对一个基于RSA门限代理签名方案的分析与改进
基于RSA的前向安全的防欺诈的门限数字签名方案
( oeeo o p t c neScunN r a nvrt,hn d 10 8,i u n C i Clg Cm ue Si c,i a om lU i sy C eg u60 6 Sc a , hn l f r e h ei h a)
Ab t a t sr c P o o e r a d s c r n h a・ r o rs od dgt l i n t r c e , ih b s d o S ii ls n t r c e n r p s d a f w r —e u ea d c e t o f h e h l ii g au e s h me wh c a e n R A d gt i au e s h mea d o p t as a g
维普资讯
第2 5卷 第 6期 20 0 8年 6月
计算机 应 用与软件
Co u e p iai n n ot a e mp trAp l t s a d S f r c o w
Vo . 5 No. 12 6
Jn 0 8 u .2 0
M nr ie 对前 向签名进行 了形式化定义 , 出了一套系统公钥保持 提
0 引 言
数字签名技术作 为信 息安全领 域的一项 重要技术 , 当今 在
不变 , 私钥不断更新 的前 向数字签 名方 案。此后文献 [ 和文 4] 献[] 5 根据此方案分别提 出了一种 基于椭 圆曲线 密码体制 的前 向的数 字签名方案和基 于 E G ma 的前 向数字签名方案 , 文 La l 但 献[ ] 6 和文献[ ] 7 分别指 出 了上述 两种方案 不是真正 的前 向更 新的签名方案 , 并提 出了新的可前向更新的签名方案。
的信息时代所起到的作用 越来越 大。特别 在 电子商 务领域 , 数
基于RSA密码体制的门限代理签名方案
中 圈分类 T 39 号; P0・ 2
基 于 RS 密码 体 制 的 门限代 理 签名 方案 A
黄梅娟
( 鸡文理 学院数学系 ,陕西 宝鸡 7 1 1) 宝 2 0 3 摘 要 :为解决现有 门限代理 签名方案存在的安全隐患 ,结合离散对 数问题 ,提 出一个基于 RS 密码体制的门限代理签名方案。理论分 A
第3 8卷 第 8 期
V0 . 8 13
・
计
算
机
工
程
21 0 2年 4月
Aprl 201 i 2
N O. 8
Co utrEn ne rng mp e gi e i
安全 技术 ・
文章编号:1 0 48 02 8 00— 2 文献标识 0 —32( 1 o— 15 0 0 2 ) 码:A
ofp e i u A— s d t r s o d p o y s g t r c e . a y i e u t ho t a h e s he a e it h rg n l ine ’ i s d ra t c r v o s RS ba e h e h l r x ina u e s h me An l ss r s ls s w h t e n w c me c n r s s e o i i a g rS n i e t k t t s a a d t e p o y sg e s o p r c ta k.Be i e ,t e n w s he s t fe n n r p d a i n e i a l y e o n z b l y a d t e e u iy n h r x i n r ’c ns ia y a t c sd s h e c me a ii s o — e u i t ,v rf bi t ,r c g ia ii n o h r s c rt s o i i t r q ie n s An st d n a e fsmp iiy o i n n r c s , n w o e u r me t . d i ha a va t g so i lct fsg i g p o e s a d l c mmu i a i n . t he o n c to s
简析RSA数据加密算法的分析与改进
简析RSA数据加密算法的分析与改进摘要:RSA加密算法中存在着大素数查找的问题,导致RSA运算速度缓慢。
本文利用小素数筛值法、偶数排除法、小素数整除法等方法对伪素数进行了初步的剔除,然后利用米勒-拉宾法来进行素数的检测,从而大大地改善了对素数的探测效果。
实验证明,与传统Miller-Rabin方法比较,该方法在较短的时间内产生大素数,而不是大素数的几率低于0.1%。
因此,RSA的加密速度和RSA的可操作性都得到了改善。
关键词:RSA数据加密算法改进引言:当前,信息化已成为社会发展的中心趋势,它作为一种重要的战略资源,随着互联网的发展突破了传统的空间和区域概念,使真正意义上的全球信息化逐渐呈现在我们的面前,但由于互联网的互联性、共享性和可开发性,假冒、篡改、泄露等一系列问题也需要我们去正面认识与解决。
因此,网络时代确保信息安全始终是一个重要的课题。
为了保障网络中的数据安全性,信息加密技术一定是最主要且最基础的保护方式。
在大多数情况下,只有通过加密技术才能进一步确保网络中的数据通信安全。
为了达到对资料数据的加密处理,一般可以采用多种加密算法技术。
目前,已公布的加密算法主要有DESRC4和FEAL-N等,RSA是在1977年由RSA、AdiShamirh和LenAdleman三位科研人员在美国麻省理工大学开发的,而RSA命名是基于三个开发者的姓名组合和零知识证明算法等密钥算法所命名。
在这些算法中,RSA算法是综合效果最佳的,对于它的普遍应用,以及更多被证实的安全性测试,本文都将针对此进行更深入的研究和完善,从而尽可能再提高它的性能,使RSA算法具备更佳的可操作性。
1公开RSA加密算法RSA加密属于公开密钥加密算法,它自身具有很强的代表性,对于密钥来说,不论是加密,还是解密,在关联中都存在着些许的差异。
在公开密钥算法里,加密密钥是透明化的,而对于此,解密密钥就具备鲜明的私有性。
众所周知,对于公钥和私钥,在被包含的RSA加密算法里,它们具备对数据进行加密的时效性,理论上没有任何限制;而另一个关键在于对应的解密过程,无法从根本上进行密钥的相互的推导,那么在某种程度上就能更好地解决在传输过程中因密钥丢失而造成的安全隐患。
一种有效的RSA算法改进方案
摘
要 :S R A算 法的解 密性能 与大数模 幂运 算的实现效率有 着直接 的关 系。提 出一种 R A算 法的 改进 方案 , S 通
过 将 R A 解 密 时 的 一 些 运 算 量 转 移 到 加 密方 , 且 运 用 多素 数 原 理 使 得 解 密 时 大 数 模 幂 运 算 的 模 位 数 和 指 数 位 数 减 S 并 小 。 实验 结 果 表 明 该 方 案 不 仅 提 高 了 R A 密码 系统 的安 全 性 , 且 提 升 了 R A 密 码 系统 解 密 的 性 能 , 该 方 案 易 于 S 而 S 且 并 行 实现 , 可使 得 基 于 多核 平 台的 R A 系统 的 性 能 得 到 进 一 步 提 升 。 S
第3 O卷 第 9期
21 0 0年 9月
计 算机 应 用
J u n lo mp trAp l a in o r a f Co u e p i t s c o
ISRSAC_上基于身份的代理环签名方案设计
第31卷第3期北京电子科技学院学报2023年9月Vol.31No.3JournalofBeijingElectronicScienceandTechnologyInstituteSep.2023ISRSAC上基于身份的代理环签名方案设计袁煜淇㊀刘㊀宁㊀张艳硕北京电子科技学院,密码科学与技术系,北京市㊀100070摘㊀要:数字签名作为核心密码技术之一,对数据安全保护起着重要作用㊂代理环签名是一种兼具环签名和代理签名两者功能的特殊类型的数字签名,适用于对用户身份信息有较高保护需求的领域㊂RSA作为数字签名的基础算法之一,其安全性随着量子计算的快速发展而遭受威胁㊂2018年,M.Thangaval等人在RSA的基础上提出ISRSAC算法,该算法通过增加因式分解复杂性并引入随机数实现对传统RSA安全性的改进㊂在赵等人基于身份及RSA的代理环签名的基础上做出了改进,结合更安全的ISRSAC算法设计并提出了一个基于身份的代理环签名方案,并对方案的正确性及安全性展开分析,同时与其他方案进行对比说明,结果表明该方案具有强不可伪造性㊁匿名性等,能够有效保护授权信息,在匿名电子投票等领域具有很好的现实意义和应用价值㊂关键词:ISRSAC;身份基签名;代理环签名;安全性中图分类号:TP309㊀㊀㊀文献标识码:㊀㊀A文章编号:1672-464X(2023)3-62-77∗㊀基金项目:中央高校基本科研业务费专项资金资助(328202226)㊁ 信息安全 