对标准模型下无证书签名方案的安全性分析

一种无证书签名方案的安全性分析及改进樊爱宛;任童童;鲁书喜【摘要】With the help of a certificateless security model,a certificateless digital signature was analyzed and the security flaws were found.The original scheme was improved for these security flaws.Its security is based on a classical difficult problem——computing Diffie-Hellman problem.The improved scheme is provably secure.%利用无证书密码体制的安全模型,分析一种无证书数字签名方案,发现存在安全性缺陷.针对这些安全性缺陷,对原方案进行改进.其安全性基于一个经典的困难问题——计算Diffie-Hellman问题,使得改进方案是可证安全的.【期刊名称】《平顶山学院学报》【年(卷),期】2012(027)002【总页数】6页(P59-64)【关键词】无证书签名;双线性对;公钥替换攻击;随机预言模型【作者】樊爱宛;任童童;鲁书喜【作者单位】平项山学院计算机科学与技术学院,河南平项山467099;平项山学院计算机科学与技术学院,河南平项山467099;平项山学院计算机科学与技术学院,河南平项山467099【正文语种】中文【中图分类】TP3090 引言为了解决基于身份的密码系统中的密钥托管问题，Al－Riyami和Paterson在2003年提出了无证书的密码系统(CL－PKC).在无证书密码系统中用到一个第三方KGC，其作用是负责产生用户的部分私钥.在获得KGC产生的部分私钥后，用户随机选择一个秘密值，然后用户通过部分私钥和秘密值来产生自己的公钥和私钥，系统将部分公钥绑定同一个身份［1］.相对于传统公钥体制下的数字签名而言，无证书签名优势在于:1)降低传统基于PKI 的密码体制的复杂度，如证书认证的消耗;2)没有基于身份的密码系统中的密钥托管问题［2］.目前，虽然提出了一些无证书密码方案，如无证书加密方案［3］，无证书签名方案［4］，无证书环签名方案［5］等，但是大部分方案既不能抵抗公钥替换攻击，也不能判别KGC的积极不诚实行为，而且很多无证书签名方案只注重对KGC的约束而忽略了对签名者的限制，从而存在安全隐患.笔者利用无证书密码体制的安全模型，分析文献［6］中的LIU方案无证书数字签名方案，发现存在的安全性缺陷，针对这些缺陷，提出了改进方案，改进方案的安全性是基于一个经典的困难问题——计算Diffie－Hellman问题，这使得改进方案是可证安全的.1 预备知识1.1 双线性映射及相关困难问题假设G1是一个阶为素数q的加法群，P是它的一个生成元;G2是一个阶为q的乘法群.若一个映射e:G1×G2→G2满足以下3条性质，则称这个映射为双线性映射［7］.1)双线性:对于任何 U，V∈G1;a，b∈Z*q，e(aU，bV)=e(U，V)ab.2)非退化性:存在U，V∈G1使得e(U，V)≠13)可计算性:对于任何的U，V∈G1，存在一个高效的算法来计算e(U，V)的值.双线性映射可以通过有限域上超椭圆曲线上的Tate对和Weil对来构造.本文涉及到的相关困难问题如下［8］:问题1 离散对数问题(DHP):任取Q∈G1，求满足成元Q=nP，n∈G1.问题2Diffie－Hellman问题(CDHP):∀(P，aP，bP)，在其中找到数值 a，b，求出abP.假设DHP问题和CDHP问题是困难的，即不存在多项式时间算法以不可忽略的概率求解DHP问题和CDHP问题.群G1的选取可满足DHP问题、CDHP问题难解.1.2 无证书签名体制一个无证书签名方案由系统参数生成，部分密钥生成，设置秘密值，设置私钥，设置公钥，签名以及验证7个算法组成.通常，前两个算法由KGC执行，而其他算法由签名或验证用户执行［9］.在无证书数字签名机制的安全模型中，存在2种类型的敌手攻击以及在适应性选择密文攻击下具有不可区分性和在适应性选择消息攻击下存在不可伪造性:Type－I攻击者AI:不能获取系统主密钥，但可以替换任意用户公钥，同时AI能够多项式次进行Hash询问.Type－II攻击者AII:拥有主密钥，可以自己产生部分私钥，但是不能替换用户的公钥.2 LIU方案及攻击方法2.1 LIU方案描述系统参数生成:输入一个安全参数k，KGC选定满足1.1节所述性质的e，G1，G2，P，并在中随机选取系统主密钥s，记P0=sP，选择哈希函数H1:{0，1}*→G1，H2:{0，1}*→，设置系统参数{e，G1，G2，P，P0，H1，H2}.设置秘密值:用户(其身份为ID)在Zq*中随机选取一个值S1作为其秘密值，计算Q1=S1P并公布.部分私钥生成:KGC利用系统主密钥帮用户生成部分私钥.当输入一个用户的身份ID和Q1，KGC计算Q2=H1(ID，Q1)，并输出该用户的部分私钥S2=sQ2.设置公钥:用户(其身份为ID)设置其公钥为(Q1，Q2).设置私钥:身份为ID的用户设置其私钥为(S1，S2).签名:假设签名者的身份为ID，公钥为(Q1，Q2)，私钥为(S1，S2).当输入一个消息M，该签名者按以下方式对消息M进行签名:1)选取，计算R=e(Q2，P0)r.2)计算v=H2(M，R)，U=rS2－vS1Q2.3)输出签名σ=(v，U).验证:验证者按如下方式验证消息签名σ的有效性:1)计算R=e(U，P)e(Q2，Q1)v.2)检验等式)是否成立.若成立则输出1，否则输出0.2.2 对LIU方案的攻击设已知身份ID的关于消息M和公钥(Q1，Q2)的签名σ=(v，U)，攻击者伪造签名如下:1)签名者选取，计算=tP= H1(ID);2)选取，P)k，v=H1(M，R)，，产生签名σ=(v，U);3)将(，σ，M)发送给验证者.验证者收到已经替换的公钥和签名后，仍然按照验证算法验证，即计算R=e(U，P)e(Q*2，Q*1)v，得到v=H2(M，R)，原因如下:最后Q2=H1(ID，Q1).伪造的签名能够通过确认，因而攻击成功.2.3 对LIU方案的安全性分析在无证书数字签名机制的安全模型中，攻击者AI能够在没有获取系统主密钥情况下，通过构造的签名参数R和U，绕过系统主密钥，并成功替换任意用户公钥，重新生成的签名能够被验证通过.攻击者AI攻击成功的主要原因在于:1)U中的3个秘密值(r，S1，S2)实质上只有2个起作用(rS2，S1)，这就使得签名者在签名时逃避使用S2的行为成为可能;2)U中的S2没有和参数v建立联系.如果要使伪造的签名算式通过确认，就需签名方构造参数R和U.假设构造的R=e(X，P)r，其中X可为P，Q1，Q2.则构造U的过程如下:方案中的参数R和U没有关联，即U和rX无关联.这就导致了R变化确定后，U就可以变化适应R.