一个前向安全代理盲签名的安全性分析与改进

一个前向安全代理盲签名的安全性分析与改进
廖小平
【期刊名称】《《微型电脑应用》》
【年(卷),期】2019(035)003
【总页数】3页(P35-37)
【关键词】盲签名; 前向安全; 代理签名; 无证书密码体制
【作者】廖小平
【作者单位】四川文理学院智能制造学院达州635000
【正文语种】中文
【中图分类】TP309
0 引言
数字签名的概念首先由Diffie和Hellman[1]利用公钥密码的思想在1976年提出。

随着研究的深入，许多具有特殊性质的数字签名方案相继被提出，如1983年，David Chaum提出盲签名[2]、1996年，Mambo提出代理签名[3]，1997年，R.Anderson[4]提出前向安全的概念，近年来，将多种技术相结合设计新的具有特殊性质的数字签名方案越来越受到重视。

肖红光[5]等人提出了首个前向安全代理
盲签名方案，卢书一硕士论文[6]对肖红光的文章进行了分析。

指出该方案签名不
具有前向安全性，前向安全性只限于代理密钥，并给出了攻击者利用交互协议与代理签名人伪造签名的过程，然后给出了一个改进的方案(LSY方案)，但经分析发现，
LSY方案中存在公钥替换攻击缺陷，即签名方案中用到的公钥没有经过认证，可能是伪造的，存在公钥替换攻击。

因此，必须对公钥进行认证，即确认所使用的公钥确实是通信方的而不是其他人的。

目前，对公钥进行认证可以采用基于传统公钥证书的公钥密码体制，但此机制存在复杂的公钥证书管理问题，也可以利用基于身份密码体制[7]，但此机制存在“密钥托管”问题，为了解决“复杂的公钥证书管理
问题”和“密钥托管问题”，2003年，AI-Riyami等提出了无证书密码体制[8]，相继设计了许多签名和加密方案[9-11]，这种密码体制是通过某种方法来保障签名者公钥的真实性和有效性，并且用户的签名密钥是由用户和密钥生成中心共同生成，密钥生成中心不知道用户最后的签名私钥，也就无法伪造用户的授权以及签名。

本文基于无证书密码体制提出一种改进方案，改进方案具有原方案安全性的同时也具有无证书密码体制的特点。

1 LSY方案的安全性分析
LSY方案请参见文献[6]，此处对方案进行安全性分析。

原始签名人A给代理签名
人B授权的过程中，存在攻击者伪造原始签名人A的公钥通过验证，即任何攻击
者都可以伪造原始签名人A的公钥，并且通过验证，具体攻击过程如下：
(1)原始签名人A任意选择并计算：然后将(rA,σ,mw)发送给代理签名者B。

(2)攻击者伪造原始签名者A的公钥为： mod p，并将其发送给代理签名人B，代理签名者B收到(rA,σ,mw)后，验证等式： mod p是否成立，如果成立，则接受
授权，否则，不接受授权，A的公钥yA替换为即mod mod p=gσ，所以等式：mod p成立，通过验证。

所以，任何攻击者都可以伪造原始签名人A的公钥发送给代理签名人B，并通过
验证，因此，恶意的攻击者可以滥用授权信息给代理签名人B进行授权，并声称
该授权是原始签名人A产生的，进而对原始签名人A进行诬陷，所以该方案存在
公钥替换攻击问题。

2 方案的改进
2.1 初始化阶段
(1)选择一个正整数n，选择两个大素数p,q，GF(n)是一个有限域，g∈RZ是生成元，阶为q，并且满足gq≡1 mod n，选择x为系统主密钥，计算出系统主公钥：Ppub=gxmod n
选择一个哈希函数H(·)，mw是代理授权证书，包含A和B的身份标识、时间周期。

