一种可验证的门限RSA签名方案
【计算机应用】_秘密共享_期刊发文热词逐年推荐_20140723
科研热词 推荐指数 秘密共享 5 多秘密共享 2 动态更新 2 高安全 1 非线性 1 非纠缠量子 1 门限验证 1 门限群签密 1 门限秘密共享 1 量子秘密共享 1 量子密码 1 辅助验证数据 1 载体预处理 1 身份认证 1 超椭圆曲线密码体制 1 超图存取结构 1 超图 1 自适应性 1 网络编码 1 组播网络 1 组合位平面理论 1 线性单向函数 1 窃听者 1 秘密通信 1 秘密份额 1 盲签名 1 病灶格子图编码 1 混沌算法 1 权重门限秘密共享 1 机密性 1 有限状态自动机 1 最优信息率 1 无条件安全 1 无人值守无线传感器网络 1 新增成员 1 数据生存 1 数字隐写 1 抗提取性能 1 形式化分析 1 带宽受限 1 密钥重新分配 1 完全多划分图 1 安全性 1 存取结构 1 多项式划分 1 同态性质 1 可验证秘密共享 1 可公开验证性 1 可信中心 1 双线性映射 1 单向散列链 1 协议验证 1
2011年 科研热词 秘密共享 隐私保护 门限方案 门限密码学 访问结构 视觉密码 私钥生成 私钥份额 离散对数 短秘密共享 监听 无分发者 新个体加入 数据分离 抗合谋性 异或运算 广播加密 对密钥 密钥更新 密钥托管代理 密钥共享 完全恢复 子秘密 多重秘密共享 多秘密共享 多秘密 图像隐藏 向量空间 同态 可验证秘密共享 可验证性 可生存存储系统 双线性对 双矩阵组合公钥 动态性 分布式不经意传输 共谋攻击 公开可验证 付费电视 二值图像 主秘密 一般访问结构 lsb算法 推荐指数 6 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1
推荐指数 5 2 2 2 2 2 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1
对一个基于RSA门限代理签名方案的分析与改进
An l ss a d I p o e n n a Th e h l o y S g a u e a y i n m r v me t o r s o d Pr x i n t r
S h me Ba e n t e RS c e s d o h A y t s s e Cr p o y t m
Q h a d l L me0 i h n u iC u n aI iYa i Jn C e h i
( iy n om lU i ri , iy n 6 0 0 X n a g N r a nv s y X n a g 4 4 0 ) e t
( L nom t n E gn eig U i ri ,h n zo 5 0 4 P A Ifr ai n ie r nv s y Z e gh u 4 0 0 ) o n e t
Ab t a t T i a e An lz s h ma e v r bl y f sr c : h s p p r ay e t e n u ea i t o HL s h me, n r v s h a HL s h me xs d s g r me t i L ce a d p o e t t L c e e it if u e n i b d y t e r x sg e s a n t rn sg au e . s i r v d in t r ag r h , e c e i r v d i n tr  ̄ l 。 p o y in r c n o b g in r s h i t Alo mp e s au e lo t m t s h me mp e s au e o g i h o g
名 ( 群 签 名 ) 由 n个 成 员 的组 成 的签 名 组 中 任 何 £1 ≤n 或 ; ( ≤t ) 个 或 £ 以上 成 员都 可 代 表 签名 组 进 行 有 效 签名 称 为 (。 ) 个 t 门限 n 多 重 签 名 ; 名 者 委 托 别 人 代 替 自己 签 名 称 为 代理 签 名 ; 名 签 签
RSA加密算法原理及RES签名算法简介
RSA加密算法原理及RES签名算法简介第⼀部分:RSA原理与加密解密⼀、RSA加密过程简述A和B进⾏加密通信时,B⾸先要⽣成⼀对密钥。
⼀个是公钥,给A,B⾃⼰持有私钥。
A使⽤B的公钥加密要加密发送的内容,然后B在通过⾃⼰的私钥解密内容。
⼆、RSA加密算法基础整个RSA加密算法的安全性基于⼤数不能分解质因数。
三、数学原理(⼀) 互质关系:两个数a和b没有除1外的其他公约数,则a与b互质1. 任意两个质数构成互质关系2. 两个数中,如果⼤数为质数,则两数必定互质3. 1和任意整数互质4. 当p>1时,p与p-1互质(相邻两数互质)5. 当p=2n+1(n>0且n为整数)时,p与p+2互质(相连的两个奇数互质)(⼆) 求欧拉函数:定义:与正整数n互质且⼩于正整数n的正整数的个数。
通常使⽤ψ(n)表⽰。
求取与正整数n互质的正整数的个数ψ(n),且ψ(n)满⾜ψ(n)∈(2,n)1. 如果n=1,则ψ(n)=12. 如果n是质数,则ψ(n)=n-13. 如果n是质数p的次⽅,则:ψ(p^k)=p^k-p^(k-1) = p^k*(1-1/p)4. 若p1和p2互质,n=p1*p2,则ψ(n)= ψ(p1*p2)= ψ(p1) ψ(p2)5. 任意⼀个⼤于1的正整数都可以写成⼀系列质数的积6. 根据定理5,推导欧拉定理:因为n = (p1^k1)* (p2^k2)*……(pr^kr) (p1~pr都是质数)所以ψ(n)= ψ((p1^k1)) ψ(p2^k2) ……ψ(pr^kr) 定理4ψ(n)= (p1^k1)*(1-1/p1) * (p2^k2)(1-1/p2)……(pr^kr)*(1-1/pr) 定理3ψ(n)= (p1^k1)* (p2^k2)*……(pr^kr) * (1-1/p1) (1-1/p2)…… (1-1/pr)ψ(n)=n (1-1/p1) (1-1/p2)…… (1-1/pr)(三) 欧拉定理:正整数a与n互质,则下式恒成⽴a^ψ(n) ≡1(mod n)即:a的ψ(n)次幂除以n,余数恒为1(四) 模反元素如果两个正整数a和n互质,则必定存在整数b使得a*b-1被n除余数为1ab ≡1(mod n)其中b被称为a的模反元素四、RSA算法详解:假设A和B要通信(⼀) ⽣成密钥1. 公钥1) 随机⽣成两个不相等的质数p和q(质数越⼤越安全)2) 计算n,n=p*q 则n的⼆进制位数就是密钥的长度。