国家级一流本科专业建设点和国家重点研发计划基金资助项目(项目编号:2017YFB0801803)∗∗㊀作者简介:袁煜淇(2000-),女,研究生在读,网络空间安全专业㊂E⁃mail:1210346807@qq.com刘宁(1999-),女,研究生在读,网络空间安全专业㊂E⁃mail:1724916925@qq.com张艳硕(1979-),男,通信作者,副教授,博士,硕士生导师,从事密码数学理论研究㊂E⁃mail:zhang_yanshuo@163.com1㊀引言1 1㊀研究背景及意义数字签名技术在数据安全和隐私保护中发挥着尤为重要的作用,大部分签名算法是基于公钥密码体制的,其中经典算法RSA是1977年由Rivest等[1]提出的,其安全性依赖于大整数分解困难问题㊂但随着量子计算机的出现,其安全性遭受威胁㊂不断有学者提出以RSA为基础的变种算法,以改进其安全性㊂2015年,Arora等[24]通过添加额外的第三素数到公私钥的构成中以增加参数n因子分解的复杂性,并提出了一种加快整个网络的数据交换过程中RSA算法实现的改进形式,但容易受到选择密文攻击㊂2016年,Mustafi等[25]提出利用双变量双射函数的优化方案㊂2018年,Thangavel等[2]提出了 用于云数据机密性的改进RSA安全密码系统(ISR⁃SAC) ,同时证明ISRSAC算法的安全性高于RSA㊂同时,随着技术发展衍生出大量新型应用场景,传统数字签名技术所实现的功能无法满足实际应用需求,故学者们不断提出特殊类型的数字签名以适应使用场景,代理环签名正是其中之一㊂1996年,Mambo等[3]提出代理签名的概念第31卷ISRSAC上基于身份的代理环签名方案设计㊀以满足签名权可授权委托的使用需求㊂2001年,Rivest等[4]提出环签名的概念,主要思想是可实现以匿名方式发布可靠信息㊂2003年,Zhang等[5]提出代理环签名的概念,结合代理签名和环签名的功能,满足了原始签名人签名权的委托代理及身份匿名的隐私保护需求,能够有效解决代理签名者的隐私保护问题㊂在上述基于RSA的改进算法及具备特殊功能的签名方案的研究背景下,讨论研究基于新型算法构造的具有特殊性质的签名方案,对密码技术应用于诸如电子现金㊁电子投票㊁匿名通信等对用户身份隐私保护具有较高要求的领域有重要的理论意义和实用价值㊂1 2㊀国内外研究现状ISRSAC算法是在公钥密码体制下以传统RSA算法为基础的改进安全性的新型算法,而数字签名的安全性极大程度依赖于其核心算法的安全性,故基于ISRSAC构造的数字签名相比于基于传统RSA算法的签名方案而言,具有更高的安全性㊂2015年,Thangavel等[6]提出了ESRKGS算法,该算法将RSA中的大整数分解由两个素数改进为四个素数,增加了破解难度㊂2018年,Thangavel等[7]再次提出了ISRSAC算法以改进了Lvy等人指出的缺陷,进一步增强方案的安全性㊂2021年,Yang等[8]构造了基于ISRSAC的数字签名方案,在此基础上分别设计了代理签名方案㊁广播多重签名方案和有序多重签名方案㊂2022年,刘等[9]在Yang等人的基础上,设计了基于ISRSAC的按序代理多重签名以及广播代理多重签名方案㊂同年,张等[10]基于ISRSAC算法构造了一个环签名方案,并证明了一系列安全性质㊂目前,不断有学者以ISRSAC为基础构造出适用于不同场景的数字签名方案,将该算法的安全性优势与数字签名技术结合,并研究讨论其在各领域上的应用㊂代理环签名的概念是Zhang等[5]人在2003年提出的,将代理签名和环签名两者的功能特性结合,在实现签名权委托代理的同时有效保护了代理签名人的匿名性㊂2004年,Cheng等[11]首次提出基于身份的代理环签名,简化了公钥证书管理㊂2008年,Schuldt等[12]人提出了一个基于身份的代理环签名方案㊂2009年,陈等[13]人提出了基于RSA的代理环签名方案㊂2014年,Asaar[14]给出了基于身份的代理环签名定义及其安全模型,证明了基于RSA假设的随机预言机模型下身份基代理环签名方案是安全的㊂2015年,张等[15]基于双线性对运算和离散对数的困难性问题,提出了基于身份的代理签名㊂2018年,赵等[16]提出了基于身份及RSA的简短代理环签名方法,缩短密钥及签名长度以提高计算效率㊂2019年,Liu等[17]提出了一种高效的车载代理环签名方案㊂2022年,袁等[18]通过对SM2算法进行改进,提出了一种高效的门限环签名方案㊂1 3㊀主要工作及组织结构本文在文献[16]的基础上做出研究,设计并提出了一个ISRSAC上基于身份的代理环签名方案㊂在随机预言模型下,基于ISRSAC的方法被证明是安全的㊂对于本文在ISRSAC算法基础上提出的基于身份的代理环签名方案设计,首先在方案构造上是基于公钥密码体制,相比于以往基于双线性对来构造身份基代理环签名的方法做出了创新;同时,方案的安全性与构成代理环的成员数量无关,实现了强不可伪造性;此外,引入安全性高于RSA的ISRSAC算法,比现有的基于身份的代理环签名安全性更高㊂最后,对方案计算代价进行研究分析,并结合其他方案做出对比说明,进一步突出方案的计算实现的效率㊂本文主要内容安排如下:第1节,主要介绍论文研究的背景意义,概述公钥密码体制下的数字签名技术发展现状,并对ISRSAC算法和代理环签名国内外研究现状进行阐述㊂第2节,围绕设计ISRSAC及基于身份的代理环签名方案过㊃36㊃北京电子科技学院学报2023年程中涉及到的密码学知识进行介绍说明㊂第3节,本节介绍了方案设计的相关知识和方案设计的具体内容㊂第4节,对方案的正确性及安全性进行进一步分析及对比说明㊂第5节,对本文主要工作和成果进行总结概述㊂2㊀基础知识㊀㊀本节将引入相关指标说明ISRSAC算法的安全性高于RSA㊂再依次介绍基于ISRSAC的一般数字签名㊁环签名以及代理环签名方案㊂2 1㊀ISRSAC算法的安全性ISRSAC是以RSA为基础的改进算法,通过强化大整数分解的复杂性,并引入随机数,使得时间复杂度这一指标随着算法复杂程度增加而增大㊂具体说明如下:(1)强化大整数分解难题㊂对于大整数N的生成,由RSA中两个大素数p,q相乘,改进为两个大自然数p-1,q-1和两个大素数相乘,增加了因式分解的难度㊂因而现有的攻击方法通过因式分解求得私钥的时间复杂度指标增大㊂(2)引入随机数增大攻破难度㊂ISRSAC算法中在私钥生成过程中定义了一个新的安全函数α(n),同时引入了一个随机数r以生成α(n)㊂因此,即使攻击者破解得到p,q,但由于r的随机性,也使攻击者无法破解得到私钥d㊂由上述两方面可以明确,ISRSAC在理论上大大提升了算法破解的时间复杂度,使得其安全性远高于传统RSA,该结论也在Yang等[8]人的文章中得到证明㊂2 2㊀基于ISRSAC的数字签名方案该签名算法中,使用ISRSAC生成公私钥对㊂算法流程分为三个阶段:密钥生成算法㊁签名生成算法㊁签名验证算法㊂具体如下:(1)密钥生成算法:随机选取大素数p,q且pʂq,p,q>3;计算n=p㊃q㊃(p-1)㊃(q-1),m=p㊃q;随机选取整数r,其中r满足条件p>2r<q,再计算得到α(n)=(p-1)(q-1)(p-2r)(q-2r)2r;选取公钥e,其中1<e<α(n),gcd(e,α(n))=1;计算私钥d,其中d㊃eʉ1(bmodα(n))㊂综上,确定公钥(e,m)和私钥(d,n)㊂(2)签名生成算法:假设明文为M,哈希函数为H,哈希值为H(M)㊂私钥为(d,n),计算SʉH(M)dbmodm作为H(M)的签名㊂(3)签名验证算法:验证消息M上的签名S,使用同一哈希函数计算H(M),用公钥(e,m)验证H(M)ʉSebmodm是否正确㊂如果等式正确,则接受签名㊂2 3㊀基于ISRSAC的环签名方案2022年,张等人提出一个基于ISRSAC的环签名方案,这一方案主要包含三个算法:密钥生成算法㊁环签名生成算法㊁环签名验证算法㊂(1)密钥生成算法与基于ISRSAC的一般数字签名方案一致,使用ISRSAC生成公私钥对㊂(2)环签名生成算法签名者通过随机n-1个用户的公钥,以及自己的公钥形成一个公钥环L={P1,P2, ,Pn},其中Pi=(ei,mi),i=1,2, ,n,签名者为其中第π(1ɤπɤn)个用户,再利用自身私钥(dπ,nπ)和公钥环L通过下列算法生成对消息M的环签名:计算Sπ=H1(M)dπ㊃ᵑni=1,iʂπH1(M)-ei2(bmodm);Si=H1(M)eπei(modm),输出关于M的环签名(S1,S2, ,Sn)㊂(3)环签名验证算法验证者收到消息Mᶄ及环签名值(S1ᶄ,S2ᶄ, ,Snᶄ)后进行验证:计算H1(Mᶄ),ᵑni=1Sᶄiei;判断ᵑni=1SᶄieiʉH1(Mᶄ)(bmodm)是否成立㊂2 