如果改变U，则R变化，R变化，则U变化，两个参数相互影响，就很难让攻击者构造绕过系统主密钥的U，然后再构造出适应U的R.R和U间共同的参数就是v.防止构造绕过主密钥S2的R和U的方法，就是U中的S2没有和参数v建立联系.攻击者AII拥有主密钥，可以自己产生部分私钥，但是不能替换用户的公钥.如果攻击成功，就需要构造用户的秘密私钥S1的参数U.方案中U= rS2－vS1Q2可知，S1已与v建立联系，导致改变U，则R变化，改变R，则U变化的循环中.故，攻击者AII攻击方案是不成功的.根据以上两种主要原因，构建U=rX－vS2－vS1Q2，R=e(X，P)r.3 改进方案系统参数生成:与文献［6］方案相同，另加H3: {0，1}*→G1.设置秘密值:用户(其身份为ID)在中随机选取一个值S1作为其秘密值，计算Q1=S1P并公布.部分私钥生成:KGC利用系统主密钥帮用户生成部分私钥.当输入一个用户的身份ID和Q1，KGC计算Q2=H1(ID，Q1)，并输出该用户的部分私钥S2=sH3(ID).设置公钥:用户(其身份为ID)设置其公钥为(Q1，Q2).设置私钥:身份为ID的用户设置其私钥为(S1，S2).签名:假设签名者的身份为ID，公钥为(Q1，Q2)，私钥为(S1，S2).当输入一个消息M，该签名者按以下方式对消息M进行签名:1)选取，计算R=e(P，P)r.2)计算v=H2(M，R)，U=rP－vS2－vS1Q2.3)输出签名σ=(v，U).验证:验证者按如下方式验证签名σ的有效性:1)计算Q3=H3(ID)，R=e(U，P)(e(Q2，Q1) e(Q3，P0))v.2)检验等式是否成立.若成立则输出1，否则输出0.4 改进方案性能分析4.1 正确性分析该无证书签名方案是正确的.证明假如无证书签名(M，σ=(v，U))是按签名过程计算得到的，则必有以下等式成立:4.2 执行效率分析签名者在签署任何消息之前可预先计算R= e(P，P)r，S1Q2，S2+S1Q2，验证者在验证任何消息前可预先计算e(Q2，Q1)e(Q2，P0)，从而大大减少实际计算代价.改进后的方案与原方案的执行效率比较如表1所示.其中，e表示双线性对映射;MG1，AG1分别表示G1上的乘法、加法运算;MG2，EG2分别表示MG2上的乘法和指数运算;H1，H2分别表示哈希函数.表1 改进后方案与原方案的主要运算操作次数比较?可以看出，改进后方案的效率依然较高.4.3 安全性分析定理1 在随机预言模型下，若群G1中的CDHP问题是困难的，那么用上述改进的无证书签名方案对于第一类攻击者是安全的.证明若I类攻击者AI可以攻破改进方案，则存在多项式时间算法B可利用AI解决CDHP问题，即已知(aP，bP)，能够计算abP.首先，B设置P0=aP，选择系统参数params= {e，G1，G2，P，P0，H1，H2，H3}.然后B将系统参数给AI，并如下回答AI的询问.这里将哈希函数H1，H2，H3看成随机预言机.H1询问:B维护一个列表Hlist1，开始时，该列表被初始化为一个空表，其每一项的格式为(ID，t，QID1，QID2).当AI询问H1(IDi，Qi1)时，B随机选择，计算，将(IDi，ti，Qi1，Qi2)加入到并将返回给H2询问:B维护一个列表，开始时，该列表被初始化为一个空表，其每一项的格式为(ID，β，QID3，SID1).假设AI最多能做 qH2次 H1询问，C在［1，qH2］中随机选取一个值 J.当 B收到 AI对H2(IDi)的询问时，若这不是第J次询问，B随机选择，计算Qi3=βiP，将(IDi，βi，Qi3，Si1)加入到并将Qi3返回给AI.否则，B设置βJ=SJ1=⊥，QJ3=bP，将(IDJ，βJ，QJ3，SJ1)加入到Hlist2并将QJ3返回给AI.H3询问:B维护一个列表Hlist3，其格式为(M，R，v).最初，这个列表被初始化为一个空表.当AI询问H3(Mi，Ri)时，B随机选择，将(Mi，vi)加入到并将vi返回给AI.部分私钥询问:若IDi=IDJ，B终止;否则检索找到)这一项，将返回给当H1(IDi)没有询问过时，B首先做H1(IDi)操作.公钥询问:B维护一个列表Klist，其每一项的格式为(ID，x，QID1，QID2).这个列表起初是空的.当B接收到AI对身份IDi的公钥询问时，C首先检索Klist.若Klist中有一项(IDi，xi，Qi1，Qi2)，则 B返回Qi1作为回答.否则，B随机选择，计算Qi1= xiP，再根据(IDi，Qi1)，针对H1询问，得到Qi2，返回Qi1作为回答并将(IDi，xi，Qi1，Qi2)加入到Klist.公钥替换询问:当B接收到AI的一个关于身份为IDi的用户的公钥替换询问(IDi，Q'i1，Q'i2)时，B检索Klist找到(ID，x，QID1，QID2)并设置xi=⊥，Qi1=Q'i1，Qi2=Q'i2.秘密值询问:当B接收到AI对身份为IDi的用户的秘密值询问时，B检索Klist找到(ID，x，QID1，QID2).若xi=⊥，表明关于身份IDi的公钥已经被替换，因此B 无法正确回答AI的秘密值询问，B只能返回⊥;否则B返回xi.签名询问:当AI向B请求身份为IDi，公钥为(Qi1，Qi2)的用户对一个消息Mi的签名时，B按照如下步骤回答:1)随机选择，Ui∈G1.2)计算 Ri=e(Ui，P)(e(Qi2，Qi1)e(Qi3， P0))vi，其中Qi2=H1(IDi，Qi1)，Qi3=H2(IDi).3)设置H3(Mi，Ri)=vi.4)返回(vi，Ui)最后，AI输出一个伪造(M*，σ*=(v，U)， ).若ID*≠IDJ，B终止.否则，根据Forking Lemma［10］，B选择不同的Hash函数H'3并再次利用AI的能力，它可以得到另一个伪造(M*，σ*=(v，U)，ID*.从而B得到了2个有效的伪造，并且它们满足R=e(U，P)(e(Q2，Q1) e(Q3，P0))v与R=e(U'，P)(e(Q2，Q1)e(Q3，P0))v'.其中Q1=P*，Q2=H2(ID*，P*)=tP，并以(ID*，t，P*，tP)的形式存在于中，Q3= H2(ID*)=bP.这样就有e(U，P)(e(Q2，P*)e(Q3，P0))v= e(U'，P)(e(Q2，P*)e(Q3，P0))v'.因此，C可以计算出CDH问题的解abP=(v－v')－1(U－U')－tP*，即已知aP，bP，可求出abP.这与CDH问题相矛盾，故改进的无证书签名方案对于第一类攻击者不存在伪造性.考虑到在进行2次伪造攻击过程中的公钥(Q1，Q2)可能不同，B得到的这2个有效的伪造应该满足R=e(U，P)(e(Q2，Q1)e(Q3，P0))v与R= e(U'，P)(e(Q'2，Q'1)e(Q3，P0))v'.其中Q1=P*，Q2=H2(ID*，P*)=tP，Q'1= P*'，Q'2=H2(ID*，P*')=t'P，Q3=H2(ID*)= bP.