rsa 签名和验签的原理
rsa 签名和验签的原理RSA签名和验签的原理基于RSA算法的数学特性。
1. RSA签名原理:(1)假设Alice想要对一条消息进行签名,她首先选择一对RSA公钥和私钥。
公钥包括两个参数:RSA模数n和公钥指数e;私钥包括两个参数:RSA模数n和私钥指数d。
公钥(n,e)会公开给其他人,而私钥(n,d)会保密。
(2)Alice使用私钥(n,d)对消息进行加密,得到签名s。
加密过程为s = m^d mod n,其中m是消息的表示,^表示乘方,mod表示取模运算。
(3)Alice将消息m和签名s一起发送给Bob。
(4)Bob使用Alice的公钥(n,e)对签名s进行解密,得到消息m'。
解密过程为m' = s^e mod n。
(5)Bob计算收到的消息m'的表示,与实际收到的消息m进行比较。
如果相等,则说明签名是有效的,否则签名是无效的。
2. RSA验签原理:(1)Alice生成一对RSA公钥和私钥,公钥(n,e)公开给Bob,私钥(n,d)保密。
(2)Bob收到Alice发送的消息m和签名s。
(3)Bob使用公钥(n,e)对签名s进行解密,得到消息m'。
解密过程为m' = s^e mod n。
(4)Bob计算收到的消息m'的表示,与实际收到的消息m进行比较。
如果相等,则说明签名是有效的,否则签名是无效的。
通过RSA的数学特性,只有私钥的持有者才能对消息进行加密,从而生成唯一有效的签名。
而公钥的持有者只能使用公钥进行验证签名的有效性,无法生成有效的签名。
这样就能确保签名的有效性和身份认证。
ISRSAC_上基于身份的代理环签名方案设计
第31卷第3期北京电子科技学院学报2023年9月Vol.31No.3JournalofBeijingElectronicScienceandTechnologyInstituteSep.2023ISRSAC上基于身份的代理环签名方案设计袁煜淇㊀刘㊀宁㊀张艳硕北京电子科技学院,密码科学与技术系,北京市㊀100070摘㊀要:数字签名作为核心密码技术之一,对数据安全保护起着重要作用㊂代理环签名是一种兼具环签名和代理签名两者功能的特殊类型的数字签名,适用于对用户身份信息有较高保护需求的领域㊂RSA作为数字签名的基础算法之一,其安全性随着量子计算的快速发展而遭受威胁㊂2018年,M.Thangaval等人在RSA的基础上提出ISRSAC算法,该算法通过增加因式分解复杂性并引入随机数实现对传统RSA安全性的改进㊂在赵等人基于身份及RSA的代理环签名的基础上做出了改进,结合更安全的ISRSAC算法设计并提出了一个基于身份的代理环签名方案,并对方案的正确性及安全性展开分析,同时与其他方案进行对比说明,结果表明该方案具有强不可伪造性㊁匿名性等,能够有效保护授权信息,在匿名电子投票等领域具有很好的现实意义和应用价值㊂关键词:ISRSAC;身份基签名;代理环签名;安全性中图分类号:TP309㊀㊀㊀文献标识码:㊀㊀A文章编号:1672-464X(2023)3-62-77∗㊀基金项目:中央高校基本科研业务费专项资金资助(328202226)㊁ 信息安全 国家级一流本科专业建设点和国家重点研发计划基金资助项目(项目编号:2017YFB0801803)∗∗㊀作者简介:袁煜淇(2000-),女,研究生在读,网络空间安全专业㊂E⁃mail:1210346807@qq.com刘宁(1999-),女,研究生在读,网络空间安全专业㊂E⁃mail:1724916925@qq.com张艳硕(1979-),男,通信作者,副教授,博士,硕士生导师,从事密码数学理论研究㊂E⁃mail:zhang_yanshuo@163.com1㊀引言1 1㊀研究背景及意义数字签名技术在数据安全和隐私保护中发挥着尤为重要的作用,大部分签名算法是基于公钥密码体制的,其中经典算法RSA是1977年由Rivest等[1]提出的,其安全性依赖于大整数分解困难问题㊂但随着量子计算机的出现,其安全性遭受威胁㊂不断有学者提出以RSA为基础的变种算法,以改进其安全性㊂2015年,Arora等[24]通过添加额外的第三素数到公私钥的构成中以增加参数n因子分解的复杂性,并提出了一种加快整个网络的数据交换过程中RSA算法实现的改进形式,但容易受到选择密文攻击㊂2016年,Mustafi等[25]提出利用双变量双射函数的优化方案㊂2018年,Thangavel等[2]提出了 用于云数据机密性的改进RSA安全密码系统(ISR⁃SAC) ,同时证明ISRSAC算法的安全性高于RSA㊂同时,随着技术发展衍生出大量新型应用场景,传统数字签名技术所实现的功能无法满足实际应用需求,故学者们不断提出特殊类型的数字签名以适应使用场景,代理环签名正是其中之一㊂1996年,Mambo等[3]提出代理签名的概念第31卷ISRSAC上基于身份的代理环签名方案设计㊀以满足签名权可授权委托的使用需求㊂2001年,Rivest等[4]提出环签名的概念,主要思想是可实现以匿名方式发布可靠信息㊂2003年,Zhang等[5]提出代理环签名的概念,结合代理签名和环签名的功能,满足了原始签名人签名权的委托代理及身份匿名的隐私保护需求,能够有效解决代理签名者的隐私保护问题㊂在上述基于RSA的改进算法及具备特殊功能的签名方案的研究背景下,讨论研究基于新型算法构造的具有特殊性质的签名方案,对密码技术应用于诸如电子现金㊁电子投票㊁匿名通信等对用户身份隐私保护具有较高要求的领域有重要的理论意义和实用价值㊂1 