta e b l y t a h r p ris o c n e ta i c a ii . i tn r t
一种无证书签密方案的安全性分析
1 概述
在 传 统 的 加 密 签 名 体 制 中 ,通 过 先 签 名 后 加 密 的方 式 来
G 的 阶 ,假 设 G,, 的 离散 对 数 问题 都 是 困难 问题 ,定 义 1 中 G
双线性 映射 e G x . G ,满足下列性质 : : G 。 () 线 性 性 : 如 果 P Q∈G 1双 , 且 “b , 那 么 有 ,∈Z
() 1计算性双线性 Dii— el n问题( B H问题 )对于 f eH l ma C D : 任意的 ,,∈ ,给定 ( ,Jb ,P bC P D Pc ),计算 eP J曲 。 , ( , ) D
() 定 性 双 线 性 D feHe ma 问题 ( B H 问题 ) 2判 ii l n — l D D :对
K GC可 以计 算 出 任 意 用 户 的 私 钥 , 外该 方案 用于 加密 消息 此 的密 钥 是 一 个 可 以 由发 送 者 的秘 密 值 和 接 收 者 的 公钥 值 直 接 计 算 出 的 固 定 的值 ,而 不 是 随 机 的 。本 文对 文 献 方案 的安 全 性 问 题 提 出 了 质 疑 ,并证 明 了该 方 案是 不 安 全 的 。
ea b :eP, ; (P,Q) ( Q)
保证保密性和认证性 ,但是其实现效 率非常低 。Z e g Y于 hn l9 9 7年提 出了签密 的概念…,签密能够在一个逻辑步骤 内完
成公钥加密和数字签名的功能 , 够保证安全性和可认证性 , 能
() 退 化 性 :存 在 PQ∈G 使 得 ePQ ≠1 2非 , I (,) ;
() 密性 :指除了接收者以外的其他任何 人或者机 构都 1 机
不能 够 从 密 文 得 到 明文 。
一个基于椭圆曲线的前向安全的签密方案
关 键词 : 签密方 案 ; 圆曲线密 码体 制 ; 字签 名 ; 向安 全性 ; 开 可验 证性 椭 数 前 公
中图分 类号 : P 0 T 39 文献 标识 码 : A 文 章编 号 :6 3 6 9 ( 0 7 1 —0 3 — 4 1 7 — 2 X 2 0 )2 1 2 0
A g c y i n h m e wih Fo wa d S c r t s d o ECC Si n r pto Sc e t r r e u iy Ba e n
CAI n — u gh a Qi
( o ue S i c e at n , n igT a h r ’ ol e A q g2 6 0 , hn ) C mp ti c n e p r e D me tA q e c e C l g , n i 4 0 1 C i n s e n a
的特点。 由于椭圆曲线密码体制不是建立在一个大整 数分解及素数域乘 法群离 散对数 的数学 难题 上 , 而是 建立在更难的椭圆曲线离散 对数 的问题 之上 , 以它 所 的安 全性更高。
小得多 , 非常适合大量数据的安全认证 。 下面是 Z egY在 C Y O’7中首次提 出并命 hn R FF 9 名的签密方案 。 开参数 为 ( q g H() E, , 公 P, , , , D) 其 中 P q为大的强素数且 q I , P一1 g为 , 上的 q阶 元 ,E, ( D)为对称 加解 密算法 , 其密钥长度为 I 是I 比 特且 D ( z) ? , { , } k E ( ) : / H:0 1 1 一 I 为单向无碰 是I
Ab t a t S g c y t ni e cy t g a i e h oo y, ih s l n o syf l l o ht ef n t no d g t l in t ea dp b i e s r c : i n r p i sa n w r p o r ph ctc n l g whc i t e u l u f l t h u c i o mu a i sb o f i i g a  ̄ n u l as ck y
前向安全可公开验证签密方案
( e cm nct n E gn eig Istt , i F re E g er gU ies yX ’n 7 0 7 ) T l o mu i i n ier ntueA r oc n n e n nvri , ia 0 7 e ao n i i i t 1
( t e K y L b o nertd S rie N tok , iin U ies y X ’n 7 0 7 ) Sa e a fIt ae evc e rsX da nv r t, ia 10 1 t g w i ( otw s Is tt o u la eh ooy X ’n 7 2 ) N r et ntue fN c rT cn lg , ia 0 4 h i e 1 0
可公 开验 证 性 和 前 向 安 全 性
关键 词 密码 学 签 密 认 证 加 密 前 向安 全
公 开 验证
文 章 编 号 1 0 — 3 1 ( 0 6 2 - 1 3 0 文献 标 识 码 A 0 2 8 3 一 2 0 ) 10 0 - 3 中 图 分 类号 T 9 81 N 1.