4㊀基于ISRSAC的代理环签名方案基于ISRSAC算法的代理环签名方案分为㊃46㊃第31卷ISRSAC上基于身份的代理环签名方案设计㊀四个阶段:系统建立㊁用户密钥生成阶段㊁签名阶段以及验签阶段㊂(1)系统建立:通过ISRSAC算法生成公私钥对分别为(e,m),(d,n);选择两个Hash函数:H1:{0,1}∗ңZm∗,H2:{0,1}∗ң{0,1}a;公开系统参数(m,e,H1,H2),CA将私钥(d,n)作为主密钥㊂随机生成一些素数作为H1函数,本方案选择SM3函数作为H2函数㊂(2)用户密钥生成阶段1)独立用户密钥生成㊂CA根据每个用户的身份生成唯一编号ID:ID=H1(身份信息)作为每个用户公钥pk,S为用户ID集合:(ID1,ID2, ,IDn)ɪS;CA计算用户私钥sk=(ID)dbmodn并以安全方式发送给用户㊂用户收到密钥后通过IDʉ(sk)ebmodm进行验证㊂上述用户密钥生成过程可由一个CA单独完成,虽然用户信任CA,但实际应用中由于CA知道每个用户的密钥,具有过大权限则不能对它进行合理约束㊂2)联合用户密钥生成㊂为此在设计方案时由多个独立的CA联合生成密钥,通过多个分密钥联合生成用户密钥:Did=Did(1)+Did(2)+Did(3)+, +Did(n),可有效约束CA㊂具体方案如下:每个分CAi选择整数ei,满足,gcd(ei,α(n))=1,计算di:ei㊃diʉbmodα(n),给定初始值:C0=ID,e=1㊂随机选择一些CAi,1ɤiɤk(k为CA个数),计算:Ciʉ(Ci-1)dibmodn,eʉei㊃ebmodα(n)㊂得到:skʉCkʉ(ID)dbmodn,d=ᵑiɪCAdi(bmodα(n)),IDʉ(sk)ebmodm,eʉᵑiɪCAei(bmodα(n))㊂(3)签名阶段原始签名者A需要向环内成员签名时,A将消息msgA(R M L)发送给CA,即包括自己身份㊁期限的授权信息R,需要签名的消息集M和代理签名成员集合信息L={ID1,ID2, ,IDn}㊂CA收到消息后,生成含有A信息的密钥,并通过安全的方式发送给A:SAʉ(H2(R M L))dbmodn㊂A在收到来自CA的密钥后,通过SAeʉH2(R M L)bmodm验证㊂确认无误后,A随机选择整数rɪuZ∗m,计算代理信息:tʉrebmodm,sʉSA㊃r(H2(t M))bmodm,并发送给环内授权成员IDɪL㊂环内代理成员IDsɪL接收到A发来的代理信息(s,t)后进行验证:seʉH2(R M L)㊃tH2(t M)bmodm㊂确认无误后,代理L签署信息㊂首先对所有的iɪ{1,2, ,n}ɡiʂs,随机均匀㊁一致的选择riɪuZ∗m,再计算:tiʉriebmodm,hi=H2(IDi,ti,M,L)㊂随机选择一个rsɪuZ∗m,计算tsʉrseᵑiʂs(IDi)-hibmodm,如果有(ts=1)ᶱ(ts=ti,iʂs),则重新计算ti,hi,否则计算hs=H2(IDs,ts,M,L)㊂IDS用A的授权信息s生成自己的代理密钥skᶄsʉskshs㊃sbmodm㊂计算σʉskᶄsᵑni=1ribmodn㊂最后生成代理环签名:Ω={R,M,L,t,t1, ,tn,h1, ,hn,σ}(4)验签阶段对于签名的每个接收者首先选择IDiɪL验证:hi=H2(IDi,ti,M,L),i=1,2, ,n,进而验证:σeʉᵑ1ɤiɤn(tiIDihi)㊃tH2(t M)H2(R M L)bmodm㊂如果两者相等,则说明签名验证结果正确,反之错误,拒绝签名㊂3㊀ISRSAC上基于身份的代理环签名方案㊀㊀本节设计并提出了一个ISRSAC上基于身份的简短代理环签名方案,该方案包括6个算法:密钥生成(Generation)㊁提取(Extract)㊁代理委托(Delegation)㊁验证委托(VerifyDelegation)㊁签名(Sign)和验证(Verify)㊂该方案能够有效缩短密钥和签名长度,提高了计算效率;在实现上不受代理密钥暴露攻击的影响,具有强不可伪㊃56㊃北京电子科技学院学报2023年造性㊂3 1㊀符号说明注意:如果算法A是(t,qg,qp,qe,qe,qprs,e)有界的,即算法的运行时间最多为t,使得最多在时间qg查询预言机G,在时间qp查询随机预言机P,在时间qe查询Extract,在时间qd查询ProxyDelegation和在时间qs查询Sign预言机,可以至少以ε的概率赢得游戏㊂表1㊀符号说明符号含义说明xƔѳX表示分配给x的操作X是一个集合x是从集合X均匀随机选择的一个元素x1 x2 xn表示一个编码为字符串组成的对象的有效回收x1,x2, xn,是对象#空字符串|x|表示x的比特长度θѳC(x1, xn)表示算法C输入x1, 输出到θ3 2㊀相关知识(1)ISRSAC假设ISRSAC密钥生成器KGisrsac是生成四元组(n,m,e,d)的算法,其中n=p㊃q㊃(p-1)㊃(q-1),m=p㊃q且e㊃dʉbmod(α(n)),其中α(n)=(p-1)(q-1)(p-2r)(q-2r)2r㊂算法B打破KGisrsac和ISRSAC单向性的有利条件定义为:Advow-isrsacKGisrsac(B)=pr(n,m,e,d)ѳKGisrsac;γѳZNy=γebmodmγѳB(n,m,e,y)éëêêêêùûúúúú即B打破了ISRSAC相对于KGisrsac的(tᶄ,εᶄ)的单向性,如果B以tᶄ的时间运行,并且有利条件为Advow-isrsacKGisrsac(B)ȡεᶄ㊂(2)基于身份的签名[13]在签名认证的过程中,将主体公钥与之身份信息相关联是十分有意义的,基于此,Shamir[19]提出了一种基于身份的公钥密码体制㊂密钥生成算法为:公钥=H(身份信息);私钥=F(主密钥,公钥)㊂该密钥生成与传统公钥密码体制相反,该计算过程无法公开,只限于特定的主体,以实现对计算出的密钥的保密㊂在该公钥密码体制中,用户可以使用身份信息等作为公钥,再用公钥生成私钥,此即为基于身份的公钥密码体制㊂在Shamir的基于身份的签名方案中包括4步算法[20]㊂建立:这个算法由TA(可信机构)运行来生成系统参数和主密钥;用户密钥的生成:这个算法也由TA执行,输入主密钥和一条任意的比特串idɪ{0,1}∗,输出与id对应的私钥;签名:一个签名算法㊂输入一条消息和签名者的私钥,输出一个签名;验证:一个签名的验证算法㊂输入一个消息㊁签名对和id,输出True或False㊂(3)安全模型Yu[21]等提出对基于身份的代理环签名方法选择身份攻击,存在A1,A2,A3三种类型的潜在敌手㊂安全模型中需要满足代理签名者身份的不可伪造性并且对抗适应性选择消息可实现存在性不可伪造㊂若方案对2㊁3型敌手安全,则对1型敌手也是安全的㊂在挑战者C和敌手A之间开始以下游戏,验证方案对A1㊁A2㊁A3敌手的不可伪造性㊂C运行算法ParaGen,用安全参数l获得系统参数para和主密钥(mpk,msk),然后发送主密钥给A㊂A将密钥与各身份IDu对应并运行KeyExtract算法,C将私钥xu返回给敌手㊂敌手A可以基于消息空间描述符ω上原始签名者的身份ID0和身份集ID请求授权,ID是ID0在ω上签名权委托代理的身份集㊂C运行KeyExtract得到x0并返回σ0:σ0ѳDelegationGen(Para,mpk,ID0,ID,ω,x0)㊂A可请求message有关于ID到C的代理环签名㊂此外,敌手A为ω和ID提供了一个具有㊃66㊃第31卷ISRSAC上基于身份的代理环签名方案设计㊀身份ID0的原始签名者的授权σ0,该授权由DelegationGen算法得到或由A产生㊂C检查σ0是一个有效授权,在授权中具有身份ID0的原始签名者将ω的签名权授权给具有身份集ID的委托代理,满足ID⊆ID,messageɪω㊂若上述不成立,返回#;否则,C运行KeyExtract算法获得对应于身份IDj的一个代理签名者密钥xj,IDjƔѳID,再运行ProxyRingSign算法生成代理环签名θ并返回给敌手A㊂最后,输出一个关于原始签名者身份ID0和代理签名者身份集ID∗的基于身份的有效代理环签名(message∗,ω∗,θ∗),其中ID∗⊆ID∗,ID(是损坏的代理签名者的集合,并赢得游戏㊂对于A=A1,E0:ID0∗和ID∗中所有身份未被请求给Extract查询机,即A1没有密钥对应于它们;E1:(ω∗,ID∗)对没有被要求作为身份ID0∗下的一个ProxyDelegation查询;E2:m∗没有被要求作为身份集ID∗下的一个Sign查询㊂敌手A1定义为[14]:如果没有有界的(t,qg,qe,qd,qs,ε)敌手A赢得游戏,基于身份的代理环签名(t,qg,qe,qd,qs,ε)存在不可伪造性抵抗自适应性选择消息(权证)和选择身份攻击㊂对于A=A2,E0:ID0∗没有被要求作为一个Extract查询;E1:(ω∗,ID∗)对没有被要求作为身份ID0∗下的一个ProxyDelegation查询㊂敌手A2定义为:如果没有有界的(t,qg,qe,qd,ε)敌手A赢得游戏,基于身份的代理环签名(t,qg,qe,qd,ε)存在不可伪造性抵抗自适应性选择消息(权证)和选择身份攻击㊂对于A=A3,E0:ID∗中每个身份都没有被要求作为一个Extract查询;E1:message没有被要求作为身份集ID∗⊆ID∗下的一个Sign查询㊂敌手A3定义为:如果没有有界的(t,qg,qe,qs,ε)敌手A赢得游戏,基于身份的代理环签名(t,qg,qe,qs,ε)存在不可伪造性抵抗自适应性选择消息(权证)和选择身份攻击㊂3 