2㊀国内外研究现状ISRSAC算法是在公钥密码体制下以传统RSA算法为基础的改进安全性的新型算法,而数字签名的安全性极大程度依赖于其核心算法的安全性,故基于ISRSAC构造的数字签名相比于基于传统RSA算法的签名方案而言,具有更高的安全性㊂2015年,Thangavel等[6]提出了ESRKGS算法,该算法将RSA中的大整数分解由两个素数改进为四个素数,增加了破解难度㊂2018年,Thangavel等[7]再次提出了ISRSAC算法以改进了Lvy等人指出的缺陷,进一步增强方案的安全性㊂2021年,Yang等[8]构造了基于ISRSAC的数字签名方案,在此基础上分别设计了代理签名方案㊁广播多重签名方案和有序多重签名方案㊂2022年,刘等[9]在Yang等人的基础上,设计了基于ISRSAC的按序代理多重签名以及广播代理多重签名方案㊂同年,张等[10]基于ISRSAC算法构造了一个环签名方案,并证明了一系列安全性质㊂目前,不断有学者以ISRSAC为基础构造出适用于不同场景的数字签名方案,将该算法的安全性优势与数字签名技术结合,并研究讨论其在各领域上的应用㊂代理环签名的概念是Zhang等[5]人在2003年提出的,将代理签名和环签名两者的功能特性结合,在实现签名权委托代理的同时有效保护了代理签名人的匿名性㊂2004年,Cheng等[11]首次提出基于身份的代理环签名,简化了公钥证书管理㊂2008年,Schuldt等[12]人提出了一个基于身份的代理环签名方案㊂2009年,陈等[13]人提出了基于RSA的代理环签名方案㊂2014年,Asaar[14]给出了基于身份的代理环签名定义及其安全模型,证明了基于RSA假设的随机预言机模型下身份基代理环签名方案是安全的㊂2015年,张等[15]基于双线性对运算和离散对数的困难性问题,提出了基于身份的代理签名㊂2018年,赵等[16]提出了基于身份及RSA的简短代理环签名方法,缩短密钥及签名长度以提高计算效率㊂2019年,Liu等[17]提出了一种高效的车载代理环签名方案㊂2022年,袁等[18]通过对SM2算法进行改进,提出了一种高效的门限环签名方案㊂1 3㊀主要工作及组织结构本文在文献[16]的基础上做出研究,设计并提出了一个ISRSAC上基于身份的代理环签名方案㊂在随机预言模型下,基于ISRSAC的方法被证明是安全的㊂对于本文在ISRSAC算法基础上提出的基于身份的代理环签名方案设计,首先在方案构造上是基于公钥密码体制,相比于以往基于双线性对来构造身份基代理环签名的方法做出了创新;同时,方案的安全性与构成代理环的成员数量无关,实现了强不可伪造性;此外,引入安全性高于RSA的ISRSAC算法,比现有的基于身份的代理环签名安全性更高㊂最后,对方案计算代价进行研究分析,并结合其他方案做出对比说明,进一步突出方案的计算实现的效率㊂本文主要内容安排如下:第1节,主要介绍论文研究的背景意义,概述公钥密码体制下的数字签名技术发展现状,并对ISRSAC算法和代理环签名国内外研究现状进行阐述㊂第2节,围绕设计ISRSAC及基于身份的代理环签名方案过㊃36㊃北京电子科技学院学报2023年程中涉及到的密码学知识进行介绍说明㊂第3节,本节介绍了方案设计的相关知识和方案设计的具体内容㊂第4节,对方案的正确性及安全性进行进一步分析及对比说明㊂第5节,对本文主要工作和成果进行总结概述㊂2㊀基础知识㊀㊀本节将引入相关指标说明ISRSAC算法的安全性高于RSA㊂再依次介绍基于ISRSAC的一般数字签名㊁环签名以及代理环签名方案㊂2 1㊀ISRSAC算法的安全性ISRSAC是以RSA为基础的改进算法,通过强化大整数分解的复杂性,并引入随机数,使得时间复杂度这一指标随着算法复杂程度增加而增大㊂具体说明如下:(1)强化大整数分解难题㊂对于大整数N的生成,由RSA中两个大素数p,q相乘,改进为两个大自然数p-1,q-1和两个大素数相乘,增加了因式分解的难度㊂因而现有的攻击方法通过因式分解求得私钥的时间复杂度指标增大㊂(2)引入随机数增大攻破难度㊂ISRSAC算法中在私钥生成过程中定义了一个新的安全函数α(n),同时引入了一个随机数r以生成α(n)㊂因此,即使攻击者破解得到p,q,但由于r的随机性,也使攻击者无法破解得到私钥d㊂由上述两方面可以明确,ISRSAC在理论上大大提升了算法破解的时间复杂度,使得其安全性远高于传统RSA,该结论也在Yang等[8]人的文章中得到证明㊂2 2㊀基于ISRSAC的数字签名方案该签名算法中,使用ISRSAC生成公私钥对㊂算法流程分为三个阶段:密钥生成算法㊁签名生成算法㊁签名验证算法㊂具体如下:(1)密钥生成算法:随机选取大素数p,q且pʂq,p,q>3;计算n=p㊃q㊃(p-1)㊃(q-1),m=p㊃q;随机选取整数r,其中r满足条件p>2r<q,再计算得到α(n)=(p-1)(q-1)(p-2r)(q-2r)2r;选取公钥e,其中1<e<α(n),gcd(e,α(n))=1;计算私钥d,其中d㊃eʉ1(bmodα(n))㊂综上,确定公钥(e,m)和私钥(d,n)㊂(2)签名生成算法:假设明文为M,哈希函数为H,哈希值为H(M)㊂私钥为(d,n),计算SʉH(M)dbmodm作为H(M)的签名㊂(3)签名验证算法:验证消息M上的签名S,使用同一哈希函数计算H(M),用公钥(e,m)验证H(M)ʉSebmodm是否正确㊂如果等式正确,则接受签名㊂2 3㊀基于ISRSAC的环签名方案2022年,张等人提出一个基于ISRSAC的环签名方案,这一方案主要包含三个算法:密钥生成算法㊁环签名生成算法㊁环签名验证算法㊂(1)密钥生成算法与基于ISRSAC的一般数字签名方案一致,使用ISRSAC生成公私钥对㊂(2)环签名生成算法签名者通过随机n-1个用户的公钥,以及自己的公钥形成一个公钥环L={P1,P2, ,Pn},其中Pi=(ei,mi),i=1,2, ,n,签名者为其中第π(1ɤπɤn)个用户,再利用自身私钥(dπ,nπ)和公钥环L通过下列算法生成对消息M的环签名:计算Sπ=H1(M)dπ㊃ᵑni=1,iʂπH1(M)-ei2(bmodm);Si=H1(M)eπei(modm),输出关于M的环签名(S1,S2, ,Sn)㊂(3)环签名验证算法验证者收到消息Mᶄ及环签名值(S1ᶄ,S2ᶄ, ,Snᶄ)后进行验证:计算H1(Mᶄ),ᵑni=1Sᶄiei;判断ᵑni=1SᶄieiʉH1(Mᶄ)(bmodm)是否成立㊂2 