Ab t a t S g c y t n a a e sr c : in r p i , s n w c y tg a h c e h iu , s f ce c i o r p o r p i t c n q e i e iin y s t mu h ih r h n h t f h t d t n l c hg e t a ta o te r i o a a i me h d to “ i n t r - h n e cy t n . u in rpt n c e s c n o r vd o w r e r c d p b i e f b l y s sg a u e t e - n rp i "B t sg c y i s h me a n t p o i e f r a d s ce y a u l v r a i t o o n c i i i a
基于椭圆曲线的可公开验证和前向安全的签密方案
维普资讯
第 9卷 第 1期
20 0 8年 3 月
信 息 工 程 大 学 学 报
J u n lo n o ma in En i e rn o r a fI fr t g n e ig Unie st o v ri y
Vo | .1 l 9 No Ma. 0 r 20 8
o tt e s n e ’ rv t e e ip t c u s By fr a d s ce y, at o h t e p iae k y o u h e d r S p i ae k y wh n d s u e o c r ; o w r e rc lh ug h rv t e f
t e s n e sdic o e h e d ri s ls d, i d e n’ fe tts 、 Fi ly te s c r t o s taf c he c n i e ta i fp e i u s a e t nal h e u — iy p o e te ft e a e a a y e n d t i. t r p ris o h m r n lz d i e al K e o ds: in r p in;f r a d s c e y; elp i u v s yw r sg c y t o o w r e rc li t c r e c
一个公开可验证和前向安全的签密方案
签密 是 Z egY于 19 hn 9 7年提 出的一种新 的密码 学构件 ,
方案 。公开参数 为 ( , , H( , D) 其 中 P q为 大的 强素 P q g, ) E, , , 数且 qp一1g为 上 的 q阶元 , E, 为对称加 解密算法 , I , ( D) 其密钥长度为 ll k 比特 且 ( ( )=m, { , } 一 l l m) H: 0 1 为 k 单 向无 碰撞 H s ah函数。收发 方 A, B各 自在
It rt e i e ok , iinU iri ,X ’ nSat 10 1 hn ) ne ae Sr eN t r g d v c w s Xda n sy in h ri 0 7 ,C ia e v t x7
Ab t a t A s n r p in s h me w t u i e f b l y a d f r a d s c r y i r s n e n t i p p r o a p n po l m sr c : i e y t c e i p b l v r a i t n o w r e u t sp e e t d i s a e .S n o e r b e g o h c i i i i h o h e i n o in r p in i s c e sul o v d n t e d s f g ey t s u c sf l s le .F n l h e u t r p riso i s h me i r v d i e al g s o y i al t e s c r y p o e t ft s c e sp o e n d ti. y i e h
L npn IYa ・ ig ’ ,T h・ h n WANG — n AN S i o g , e Yu mi
基于身份高安全性的签密方案
l 概 述
签密【能够在 一个 合 理的逻辑 步骤 内同时完成 数 】
字签名和公钥加密两项 功能 ,同时实现 了消息传输 的
密 密 文 的安 全 性 即前 向安 全 性 是 签 密 研 究 的难 题 。
文献【】 5定义 了一个 新的安全模 型,并在 新模 型下