代理终止时间为代理签名信息的范围等内容，为级联符号。

(2)A为原始签名人，A的身份信息为IDA，计算：QA=H1(IDA)，DA=xQA，则DA为A的部分私钥。

B为代理签名人，B的身份信息为IDB，计算：
QB=H1(IDB)，DB=xQB，则DB为B的部分私钥。

C为信息m的拥有者，C的
身份信息为IDC，计算：QC=H1(IDC)，DC=xQC，则DC为C的部分私钥。

(3)A任意选择xA为秘密值，计算出A的私钥：sA=xADA，A的公钥：yA=gsA mod n，B任意选择xB为秘密值，计算出B的私钥：sB=xBDB，B的公钥：
yB=gsB mod n，C任意选择xC为秘密值，计算出C的私钥：sC=xCDC，C的
公钥：yC=gsC mod n。

2.2 代理授权阶段
(1)A任意选取kA∈RZ，并计算：然后A通过安全信道将mw和(σ，rA)发送给B。

(2)B收到mw和(σ，rA)后，验证等式mod p是否成立，若等式成立，则B计算：σ0=(σ+sB) mod q，yT=gσ0 mod p，其中σ0为代理签名的签名私钥，yT为代理签名的签名公钥，并且yT是公开的。

2.3 密钥更新阶段
系统第j(1≤j≤T)时间段，代理签名人B使用j-1时间段的签名密钥σj-1计算出第j 时间段的密钥：并立即从系统中删除密钥σj-1。

2.4 前向安全代理盲签名的产生阶段
代理签名人B和信息拥有者C共同产生代理盲签名。

(1)信息盲化阶段
step 1: B任意选择kB∈RZ，计算：t=gσjkB mod p，然后通过安全信道将(mw,rA,t)发送给C。

step 2:C接收到(mw,rA,t)后，任意选择α，β∈RZ作为盲化因子，并计算：
r=tyCyTmod mod q，u′=(α-u) mod q，然后将u′通过安全信道发送给B。

(2)签名阶段
B接收到u′后，计算：s′=σju′+σjkB mod q，则消息m的盲签名为(s′,u′)，将s′
通过安全信道发送给C。

(3)脱盲阶段
C接收到s′后，计算：s=(s′+βsC) mod q，则[j,m,mw,(r,s,u)]为代理签名人B代
表原始签名人A对消息m的盲签名。

2.5 验证阶段
(1)验证者首先判断代理签名权是否在有效时间内，如果超过有效时间则签名无效，否则，进入下一步验证。

(2)验证者计算：r′=gsyTmod p，然后验证等式： mod q是否成立。

如果成立，则代理盲签名有效，否则无效。

3 方案安全性分析
3.1 正确性
要等式 mod q成立，又因为 mod q，即证：r′=r 因为： mod n，所以：
σj=σ0mod n，即：yT=gσ0=gσj mod p
r′=gsyTmod p=gs′+βxCyTmod p
=gσju′+σjkB+βxCyT=gσju′+σjkB+βxCgσj mod p
=gσj(α-u)+σjkB+βxCgσj mod p
=gσjα-σju+σjkB+βxCgσj mod p
=gσjα-σju+σjkB+βxC+umod p
=gσjα+σjkB+βxC mod p
=gσjα+σjkB+βxC mod p
=gσjαgσjkBgβxC mod p
=yTtyC mod p
=r
即等式：成立，签名有效，改进方案是正确的。

3.2 不可伪造性分析
(1)代理授权安全性：
在代理授权阶段，原始签名者A计算：中，包含原始签名者A任意选择的kA和
密钥sA，即只有原始签名者A可以生成正确的σ，任何攻击者无法伪造代理授权
信息。

(2)用户签名密钥、公钥安全性：
原始签名人A的私钥：sA=xADA=xAxQA=xAxH1(IDA)中包含A任意选择的秘
密值xA，系统主密钥x，即A的私钥是由密钥生成中心和用户任意选择的秘密值
构成，密钥生成中心不知道A最后的签名密钥，也就无法伪造用户的签名以及授权，任何攻击者无法知道用户任意选择的秘密值也就无法伪造用户的签名密钥，同理，代理签名者B，信息拥有者C的密钥具有同样的不可伪造性，
综述所述，新方案中，原始签名者A，代理签名者B，信息拥有者C的签名密钥是安全的，又因为公钥是通过密钥生成的，所以攻击者无法伪造其公钥。