4㊀基于ISRSAC的代理环签名方案基于ISRSAC算法的代理环签名方案分为㊃46㊃第31卷ISRSAC上基于身份的代理环签名方案设计㊀四个阶段:系统建立㊁用户密钥生成阶段㊁签名阶段以及验签阶段㊂(1)系统建立:通过ISRSAC算法生成公私钥对分别为(e,m),(d,n);选择两个Hash函数:H1:{0,1}∗ңZm∗,H2:{0,1}∗ң{0,1}a;公开系统参数(m,e,H1,H2),CA将私钥(d,n)作为主密钥㊂随机生成一些素数作为H1函数,本方案选择SM3函数作为H2函数㊂(2)用户密钥生成阶段1)独立用户密钥生成㊂CA根据每个用户的身份生成唯一编号ID:ID=H1(身份信息)作为每个用户公钥pk,S为用户ID集合:(ID1,ID2, ,IDn)ɪS;CA计算用户私钥sk=(ID)dbmodn并以安全方式发送给用户㊂用户收到密钥后通过IDʉ(sk)ebmodm进行验证㊂上述用户密钥生成过程可由一个CA单独完成,虽然用户信任CA,但实际应用中由于CA知道每个用户的密钥,具有过大权限则不能对它进行合理约束㊂2)联合用户密钥生成㊂为此在设计方案时由多个独立的CA联合生成密钥,通过多个分密钥联合生成用户密钥:Did=Did(1)+Did(2)+Did(3)+, +Did(n),可有效约束CA㊂具体方案如下:每个分CAi选择整数ei,满足,gcd(ei,α(n))=1,计算di:ei㊃diʉbmodα(n),给定初始值:C0=ID,e=1㊂随机选择一些CAi,1ɤiɤk(k为CA个数),计算:Ciʉ(Ci-1)dibmodn,eʉei㊃ebmodα(n)㊂得到:skʉCkʉ(ID)dbmodn,d=ᵑiɪCAdi(bmodα(n)),IDʉ(sk)ebmodm,eʉᵑiɪCAei(bmodα(n))㊂(3)签名阶段原始签名者A需要向环内成员签名时,A将消息msgA(R M L)发送给CA,即包括自己身份㊁期限的授权信息R,需要签名的消息集M和代理签名成员集合信息L={ID1,ID2, ,IDn}㊂CA收到消息后,生成含有A信息的密钥,并通过安全的方式发送给A:SAʉ(H2(R M L))dbmodn㊂A在收到来自CA的密钥后,通过SAeʉH2(R M L)bmodm验证㊂确认无误后,A随机选择整数rɪuZ∗m,计算代理信息:tʉrebmodm,sʉSA㊃r(H2(t M))bmodm,并发送给环内授权成员IDɪL㊂环内代理成员IDsɪL接收到A发来的代理信息(s,t)后进行验证:seʉH2(R M L)㊃tH2(t M)bmodm㊂确认无误后,代理L签署信息㊂首先对所有的iɪ{1,2, ,n}ɡiʂs,随机均匀㊁一致的选择riɪuZ∗m,再计算:tiʉriebmodm,hi=H2(IDi,ti,M,L)㊂随机选择一个rsɪuZ∗m,计算tsʉrseᵑiʂs(IDi)-hibmodm,如果有(ts=1)ᶱ(ts=ti,iʂs),则重新计算ti,hi,否则计算hs=H2(IDs,ts,M,L)㊂IDS用A的授权信息s生成自己的代理密钥skᶄsʉskshs㊃sbmodm㊂计算σʉskᶄsᵑni=1ribmodn㊂最后生成代理环签名:Ω={R,M,L,t,t1, ,tn,h1, ,hn,σ}(4)验签阶段对于签名的每个接收者首先选择IDiɪL验证:hi=H2(IDi,ti,M,L),i=1,2, ,n,进而验证:σeʉᵑ1ɤiɤn(tiIDihi)㊃tH2(t M)H2(R M L)bmodm㊂如果两者相等,则说明签名验证结果正确,反之错误,拒绝签名㊂3㊀ISRSAC上基于身份的代理环签名方案㊀㊀本节设计并提出了一个ISRSAC上基于身份的简短代理环签名方案,该方案包括6个算法:密钥生成(Generation)㊁提取(Extract)㊁代理委托(Delegation)㊁验证委托(VerifyDelegation)㊁签名(Sign)和验证(Verify)㊂该方案能够有效缩短密钥和签名长度,提高了计算效率;在实现上不受代理密钥暴露攻击的影响,具有强不可伪㊃56㊃北京电子科技学院学报2023年造性㊂3 1㊀符号说明注意:如果算法A是(t,qg,qp,qe,qe,qprs,e)有界的,即算法的运行时间最多为t,使得最多在时间qg查询预言机G,在时间qp查询随机预言机P,在时间qe查询Extract,在时间qd查询ProxyDelegation和在时间qs查询Sign预言机,可以至少以ε的概率赢得游戏㊂表1㊀符号说明符号含义说明xƔѳX表示分配给x的操作X是一个集合x是从集合X均匀随机选择的一个元素x1 x2 xn表示一个编码为字符串组成的对象的有效回收x1,x2, xn,是对象#空字符串|x|表示x的比特长度θѳC(x1, xn)表示算法C输入x1, 输出到θ3 2㊀相关知识(1)ISRSAC假设ISRSAC密钥生成器KGisrsac是生成四元组(n,m,e,d)的算法,其中n=p㊃q㊃(p-1)㊃(q-1),m=p㊃q且e㊃dʉbmod(α(n)),其中α(n)=(p-1)(q-1)(p-2r)(q-2r)2r㊂算法B打破KGisrsac和ISRSAC单向性的有利条件定义为:Advow-isrsacKGisrsac(B)=pr(n,m,e,d)ѳKGisrsac;γѳZNy=γebmodmγѳB(n,m,e,y)éëêêêêùûúúúú即B打破了ISRSAC相对于KGisrsac的(tᶄ,εᶄ)的单向性,如果B以tᶄ的时间运行,并且有利条件为Advow-isrsacKGisrsac(B)ȡεᶄ㊂(2)基于身份的签名[13]在签名认证的过程中,将主体公钥与之身份信息相关联是十分有意义的,基于此,Shamir[19]提出了一种基于身份的公钥密码体制㊂密钥生成算法为:公钥=H(身份信息);私钥=F(主密钥,公钥)㊂该密钥生成与传统公钥密码体制相反,该计算过程无法公开,只限于特定的主体,以实现对计算出的密钥的保密㊂在该公钥密码体制中,用户可以使用身份信息等作为公钥,再用公钥生成私钥,此即为基于身份的公钥密码体制㊂在Shamir的基于身份的签名方案中包括4步算法[20]㊂建立:这个算法由TA(可信机构)运行来生成系统参数和主密钥;用户密钥的生成:这个算法也由TA执行,输入主密钥和一条任意的比特串idɪ{0,1}∗,输出与id对应的私钥;签名:一个签名算法㊂输入一条消息和签名者的私钥,输出一个签名;验证:一个签名的验证算法㊂输入一个消息㊁签名对和id,输出True或False㊂(3)安全模型Yu[21]等提出对基于身份的代理环签名方法选择身份攻击,存在A1,A2,A3三种类型的潜在敌手㊂安全模型中需要满足代理签名者身份的不可伪造性并且对抗适应性选择消息可实现存在性不可伪造㊂若方案对2㊁3型敌手安全,则对1型敌手也是安全的㊂在挑战者C和敌手A之间开始以下游戏,验证方案对A1㊁A2㊁A3敌手的不可伪造性㊂C运行算法ParaGen,用安全参数l获得系统参数para和主密钥(mpk,msk),然后发送主密钥给A㊂A将密钥与各身份IDu对应并运行KeyExtract算法,C将私钥xu返回给敌手㊂敌手A可以基于消息空间描述符ω上原始签名者的身份ID0和身份集ID请求授权,ID是ID0在ω上签名权委托代理的身份集㊂C运行KeyExtract得到x0并返回σ0:σ0ѳDelegationGen(Para,mpk,ID0,ID,ω,