3㊀方案设计根据基于ISRSAC的代理环签名以及基于身份的签名的构造方法,本节设计并提出了ISRSAC上基于身份的代理环签名方案㊂其中,ID0表示每个原始签名人身份,ID和ID表示委托代理的身份集及每个子集㊂假设:委托代理中代理签名者的身份数量为n(nȡ2);ID的每个子集ID大小为z(zȡ2)㊂ISRSAC上基于身份的代理环签名方案由6个算法构成,分别为:密钥生成(Generation),密钥提取(Extract),代理委托(ProxyDelegation),代理验证(VerifyDelegation),签名(Sign)和验证(Verify),各算法的具体流程如下㊂(1)系统参数及密钥生成(Generation):输入系统参数l,输出系统参数Para和系统主密钥(msk,mpk),即:(Para,(msk,mpk))ѳParaGen(l)㊂系统参数如下:假设l0,l1,lNɪN,且P0:{0,1}∗ң{0,1}l0,P0:{0,1}∗ң{0,1}l1,G:{0,1}∗ңZ∗N是随机预言机㊂设KGisrsac是ISR⁃SAC密钥对产生器,输出四元组(n,m,e,d),使α(n)>2ln,e的长度大于l0和l1位㊂密钥分配中心KGisrsac生成ISRSAC参数(n,m,e,d)㊂发布mpk=(e,m)作为主密钥,并保持主密钥msk=(d,n)的秘密㊂因此,公共参数是Para=(P0,P1,G)和mpk㊂(2)密钥提取(Extract):输入Para,mpk主密钥msk=d和用户身份的IDu;输出身份IDu相应的密钥(密钥分配中心计算xu=G(IDu)dbmodm,并将安全且经过身份验证的通道上的用户密钥xu发送给身份为IDu的用户),即xuѳExtract(Para,mpk,msk,IDu)㊂㊃76㊃北京电子科技学院学报2023年(3)委托代理(ProxyDelegation):若身份ID0的原视签名人决定将其签名权委托给具有身份集ID的委托代理,则采用该算法㊂输入Para,mpk,ID0,ID的原始签名者的密钥x0,信息空间描述符ωɪ{0,1};输出一个授权σ0,即σ0ѳProxyDelegation(Para,mpk,ID0,ID,x0)㊂系统参数如下:设ω是一个信息空间描述符,具有身份ID0的原始签名者愿意将他的签名权委托给具有身份集ID的代理签名组,授权σ0=(R0,s0)=(r0ebmodm,r0x0c0bmodm),其中r0ѳZ∗N且c0=P0(R0 ω ID)㊂然后,原始签名者发布授权σ0(ω,ID)㊂(4)代理验证(VerifyDelegation):输入Para,ID0,ID,ω,σ0,如果σ0是一个有效的授权,输出为1,否则为0㊂即{0,1}ѳVerifyDelegation(Para,mpk,ID0,ID,ω,x0)㊂系统参数如下:假设原始签名人的身份ID0,代理签名人的身份集ID,信息空间描述符ω和授权σ0,如果关系s0e=R0G(ID0)c0适用,验证者检查,其中c0=P0(R0 ω ID)㊂如果结果如上所述,该授权是有效的;否则,该授权无效㊂(5)签名(Sign):输入Para,mpk至少包含两个身份的代理签名者的身份集ID,ω的一个有效授权σ0和ID满足ID⊆ID,代理签名者的密钥xj,对应身份IDjƔѳID⊆ID和消息messageɪω㊂输出是基于身份的代理环签名θ㊂即θѳSign(Para,mpk,ID0,ID,ID,(message,ω,σ0),xj)㊂系统参数如下:具有身份IDjƔѳID⊆ID(jɪ{0, ,z-a})的代理签名者可以匿名签名消息messageɪω,代表具有如下所述的密钥xj和有效授权σ0的且身份为ID0的原始签名者㊂1)代理签名者IDj选择rƔѳZ∗N,计算R=rebmodm,cj+1=P1(R ID ID IDj ω message)㊂2)对于j-1ɤuɤj+1代理签名者IDj选择rƔѳZ∗N并且计算Ru=rebmodm和cu+1=P1(RuG(IDu)cuR0G(ID0)c0 IDID IDu ω message)㊂3)代理签名者IDj计算rj=rsuxjcjbmodm㊂4)在消息message和消息空间描述符ω上,基于原始签名者的身份ID0和代理签名者的身份子集ID⊆ID,代理环签名是θ=(R0,r0, ,rz-1,C0)㊂(6)验证(Verify):输入Para,ID0,ID,ID,ω,message,θ,如果θ是一个基于身份的有效代理环签名,输出是1,否则为0,即{0,1}ѳVerify(Para,mpk,ID0,ID,ω,message,θ)㊂系统参数如下:鉴于原始签名者的身份ID0和代理签名者的身份集ID及ID,消息空间描述符ω,消息message,代理环签名θ,验证过程如下:1)如果messageɪω检查;否则,停止;2)如果ID⊆ID,检查;否则,停止;3)对于0ɤuɤz-1,计算Ru=re和cu+1=P1(RuG(IDu)cuR0G(ID0)c0 IDID IDu ω message)接受签名当且仅当cz=c0,其中c0=P0(R0 ω ID)㊂4㊀ISRSAC上基于身份的代理环签名方案分析4 1㊀正确性分析下面将对上述方案进行正确性分析,方案的正确性可验证如下:㊃86㊃第31卷ISRSAC上基于身份的代理环签名方案设计㊀由rj=rsuxjcjbmodm,R=rebmodm,xu=G(IDu)dbmodm,授权信息σ0=(R0,s0)=(r0ebmodm,r0x0c0bmodm),可以得到验证等式rjeG(IDj)cjR0G(ID0)c0(bmodm)=rs0xjcjæèçöø÷eG(IDj)cjR0G(ID0)c0(bmodm)=res0exjecjG(IDj)cjR0G(ID0)c0(bmodm)=Rs0exjecjG(IDj)cjR0G(ID0)c0(bmodm)=R(r0x0c0)exjecjG(IDj)cjR0G(ID0)c0(bmodm)=R(r0e)x0c0exjcjeG(IDj)cjR0G(ID0)c0(bmodm)=RR0G(ID0)dc0eG(IDj)dcjeG(IDj)cjR0G(ID0)c0(bmodm)=R(bmodm)由上述等式可验证方案的正确性㊂4 2㊀安全性分析下面对方案的安全性进行具体分析,证明该方案中代理签名者身份隐私具有无条件匿名性并在随机预言模型下该方案具有强不可伪造性㊂在证明过程中,若ISRSAC上基于身份的代理环签名方案对2㊁3型敌手是安全的,那么它对1型敌手也能确保安全,为了证明所构造的方案具有不可伪造性,需要证明他是不可伪造的敌手A2,A3㊂引理4 1[22]首先介绍安全模型证明过程中运用的分裂引理㊂假设A⊂XˑY,使得Pr[(x,y)ɪA]ȡδ㊂对任何α<δ,定义B={(x,y)⊂XˑY|PryᶄɪY[(x,y)ɪA]ȡδ-a}和B-=(XˑY)B,有如下声明:(1)Pr[B]ȡα;(2)∀(x,y)ɪB,PryᶄɪY[(x,y)ɪA]ȡδ-α;(3)Pr[B|A]ȡαδ㊂定理4 2若ISRSAC函数与KGisrsac的关联是(tᶄ,εᶄ)单向的,并且εᶄȡε22(1-2-l0)4(qP0+qd),tᶄɤ2(t+(qG+qE+2qd)te),其中ε2ȡε4qE-qd(2qd+qP0)2-lN-2-l0,在Z∗N中te是一个指数的时间,qG,qP0,qE,qd分别是查询预言机G,P0,Extract,ProxyDelegation的次数,那么该方案对敌手A2是(t,qG,qP0,qd,ε)安全的㊂证明:对敌手A2,构造算法B,输入(n,m,e,y=γe)运行A2,输出是γ=y1ebmodm㊂算法B运行A2,在输入mpk=(e,m)和回答A2的预言机查询时,由于A2拥有所有代理签名人的密钥,可以模拟代理环签名,因此预言机访问Sign是没有必要的,消除了方案的不可伪造性㊂假设算法CA2保持最初的空关联组T[㊃]和TP0[㊃],并回答如下A2的预言机查询㊂(1)P0(R0 ω ID)查询:如果定义TP0[R0 ω ID],B返回它的值;否则,B选择TP0[R0 ω ID]Ɣѳ{0,1}l0,并返回TP0[R0 ω ID]给A2㊂(2)G(IDu)查询:如果T(IDu)=(b,xu,Xu),B返回Xu㊂如果这项尚未定义,则选择xuƔѳZ∗N,并且b=0的概率是β,b=1的概念是1-β㊂如果b=0,则B设置Xu=xeu;如果b=1,设置Xu=xeuybmodm㊂它存储T[IDu]ѳ(b,xu,Xu),并返回Xu给A2㊂(3)基于IDu的Extract查询:算法B查找T[IDu]=(b,xu,Xu),如果这项尚未定义,它执行查询G(IDu)㊂如果b=0,则B返回xu;否则,设置badPEѳtrue,中止A2㊃96㊃北京电子科技学院学报2023年执行㊂(4)基于身份ID0的(ω,ID)ProxyDelegation查询:算法B执行查询G(ID0),查找T[IDu]=b,xu,Xu㊂如果b=0,则B执行ProxyDelegation算法模拟ID0的授权,因为B知道原始签名者的密钥x0㊂如果b=1,B首先选择c0Ɣѳ{0,1}l0和s0ƔѳZ∗N,并计算R0ѳs0eX0-C0bmodm㊂如果TP0[R0 ω ID]已经被定义,则B设置badDGѳtrue并且中止;否则,设置TP0[R0 