提 出 了一个 满足 前 向安 全性 和 公开验 证 性 的签 密 方 案 ,然 而,该方案缺陷也很 明显 ,如密文 的无 关联性 和匿名性 。文献【] 6虽然也提出了同时满足前 向安全 性 和 公开验证性的签密方案 ,但是 ,该文所述 方案需要 两个私钥 ,一个用于签密 ,一个用于解签密 。 文 献 【】 于 双 线 性对 提 出 了一 个 适 用 于 A 1基 D. H C网络的签密方案,并在随机 预言机模 型下证明了 O 所述方案 的安全性。然而 ,经分析发现 ,该 方案 既不 满足前 向安全 性 ,也不满足公开验证性 ,这 就限制 了
wi r rds c r y p bi e f bl n e i ig teP o e t pa esmet . i l n o s , h e t f wa e ui , u l v ri i t a d rs Rn h KG t nr tt a i ho t c i a i y s a h me Smut e u l ten w a y
新方案在解签密过程 中,签名验证通 过后再进行解密密文 ,避免 了恶 意信 息的攻击 。 关键词 :基于 身份 的签密 ;前 向安全性 ;公开验证性 ;P G的不可诬陷性 K
I Ba e g r pto t g e u iy D- s d Si nc y i n wih Hi h S c r t
一种可公开验证的基于身份的签密方案
cp et x,b t o l e r c ie a e o e e li tx . W h t S mo e t i c e C a sy t e c n i e t lt, i h re t u ny t e ev r c h n r c v r t p ane t h a r , h s h me a s t f o f ni i s n i h d a y u f re blt d n n e u it n r q ie y sg c y t n n og a i y a o r p d a o e u r b i r p i .T i c e s a o v r f ce tr g r i g t e c mp t t n c t i n i d n o h ss h me i l ey e in e a d n h o u ai o s s i o s
( h u u 2 .o a n x @1 6 cm) 摘 要: 签密作为一个新的密码学构件 , 能够在一个逻辑步骤 内同时完成数 字签名和公钥加 密,
减少了计算和通信开销。利用椭 圆曲线的双线性对性质 , 出了一种基于身份的签 密方案 , 提 该方案提 供 了可由任意第三方认证密文 , 只有指定的接收者才能解密密文的功能 , 还满足 了签密方案所要求的 机 密性 、 可伪 造性 和 不可 否定 性 , 不 经过 分 析 比较 , 方案 具 有很 高的安全 性和 效 率。 该
关 键词 : 密 ; 线性 对 ; 签 双 可公 开验 证
中图分 类号 : P 9 .8 T 3 30
文献标 识码 : A
An i e t y b s d sg c y t n s h me wih p b i e i a i t d n i ・ a e i n r p i c e t u l v rf b l y t o c i i
可公开验证的代理重加密签密方案
“可公开验证的代理重加密签密方案”一想起这个方案,我的思绪就像打开了闸门的洪水,一股脑儿地涌出来。
这个方案啊,可是我磨砺了十年,一点一滴积累起来的智慧结晶。
咱们就从头开始捋一捋。
这个方案的核心是“可公开验证的代理重加密签密”。
这句话听起来有点复杂,但其实就是在保证安全性的基础上,实现加密信息的代理重加密和签名验证。
具体来说,就是让第三方可以在不需要原始密钥的情况下,对加密信息进行重加密,同时还能验证信息的签名是否真实有效。
1.设计目标(1)确保加密信息的安全性,防止信息泄露。
(2)实现代理重加密,让第三方能够在不泄露原始密钥的情况下对加密信息进行重加密。
(3)确保签名验证的准确性,防止恶意篡改。
2.技术路线(1)基于椭圆曲线密码体制,实现加密和签名。
(2)利用代理重加密技术,实现加密信息的转换。
(3)采用公开验证技术,确保签名的真实性和有效性。
3.具体方案下面,我就详细介绍一下这个方案的具体内容。
(1)加密与签名我们选择椭圆曲线密码体制进行加密和签名。
椭圆曲线密码体制具有安全性高、运算速度快等优点,非常适合用于加密和签名。
具体操作如下:选择一条安全的椭圆曲线,公钥和私钥。