x0)㊂A可请求message有关于ID到C的代理环签名㊂此外,敌手A为ω和ID提供了一个具有㊃66㊃第31卷ISRSAC上基于身份的代理环签名方案设计㊀身份ID0的原始签名者的授权σ0,该授权由DelegationGen算法得到或由A产生㊂C检查σ0是一个有效授权,在授权中具有身份ID0的原始签名者将ω的签名权授权给具有身份集ID的委托代理,满足ID⊆ID,messageɪω㊂若上述不成立,返回#;否则,C运行KeyExtract算法获得对应于身份IDj的一个代理签名者密钥xj,IDjƔѳID,再运行ProxyRingSign算法生成代理环签名θ并返回给敌手A㊂最后,输出一个关于原始签名者身份ID0和代理签名者身份集ID∗的基于身份的有效代理环签名(message∗,ω∗,θ∗),其中ID∗⊆ID∗,ID(是损坏的代理签名者的集合,并赢得游戏㊂对于A=A1,E0:ID0∗和ID∗中所有身份未被请求给Extract查询机,即A1没有密钥对应于它们;E1:(ω∗,ID∗)对没有被要求作为身份ID0∗下的一个ProxyDelegation查询;E2:m∗没有被要求作为身份集ID∗下的一个Sign查询㊂敌手A1定义为[14]:如果没有有界的(t,qg,qe,qd,qs,ε)敌手A赢得游戏,基于身份的代理环签名(t,qg,qe,qd,qs,ε)存在不可伪造性抵抗自适应性选择消息(权证)和选择身份攻击㊂对于A=A2,E0:ID0∗没有被要求作为一个Extract查询;E1:(ω∗,ID∗)对没有被要求作为身份ID0∗下的一个ProxyDelegation查询㊂敌手A2定义为:如果没有有界的(t,qg,qe,qd,ε)敌手A赢得游戏,基于身份的代理环签名(t,qg,qe,qd,ε)存在不可伪造性抵抗自适应性选择消息(权证)和选择身份攻击㊂对于A=A3,E0:ID∗中每个身份都没有被要求作为一个Extract查询;E1:message没有被要求作为身份集ID∗⊆ID∗下的一个Sign查询㊂敌手A3定义为:如果没有有界的(t,qg,qe,qs,ε)敌手A赢得游戏,基于身份的代理环签名(t,qg,qe,qs,ε)存在不可伪造性抵抗自适应性选择消息(权证)和选择身份攻击㊂3 3㊀方案设计根据基于ISRSAC的代理环签名以及基于身份的签名的构造方法,本节设计并提出了ISRSAC上基于身份的代理环签名方案㊂其中,ID0表示每个原始签名人身份,ID和ID表示委托代理的身份集及每个子集㊂假设:委托代理中代理签名者的身份数量为n(nȡ2);ID的每个子集ID大小为z(zȡ2)㊂ISRSAC上基于身份的代理环签名方案由6个算法构成,分别为:密钥生成(Generation),密钥提取(Extract),代理委托(ProxyDelegation),代理验证(VerifyDelegation),签名(Sign)和验证(Verify),各算法的具体流程如下㊂(1)系统参数及密钥生成(Generation):输入系统参数l,输出系统参数Para和系统主密钥(msk,mpk),即:(Para,(msk,mpk))ѳParaGen(l)㊂系统参数如下:假设l0,l1,lNɪN,且P0:{0,1}∗ң{0,1}l0,P0:{0,1}∗ң{0,1}l1,G:{0,1}∗ңZ∗N是随机预言机㊂设KGisrsac是ISR⁃SAC密钥对产生器,输出四元组(n,m,e,d),使α(n)>2ln,e的长度大于l0和l1位㊂密钥分配中心KGisrsac生成ISRSAC参数(n,m,e,d)㊂发布mpk=(e,m)作为主密钥,并保持主密钥msk=(d,n)的秘密㊂因此,公共参数是Para=(P0,P1,G)和mpk㊂(2)密钥提取(Extract):输入Para,mpk主密钥msk=d和用户身份的IDu;输出身份IDu相应的密钥(密钥分配中心计算xu=G(IDu)dbmodm,并将安全且经过身份验证的通道上的用户密钥xu发送给身份为IDu的用户),即xuѳExtract(Para,mpk,msk,IDu)㊂㊃76㊃北京电子科技学院学报2023年(3)委托代理(ProxyDelegation):若身份ID0的原视签名人决定将其签名权委托给具有身份集ID的委托代理,则采用该算法㊂输入Para,mpk,ID0,ID的原始签名者的密钥x0,信息空间描述符ωɪ{0,1};输出一个授权σ0,即σ0ѳProxyDelegation(Para,mpk,ID0,ID,x0)㊂系统参数如下:设ω是一个信息空间描述符,具有身份ID0的原始签名者愿意将他的签名权委托给具有身份集ID的代理签名组,授权σ0=(R0,s0)=(r0ebmodm,r0x0c0bmodm),其中r0ѳZ∗N且c0=P0(R0 ω ID)㊂然后,原始签名者发布授权σ0(ω,ID)㊂(4)代理验证(VerifyDelegation):输入Para,ID0,ID,ω,σ0,如果σ0是一个有效的授权,输出为1,否则为0㊂即{0,1}ѳVerifyDelegation(Para,mpk,ID0,ID,ω,x0)㊂系统参数如下:假设原始签名人的身份ID0,代理签名人的身份集ID,信息空间描述符ω和授权σ0,如果关系s0e=R0G(ID0)c0适用,验证者检查,其中c0=P0(R0 ω ID)㊂如果结果如上所述,该授权是有效的;否则,该授权无效㊂(5)签名(Sign):输入Para,mpk至少包含两个身份的代理签名者的身份集ID,ω的一个有效授权σ0和ID满足ID⊆ID,代理签名者的密钥xj,对应身份IDjƔѳID⊆ID和消息messageɪω㊂输出是基于身份的代理环签名θ㊂即θѳSign(Para,mpk,ID0,ID,ID,(message,ω,σ0),xj)㊂系统参数如下:具有身份IDjƔѳID⊆ID(jɪ{0, ,z-a})的代理签名者可以匿名签名消息messageɪω,代表具有如下所述的密钥xj和有效授权σ0的且身份为ID0的原始签名者㊂1)代理签名者IDj选择rƔѳZ∗N,计算R=rebmodm,cj+1=P1(R ID ID IDj ω message)㊂2)对于j-1ɤuɤj+1代理签名者IDj选择rƔѳZ∗N并且计算Ru=rebmodm和cu+1=P1(RuG(IDu)cuR0G(ID0)c0 IDID IDu ω