ω ID]ѳc0,返回σ0=(R0,s0,c0)给A2㊂最后,假设如果B不中止签名模拟,在时限t内,至少以概率ε,用原始签名者身份ID0对消息m和授权ω,A2输出一个有效的伪造(R0,s0,c0)㊂首先,计算B不中止回答A2的查询的概率下界,需要计算η=Pr[ badPE]Pr[ badDG| badPE],其中作为A2对Extract和ProxyDel⁃egation分别查询的结果,事件badPE和badDG表明B中止签名模拟㊂这些概率计算如下:1)要求1:Pr[ badPE]ȡβqE㊀㊀证明:B在A2的Extract查询中中止的概率为Pr[ badPE]㊂对Extract查询,当b=1时,B以概率1-β中止且badPEѳtrue㊂故在一个Extract查询中Pr[ badPE]为β,且对于大部分qE的查询,该概率值至少是βqE㊂2)要求2:Pr[ badDG| badPE]ȡ1-qd((qd+qP0)2-lN)-q2d2-lN㊀㊀证明:事件 badPE和 badDG是独立的,故Pr[ badDG| badPE]=Pr[ badDG]㊂在ProxyDelegation查询中,B中止的概率为Pr[ badDG]㊂当查询badDGѳtrue时,B中止,该事件的概率包含两部分,一是以前查询P0发生的ProxyDelegation模拟中(R0 ω ID)产生的概率,二是B以前在ProxyDelegation模拟中使用相同随机性R0的概率㊂前者用于qdProxyDel⁃egation查询的概率至少为qd(qd+qP0)2-lN,后者用于qdProxyDelegation查询的概率至少为q2d2-lN㊂因此,B不中止签名仿真的概率至少是ηȡβqE-qd(2qd+qP0)2-lN㊂由于伪造是有效的,因此有s0e=R0(G(ID0))c0,在原始签名者身份ID0下,A2没有要求ProxyDelegation算法授权(ω ID),并且ID0没有要求Extract查询㊂另外,G(ID0)=xe0y的概率是1-β㊂然后B为ID0查找T[㊃]以获取值x0,并以概率ε1ȡε(1-β)ηȡε(1-β)βqE-qd(2qd+qP0)2-lN返回有用的输出(R0,s0,c0,x0)㊂因此,B以概率ε1ȡε4qE-qd(2qd+qP0)2-lN返回可用的输出(R0,s0,c0,x0)㊂由于P0是随机预言机,除非在攻击期间被询问,c0=P0(R0 ω ID)事件发生的概率小于2-l0㊂而很可能在成功攻击期间查询(R0 ω ID),对预言机P0查询后生成有效伪造概率的下界是ε2ȡε1-2-l0㊂之后B使用预言机重放技术[23]解决ISRSAC问题㊂B算法采用两份A2,猜测固定参数1ɤpɤ(qP0+qd),希望p是查询(R0 ω ID)到预言机P0的索引,猜测的概率是1qP0+qd㊂算法B给出了相同的系统参数,相同的身份和相同的随机比特序列给两份A2,并返回相同的直到查询预言机第p次查询随机应答㊂对第p次查询预言机P0,B给Hash查询Pp两个随机应答c0和cᶄ0,使得c0ʂcᶄ0㊂因此,在A2从P0查询相同的(R0 ω ID)后,B获得两个有用的输出(R0,s0,c0,x0)和(R0,sᶄ0,cᶄ0,x0)㊂利用引理1计算B返回一个有用对的概率㊂假定Γ表示A2成功执行的集合,B返回有用输出的成功概率是在空间(X,Y)上,其中X是随机位和B占用除了与预言机P0相关的随机预言机响应的集合;Y是随机预言机响应预言机㊃07㊃第31卷ISRSAC上基于身份的代理环签名方案设计㊀P0的集合㊂因此,Pr[(X,Y)ɪΓ]=ε2㊂用引理1,分裂了有关P0到(Yᶄ,c0)的随机性Y,除了结果为c0的第k次查询,Y是所有到P0不同查询的随机响应的集合㊂引理1保证Ω每个子集的存在,使得Pr[Ω|Γ]ȡγδ=12,并且对每个(X,Y)ɪΩ,Prc0ᶄ[(X,Yᶄ,cᶄ0)ɪΓ]ȡδ-γ=ε22(qP0+qd)㊂如果B用固定(X,Yᶄ)和随机选择的cᶄ0ɪ{0,1}l0重放攻击,它得到另一个成功对((X,Yᶄ),cᶄ0),使得c0ʂcᶄ0以概率ε2(1-2-l0)4(qP0+qd)㊂A2成功执行两次后,B得到((X,Yᶄ),c0)和((X,Yᶄ),cᶄ0),c0ʂcᶄ0,即以概率εᶄȡε22(1-2-l0)4(qP0+qd)得到有用对(R0,s0,c0,x0)和(R0,sᶄ0,cᶄ0,x0)㊂从有用对(R0,s0,c0,x0)和(R0,sᶄ0,cᶄ0,x0),B计算y的ISRSAC算法反演如下㊂由于输出是基于有效的伪造,因此se0=R0(xe0y)c0,seᶄ0=R0(xe0y)cᶄ0㊂此外,还得到x0(cᶄ0-c0)s0sᶄ0æèçöø÷e=y(c0-cᶄ0)bmodm㊂由于c0ʂcᶄ0ɪ{0,1}l0并且e是一个长度严格大于l0的素数,即e>c0-cᶄ0,因此gcd(e,(c0-cᶄ0))=1㊂使用扩展Euclidean算法,可以找到a,bɪZ,使得ae+b(c0-cᶄ0)=1㊂得出y=yae+b(c0-cᶄ0)=yax0(cᶄ0-c0)ssᶄæèçöø÷bæèçöø÷ebmodm㊂算法B以概率εᶄ输出yax0(cᶄ0-c0)ssᶄæèçöø÷bæèçöø÷作为y的ISRSAC反演㊂算法B的运行时间tᶄ是A2的2倍,加上响应Hash查询所需的时间,qEExtract和qdProxy⁃Delegation查询的时间㊂假设ZN中l(多)次模指数运算需要te时间,当所有其他操作需要时间为零,由于每个随机预言机G或Extract查询需要的时间最多为1次指数运算,1个授权模拟需要2次指数运算,B的运行时间为tᶄɤ2(t+(qG+qE+2qd)te),证明完成㊂定理4 3若与KGisrsac相关的ISRSAC函数是(tᶄ,εᶄ)单向的,并且εᶄȡ(ε1-z2-l0)2(1-2-l0)8(qP1+qs)(qP1+qs+1),tᶄɤ2(t+(qG+qE+(2z+1)qs)te)㊂当ε1ȡε4qE-(2q2s+qsqP1)2-lNæèçöø÷,在Z∗N中te是一个指数的时间,qG,qP0,qP1,qE,q分别是预言机G,P0,P1,Extract,Sign的查询数量,那么该方案对敌手A3是(t,qG,qP,qE,qPrs,ε)安全的㊂证明:证明对于敌手A3,构造算法B,输入((e,m),y=yebmodm)运行A3,目标是输出γ=y1ebmodm㊂算法B运行A3,在输入mpk=(e,m)和应答A3的预言机查询时,打破该方法的存在不可伪造性㊂A3拥有原始签名者的私钥,故可以模拟授权,预言机访问ProxyDelegation是没有必要的㊂假设算法B保持初始的空关联数组T[㊃],TP0[㊃],TP1[㊃],并且应答A3的预言机查询如下㊂(1)P0(R0 ω ID)查询:如果定义TP0[R0 ω ID],则B返回它的值,否则B选择TP0[R0 ω ID]Ɣѳ{0,1}l0,返回TP0[R0 ω ID]给A3㊂(2)P1(RuG(IDu)cuR0G(ID0)c0 ID ID IDuω message)查询:如果定义TP1[RuH(IDu)cuR0H(ID0)c0 ID ID IDuω message],则B返回它的值;否则,B选择TP1[RuG(IDu)cuR0G(ID0)c0 ID ID IDu ω message]Ɣѳ{0,1}l1返回给A3TP1[RuG(IDu)cuR0G(ID0)c0 ID ID IDu ω message]㊂㊃17㊃。
基于RSA密码体制的门限代理签名
K eywords RSA ;proxy signature;threshold;threshold proxy signature
引 口
代理签名方 案最 早是 由 Mambo等 人提 出的[ , 在一个 代 理签名 方 案 中 ,代 理 签 名 者 可 以代 表 原 始 签名 者产 生有效 的 签名 +Kim 与 Zhang等人 分 别 独
维普资讯
第 3O卷 第 2期 2007年 2月
计 算 机 学 报
CH INESE J0URNAL 0F C0M PUTERS
Vo1. 30 No.2 Feb. 2007
基 于 RSA密 码体 制 的 门 限代 理 签 名
蒋 瀚” 徐秋亮” 周永彬
关 键 词 RSA;代 理 签 名 i门 限 ;f-I限 代 理 签 名 中图 法 分 类 号 TP309
Threshold Proxy Signature Schem e Based on RSA Cryptosystem s
JIANG Han” XU Qiu—Liang” ZHOU Yong~Bin ’