这样就有e(U，P)(e(Q2，P*)e(Q3，P0))v= e(U'，P)(e(Q'2，P*')e(Q3，P0))v'.因此，C可以计算出CDH问题的解abP=(v－v')－1(U－U')－(tP*－t'P*')，即已知aP，bP，可求出abP.这与CDH问题相矛盾，故改进的无证书签名方案对于第一类攻击者不存在伪造性.定理2 在随机预言模型下，若群G1中的CDH问题是困难的，那么上述改进的无证书签名方案对于第二类攻击者是安全的.证明若II类攻击者AII可以攻破改进方案，则存在多项式时间算法B可利用AII解决CDH问题，即已知(aP，bP)，能够计算abP.首先，B选择系统主密钥，计算P0=sP，选择系统参数params={e，G1，G2，P，P0，H1，H2，H3}.然后B将系统参数与主密钥给AII.这里将哈希函数H2、H3看成随机预言机.公钥询问:B维护一个列表Klist，其每一项的格式为(ID，x，QID1，QID2).这个列表被初始化为一个空表.假设AII最多能做qK次公钥询问，B在［1，qK］中随机选取一个值J.当B接收到AII的一个关于身份为IDi的用户的公钥询问时，B首先检索Klist.若Klist中有一项(IDi，xi，Qi1，Qi2)，则 B返回Qi1作为回答.否则，若IDi≠IDJ，B随机选择xi∈，设置Qi1=xiP;而当IDi=IDJ时，设置xi=⊥，Qi1=aP.最后，再根据(IDi，Qi1)，针对H1询问，得到Qi2，返回Qi1作为回答并将(IDi，xi，Qi1，Qi2)加入到Klist.H1询问:B维护一个列表，其格式为(ID，t，QID1，QID2).该列表起初是空的.当B收到AII对H1(IDi，Qi1)的询问时，B首先判定IDi是否等于IDJ.若IDi≠IDJ，B 随机选择，计算 Qi2= tiP;否则设置ti=⊥，Qi2=bP.最后B将(IDi，ti，Qi1，Qi2)加入到Hlist1 并将Qi2返回给AII.H3询问:B维护一个列表，其格式为(M，R，v).最初，这个列表被初始化为一个空表.当AI询问H3(Mi，Ri)时，B随机选择，将(Mi，vi)加入到Hlist3 并将vi返回给AII.秘密值询问:当B接收到AII的关于身份为IDi的用户的秘密值询问时，若IDi=IDJ，B终止.否则，B首先生成该用户的公钥，然后检索Klist找到(IDi，xi，Qi1，Qi2).若xi=⊥，表明关于身份IDi的公钥已经被替换，因此B无法正确回答AII的秘密值询问，B返回⊥;否则B返回xi.公钥替换询问:当B接收到AII的一个关于身份为IDi的用户的公钥替换询问(IDi，Q'i1，Q'i2)时，若 IDi=IDJ，B终止，否则，B检索 Klist找到(IDi，xi，Qi1，Qi2)并设置xi=⊥，Qi1=Q'i1，Qi2= Q'i2.签名询问:当AII向B请求身份为IDi，公钥为(Qi1，Qi2)的用户对消息Mi签名时，B按照如下步骤回答该询问:1)随机选择，Ui∈G1.2)计算 Ri=e(Ui，P)(e(Qi2，Qi1)e(Qi3， P0))vi，其中Qi2=H1(IDi，Qi1)，Qi3=H2(IDi).3)设置H3(Mi，Ri)=vi.4)返回(vi，Ui)最后，AII输出一个伪造(M*，σ*=(v，U)， ).若ID*≠IDJ，B终止.否则，根据Forking Lemma，B选择不同的Hash函数H'3并再次利用AII的能力，它可以得到另一个伪造(M*， )).从而B得到了2个有效的伪造，并且它们满足R=e(U，P)(e(Q2，Q1) e(Q3，P0))v与R=e(U'，P)(e(Q2，Q1)e(Q3，P0))v'.其中Q1=aP，Q2=H1(ID*，Q1)=bP，并以(ID*，⊥，aP，bP)的形式存在于中. 于是就有等式e(U，P)(e(Q2，Q1)e(Q3，P0))v=e(U'，P)(e(Q2，Q1)e(Q3，P0))v'.由我们设置可知，e(U－U'，P)(e(bP，aP)e(Q3，sP))v= (e(bP，aP)e(Q3，sP))v'.因此，B可以计算出CDHP问题的解abP= (v'－v)－1(U－U')－sQ3，即已知aP，bP，可求出abP.这与CDHP问题相矛盾，故改进的无证书签名方案对于第二类攻击者不存在伪造性.5 结论笔者对文献［6］提出的无证书数字签名方案进行了分析，给出了公钥替换攻击方法.对这种签名方案的安全性分析得出，由于密钥值在签名中未完全利用，并且未对两个重要参数建立关联，导致攻击者可进行构造算法，并实施公钥替换攻击的行为成为可能.针对原方案出现的错误，在没有降低执行效率的前提下，对原签名方案进行了改进.改进方案的安全性证明是基于随机预言的安全模型，它是无证书签名方案的一个很强的安全模型，使得改进后的无证书签名方案是可证安全的.参考文献:［1］Al－Riyami S，Paterson K.Certificateless public key cryptography ［C］.Taipei:Proceedings of the Asiacrypt，2003: 452－473.［2］张磊，张福泰.一类无证书签名方案的构造方法［J］.计算机学报，2009，32(5):32－38.［3］Choi K，Park J，Hwang J，et al.Efficient certificateless signature schemes［C］.Zhuhai:Proceedings of the ACNS，2007:443－458.［4］Castro R，Dahab R.Two notes on the security of certificatelesssignatures［C］.Wollongong:Proceedingsofthe ProvSec，2007:85－102. ［5］Zhang J，Mao J.Security analysis of two signature schemes and their improved schemes［C］.Kuala Lumpur:Proceedings of the ICCSA，2007:589－602.［6］刘景伟，孙蓉，马文平.高效的基于ID的无证书签名方案［J］.通信学报，2008，29(2):87－94.［7］王化群，徐名海，郭显久.几种无证书数字签名方案的安全性分析及改进［J］.通信学报，2008，29(5):88－92.［8］张玉磊.高效的无证书紧致有序多重签名方案［J］.计算机工程，2011，37(8):109－111.［9］宋明明，张彰，谢文坚.一种无证书签密方案的安全性分析［J］.计算机工程，2011，37(9):163－164.［10］Pointcheval D，Stern J.Security proofs for signature schemes ［C］.Saragossa:Proceedings of the EUROCRYPT’96，1996:387－398.。