message)㊂3)代理签名者IDj计算rj=rsuxjcjbmodm㊂4)在消息message和消息空间描述符ω上,基于原始签名者的身份ID0和代理签名者的身份子集ID⊆ID,代理环签名是θ=(R0,r0, ,rz-1,C0)㊂(6)验证(Verify):输入Para,ID0,ID,ID,ω,message,θ,如果θ是一个基于身份的有效代理环签名,输出是1,否则为0,即{0,1}ѳVerify(Para,mpk,ID0,ID,ω,message,θ)㊂系统参数如下:鉴于原始签名者的身份ID0和代理签名者的身份集ID及ID,消息空间描述符ω,消息message,代理环签名θ,验证过程如下:1)如果messageɪω检查;否则,停止;2)如果ID⊆ID,检查;否则,停止;3)对于0ɤuɤz-1,计算Ru=re和cu+1=P1(RuG(IDu)cuR0G(ID0)c0 IDID IDu ω message)接受签名当且仅当cz=c0,其中c0=P0(R0 ω ID)㊂4㊀ISRSAC上基于身份的代理环签名方案分析4 1㊀正确性分析下面将对上述方案进行正确性分析,方案的正确性可验证如下:㊃86㊃第31卷ISRSAC上基于身份的代理环签名方案设计㊀由rj=rsuxjcjbmodm,R=rebmodm,xu=G(IDu)dbmodm,授权信息σ0=(R0,s0)=(r0ebmodm,r0x0c0bmodm),可以得到验证等式rjeG(IDj)cjR0G(ID0)c0(bmodm)=rs0xjcjæèçöø÷eG(IDj)cjR0G(ID0)c0(bmodm)=res0exjecjG(IDj)cjR0G(ID0)c0(bmodm)=Rs0exjecjG(IDj)cjR0G(ID0)c0(bmodm)=R(r0x0c0)exjecjG(IDj)cjR0G(ID0)c0(bmodm)=R(r0e)x0c0exjcjeG(IDj)cjR0G(ID0)c0(bmodm)=RR0G(ID0)dc0eG(IDj)dcjeG(IDj)cjR0G(ID0)c0(bmodm)=R(bmodm)由上述等式可验证方案的正确性㊂4 2㊀安全性分析下面对方案的安全性进行具体分析,证明该方案中代理签名者身份隐私具有无条件匿名性并在随机预言模型下该方案具有强不可伪造性㊂在证明过程中,若ISRSAC上基于身份的代理环签名方案对2㊁3型敌手是安全的,那么它对1型敌手也能确保安全,为了证明所构造的方案具有不可伪造性,需要证明他是不可伪造的敌手A2,A3㊂引理4 1[22]首先介绍安全模型证明过程中运用的分裂引理㊂假设A⊂XˑY,使得Pr[(x,y)ɪA]ȡδ㊂对任何α<δ,定义B={(x,y)⊂XˑY|PryᶄɪY[(x,y)ɪA]ȡδ-a}和B-=(XˑY)B,有如下声明:(1)Pr[B]ȡα;(2)∀(x,y)ɪB,PryᶄɪY[(x,y)ɪA]ȡδ-α;(3)Pr[B|A]ȡαδ㊂定理4 2若ISRSAC函数与KGisrsac的关联是(tᶄ,εᶄ)单向的,并且εᶄȡε22(1-2-l0)4(qP0+qd),tᶄɤ2(t+(qG+qE+2qd)te),其中ε2ȡε4qE-qd(2qd+qP0)2-lN-2-l0,在Z∗N中te是一个指数的时间,qG,qP0,qE,qd分别是查询预言机G,P0,Extract,ProxyDelegation的次数,那么该方案对敌手A2是(t,qG,qP0,qd,ε)安全的㊂证明:对敌手A2,构造算法B,输入(n,m,e,y=γe)运行A2,输出是γ=y1ebmodm㊂算法B运行A2,在输入mpk=(e,m)和回答A2的预言机查询时,由于A2拥有所有代理签名人的密钥,可以模拟代理环签名,因此预言机访问Sign是没有必要的,消除了方案的不可伪造性㊂假设算法CA2保持最初的空关联组T[㊃]和TP0[㊃],并回答如下A2的预言机查询㊂(1)P0(R0 ω ID)查询:如果定义TP0[R0 ω ID],B返回它的值;否则,B选择TP0[R0 ω ID]Ɣѳ{0,1}l0,并返回TP0[R0 ω ID]给A2㊂(2)G(IDu)查询:如果T(IDu)=(b,xu,Xu),B返回Xu㊂如果这项尚未定义,则选择xuƔѳZ∗N,并且b=0的概率是β,b=1的概念是1-β㊂如果b=0,则B设置Xu=xeu;如果b=1,设置Xu=xeuybmodm㊂它存储T[IDu]ѳ(b,xu,Xu),并返回Xu给A2㊂(3)基于IDu的Extract查询:算法B查找T[IDu]=(b,xu,Xu),如果这项尚未定义,它执行查询G(IDu)㊂如果b=0,则B返回xu;否则,设置badPEѳtrue,中止A2㊃96㊃北京电子科技学院学报2023年执行㊂(4)基于身份ID0的(ω,ID)ProxyDelegation查询:算法B执行查询G(ID0),查找T[IDu]=b,xu,Xu㊂如果b=0,则B执行ProxyDelegation算法模拟ID0的授权,因为B知道原始签名者的密钥x0㊂如果b=1,B首先选择c0Ɣѳ{0,1}l0和s0ƔѳZ∗N,并计算R0ѳs0eX0-C0bmodm㊂如果TP0[R0 ω ID]已经被定义,则B设置badDGѳtrue并且中止;否则,设置TP0[R0 ω ID]ѳc0,返回σ0=(R0,s0,c0)给A2㊂最后,假设如果B不中止签名模拟,在时限t内,至少以概率ε,用原始签名者身份ID0对消息m和授权ω,A2输出一个有效的伪造(R0,s0,c0)㊂首先,计算B不中止回答A2的查询的概率下界,需要计算η=Pr[ badPE]Pr[ badDG| badPE],其中作为A2对Extract和ProxyDel⁃egation分别查询的结果,事件badPE和badDG表明B中止签名模拟㊂这些概率计算如下:1)要求1:Pr[ badPE]ȡβqE㊀㊀证明:B在A2的Extract查询中中止的概率为Pr[ badPE]㊂对Extract查询,当b=1时,B以概率1-β中止且badPEѳtrue㊂故在一个Extract查询中Pr[ badPE]为β,且对于大部分qE的查询,该概率值至少是βqE㊂2)要求2:Pr[ badDG| badPE]ȡ1-qd((qd+qP0)2-lN)-q2d2-lN㊀㊀证明:事件 badPE和 badDG是独立的,故Pr[ badDG| badPE]=Pr[ badDG]㊂在ProxyDelegation查询中,B中止的概率为Pr[ badDG]㊂当查询badDGѳtrue时,B中止,该事件的概率包含两部分,一是以前查询P0发生的ProxyDelegation模拟中(R0 ω