Abstract In a (£,n)threshold proxy signature scheme,the original signer delegates the power of signing messages to a designated proxy group of n m em bers. A ny t or more proxy signers of the group can cooperatively issue a proxy signature on behalf of the original signer,but(£一 1)or less proxy signers cannot.Previously,all of the proposed threshold proxy signature schemes have been based on the discrete logarithm problem ,and there has not a RSA —based schem e However。
基于RSA和ELGamal的代理签名方案
字签名方案. 在数字签名过程中为了较强 的安全性, 可将这两种方案合统一起来 . 基于大整数分解问题 的R A S 签名方案, 和基于有 限域上的离散对数问题的E G m l L aa 签名方案, 只要将一个签名方案的安全性建立在两个困 难 问题的基础之上, 那么该方案的比R A S 签名方案与E G ma - L a  ̄ 名方案的安全性都高. g 基于此理论, 文献【 8 构造
第 3 卷第 4 7 期
南 Ju a fSo twest 民 ersi 学 学 a i a 然e at rlSce c diin om l o uh i v t f r ton l i u a in eE t y o N i sN t ・ o
西ห้องสมุดไป่ตู้
。
族大
报
自
学版
J 1 2 1 u. 0 1
Un
文 章编 号 : O32 4 (O o ・5 1 5 l0—8 32 l)4o 5— 1 0
基 于 R A和 E G ma 的代理签名方 案 S L a l
刘 翠翠,辛小 龙
f 西北大学数 学 系,陕西西安 7 0 2 ) 1 17 摘 要 :代理签名作 为一种特殊 的签名体制, 在许 多领域都有广泛 的应用前景. 此文研 究的代理签名是基于 R A 方案 S
当 D为其 中的两个因子时, D =m /( / 令 r m, 为整数), - 1
叹 = _1d ] 法上可( 立 J 1 mf , 同,证) . ) 。 方 = p 木 成
( 当 0 , 入 证(式 然 立 故 证 b = 时 代 验 水 显 成 , 得 。 ) )
22 基 于 RS . A和 E Ga l L ma 的数 字 签名方 案 I ’ 1
一种基于RSA密码体制的门限代理签名方案的设计与分析
1 引言
19 年由 M. m o 96 Ma b 等人[首次提 出了代理签名方案 , 3 ] 它使得代理者在不暴露原始签名者私钥的情况下以原始签名 者的身份对消息 进行 签 名。在实 际应 用 中存在 这样 一种 情 况: 一个原始签名者指派 的代理者不止一个 , 而是由多个代理
生 的过程 中, 没有验证代理共享 的步骤 , 这使得在整个签名过 程 中, 无法察觉代理签名者 的恶意行 为。除此之外 , 该方案还 存在着代理签 名长度较长 的缺点 , 因此 不利 于在对带 宽要求
u t t i n t r sv r h r. li e sg a u e i e y s o t ma Ke wo d P o y sg a u e y rs r x i n t r ,Th e h l r x i n t r ,RSA r p o y t m r s o d p o y sg a u e c y t s se
一
基 于 目前并没有较完善 的基 于 R A 密码体 制 的门 限代 S 理签名方案 提出 , 提出了一种新 的基 于 R A的 门限代 理 本文 S 签名方案 , 案满 足 所有代 理 要求[ , 且方 案 具 有低 交 该方 1并 ] 互, 计算复杂度低 , 签名长度短和及时发现恶意代理签名 者的 优点。另 外 , 过结 合 M.B lr 等 人 提 出的 P S签 名 方 通 e le a S 案[ 中消息处理 的思 想使 得安全 性增 强 。本文 第 2 给 出 1 1 ] 节
维普资讯
计算机科学 20V 1 3Q 1 06 o 3N.0 .
一
种基 于 RS A密 码 体 制 的 门 限代 理签 名 方 案 的设 计 与分 析 )
程 曦 戚 文峰
rsa 签名方法
rsa 签名方法RSA签名方法是一种使用RSA算法进行数字签名的技术。
数字签名是一种确保数据完整性和身份验证的方法。
RSA签名方法可以用于保护数据的机密性和防止篡改。
在RSA签名过程中,使用者首先生成一对RSA密钥,包括一个私钥和一个公钥。
私钥用于签名数据,公钥用于验证签名的真实性。
私钥是保密的,而公钥可以公开。
签名者使用私钥对要签名的数据进行加密,生成签名。
然后,签名者将原始数据和签名一起发送给接收者。
接收者使用签名者的公钥对签名进行解密,并验证签名的有效性。
如果签名是有效的,接收者可以确认发送者的身份,并确保数据未经篡改。
RSA签名方法具有以下优点:1. 安全性高:RSA算法基于大数因子分解的数学难题,即使在计算资源非常强大的情况下,攻击者也很难破解签名。
2. 不可伪造性:由于私钥只有签名者拥有,其他人无法伪造签名。
3. 数据完整性:通过验证签名,接收者可以确保接收到的数据未经篡改。
4. 灵活性:RSA签名方法可以应用于各种类型的数据,包括文本、文件和数字等。
然而,RSA签名方法也有一些限制和注意事项:1. 性能开销:RSA签名方法的计算开销较大,特别是处理大型数据时。
因此,在大规模应用中,需要权衡性能和安全性。
2. 密钥管理:RSA签名方法需要对私钥进行保护和管理,以防止私钥泄漏或被盗用。
3. 可扩展性:RSA签名方法适用于小规模应用,但对于大规模分布式系统,需要使用更高效的签名方法。
总之,RSA签名方法是一种有效的数字签名技术,可以确保数据的完整性和身份验证。
它在安全通信、数字证书、电子商务等领域中得到广泛应用。
基于RSA的前向安全的代理签名方案
s n tr c e i p o o e a d te s c r f te p o o e sh me s n lz d n ic se n eal.h c e o i au e sh me s rp sd.n eu i o h rp s d c e i g h y t a ay e a d d su sd i d ti T e sh me n t s
2Colg fMah mais a d I fr t n S in e S an iNo a ies , ’ 0 2, ia . l e o te t n n omai ce c , h a x r lUnv ri Xia 7 0 6 Chn e c o m y t n 1
te o owad sc rt.v n i e urn e rt k y o rx sg e h s e n la e , e atc e a tfr e te p o y is f fr r e u i E e f t c re ts ce e f po y i r a b e e k d t t k r c n’ o g r x y h n h a h
sg a u e o e p s p ro i . i tr ft at e d t n h i me
Ke r s r x in t e RS s au e sh me fr ad sc rt ;og r  ̄ c y wo d :p o y sg au ; A i tr c e ;o r e u y f re a a k r n g w i y
基于RSA密码体制的门限代理签名的安全性分析
An l sso e u i n Th e h l o y S g a u e a y i fS c rt i r s o d Pr x in t r y S h m eb s n RS Cr p o y t m s c e a e o A y t s se
是 一 个 很 完 美 的 方案 n 。根 据 R A 造 的 门 限 方 案 仍 一 S构 旧需 要 解 决 和 加 强 。不 久 前 , 一 个 名 叫 蒋 瀚 的 , 出 有 说 了一 种 新 的 方 案 , 则 上 也 是 基 于 R A 原 S 密码 体 制 _ 引 。 本 文基 于 文 献 基 础 上 , 该 方 案 进 行 安 全性 分 析 , 对 并 指 出 了一 种 代 理 签 名 者 的 内部 合 谋 攻 击 方 法: 意 l 任 +
() 1 代理签名者 E G随机选取Pq∈( P … 【பைடு நூலகம் n ,( 一 2 ) 【 】 2
1 , :[一) ] 于所有的i1 - n 户U∈ G随机 ) 侧 n 12。对 / = . 用 2 , iP
代理 签名。现在技术非常得发达 ,签名 的真伪很难识
别, 谁是真 正的签名者非常难确定 , 以签 名者想要否 所 认完 全可以。故而上述提 出的方案没有符 合数字签名
≤n, 1 , 1= , 3 i 2 ,…,。实 际 的代 理 签 名 集合 为A G, n S 设
A G { I≤ ≤ . 为 一 个 安 全 散 列 函数 。 S = 1 } ( )
12 模 数 N的产 生 .