对待加密信息进行椭圆曲线加密,密文。
对密文进行签名,签名。
(2)代理重加密代理重加密的核心是将加密信息转换成另一种加密形式,使得第三方可以在不泄露原始密钥的情况下对加密信息进行重加密。
具体操作如下:第三方自己的公钥和私钥。
将原始密文和第三方公钥一起发送给代理服务器。
代理服务器利用第三方公钥对原始密文进行重加密,新的密文。
将新的密文发送给第三方。
(3)签名验证签名验证的目的是确保加密信息的真实性和有效性。
具体操作如下:第三方收到新的密文后,验证签名。
如果签名验证通过,说明信息真实有效。
如果签名验证不通过,说明信息被篡改,拒绝接收。
4.安全性分析(1)椭圆曲线密码体制的安全性。
(2)代理重加密技术防止了原始密钥的泄露。
(3)公开验证技术确保了签名的真实性和有效性。
两种签密方案的安全分析
(北方工业大学理学院 , 北京 100041)
摘要 : 通过对一种基于身份的签密方案和一种多接收者的签密方案进行分析 , 展示出这 2 种方案 是不安全的 , 尽管这 2 种方案在文献中被证明在随机预言模型下是安全的 , 但是它们存在着伪造攻 击 . 在基于身份的签密方案中 , 一个不诚实的接收者可以伪造任意消息 m 的签密文 , 并且一个敌手 在挑战阶段可以区分一个挑战密文 ;在多接收者签密方案中 ,任意一个接收者能够代表其他接收者 伪造一个消息 m 的签密文 . 为了克服这 2 种方案的缺陷 , 分别通过对 S 进行约束和改变原方案的 哈希值的输入来阻止上面的攻击 . 关键词 : 签密 ;安全分析 ;伪造 中图分类号 : TP309 文献标识码 : A 文章编号 : 1001 - 0505 ( 2007 )增刊 ( I) 20029205
30
东南大学学报 (自然科学ቤተ መጻሕፍቲ ባይዱ ) 第 37卷
[7] [7] [1]
. 但是 , L ibert和 Quisquater在文献
[3]
不是语义安全的 , 因为消息的签名在签密文中是可见的 . Chow 等在文献 提出一种实现
[ 9 ]中提出了一种能够提供公开验证和前向安全的基于身份的签密方案 . 2003 年 Boyen
密文匿名的基于身份的签名方案 , 并在随机预言模型下证明该方案是安全的 . 值得注意的是 , 文献 [ 3 ]中
第 37卷 增刊 ( I) 2007 年 9月
东南 大 学学 报
(自 然 科 学 版 )
JOURNAL O F SOUTHE A ST UN I VER SITY ( Natural Science Ed ition)
Vol137 Sup ( I) Sep t . 2007
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1引言1997年文献[1]提出了签密的概念,并给出了一个具体的签密方案。
由于签密比先签名再加密的常规消息传递的代价要小得多,所以非常适合大量数据的认证安全传递。
又因为签密的节省代价与方案中采用的安全参数的长度成正比,当取较大的安全参数时,签密方案的安全性能更佳[2]。
基于身份的密码体制最初是由文献[3]提出,但直到2001年才由文献[4]利用Weil Pairing和Tate Pairing给出了一个很好的实现方案。
2002年文献[5]定义了基于身份的签密方案的安全模型,利用双线性对构造了第一个基于身份的签密方案,该方案提供了消息的保密性和签名的不可伪造性。
文献[6]提出了3个新方案,然而在这3个方案中,没有一个方案能同时满足公开验证性和前向安全性。
文献[7]提供了公开验证性和前向安全性,然而方案同时也有一些不好的特性,如密文的无关联性和匿名性。
文献[8]设计了一个能同时满足公开验证性和前向安全性的签密方案,然而他们的方案需要两个私钥:一个用于签密,一个用于解签密。
该文利用双线性对提出了一个新的基于身份的签密方案,该方案可以在基于身份的密码体制中运行,能够将数字签名和加密有效地结合起来,可以使接受者在不作任何转换的情况下由任意第三方来验证密文消息的来源并可以独立进行签名验证和消息恢复,具有很好的应用前景。
此外,方案效率也非常高。
2基于身份的签密方案的形式化定义采用Malone-Lee定义的基于身份的签密方案的安全概念。
这些概念是语义安全的,即具有在适应性选择密文攻击下不可区分性和在适应性选择消息攻击下不可伪造性。
2.1基于身份的签密方案的组成一个基于身份的签密方案由以下几个算法组成:(1)系统初始化算法(Setup):此算法由PKG完成,PKG输入安全参数k。
输出系统主密钥s和系统参数params,PKG保密s,公开系统参数params。
