对两类新型聚合签名方案的攻击及原因分析

聚合签名与数字签密技术研究聚合签名与数字签密技术研究摘要：随着信息技术的迅猛发展，数字签名和加密技术在网络通信和数据传输中起到了至关重要的作用。

聚合签名与数字签密技术是数字签名领域的重要研究方向之一，它在确保数据安全性和可信性方面具有重要意义。

本文将从聚合签名与数字签密技术的基本概念出发，对其研究现状、应用场景和存在问题进行分析，以期为相关领域的研究人员提供参考和指导。

关键词：聚合签名，数字签密，数据安全，可信性1. 引言在信息社会中，数据的传输和存储过程中面临着诸多的安全风险和挑战。

恶意攻击者可能会通过篡改、伪造等手段来获取敏感信息，进而破坏数据的机密性和完整性。

为了解决这一问题，数字签名和加密技术应运而生。

数字签名技术是一种使用非对称密钥加密算法实现的安全通信方式，它能够确保数据在传输过程中的真实性和完整性。

数字签名通过将数据与发送者的私钥进行联合加密，接收方通过验证发送者的公钥和签名来验证数据的有效性，从而防止了数据篡改的发生。

聚合签名与数字签密技术是数字签名的一个重要拓展，其核心思想是将多个签名组合为一个签名。

与传统的数字签名技术相比，聚合签名技术具有更高的效率和可扩展性。

通过将多个签名组合为一个签名，可以减少传输和存储开销，提升系统的性能和可用性。

2. 聚合签名技术的基本概念聚合签名技术通过将多个签名组合为一个签名，以实现数字签名的高效和可扩展性。

聚合签名可以分为静态聚合签名和动态聚合签名两种类型。

静态聚合签名是指在签名生成过程中确定签名参与者的数量，动态聚合签名是指在签名过程中允许动态加入或退出签名参与者。

聚合签名技术的核心问题是如何确保多个签名的有效性和组合的正确性。

一种常见的解决方案是基于公钥密码学的聚合签名方案，其中使用了公钥、私钥、哈希函数和签名算法。

聚合签名方案通常包括签名生成算法和签名验证算法两个主要的算法。

3. 聚合签名技术的研究现状目前，聚合签名技术在密码学和网络安全领域得到了广泛的研究和应用。

聚合签名及其应用研究综述随着网络技术的飞速发展，数据安全和隐私保护问题越来越受到人们的。

聚合签名作为一种新型的数字签名技术，在保证数据安全和隐私方面具有重要作用。

本文将对聚合签名的基本原理、应用场景及最新研究进展进行综述。

聚合签名是一种特殊的数字签名技术，它能够将多个用户的签名聚合在一起形成一个聚合签名。

聚合签名可以验证所有用户的签名，同时保持用户签名的隐私性。

聚合签名具有以下特点：不可伪造性：只有真正的签名者才能生成有效的聚合签名。

不可抵赖性：签名者无法否认自己的签名，因为聚合签名包含了所有用户的签名。

隐私性：聚合签名不会暴露用户的真实身份，保护了用户的隐私。

可验证性：聚合签名可以验证所有用户的签名，确保数据的完整性和真实性。

电子投票：在电子投票中，聚合签名可以保证投票结果的准确性和公正性，同时保护投票者的隐私。

分布式系统：在分布式系统中，聚合签名可以用于验证系统中所有节点的签名，确保系统的安全性和稳定性。

区块链技术：区块链技术中的智能合约需要数字签名来保证合约的有效性和可执行性，聚合签名可以用于多个用户对智能合约的签名。

数据共享与访问控制：通过使用聚合签名，数据拥有者可以授权第三方对数据进行访问和操作，同时保护数据的安全和隐私。

近年来，研究者们在聚合签名的效率和安全性方面取得了许多进展。

例如，基于格的聚合签名方案具有更高的效率和更好的安全性，能够抵抗量子攻击。

基于属性的加密技术也被应用于聚合签名中，提高了聚合签名的可扩展性和灵活性。

最近，研究者们还提出了基于链式的聚合签名方案，这种方案可以更好地保护用户的隐私和提高签名的效率。

聚合签名作为一种重要的数字签名技术，在保护数据安全和隐私方面具有广泛的应用前景。

本文对聚合签名的基本原理、应用场景及最新研究进展进行了综述。

随着技术的不断发展，相信未来会有更多高效的聚合签名方案被提出，为解决数据安全和隐私保护问题提供更好的解决方案。

聚合签名方案是一种基于密码学的数据验证方法，它的主要作用是将多个签名者的签名聚合成一个单独的签名，从而提高了签名处理的效率和安全性。

2个聚合签名方案的密码学分析与改进张玉磊，王彩芬(西北师范大学数学与信息科学学院，兰州 730070)摘要：分析Zhou-Du 方案和Zhao 方案，指出这2个基于身份的聚合签名方案是不安全的。