无证书签名方案的分析及改进葛荣亮;高德智;梁景玲;张云【摘要】对一个无证书签名方案进行安全性分析,指出该方案不能抵抗公钥替换攻击和恶意的KGC攻击,即攻击者可以通过替换签名者的公钥来伪造任意消息的签名,恶意的KGC (Key Generation Center)可以获取用户的私钥.分析结果显示该方案不能满足无证书签名方案的安全性要求,同时为了应对这两种攻击,提出了改进的方案.%This paper analyzes a certificateless signature scheme, and points out the scheme can' t resist to the public key replacement attack and the malicious KGC(Key Generation Center) attack. The attacker can forge the signature for any message by substituting the public key of the signer. The malicious KGC can get the private key. The analysis shows that the scheme can not satisfy the safety requirements of the certificateless signature. Meanwhile the improvement measure is proposed to resist these attacks.【期刊名称】《计算机工程与应用》【年(卷),期】2013(049)005【总页数】3页(P96-98)【关键词】无证书签名;公钥替换攻击;恶意密钥生成中心(KGC)攻击;双线性对【作者】葛荣亮;高德智;梁景玲;张云【作者单位】山东科技大学信息科学与工程学院,山东青岛266510;山东科技大学信息科学与工程学院,山东青岛266510;山东科技大学信息科学与工程学院,山东青岛266510;山东科技大学信息科学与工程学院,山东青岛266510【正文语种】中文【中图分类】TP309传统的公钥密码系统需要管理用户的密钥证书，在管理证书的过程中需要大量的计算和存储开销，为了简化证书的管理过程，1984年Shamir[1]首次提出了基于身份的密码系统。