1 . 生 成 候 选Ⅳ .1 2 值
1 个代理 签名者成 员在没有 授权 的情况 下都可 以伪造
c e ttg te.T e p tnilfrte p siit h ta y oiia in ro rx .B c u e o hs X s h me c n o h a o eh r h oe t o h o s l y ta n rgn lsg e rpo y e a s fti,J Z- c e a n t a b i
基于RSA密码体制的门限代理签名
i po o e .h s c e e h s he r p ris f trs od p o y in tr s h m eT e at c mp tto n smpe p rt n s r p s dT i sh m a t p o et o h e h l rx sg au e c e . fs o uain a d i l o eai e h o
摘 要 : 前 的 门限代理签 名方案 几乎都是基 于 离散对数 问 的 , 目 题 基于 R A密码体 制 的门限代 理签名 方案几乎很 少。借助 简单 S 秘 密共 享思想构造 了一个新 的、 安全 有效 的R A 门限代理签名 方案 , S 该方案 满足 门限代理签名 方案 的安 全性 的同时 , 算量 小, 计 易实现 。 关键词 : S R A密码体制 ; 门限代理签名 ; 简单秘 密共 享 D I1. 7/in10-3 1 0 1 4 1 文章编号 :0283 (0 11—00 3 文献 标识码 : 中图分 类4 :P 0 O :0 7 8 .s. 283 . 1. . 9 3 js 0 2 10 10- 12 1)407- 3 0 A  ̄ T 39 -
1 ቤተ መጻሕፍቲ ባይዱ 言
代理 签 名方 案最 早是由 Ma b 等人 提 出的 mo 】 一个代 。在
的内部攻击 , 然而秘密参数分布式产生的计算量是很大的, 因
此该方案只适用于代理签名者人数和门限数较小的情况 , 同 时, 该方案不能防止代理签名者的合谋攻击( 因为当 t 个或更 理签名方案中, 代理签名者可 以代表原始签名者产生有效的 从而可以 签名。Km与Z ag i h 等人分别独立地构造了最初的门限代理 多的代理签名者合作就能得到代理签名的秘密 d, n 。本文利用文献【 ] l 中的简单 3 签名方案 。在一个 ( n 门限代理签名方案中, f) , 原始签名者 冒充其他代理签名者进行签名) 的签名能力被赋予了 个代理签名者 , 使其中f < ) ( 个或更多 f 的代理签名者合作能够产生有效的代理签名 , 此后出现了大
基于散列算法的RSA盲签名方案设计论文
基于散列算法的RSA盲签名方案设计论文RSA盲签名方案是一种较为常见的数字签名算法,其中盲签名阶段的散列算法在整个方案中起着至关重要的作用。
本文旨在探讨如何在RSA盲签名方案中设计基于散列算法的方案,以提高方案的安全性和可信度。
1. RSA盲签名方案简介RSA盲签名方案是一种数字签名算法。
它既满足RSA签名的安全性要求,又能保护信息的隐私性和匿名性。
RSA盲签名方案由四个阶段组成:第一阶段:信息盲化。
发送者将要签名的消息进行盲化,使得签名者无法得知原始消息的任何信息。
第二阶段:签名阶段。
发送者将盲化后的信息发送给签名者,签名者对信息进行签名。
第三阶段:去盲化。
发送者将签名后的信息进行去盲化,还原成原始消息。
第四阶段:校验阶段。
发送者对签名进行校验,以确保签名的正确性和完整性。
2. 散列算法在RSA盲签名方案中的作用在RSA盲签名方案中,散列算法扮演了非常重要的角色。
其作用如下:1. 确保消息的完整性。
散列算法将消息转换成固定长度的摘要,该摘要具有唯一性,且消息的任何细微变化都会导致摘要的变化。
因此,根据摘要可以检测到任何意外的改动,从而确保消息的完整性。
2. 保护隐私。
在RSA盲签名方案中,通过对消息先行进行盲化和去盲化的处理,可以保护消息的隐私性和不可知性。
而散列算法正是在盲化阶段对消息进行处理,从而保护了消息的隐私性。
3. 签名阶段的验证。
在签名阶段,签名者使用散列算法对收到的盲化信息进行处理,并使用私钥对其进行签名。
在校验阶段,发送者收到签名者签名后的信息,将其使用公钥进行解密,并使用相同的散列算法对原始消息进行处理,将处理的结果与校验获得的值进行比较,从而校验签名的正确性。
3. 基于散列算法的RSA盲签名方案设计在设计基于散列算法的RSA盲签名方案时,需要考虑以下几点:1. 选择适当的散列算法:首先,需要选择一种安全可靠的散列算法。
一般来说,可以选择SHA-1、SHA-256或SHA-512等算法。
基于RSA算法的数字签名的实现毕业论文
基于RSA算法的数字签名的实现毕业设计(论文)原创性声明本人郑重声明:所提交的毕业设计(论文),是本人在导师指导下,独立进行研究工作所取得的成果。
除文中已注明引用的内容外,本毕业设计(论文)不包含任何其他个人或集体已经发表或撰写过的作品成果。
对本研究做出过重要贡献的个人和集体,均已在文中以明确方式标明并表示了谢意。
论文作者签名:日期:年月日摘要随着Internet的发展,电子商务已经逐渐成为人们进行商务活动的新模式,越来越多的人通过Internet进行商务活动。
电子商务的发展前景十分诱人,而其安全问题也变得越来越突出,如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为商家和用户都十分关心的话题。
系统综合运用了RSA算法原理,散列函数以及C#和.NET编程技术,实现了基于RSA 算法的数字签名系统。
经过测试表明,系统运行可靠稳定,实现了保证信息完整性、鉴别发送者的身份真实性与不可否认性目标。
本文基于数字签名技术在电子商务中的应用,对公钥密码体制中的广泛流行的RSA算法做了深入的研究并主要阐述了利用C#语言实现基于RSA算法的数字签名方法。
从两大基本模块——签名系统和认证系统着手,对数字签名进行了详细的说明和分析。
关键词:数字签名;公钥密码体制;RSA;电子商务;加解密ABSTRACTWith the development of Internet,E-commerce has gradually become a new model of business activities,more and more people take up business affairs through the Internet. Prospects for the development of e-commerce is very tempting,and the security issues are becoming increasingly prominent.Many technologies have been adopted in the system, such as algorithm RSA, hash function, C# and .NET programming technology. And the Digital Signature system is based on algorithm RSA. The tests of application show that this system is reliable and achieves the design object of the integrity of information, identification of the sender's identity and the authenticity of the undeniable..Based on digital signature technology in the application of e-commerce,we conduct a study about the algorithm RSA which is very popular in the public-key cryptosystem,and we mainly explain the implementation of the Digital Signature based on algorithm RSA in C#. From the two basic systems -- the signature system and the authentication system, we did the detailed description and analysis of digital signature.Key words: digital signature; public-key cryptosystem; RSA; Eletronic Commerce; encryption and decryption目录第一章概述 (1)1.1课题背景 (1)1.2数字签名及其应用 (1)1.2.1数字签名概述 (1)1.2.2数字签名的应用 (2)1.3 课题内容 (3)第二章数字签名软件的技术支撑 (4)2.1 RSA加密算法 (4)2.1.1 公钥和私钥的产生 (4)2.1.2 加密消息 (5)2.1.3 解密消息 (5)2.1.4 安全 (5)2.1.5 实现细节 (6)2.2 数字签名原理 (7)2.3 散列函数 (7)2.3.1散列函数的性质 (8)2.3.2 散列函数的应用 (8)2.3.3 MD5算法 (10)2.3.4 SHA-1算法 (11)2.4 C#和.NET (11)第三章系统的分析与设计 (13)3.1需求分析 (13)3.2 总体设计 (13)3.3 功能模块的划分 (15)3.4 各功能模块的介绍 (16)第四章系统的实现 (18)4.1 RSA加密算法的实现 (18)4.1.1 公私密钥的生成 (19)4.1.2 使用私钥加密 (20)4.1.3 使用公钥解密 (21)4.1.4 其他 (21)4.2 散列函数 (21)4.3 数字签名的实现 (22)4.3.1 设计思想 (22)4.3.2 系统实现 (24)4.4 本章小结 (33)结束语 (34)致谢 (35)第一章概述1.1课题背景随着Internet和计算机网络技术的蓬勃发展,连通全世界的电子信息通道已经形成,应用Internet网开展电子商务业务也开始具备实用的条件,电子商务获得长足发展的时机已经成熟。
基于RSA的数字签名实现
基于RSA的数字签名实现实验2基于RSA的数字签名实现一、实验目的掌握RSA算法的基本原理,通过用RSA算法对实际数据进行加密和解密来深刻了解RSA的运行原理。
对数字签名有所了解,理解和掌握SHA–512算法,以及如何利用RSA和SHA–512算法来实现数字签名。
二、实验原理1.RSA算法简介公钥密码体制中,解密和加密密钥不同,解密和加密可分离,通信双方无须事先交换密钥就可建立起保密通信,较好地解决了传统密码体制在网络通信中出现的问题.另外,随着电子商务的发展,网络上资金的电子交换日益频繁,如何防止信息的伪造和欺骗也成为非常重要的问题.数字签名可以起到身份认证,核准数据完整性的作用.目前关于数字签名的研究主要集中基于公钥密码体制的数字签名.公钥密码体制的特点是:为每个用户产生一对密钥(PK和SK);PK公开,SK保密;从PK推出SK是很困难的;A,B双方通信时,A通过任何途径取得B的公钥,用B的公钥加密信息.加密后的信息可通过任何不安全信道发送.B收到密文信息后,用自己私钥解密恢复出明文.RSA公钥密码体制到目前为止还是一种认可为安全的体制.RSA算法和用RSA算法实现数字签名的理论,以及它们在实际应用中的实现.1、RSA算法RSA算法是一种非对称密码算法,所谓非对称,就是指该算法需要一对密钥,使用其中一个加密,则需要用另一个才能解密。
RSA的算法涉及三个参数,n、e1、e2。
其中,n是两个大质数p、q的积,n的二进制表示时所占用的位数,就是所谓的密钥长度。
e1和e2是一对相关的值,e1可以任意取,但要求e1与(p-1)*(q-1)互质;再选择e2,要求(e2*e1)mod((p-1)*(q-1))=1。
(n及e1),(n及e2)就是密钥对。