(2)密钥生成算法(Extract):用户U将其身份信息ID U提交给PKG,PKG计算用户公钥Q U=H0(ID U)和私钥S U=sQ U并通过安全方式发送给这个用户。
(3)签密算法(Signcrypt):输入系统参数params,明文消息m,接收者的身份ID B和发送者的私钥S A,输出秘文σ=signcrypt(m,S A,ID B)。
(4)解签密算法(Unsigncrypt):输入秘文σ,系统参数params,接收者的私钥S B和发送者的身份ID A,输出明文消息m或“⊥”表示解签密失败。
这些算法必须满足基于身份的签密方案的一致性要求,即如果σ=signcrypt(m,S A,ID B),那么m=Unsigncrypt(σ,S B,ID A)。
一个可公开验证和前向安全的签密方案杨靖,余昭平YANG Jing,YU Zhao-ping解放军信息工程大学电子技术学院,郑州450004Institute of Electronic Technology,PLA Information Engineering University,Zhengzhou450004,ChinaE-mail:yangjing109@YANG Jing,YU Zhao-ping.Signcryption scheme with public verifiability and forward puter Engineering and Applications,2010,46(13):108-111.Abstract:This paper proposes an identity based signcryption scheme with both public verifiability and forward security using bi-linear pairings.The scheme can separate the signature verification from message recovery.It can be applied in mobile E—business scenario,such as filtration of bad instant messages of mobile equipment.The proposed scheme is proved to be secure assuming the bilinear Diffie-Hellman problem is hard.This scheme is also very efficient regarding the computation costs and the communi-cation overheads after analyzing and being compared with other schemes.Key words:signcryption;ID-based;bilinear pairing;random oracle model摘要:利用双线性对提出一个满足公开验证性和前向安全的基于身份的签密方案,并且能够将签名的验证和消息的恢复分别独立进行,可以应用于为移动设备过滤垃圾信息等移动电子商务场合。
在BDH问题是困难的假设下用随机预言模型给出了安全性证明,经过分析比较,该方案具有很高的安全性和效率。
关键词:签密;基于身份;双线性对;随机预言模型DOI:10.3778/j.issn.1002-8331.2010.13.032文章编号:1002-8331(2010)13-0108-04文献标识码:A中图分类号:TN918基金项目:现代通信国家重点实验室基金(No.9140C1102060702)。
作者简介:杨靖(1981-),女,硕士生,主研方向:协议分析、密码理论;余昭平(1962-),男,教授,硕士导师,主研方向:密码理论、信息安全。
收稿日期:2008-10-31修回日期:2009-01-052.2基于身份的签密的安全概念Malone-Lee定义了基于身份的签密方案的安全概念,这些概念是在适应性选择密文攻击下具有不可区分性和在适应性选择消息攻击下能抗存在性伪造。
下面描述它们的定义:定义2.1(保密性)如果没有任何多项式有界的敌手以一个不可忽略的优势赢得以下游戏,则称一个基于身份的签密方案在适应性选择密文攻击下具有不可区分性(IND-IBSC-CCA2)。
(1)挑战者C输入安全参数k,运行系统建立算法,并将系统参数params发送给敌手A。