一种一种无证书签名方案无证书签名方案无证书签名方案的的分析与改进杨 波，肖自碧肖自碧，，李寿贵李寿贵，，宋春光(武汉科技大学理学院，武汉 430065)摘 要：分析张燕燕等人提出的基于离散对数问题的无证书签名方案(计算机工程与应用，2011年第12期)，指出在该方案中，敌手通过替换公钥可以伪造任何签名人对任意消息的签名，并提出一个无需双线性对运算的改进方案。

理论分析结果证明，改进方案在最强安全模型下是存在性不可伪造的，且签名和验证效率更高。

关键词关键词：：离散对数问题；无证书签名；普遍伪造；存在性不可伪造；双线性对Analysis and Improvement of Certificateless Signature SchemeYANG Bo, XIAO Zi-bi, LI Shou-gui, SONG Chun-guang(College of Sciences, Wuhan University of Science and Technology, Wuhan 430065, China)【Abstract 】This paper analyzes a certificateless signature scheme based on discrete logarithm problem, which is proposed by Zhang Yanyan et al and points out that their scheme is universally forgeable, and an adversary can forge any signer’s valid signature on any message by replacing public key. It also presents an improved scheme which is proved to be existentially unforgeable in a super security model. In addition, the improved scheme has the advantage of high computation efficiency, as there is no heavily cost bilinear pairing operation in the improved scheme.【Key words 】Discrete Logarithm Problem(DLP); certificateless signature; universally forgeable; existentially unforgeable; bilinear pairings DOI: 10.3969/j.issn.1000-3428.2012.09.005计 算 机 工 程 Computer Engineering 第38卷 第9期 V ol.38 No.9 2012年5月May 2012·博士论文博士论文·· 文章编号文章编号：：1000—3428(2012)09—0015—04 文献标识码文献标识码：：A中图分类号中图分类号：：TP309.21 概述文献[1]提出了无证书公钥密码系统CL-PKC 。

1800 引言2003年Al-Riyami和Paterson第一次提出无证书密码[1]。

该方法可以作为解决传统公钥基础设施(Public Key Infrastructure,PKI)和基于身份的公钥密码(identity-basedPublic Key Cryptography,ID-PKC)问题的中间方案。

传统的P K I需要一个可信机构来将实体的身份与其公钥绑定,而ID-PKC需要一个可信的私钥生成器(Private Key Generator,PKG)来根据用户身份生成用户的私钥。

因此,在基于身份的密码中,公钥设置的证书管理问题实际上被密钥托管问题所取代。

在无证书公钥密码体制(Certificateless Public Key Cryptography,CL-PKC)中,仍然使用第三方密钥生成中心(Key Generation Center,KGC)来帮助用户生成私钥[2-4]。

然而,KGC不能访问用户自己选择的秘密信息和从KGC 接收的部分私钥生成的最终私钥。

K GC使用一个称为主密钥的秘密值产生部分私钥。

用户的公钥由用户根据自己选择的秘密信息和KGC的公共参数计算出来,并由用户自己发布。

无证书密码提出来以后,出现了很多基于无证书环境的密码方案。

无证书密码体制的安全性也备受关注。

无证书环境下的敌手模型主要包括两种类型的对手。

I 类对手A 1无权访问主密钥,但可以访问任何实体的秘密值,并可以用另一个值替换其公钥;II类对手A 2可以访问主密钥,但无法执行公钥替换。

2003年,Boneh等人提出了聚合签名的概念[5]。

聚合签名方案是一种数字签名方案,它允许将n个不同的签名者在n个不同消息上产生的签名聚合为单个签名。

发送和验证聚合签名分别需要较少的通信和计算开销。

这样就产生了很多无证书聚合签名[6-8](Certificateless Aggregate Signature,CLAS)。

在大多数的CLAS方案中,配对操作(这是基于配对的密码方案中常用的最耗时的操作)的数量和聚合签名的大小随着签名者的数量线性增长。

一个安全高效的无证书签名方案的分析和改进
刘二根;周华静;王霞;郭红丽
【期刊名称】《华东交通大学学报》
【年(卷),期】2015(032)004
【摘要】对刘倩等提出的一个无证书签名方案进行安全性分析.结果表明,方案存在公钥替换攻击,且方案使用了双线性对运算导致效率下降.在此基础上,提出一个新的不使用双线性对的无证书签名方案,并证明了方案可以抵抗两类攻击者的攻击.最后,将提出的改进方案与已有的无证书签名方案进行效率比较,发现新方案具有较高的效率.
【总页数】5页(P105-109)
【作者】刘二根;周华静;王霞;郭红丽
【作者单位】华东交通大学理学院,江西南昌 330013;华东交通大学理学院,江西南昌 330013;华东交通大学系统工程与密码学研究所,江西南昌 330013;华东交通大学理学院,江西南昌 330013;华东交通大学系统工程与密码学研究所,江西南昌330013;华东交通大学理学院,江西南昌 330013;华东交通大学系统工程与密码学研究所,江西南昌 330013
【正文语种】中文
【中图分类】TP309
【相关文献】
1.对一个高效无证书签名方案的安全性分析 [J], 胡国政;韩兰胜;夏祥胜
2.高效无证书签名方案的安全性分析和改进 [J], 梁红梅;黄振杰
3.一个高效的基于ID的无证书签名方案的安全性分析及改进 [J], 吴晨煌;梁红梅;陈智雄;王海明
4.一个高效的无证书签名方案分析与改进 [J], 刘倩;范安东;张丽娜;张愉
5.一个强安全的无证书签名方案的分析和改进 [J], 叶胜男;陈建华
因版权原因，仅展示原文概要，查看原文内容请购买。

高效可证明安全的无证书签名方案汤永利;王菲菲;闫玺玺;李子臣【摘要】无证书公钥密码体制解决了基于身份的密码体制的密钥托管问题,且无需使用公钥证书.为此,借鉴无证书密码体制的思想,基于椭圆曲线离散对数问题,提出一类无双线性对的无证书签名方案,包括8种子签名方案,并在随机预言机模型下对其进行安全性证明.结果表明,提出方案可抵抗2类超级攻击以及存在性伪造攻击,具有较高的安全性.其中的最优方案在签名阶段与验证阶段仅需1次和2次标量乘法运算,计算效率相比现有无证书签名方案有明显提高.【期刊名称】《计算机工程》【年(卷),期】2016(042)003【总页数】5页(P156-160)【关键词】无证书公钥密码体制;数字签名;椭圆曲线离散对数问题;存在性伪造攻击;可证明安全【作者】汤永利;王菲菲;闫玺玺;李子臣【作者单位】河南理工大学计算机科学与技术学院,河南焦作454000;河南理工大学计算机科学与技术学院,河南焦作454000;河南理工大学计算机科学与技术学院,河南焦作454000;北京印刷学院信息工程学院,北京101399【正文语种】中文【中图分类】TP393.08在传统公钥密码体制中,使用认证中心(Certification Authority,CA)颁发的数字证书认证用户公钥,因其复杂的证书管理过程带来了巨大开销。