RSA加解密的算法完全相同,设A为明文,B为密文,则:A=B^e1mod n;B=A^e2mod n;e1和e2可以互换使用,即:A=B^e2mod n;B=A^e1mod n;2.RSA数字签名算法的理论描述RSA数字签名算法的过程为:A对明文m用解密变换作:s Dk(m)=md mod n,其中d,n为A的私人密钥,只有A才知道它;B收到A的签名后,用A的公钥和加密变换得到明文,因:Ek(s)=Ek(Dk(m))=(md)e mod n,又de1mod(n)即de=l(n)+1,根据欧拉定理m(n)=1mod n,所以Ek(s)=ml(n)+1=[m(n)]em=m mod n.若明文m和签名s一起送给用户B,B可以确信信息确实是A发送的.同时A也不能否认送给这个信息,因为除了A本人外,其他任何人都无法由明文m产生s.因此RSA数字签名方案是可行的.但是RSA数字签名算法存在着因计算方法本身同构造成签名易被伪造和计算时间长的弱点,因此实际对文件签名前,需要对消息做SHA–512变换. SHA–512函数是一种单向散列函数,它将任意长度的消息压缩成512位的消息摘要.应用SHA–512的单向性(即给定散列值,计算消息很难)和抗碰撞性(即给定消息M,要找到另一消息M'并满足两者的散列值很难),可以实现信息的完整性检验.另外该函数的设计不基于任何假设和密码体制而直接构造,执行的速度快,是一种被广泛认可的单向散列算法.3.RSA数字签名算法的实现RSA数字签名算法,包括签名算法和验证签名算法.首先用SHA–512算法对信息作散列计算.签名的过程需用户的私钥,验证过程需用户的公钥.A用签名算法将字符串形式的消息处理成签名;B用验证签名算法验证签名是否是A对消息的签名,确认是A发送的消息;消息没有被攥改过;A一定发送过消息.1签名算法签名算法包括三步:消息摘要、计算、RSA加密.消息摘要计算.消息在签名前首先通过SHA–512计算,生成512位的消息摘要,对摘要作RSA计算.用加密算法,采用签名者的私钥加密消息摘要,得到加密后的字符串.加密算法中使用的加密块为01类型.2验证签名算法验证签名算法包括两步:RSA解密得签名者的消息摘要,验证者对原消息计算摘要,比较两个消息摘要.验证签名的过程输入为消息,签名者的公钥,签名;输出为验证的结果,即是否是正确的签名.RSA解密.签名实际是加密的字符串.采用签名者的公钥对这个加密的字符串解密.解密的结果应为5128位的消息摘要.在解密过程中,若出现得到的加密块的类型不是01,则解密失败.签名不正确.消息摘要计算和比较.验证者对消息用SHA–512算法重新计算,得到验证者自己的消息摘要.验证者比较解密得到的消息摘要和自己的消息摘要,如果两者相同,则验证成功,可以确认消息的完整性及签名确实为签名者的;否则,验证失败.三、实验环境运行Windows操作系统的PC机,具有C#(Windows)或Java语言编译环境。
RSA加密算法的研究与实现
RSA加密算法的研究与实现摘要在新信息时代,信息的保密尤为重要。
公钥密码学的出现对现代保密体系起到了十分重要的作用,其中RSA算法是目前在理论和实际应用中最为成熟和完善的一种公钥密码体制。
它运用最多的地方是加密,还可用来进行身份验证和数字签名,是一种典型的公钥密码体制。
本文给出了RSA运算中的模幂乘速度上的改进,对RSA加解密变换、身份验证的基本原理进行了相应的分析,分析了当前针对RSA算法的攻击手段,归纳出提高RSA算法安全性应该考虑的几个因素。
此外,论文还通过实验方式对改进的RSA算法进行了验证,通过比对,得出改进的算法比原有算法在效率上有一定程度提高的结论。
论文还设计了一个加解密程序,并对其进行了验证。
关键词RSA,密码学,算法研究ABSTRACTIn the new information age, information confidential is particularly important.The emergence of modern public key cryptography to confidentiality system plays a very important role,including RSA algorithms are currently in theory and practical application of the most mature and perfect a public key cryptosystems.It utilizes most place is encrypted,also can be used for identity authentication and digital signature,is a kind of typical public key cryptosystems.This paper gives the mould by RSA operation speed of the power of RSA encryption improvement,transform,the basic principle of identity check the corresponding analysis,this article analyses the current according to the RSA algorithms attack methods, concludes improve safety should consider RSA algorithms of several factors.In addition,this paper also through experiments to improve RSA algorithms way is verified by comparing,concluded that the improved algorithm on efficiency than the original algorithm with a certain degree increase conclusion.This paper also designed a gal declassification procedures, and analyses the verification.Keywords:RSA,Cryptography,Algorithms第一章绪论 (1)1.1 问题的提出 (1)1.2 密码学概述 (3)1.3 国内外研究现状与水平及其意义 (4)第二章 RSA算法 (6)2.1 RSA算法 (6)2.2 RSA签名算法 (6)第三章 RSA的安全性 (8)3.1 RSA参数选择 (8)3.2 RSA的安全性分析 (10)第四章 RSA算法的研究 (12)4.1 RSA算法实现 (12)4.2 RSA改进算法 (13)4.3 结果分析 (16)第五章文件加密的设计 (17)5.1分析和设计 (17)5.2 对TXT文本加解密 (19)总结 (22)参考文献: (23)致谢 (24)第一章绪论随着时代在进步,科技的发展。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
An l ss a d I p o e n n a Th e h l o y S g a u e a y i n m r v me t o r s o d Pr x i n t r
S h me Ba e n t e RS c e s d o h A y t s s e Cr p o y t m
Q h a d l L me0 i h n u iC u n aI iYa i Jn C e h i
( iy n om lU i ri , iy n 6 0 0 X n a g N r a nv s y X n a g 4 4 0 ) e t
( L nom t n E gn eig U i ri ,h n zo 5 0 4 P A Ifr ai n ie r nv s y Z e gh u 4 0 0 ) o n e t
Ab t a t T i a e An lz s h ma e v r bl y f sr c : h s p p r ay e t e n u ea i t o HL s h me, n r v s h a HL s h me xs d s g r me t i L ce a d p o e t t L c e e it if u e n i b d y t e r x sg e s a n t rn sg au e . s i r v d in t r ag r h , e c e i r v d i n tr  ̄ l 。 p o y in r c n o b g in r s h i t Alo mp e s au e lo t m t s h me mp e s au e o g i h o g
名 ( 群 签 名 ) 由 n个 成 员 的组 成 的签 名 组 中 任 何 £1 ≤n 或 ; ( ≤t ) 个 或 £ 以上 成 员都 可 代 表 签名 组 进 行 有 效 签名 称 为 (。 ) 个 t 门限 n 多 重 签 名 ; 名 者 委 托 别 人 代 替 自己 签 名 称 为 代理 签 名 ; 名 签 签
增加 , 但仍 远 远 低 于其 它 门限 代 理 签 名 方 案 。
关键 词 数 字 签 名 秘 密共 享 门 限代 理 签名
L ga g 插 值 多项 式 arn e
文章 编 号 10 . 3 1 (o 6 1- 10 0 文 献标 识 码 A 0 2 8 3 一 2 o )6 0 5 - 3 一 中国 分 类号 T 3 9 P0
ag r m e p d wn t e s c r y n p a t a i t f o gn l s h me t e c c lt e c mp e i n e t e c e s lo i h t k e s o h e u t a d r ci b l y o r i a c e , a u a i o lx t u d r oh r s h me i c i i h l v y
摘 要 对 H J 方 案 的 可操 作 性 进 行 了分 析 , 明 了 H L方 案 存 在 严 重 缺 陷 。 理 签 名 者 根 本 无 法 产 生 自 己的 签 名 。 I. I 证 L 代 文
章通过修 改签 名算法对原方案进 行 了改进 , 使得 改进后 的方案仍然保持 了原 方案安全、 实用的特性 , 其计算 量 虽有 少
1 引言
Rv s和 Sa i‘ 人 于 17 iet h mr 等  ̄ 9 8年 最 早 提 出 数 字 签 名 方 案 , 随 后 许 多 学 者 对 数 字 签 名 进行 了大 量 研 究 。 然 而 在 许 多 情 况 下 , 个 文 件 有 时 需 要 多 个 人 进 行 签 名 。 时 签 名 者 需 要 委 托 一 有 别 人 代替 自己签 名 。 一 个 文 件 上 多个 人进 行 签名 称 为 多 重 签 在
t o g a e n r a e h u h h s a fw i c e s , .
Ke wo d :d g t in t r 。e r t s a n t r s o d p x i n t r ,a r n e i tr oai n fr l y rs ii sg a u s c e h r g, e h l r y sg au e lg a g ne p lt o mu a l a e i h o o
维普资讯
对一个基于 R A 门限代理签名方案的分析与改进 S
祁传 达 李 亚 梅 金 晨辉 z ( 阳师范 学院 , 南信 阳 4 4 0 ) 信 河 6 0 0 ( 解放 军信 息 工程 大 学 , 州 4 0 0 ) 郑 5 0 4
E- i: ih a d @sn .O mal q c u n a i aC r n
体制 的 门限代理签名 方案 ( 以下 称 之 为 HI. 案 ) 其 计 算 量 J方 I ,
和 通 信 量 分 别 只有 上 述 门 限代 理 签名 方 案 ( K m 方 案 等 ) 如 i 的
5 %和 8 . w n - u “u等 人 指 出他 们 提 出 的 方 案 比 其 它 门 % H agL 一 一 限 代 理 签 名 方 案 更 安 全 实 用 。 更 本 文 将 指 出 H L方 案设 计 上 存 在 严 重 的 缺 陷 .该 缺 陷 导 L 致 代 理 签 名 者 ( 12 … , ) / , , n 无法 生 成 自己 的 部 分 代 理 签 名 , = 因而 HL L方 案 根 本 无法 使 用 。 然 后我 们 对 HL L方 案进 行 了改 进 。 正 了 H L方 案 设 计 上 的错 误 。 进 后 的 方 案 仍 然保 持 了 更 L 改 原方案安全 、 实用 的特 性 。 计 算 量 虽 有 少量 增 加 , 仍 远 远 低 其 但