3.3 盲性分析
信息拥有者C在签名生成阶段任意选择α，β∈RZ作为盲化因子，并通过计算：
r=tyCyTmod mod q，u′=(α-u) mod q对信息m进行盲化得到盲化后的信息u′，
然后通过安全信道将u′发送给代理签名者B，B对u′进行签名，因此，在不知道盲化因子α，β的情况下，得不到原信息m，所以方案满足盲性。

3.4 不可追踪性分析
最后的盲签名[j,m,mw,(r,s,u)]公布后，代理签名人B想找到盲签名[j,m,mw,(r,s,u)]与信息m的签名之间的联系，以此对信息拥有者进行追踪，必须找到α，β，然而通过r=tyCyTmod mod q，u′=(α-u) mod q求解α，β将面临数学困难问题，所以，该方案具有不可追踪性。

3.5 前向安全性分析
一方面，密钥更新算法为 mod n，从j时段的代理密钥求j-1时段的代理密钥是不可能的，因为这是一个强RSA假设问题[3]，另一方面，签名方程： mod q和
t=gσjkB mod p中mod n=σ0mod n包含时段参数j，是一个与当前时间段有关的变量，不再是一个长量，即签名的产生是包含时段参数j，无法通过其他方式将其转换掉，故即使第j时间段的密钥泄露，j时段以前的签名都是安全的，方案具有前向安全性。

3.6 不可否认性
(1)原始签名者A无法否认给代理签名者B的授权信息
在授权阶段，中包含了A的私钥sA，所以A无法否认给B的授权信息
(2)代理签名者B无法否认对信息m的签名
在签名阶段：s′=σju′+σjkB mod q中，mod n=σ0mod n=(σ+sB) mod n包含代理签名者B的密钥sB，所以代理签名者B无法否认对信息m的签名。

(3)信息拥有者C无法否认自己提供的信息
在脱盲阶段：s=(s′+βsC) mod q中包含信息拥有者C的密钥sC，所以信息拥有者C无法否认自己提供的信息m
综上所述，原始签名者A无法否认为代理签名者B授过权，代理签名者B无法否
认对信息m的代理签名，信息拥有者C无法否认提供的信息m。

4 总结
本文经安全分析，指出LSY方案存在公钥替换攻击问题，同时，基于无证书密码体制提出了一个改进方案，改进方案解决了公钥认证问题，经安全分析，该方案是正确的，不可伪造的，密钥更新和代理盲签名都具有前向安全性。

参考文献
【相关文献】
[1] Diffie W, Hellman M E. New directions in cryptography[J]. IEEE Transactions on Information Theory, 1976,22(6):644-654.
[2] Chaum D. Blind signature system[C]//Proceedings of Crypto
1983.Berlin:Springer,1984:153-153.
[3] Mambom, Usudak, Okamoto E. Proxy signatures: Delegation of the power to sign messages[J]. IEICE Transactions on Fundam,1996,E79-A(9):1338-1354.
[4] Anderson R. Two remarks on public key cryptology[C]//Invited lecture In the: Forth Annual Conference on Computer and Communications Security, ACM,1997.
[5] 肖红光,谭作文,王键.一种前向安全的代理盲签名方案[J].通信技术,2009,42(5)：193-196.
[6] 卢书一.具有前向安全性的代理盲签名方案的分析与设计[D].哈尔滨：黑龙江大学,2011.
[7] Shamir A. Identity-based cryptosystems and signature schemes[C]//Proc. of advance in CRYPTO’85, Santabarbara, California, USA: Springer-Verlag, 1984: 47-53.
[8] Ai-Riyami SS, Paterson KG. Certificateless public key cryptography[C]//Laih CS,ed, Proc. of the ASIACRYPT 2003. lncs2894,Berlin:Springer-Verlag, 2003,452-473.
[9] Choi K Y, Park J H, Hwang J Y, et al. Efficient certificateless signature
schemes[C]//Proceedings of the 5th International Conference on Applied Cryptography and Network Security,2007:443-458.
[10] 王圣宝,刘文浩,谢琪.无双线性配对的无证书签名方案[J].通信学报,2012,33(4):93-98.
[11] Zhang L, Zhang F. Certificateless signature and blind signature[J].Journal of Electronics (China), 2008, 25(5): 629-635.。