基于身份的公钥密码体制使用不同于传统公钥密码体制的方式认证公钥。

从用户公开的身份信息导出公钥,不需要证书认证[1]。

利用一个可信第三方私钥生成中心(Private Key Generation Center,PKG)为用户产生相应私钥,从而产生密钥托管问题。

PKG知道任何用户的私钥,不诚实的PKG能够解密发送给用户的消息、伪造用户的签名。

在无证书公钥密码体制中[2],用户私钥由可信第三方密钥生成中心(Key Generation Center,KGC)和用户合作产生,KGC使用主密钥和用户的身份标识为用户产生一个部分私钥;用户选取一个秘密值,并与部分私钥结合起来作为用户私钥。

标准模型下可证安全的无证书全同态加密体制李少鲲【摘要】针对现有全同态加密体制普遍存在的公钥尺寸大的缺陷,结合无证书公钥加密的思想,提出一种无证书全同态加密体制设计方案,无需对公钥进行身份认证,因而有效提高密码系统的整体应用效率.体制利用满秩差分矩阵实现身份信息的嵌入,摆脱了对于哈希函数的依赖,因而在安全性证明中无需引入随机谕示假设;借助一对彼此对偶的正态分布采样函数实现部分私钥的提取,进而结合容错学习问题实例生成体制私钥;通过双重加密使服务器失去对用户密文进行解密的能力,从而杜绝密钥托管问题.体制的安全性在标准模型下归约到容错学习问题的难解性.【期刊名称】《计算机应用》【年(卷),期】2015(035)002【总页数】7页(P387-392,406)【关键词】全同态加密;无证书公钥加密;容错学习问题;可证安全;标准模型【作者】李少鲲【作者单位】信息工程大学,郑州450002;数学工程与先进计算国家重点实验室,郑州450002【正文语种】中文【中图分类】TP309全同态加密是不同于传统加密体制的新型加密技术，其思想最初来自于RSA算法[1]所具备的乘法同态特性：对同一公钥加密下若干密文的乘积进行解密，所得的明文等于原密文分别解密后相乘的结果。

全同态加密能够使没有私钥的计算者对加密状态下的数据进行运算，同时不破坏数据的可用性，为从根本上解决云计算中数据安全和隐私问题提供了一条可行的解决方案。

2009年，Gentry[2]在全同态加密的研究中取得突破性进展，提出第一种基于“理想格”(ideal lattice)的全同态加密体制(Gentry体制)；随后，若干同类体制(基于整数[3]、主理想格[4]和素判别式主理想格[5]等代数结构)被相继提出，但普遍计算效率较低，且安全性存在缺陷(依赖于离散子集合问题难解性假设)。

2011年，Brakerski等[6]利用重线性化(re-linearization)和维数-模数约减(dimension-modulus reduction)技术，构造出基于一般格上容错学习问题(Learning With Errors，LWE)[7]的全同态加密体制(简称BV体制)，安全性不再依赖离散子集合问题，且密文尺寸相对较小。

—130— 一种无证书可验证加密签名的安全性分析肖自碧a,b ，杨 波a,b ，李寿贵a,b(武汉科技大学 a. 冶金工业过程系统科学湖北省重点实验室；b. 理学院，武汉 430065)摘 要：分析周敏等人提出的一种无证书可验证加密签名方案(计算机科学, 2009年第8期)，指出该方案不能抵抗公钥替换攻击，不满足可验证加密签名的2个基本安全属性：不可伪造性和可提取性。

此外，该方案还存在密钥托管问题，不具备无证书公钥密码系统的优点。

关键词：无证书公钥密码系统；可验证加密签名；密钥托管；公钥替换攻击；安全性分析Cryptanalysis of Certificateless Verifiably Encrypted SignatureXIAO Zi-bi a,b , YANG Bo a,b , LI Shou-gui a,b(a. Hubei Province Key Laboratory of Systems Science in Metallurgical Process; b. School of Science,Wuhan University of Science and Technology, Wuhan 430065, China)【Abstract 】This paper analyzes a certificateless verifiably encrypted signature scheme which is proposed by Zhou Min et al and points out that their scheme can’t resist the public key replacement attack, it does not satisfy two basic security properties of verifiably encrypted signature: unforgeab- ility and extractability. Moreover, their scheme has key escrow issue, so it has not the advantages of certificateless public key cryptosystem. 【Key words 】certificateless public key cryptosystem; verifiably encrypted signature; key escrow; public key replacement attack; cryptanalysis计 算 机 工 程 Computer Engineering 第36卷 第24期Vol.36 No.24 2010年12月December 2010·安全技术·文章编号：1000—3428(2010)24—0130—02文献标识码：A中图分类号：TP309.21 概述文献[1]提出了一个密码学范例无证书公钥密码系统CL-PKC ，该系统解决了基于身份公钥密码系统存在的密钥托管问题，同时简化了传统的公钥密码系统存在的复杂的证书管理问题。

无证书有序多重签名方案的安全性分析杜红珍【摘要】In order to improve the authentication efficiency of information transmitted through trust train ,Qin Yanlin proposed a certificateless sequential multi-signature scheme with constant signature length ,and proved that their scheme is secure. This article points out that Qin’s scheme has serious security flaws. By giving specific attacks,an adversary can tamper with any information on the trust path,and can forge all node multi-signatures.%为了提高分布式环境下信任链上推荐信息的认证效率，秦艳琳等人提出一个高效的有固定签名长度的无证书有序多重签名方案，并证明了她们的方案是安全的。