(2)在寻找阶段,敌手A执行以下的多项式有界次的下列询问:①Extract询问:A选择一个身份ID U,C计算S U=Extract(ID U),并将结果发送给A。
②Signcrypt询问:A选择两个身份ID i和ID j,一个明文消息m。
C计算密文σ=Signcrypt(m,S i,ID j),并将结果σ发送给A。
③Unsigncrypt询问:A选择两个身份ID i和ID j,一个密文σ。
C首先计算私钥S j=Extract(ID j),然后计算Unsigncrypt(σ,ID i,S j),最后发送结果明文m或符号⊥给A。
(3)A生成两个相同长度的明文m0,m1和希望挑战的两个身份ID A,ID B。
ID B不能是已经执行过密钥提取询问的身份。
C 随机选择u∈{0,1},计算σ=signcrypt(m u,S A,ID B)并将结果σ发送给A。
(4)在猜测阶段,A像寻找阶段那样执行多项式有界次询问。
但是他不能对ID B执行Extract询问,也不能对密文σ执行Unsigncrypt询问。
(5)最后,A输出一个值u′作为对u的猜测。
如果u′=u,A 赢得游戏。
A的优势定义为Adv(A)=|2P[u′=u]-1|。
定义2.2(不可伪造性)如果没有任何多项式有界的敌手以一个不可忽略的优势赢得以下游戏,则称一个基于身份的签密方案在适应性选择消息攻击下能抗存在性伪造(EUF-IB-SC-CMA)。
(1)挑战者C输入安全参数k,运行Setup算法,并将系统参数params发送给敌手A。
(2)敌手A像定义3.1那样执行多项式有界次询问。
(3)最后,A输出一个新的三元组(σ*,ID A,ID B),且这个三元组不是由Signcrypt预言机产生的,也没有对ID A执行过Ex-tract询问。
如果Unsigncrypt(σ*,ID A,S B)的结果不是符号⊥,则A赢得游戏。
3一个新的签密方案提出一个新的基于身份的签密方案,具体过程如下:系统建立(Setup):设G1为由P生成的循环加法群,阶为q,G2为具有相同阶q的循环乘法群,e∶G1×G1→G2为一个双线性映射。
定义3个安全的Hash函数H1∶{0,1}*→G1,H2∶{0,1}*×G2→Z q以及H3∶G2→{0,1}n。
PKG随机选择一个主密钥s∈Z*q,计算P pub=sP,选择一个密钥长度为n的安全对称加密算法(E,D);PKG公开系统参数{G1,G2,k,n,p,e,P,P pub,H1,H2,H3,E,D},保密主密钥s。
密钥提取(Extract):给定一个用户U的身份ID U,PKG计算该用户的私钥S U=sQ U并把值安全地发送给U,其中Q U= H1(ID U)为该用户的公钥。
在这里,假设Alice的身份为ID A,公钥为Q A,私钥为S A,Bob的身份为ID B,公钥为Q B,私钥为S B。
签密(Signcrypt):为了发送一个消息m∈{0,1}*给Bob,Alice 执行以下步骤:(1)随机选取r∈Z*q,计算R=rQ A;(2)计算w=e(S A,Q B)r,k=H3(w),c=E k(m);(3)计算h=H2(c‖R)和U=(r+h)S A;(4)发送密文σ=(c,U,R)给Bob。
解签密(Unsigncrypt):当收到密文σ时,Bob执行以下步骤:(1)计算h=H2(c‖R)。
验证等式e(P,U)=e(P pub,R+hQ A)是否成立,如果不成立,认为σ不合法,返回非法标识,算法结束;显然,由双线性对性质可知e(P,U)=e(P,(r+h)Q A)=e(Q A,R+hP pub);(2)一旦Bob证实了签名(c,U,R)是有效的,那么他可以利用自己的私钥S B。
根据式(2)从签名中恢复明文消息。
计算w=e(R,S B)和k=H3(w),解密得到m=D k(c)。
这是因为:e(R,S B)= e(rQ A,sQ B)=e(S A,Q B)r=w。
由以上方案的构造过程可以看出,方案的密文解密与签名验证可以并行进行,换句话说,两项操作可以分别独立执行。
4安全性分析与性能评价4.1安全性分析(1)保密性定理1在随机预言模型中,若存在一个IND-IBSC-CCA2敌手A能够在t时间内,以ε的优势赢得定义3的游戏(他最多能进行q i次H i询问(i=1,2,3),q s次Signcrypt询问,q u次Un-signcrypt询问),则存在一个区分者C,能够在时间t′<t+(q s+ 3q u)t e内,以ε′>ε/(q1q3)的优势解决BDH问题,其中t e表示一次双线性对运算所需要的时间。