ID)产生的概率,二是B以前在ProxyDelegation模拟中使用相同随机性R0的概率㊂前者用于qdProxyDel⁃egation查询的概率至少为qd(qd+qP0)2-lN,后者用于qdProxyDelegation查询的概率至少为q2d2-lN㊂因此,B不中止签名仿真的概率至少是ηȡβqE-qd(2qd+qP0)2-lN㊂由于伪造是有效的,因此有s0e=R0(G(ID0))c0,在原始签名者身份ID0下,A2没有要求ProxyDelegation算法授权(ω ID),并且ID0没有要求Extract查询㊂另外,G(ID0)=xe0y的概率是1-β㊂然后B为ID0查找T[㊃]以获取值x0,并以概率ε1ȡε(1-β)ηȡε(1-β)βqE-qd(2qd+qP0)2-lN返回有用的输出(R0,s0,c0,x0)㊂因此,B以概率ε1ȡε4qE-qd(2qd+qP0)2-lN返回可用的输出(R0,s0,c0,x0)㊂由于P0是随机预言机,除非在攻击期间被询问,c0=P0(R0 ω ID)事件发生的概率小于2-l0㊂而很可能在成功攻击期间查询(R0 ω ID),对预言机P0查询后生成有效伪造概率的下界是ε2ȡε1-2-l0㊂之后B使用预言机重放技术[23]解决ISRSAC问题㊂B算法采用两份A2,猜测固定参数1ɤpɤ(qP0+qd),希望p是查询(R0 ω ID)到预言机P0的索引,猜测的概率是1qP0+qd㊂算法B给出了相同的系统参数,相同的身份和相同的随机比特序列给两份A2,并返回相同的直到查询预言机第p次查询随机应答㊂对第p次查询预言机P0,B给Hash查询Pp两个随机应答c0和cᶄ0,使得c0ʂcᶄ0㊂因此,在A2从P0查询相同的(R0 ω ID)后,B获得两个有用的输出(R0,s0,c0,x0)和(R0,sᶄ0,cᶄ0,x0)㊂利用引理1计算B返回一个有用对的概率㊂假定Γ表示A2成功执行的集合,B返回有用输出的成功概率是在空间(X,Y)上,其中X是随机位和B占用除了与预言机P0相关的随机预言机响应的集合;Y是随机预言机响应预言机㊃07㊃第31卷ISRSAC上基于身份的代理环签名方案设计㊀P0的集合㊂因此,Pr[(X,Y)ɪΓ]=ε2㊂用引理1,分裂了有关P0到(Yᶄ,c0)的随机性Y,除了结果为c0的第k次查询,Y是所有到P0不同查询的随机响应的集合㊂引理1保证Ω每个子集的存在,使得Pr[Ω|Γ]ȡγδ=12,并且对每个(X,Y)ɪΩ,Prc0ᶄ[(X,Yᶄ,cᶄ0)ɪΓ]ȡδ-γ=ε22(qP0+qd)㊂如果B用固定(X,Yᶄ)和随机选择的cᶄ0ɪ{0,1}l0重放攻击,它得到另一个成功对((X,Yᶄ),cᶄ0),使得c0ʂcᶄ0以概率ε2(1-2-l0)4(qP0+qd)㊂A2成功执行两次后,B得到((X,Yᶄ),c0)和((X,Yᶄ),cᶄ0),c0ʂcᶄ0,即以概率εᶄȡε22(1-2-l0)4(qP0+qd)得到有用对(R0,s0,c0,x0)和(R0,sᶄ0,cᶄ0,x0)㊂从有用对(R0,s0,c0,x0)和(R0,sᶄ0,cᶄ0,x0),B计算y的ISRSAC算法反演如下㊂由于输出是基于有效的伪造,因此se0=R0(xe0y)c0,seᶄ0=R0(xe0y)cᶄ0㊂此外,还得到x0(cᶄ0-c0)s0sᶄ0æèçöø÷e=y(c0-cᶄ0)bmodm㊂由于c0ʂcᶄ0ɪ{0,1}l0并且e是一个长度严格大于l0的素数,即e>c0-cᶄ0,因此gcd(e,(c0-cᶄ0))=1㊂使用扩展Euclidean算法,可以找到a,bɪZ,使得ae+b(c0-cᶄ0)=1㊂得出y=yae+b(c0-cᶄ0)=yax0(cᶄ0-c0)ssᶄæèçöø÷bæèçöø÷ebmodm㊂算法B以概率εᶄ输出yax0(cᶄ0-c0)ssᶄæèçöø÷bæèçöø÷作为y的ISRSAC反演㊂算法B的运行时间tᶄ是A2的2倍,加上响应Hash查询所需的时间,qEExtract和qdProxy⁃Delegation查询的时间㊂假设ZN中l(多)次模指数运算需要te时间,当所有其他操作需要时间为零,由于每个随机预言机G或Extract查询需要的时间最多为1次指数运算,1个授权模拟需要2次指数运算,B的运行时间为tᶄɤ2(t+(qG+qE+2qd)te),证明完成㊂定理4 3若与KGisrsac相关的ISRSAC函数是(tᶄ,εᶄ)单向的,并且εᶄȡ(ε1-z2-l0)2(1-2-l0)8(qP1+qs)(qP1+qs+1),tᶄɤ2(t+(qG+qE+(2z+1)qs)te)㊂当ε1ȡε4qE-(2q2s+qsqP1)2-lNæèçöø÷,在Z∗N中te是一个指数的时间,qG,qP0,qP1,qE,q分别是预言机G,P0,P1,Extract,Sign的查询数量,那么该方案对敌手A3是(t,qG,qP,qE,qPrs,ε)安全的㊂证明:证明对于敌手A3,构造算法B,输入((e,m),y=yebmodm)运行A3,目标是输出γ=y1ebmodm㊂算法B运行A3,在输入mpk=(e,m)和应答A3的预言机查询时,打破该方法的存在不可伪造性㊂A3拥有原始签名者的私钥,故可以模拟授权,预言机访问ProxyDelegation是没有必要的㊂假设算法B保持初始的空关联数组T[㊃],TP0[㊃],TP1[㊃],并且应答A3的预言机查询如下㊂(1)P0(R0 ω ID)查询:如果定义TP0[R0 ω ID],则B返回它的值,否则B选择TP0[R0 ω ID]Ɣѳ{0,1}l0,返回TP0[R0 ω ID]给A3㊂(2)P1(RuG(IDu)cuR0G(ID0)c0 ID ID IDuω message)查询:如果定义TP1[RuH(IDu)cuR0H(ID0)c0 ID ID IDuω message],则B返回它的值;否则,B选择TP1[RuG(IDu)cuR0G(ID0)c0 ID ID IDu ω message]Ɣѳ{0,1}l1返回给A3TP1[RuG(IDu)cuR0G(ID0)c0 ID ID IDu ω message]㊂㊃17㊃。
门限多重秘密共享方案
门限多重秘密共享方案
许春香;肖国镇
【期刊名称】《电子学报》
【年(卷),期】2004(032)010
【摘要】本文提出了一个门限多重秘密共享方案,其安全性依赖于RSA数字签名的安全性,即大数分解的困难性.该方案具有如下特点:参与者的子秘密可反复使用,可用来共享任意多个秘密;能有效预防管理员欺诈及参与者之间的互相欺骗;此外,在验证是否有欺诈行为存在的过程中,不需要执行交互协议.