但是，秦方案的设计存在安全缺陷，通过具体攻击方法进行分析，结果显示，任意一个敌手都可以篡改其信任路径上的信息，可以伪造所有节点对信息的多重签名。

【期刊名称】《河南科学》【年(卷),期】2014(000)012【总页数】3页(P2514-2516)【关键词】无证书公钥密码;有序多重签名;双线性对【作者】杜红珍【作者单位】宝鸡文理学院数学系，陕西宝鸡 721013【正文语种】中文【中图分类】TN918无证书公钥密码（Certificateless Public Key Cryptography，简记为CL-PKC）消除了基于身份的公钥密码存在的密钥托管问题，又避免了传统公钥证书密码体制中证书的维护和管理问题，是一种性能优良的公钥密码.目前对CL-PKC的研究是密码学界的一个热点.多重签名（Multi-Signature）的概念由Itakura等人［1］在1983年提出，它允许多个用户对同一个消息进行签名，这种特殊签名用较低的计算与通信成本实现了同时为多个用户提供认证性、完整性和不可否认服务，其特性很适合用于电池寿命、计算能力、存储空间和带宽受限的无线应用环境.无证书多重签名是在CL-PKC下多个用户对同一个消息进行签名，在现实应用中，多重签名可分为有序多重签名和无序多重签名.目前，已有若干无证书多重签名方案被提出.2008年，梁红梅等人［2］利用双线性对构造了一个无证书多重签名方案，但该方案是不安全的，敌手从用户的签名可以获得其私钥.2009年，韩亚宁等人［3］提出一个无证书的广义指定多个验证者的有序多重签名方案.2011年，张玉磊［4］利用双线性对提出一个无证书紧致有序多重签名方案，方案生成的签名长度是固定的，执行效率较高.同年，Jin等人［5］提出一个无证书多重代理签名方案.但Xu等人［6］指出该方案存在安全缺陷，并给出了一个改进方案.2014年，Du等人［7］提出一个无证书代理多重签名方案.2013年，秦艳琳等人［8］提出一个高效的无证书有序多重签名方案，用于在大规模分布式环境中信任链上推荐信息的安全传递.秦等人在随机预言机模型下证明了方案是安全的，其安全性规约为计算Diffie-Hellman问题.然而，本文指出秦等人的方案设计有严重安全漏洞，任何一个敌手不需要替换用户的公钥，也不需要知道用户的部分私钥，更无需访问方案所用预言机，便能篡改推荐信息和伪造所有用户的多重签名.1.1 秦艳琳方案介绍秦艳琳等人［8］构造了一个无证书强有序多重签名方案，由下面7个算法组成：-Setup：（G，+），（GT，×）分别是两个阶为素数q的循环群，P为G1的一个生成元，双线性映射e∶G×G→GT， 3个安全哈希函数私钥生成中心PKG随机选取s∈Z*q作为系统主密钥，计算公钥P0=sP，g=e（P，P），公开系统参数params：｛G，GT，q，P，e，P0，g，H0，H1，H2｝.-Partial-Private-Key-Extract：给定节点用户Ni身份IDi（1≤i≤n），PKG计算该用户的部分私钥Di=sQi，其中Qi=H0（IDi）.-Set-Secret-Value：选随机数作为Ni（1≤i≤n）的秘密值.-Set-Public-Key：Ni（1≤i≤n）计算公钥Pi=xiP.-Set-Private-Key：节点Ni（1≤i≤n）令数据（Di，xi）为（完全）私钥.-Sign：设节点Ni（1≤i≤n）将以N1→N2→N3→…→Nn为签名顺序对推荐信息m进行多重签名.1）N1对m签名如下：①N1构造n位的0-1序列C1=（000…001），令κ=（ID1，ID2，…，IDn）.②随机选取③令R1=R′1，S1=S′1，则σ1=（R1，S1）为N1对m的签名，N1将附加了自己签名的推荐信息（m，σ1）发送给下一个签名节点N2.2）N2收到N1的信息/签名（m，σ1）后，操作如下：①计算h1=H2（m，C1，ID1，P1），V1=H1（ID1，P1，κ），验证R1=e （S1，P）［e（H0（ID1），P0）e（P1V1）］h1是否成立，如果成立则执行以下步骤，否则认为信息m已被篡改.②随机选取计算③令R2=R1R′2，S2=S1+S′2，则σ2=（R2，S2）为N2对m的签名，N2将附加了自己签名的推荐信息（m，σ2）发送给下一个签名节点.3）Ni（3≤i≤n）收到前面节点的（m，σi-1）后，验证其有效性并附加自己的签名如下：①对于1≤j≤i-1，Ni由签名的先后顺序构造Cj=（0…010…0），其中第n+1-j位为1，其余位为0，令κ=（ID1，ID2，…，IDn）.②计算hj=H2（m，Cj，IDj，Pj），Vj=H1（IDj，Pj，κ），1≤j≤i-1，验证是否成立，如果成立则认为前面节点传递的信息有效，继续下一步，否则认为信息已被篡改，停止传递.③随机选取计算R′i=gri，hi=H2（m，Ci，IDi，Pi），Vi=H1（IDi，Pi，κ），Ci=（0…010…0），其中第n+1-i位为1，其余位为0，计算，S′i=riP-hi（Di+xiVi）.④令Ri=Ri-1R′i，Si=Si-1+S′i，则σi=（Ri，Si）为Ni对m的签名，Ni将附加了自己签名的推荐信息（m，σi）发送给下一个签名节点，最后Nn完成对m的多重签名（m，σn=（Rn，Sn）），其中，-Verify：请求节点Re对传递来的信息/签名数据（m，σn=（Rn，Sn））进行验证如下：①先构造n位的0-1序列Ci=（0…010…0），计算hi=H2（m，Ci，IDi，Pi），Vi=H1（IDi，Pi，κ），1≤i≤n；②验证等式是否成立，如果等式成立，则确定推荐信息没有被恶意节点篡改；否则认为该推荐信息无效.关于秦方案的安全性证明详见文献［8］.1.2 秦艳琳方案的安全性分析秦等人声称方案［8］在计算Diffie-Hellman困难问题假设下是可以抵抗第I类敌手A1（不知道系统主密钥和用户的部分私钥，但可以替换任意用户的公钥）和第II类敌手A2（知道系统主密钥和用户的部分私钥，但不能替换用户的公钥）的攻击，然而本文指出秦的方案设计有严重安全缺陷，导致方案在任意敌手A的攻击下都是不安全的（自然对A1，A2也是不安全的），因为A既不需要替换节点的公钥，也不需要知道系统主密钥和节点的部分私钥，就能伪造任意1个节点对任意消息的签名，而且可以伪造所有节点对任意消息的多重签名.1）敌手A可以任意篡改信任路径上传递的推荐信息A截获到节点Ni-1（1≤i≤n）传递的信息/签名（m，σi-1=（Ri-1，Si-1））后，根据自己的需要将信息m篡改为m′后，冒充节点Ni对其签名如下：①对于1≤j≤i，构造n位的0-1序列Cj=（0…010…0），其中第n+1-j位为1，其余位为0，令κ=（ID1，ID2，…，IDn），h′j=H2（m′，Cj，IDj，Pj），Vj=H1（IDj，Pj，κ）（1≤j≤i）；②随机选取l∈Z*q，计算为A冒充节点Ni对m′的签名，接着A将（m′，σ*i）发送给下一个签名节点Ni+1.-Verify：显然，敌手A篡改的信息/签名（m′，σ*i）是可以通过下一个签名节点Ni+1的验证，Ni+1验证如下：①计算h′j=H2（m′，Cj，IDj，Pj）和Vj=H1（IDj，Pj，κ）（1≤j≤i），其中Cj=（0…010…0），κ=（ID1，ID2，…，IDn）.②显然以下验证等式是成立的.所以，节点Ni+1不会察觉推荐信息已被篡改，它将接受该信息和签名（m′，σ*i），再添加自己对m′的签名后传递给下一个签名节点.2）敌手A可以伪造任意信息m′的多重签名-Sign：敌手A冒充节点N1，N2，…，Nn并以N1→N2→N3→…→Nn为签名顺序对信息m′进行多重签名如下：①对于1≤i≤n，构造n位的0-1序列Ci=（0…010…0），其中第n+1-i位为1，其余位为0，令κ=（ID1，ID2，…，IDn）.计算h′i=H2（m′，Ci，IDi，Pi），Vi=H1（IDi，Pi，κ）（1≤i≤n）；②随机选取计算输出对消息m′的多重签名-Verify：显然，敌手A伪造的信息/多重签名是可以通过请求节点Re的验证，因为验证等式总成立.有序多重签名方案有着广泛的应用背景.本文指出秦艳琳等人的无证书有序多重签名方案的设计有严重安全漏洞，通过具体攻击方法，任意一个敌手都可以篡改信任路径上的信息，可以伪造所有节点对信息的多重签名.【相关文献】［1］ Itakura K，Nakamura K.A public-key cryptosystem suitable for digital multisignatures［J］.NEC Research and Development，1983（71）：1-8.［2］梁红梅，黄慧，吴晨煌，等.无证书多重签名［J］.集美大学学报，2008，13（2）：127-131.［3］韩亚宁，王彩芬.无证书广义指定多个验证者有序多重签名［J］.计算机应用，2009，29（6）：1643-1645.［4］张玉磊.高效的无证书紧致有序多重签名方案［J］.计算机工程，2011，37（8）：108-111. ［5］ Jin Zhengping，Wen Qiaoyan.Certificateless multi-proxy signature［J］.Computer Communications，2011，34（3）：344-352.［6］ Xu Jie，Sun Hongxiang，Wen Qiaoyan，et al.Improved certificateless multi-proxy signature［J］.The Journal of China Universi⁃ties of Posts and Telecommunications，2012，19（4）：94-105.［7］ Du Hongzhen，Wen Qiaoyan.Certificateless proxy multi-signature［J］.Information Sciences，2014（276）：21-30.［8］秦艳琳，吴晓平.高效的无证书有序多重签名方案［J］.通信学报，2013，34（7）：105-110.。