【总页数】3页(P1688-1689,1687)
【作者】许春香;肖国镇
【作者单位】西安电子科技大学计算机网络与信息安全教育部重点实验室,西安,710071;西安电子科技大学计算机网络与信息安全教育部重点实验室,西
安,710071
【正文语种】中文
【中图分类】TN918.1
【相关文献】
1.门限多重影子秘密共享方案及应用 [J], 杨捷
2.一种新型的门限多重秘密共享方案 [J], 杨捷;李继国
3.自选子密钥的动态门限多重秘密共享方案 [J], 白雪鹏;刘焕平
4.基于门限签名体制的多重秘密共享方案 [J], 王云;张秉儒;芦殿军
5.一种新的(t,n)门限多重秘密共享方案 [J], 李金凤
因版权原因,仅展示原文概要,查看原文内容请购买。
一种基于双线性配对的可验证秘密分享方案
收稿日期:2005-10-31 基金项目:国家863计划资助项目(2001AA115090) 作者简介:李彬(1976-),男,陕西西安人,工程师,博士研究生,主要研究方向:构件技术和网络安全; 郝克刚(1936-),男,陕西西安人,教授,博士生导师,主要研究方向:软件工程、构件技术和网络安全.文章编号:1001-9081(2006)04-0809-03一种基于双线性配对的可验证秘密分享方案李 彬,郝克刚(西北大学计算机科学系,陕西西安710069)(iibin_2002@)摘 要:提出了一种基于双线性配对的可验证秘密分享(VSS )方案,并证明该方案是IND-CCA2安全的。
该方案的效率略高于同类的椭圆曲线离散对数问题(ECDLP )方案,同时加密结果也较小,可适用于带宽要求较小的环境。
最后给出了该方案基于的椭圆曲线安全性分析,以指导该方案的实施。
关键词:可验证秘密分享;IND-CCA2;椭圆曲线;(t ,n )门限中图分类号:TP309.2 文献标识码:AVSS scheme based on bilinear pairLI bin,HAO Ke-gang(Department of Computer Science,Northwest Uniuersity,Xifan Shaanxi 710069,China )Abstract:A Verified Secret Share(VSS)scheme based on biiinear pair was proposed,and a IND-CCA2proof to this scheme was given.The efficiency of this scheme is higher than the schemes based on Eciipse Curve Discrete Logarithm Probiem(ECDLP),and the reguired band is narrower than theirs so it works weii in rigorous environment.Then an anaiysis of the choice of the eciipse curve was given in order to get a higher security ievei that fit for this scheme.Key words:Verified Secret Share(VSS);IND-CCA2;eiiiptic curve;(t ,n )threshoid0 引言可验证秘密分享(Verified Secret Share ,VSS )[1]基于加密技术,目前已广泛应用在数据安全、可靠存储等领域,并作为设计安全密码协议的重要内容而备受关注。
数字签名
数字签名(又称公钥数字签名、电子签章)是一种类似写在纸上的普通的物理签名,但是使用了公钥加密领域的技术实现,用于鉴别数字信息的方法。
一套数字签名通常定义两种互补的运算,一个用于签名,另一个用于验证。
数字签名,就是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。
数字签名是非对称密钥加密技术与数字摘要技术的应用。
原理:数字签名的文件的完整性是很容易验证的(不需要骑缝章,骑缝签名,也不需要笔迹专家),而且数字签名具有不可抵赖性(不需要笔迹专家来验证)。
简单地说,所谓数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。
这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人(例如接收者)进行伪造。
它是对电子形式的消息进行签名的一种方法,一个签名消息能在一个通信网络中传输。
基于公钥密码体制和私钥密码体制都可以获得数字签名,主要是基于公钥密码体制的数字签名。
包括普通数字签名和特殊数字签名。
普通数字签名算法有RSA、ElGamal、Fiat-Shamir、Guillou- Quisquarter、Schnorr、Ong-Schnorr-Shamir 数字签名算法、Des/DSA,椭圆曲线数字签名算法和有限自动机数字签名算法等。
特殊数字签名有盲签名、代理签名、群签名、不可否认签名、公平盲签名、门限签名、具有消息恢复功能的签名等,它与具体应用环境密切相关。
显然,数字签名的应用涉及到法律问题,美国联邦政府基于有限域上的离散对数问题制定了自己的数字签名标准(DSS)。
主要功能:保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。
数字签名技术是将摘要信息用发送者的私钥加密,与原文一起传送给接收者。
接收者只有用发送者的公钥才能解密被加密的摘要信息,然后用HASH函数对收到的原文产生一个摘要信息,与解密的摘要信息对比。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一种可验证的门限RSA签名方案
0引言
Shoup于2000年提出了一个门限RSA签名[3],解决了
上述问题,在Lagrange插值系数中乘以一个数,使得在一
般整数环运算下,插值系数是一个整数。同年徐秋亮学者提
出了一个改进的门限RSA数字签名体制[4],也用到了类似
的技术使插值系数是一个整数。随后王贵林等学者对Shoup
门限RSA签名作了改进[5],使之能够用于门限不可否认签
名。笔者对Shoup门限RSA签名方案作了改进,并且使用可
验证秘密共享技术(Verifiable Secret Sharing,VSS)提
出了一个可验证的门限RSA签名方案。
1预备知识
1.1Feldman可验证秘密共享
3可验证的门限RSA签名方案的分析
本方案的本质改进在于:①可以看到Shoup原方案产生
的签名是一个标准的RSA签名;王的改进方案产生的是非标
准的RSA签名;本文提出的方案产生的签名也是标准的。这
是通过改进每个成员的子密钥实现的。②缩小插值系数为原
来的1/n,提高了签名的速度。③为了方便地引入VSS,笔
者改变了分发密钥的多项式系数。这样能够简单地把VSS引
入本文的方案。④由于引入了VSS,密钥分发者的诚实性得
到了验证,保证了子密钥的正确性。下面具体分析改进方案。
(3)不可伪造性。在标准RSA签名方案是安全的假设
下,该方案是不可伪造的。攻击者能在该方案中伪造签名当
且仅当他能在Shoup方案中伪造签名。文献[3]中给出了
Shoup方案的不可伪造性分析,本文方案的不可伪造性可以
仿此得到。
性能分析:注意在性能分析中为了进行方案间的比较,
不讨论改进方案的VSS部分。事实上,VSS部分仅用于子密
钥分发步骤,不影响方案的签名和验签效率。与王的改进方
案相比,本方案生成和验证签名的速度均明显快于王的方案。
由门限签名的生成式(9)和插值系数(2)可以看出,本方案绑
定签名时模幂运算的指数变为王的方案的1/n,模幂运算比
较耗时,指数变小提高了生成签名的速度。验证式(10)不需
要计算模幂运算x4 mod N,提高了验签的速度,这在公钥指
数e和4比较接近时效果尤为显著。如取e=3时,验签的速
度能够提高一倍。在实际应用中,为了提高验签速度公钥指
数e一般都取较小的值,所以该方案的改进是很有必要的。
王的方案在性能上优于Shoup原方案,本方案在性能上也高
于Shoup原方案。
本方案生成的签名是一个标准的RSA签名。在这一点上
与Shoup的原方案是一样的,但王的方案产生的签名不是标
准RSA签名,从而导致了验签也不是标准的。关于本文的方
案与Shoup方案的比较可以