可证安全的高效无证书签名方案周彦伟;李骏【期刊名称】《陕西师范大学学报（自然科学版）》【年(卷),期】2017(045)005【摘要】Because almost all existing certificateless signature schemes need bilinear pairings either during signature generation stage or the signature verification stage,acertificateless signature scheme without pairings was proposed in this paper.The scheme is provably secure in the random oracle model (ROM) under the discrete logarithm assumption.Furthermore,the efficiency of this scheme is very high,due to its security,high efficiency and freedom from certificate management,the certificateless signature scheme may have practical applications inelectronic commerce and electronic voting,etc.%针对现有基于双线性映射的无证书签名方案存在计算效率低的不足,提出了可证安全的高效无证书签名方案,并在随机谕言机模型下基于离散对数困难性问题证明了该方案的不可伪造性.相较与现有的无证书签名方案而言,本文方案具有更高的计算效率,该方案具有安全、高效和无证书管理的特点,可广泛应用于电子商务、电子投票等领域.【总页数】6页(P17-22)【作者】周彦伟;李骏【作者单位】陕西师范大学计算机科学学院,陕西西安710119;现代教学技术教育部重点实验室,陕西西安710062【正文语种】中文【中图分类】TP393.08【相关文献】1.一个安全高效的无证书签名方案的分析和改进 [J], 刘二根;周华静;王霞;郭红丽2.可证明安全的无对的无证书签名方案研究 [J], 王宁;王亚飞3.高效可证明安全的无证书签名方案 [J], 汤永利;王菲菲;闫玺玺;李子臣4.一个标准模型下可证明安全的无证书签名方案 [J], 王旭;钱雪忠5.安全高效的无双线性对的无证书签名方案 [J], 胡冰洁;周彦伟;杨波;张晶因版权原因，仅展示原文概要，查看原文内容请购买。