在Zhou-Du 方案中，单个签名和聚合签名是可伪造的；在Zhao 方案中，攻击者可利用单个签名获得签名者的私钥，进而实现任何攻击。

对2个方案进行改进，改进的Zhou-Du 方案满足不可伪造性，改进的Zhao 方案可避免私钥泄露。

同时，改进的Zhou-Du 方案效率优于原方案，改进的Zhao 方案的效率与原方案相同。

关键词：基于身份的签名；聚合签名；双线性对Cryptanalysis and Modification of Two Aggregate Signature SchemesZHANG Yu-lei,W ANG Cai-fen(College of Mathematics and Information Science,Northwest Normal University,Lanzhou 730070,China)【Abstract 】The analysis of the ID-based aggregate signature schemes proposed by Zhou-Du and Zhao respectively reveals that they are insecure.The partial and aggregate signatures in Zhou-Du’s scheme can be fabricated. Likewise, in Zhao’s scheme, the adversary can utilize the partial signature to gain access to the signer’s private key for any attacks. The schemes are modified respectively. The modified scheme of Zhou-Du achieves non-forgeability while the modified scheme of Zhao succeeds to avoid the private key leakage.The modified scheme of Zhou-Du is more efficient than the original one,the modified scheme of Zhao works as efficiently as the original one.【Key words 】ID-based signature;aggregate signature; bilinear pairing DOI:10.3969/j.issn.1000-3428.2011.07.048计算机工程Computer Engineering第37卷第7期Vol.37 No.72011年4月April 2011·安全技术·文章编号：1000—3428(2011)07—0145—03文献标识码：A中图分类号：TP309;TP3931概述聚合签名是指n 个用户对n 个不同消息的签名聚合成一个签名，验证方只需验证聚合后的签名，以此确信签名是否来自指定的n 个用户。

无证书广义指定验证者聚合签名方案的攻击杜红珍【摘要】无证书广义指定验证者聚合签名可用于无线传感器网络、车载自组织网络和云计算等诸多领域。

张玉磊等人在随机预言机模型下提出一个可证明安全的高效的无证书广义指定验证者聚合签名方案，该方案生成的聚合签名的长度和验证签名的双线性对运算是固定的。

但张玉磊等人的方案构造存在安全漏洞，首先是无证书聚合签名方案中部分签名算法无法抵抗第二类敌手的伪造攻击，其次是无证书聚合签名方案构造无效，最后是方案生成的广义指定验证者的聚合签名在第一类敌手的公钥替换攻击下是可以普遍伪造的。

%Certificateless aggregate signatures with universal designated verifiers can be applied into wireless sensor networks,vehicular ad-hoc networks and cloud computing. Zhang Yulei et al. proposed a provably-secure certificateless aggregate signature scheme with universal designated verifier. The scheme has constant signature length and pairing computations in verification algorithm. However,we point out that the scheme has several security flaws. First,the part-sign algorithm cannot resist attacks from a type II adversary. Second,the certificateless aggregate signature scheme is invalid. At last,the certificateless aggregate signature scheme with universal designated verifier is universally forgeable by a type I adversary.【期刊名称】《河南科学》【年(卷),期】2015(000)007【总页数】4页(P1087-1090)【关键词】无证书公钥密码;聚合签名;指定验证者签名;双线性对;不可伪造性【作者】杜红珍【作者单位】宝鸡文理学院数学系，陕西宝鸡 721013【正文语种】中文【中图分类】TN918无证书公钥密码体制是Al-Riyami和Paterson［1］提出的，该体制解决了传统公钥密码中的证书管理问题，同时又避免了基于身份的公钥密码存在的密钥托管问题，因其性能良好而成为密码学界的一个研究热点.聚合签名（Aggregate Signature）的概念是由Boneh等人［2］提出的，这种特殊签名可以同时为多个用户提供完整性、认证性和不可否认服务，是数字签名领域中的一种“批处理”和“压缩”技术.无证书聚合签名（Cer⁃tificateless Aggregate Signature，CLAS）是无证书公钥密码体制下的聚合签名.CLAS与基于公钥基础设施（Public Key Infrastructure，PKI）的聚合签名和基于身份的聚合签名相比，它避免了因使用公钥证书带来的很高的计算、通信与存储代价，同时又没有密钥托管问题，保护了网络用户的隐私.所以，研究无证书聚合签名很有意义.目前对其研究并得出性能良好方案的如文献［3-8］.在文献［3］中，Gong等人［3］构造了2个无证书聚合签名方案，但这两个方案需要大量双线性对运算，执行效率低.2013年，杜红珍等人［4］提出了一个无证书聚合签名方案，生成的聚合签名的长度与单个签名长度相同，且方案执行仅需4个双线性对.同年，Xiong等人［5］提出了1个无证书聚合签名方案，但He等人［6］指出Xiong 方案存在安全漏洞.侯红霞等人［7］和Cheng等人［8］分别对Xiong方案进行了改进.广义指定验证者签名（Universal Designated Verifier Signature，UDVS）的概念由Steinfeld等人［9］提出，这种签名可以解决消息认证和签名者隐私的冲突，它允许签名持有者（不一定是签名者）将签名验证权指定给他选取的验证者，且只有被指定的验证者才能验证签名的有效性.广义指定验证者签名在知识产权保护、电子拍卖、电子投票、电子招、投标等方面应用很广.对广义指定验证者签名的研究并得出性能良好方案的如文献［10-14］.最近，张玉磊等人［15］将广义指定验证者签名与无证书聚合签名结合，利用双线性对构造了1个高效的无证书广义指定验证者聚合签名方案，该方案的优点是生成的聚合签名长度是固定的，与签名人数无关，公开验证签名、指定验证签名时都仅需要4个双线性对.本文指出张玉磊等人的方案构造存在安全漏洞，首先是无证书聚合签名方案中部分签名算法无法抵抗第二类敌手的攻击，其次是无证书聚合方案生成的签名无效，最后是广义指定验证者的聚合签名方案在第一类敌手的公钥替换攻击下是可以普遍伪造的.双线性对.令l是一个安全参数，q是一个lbits的素数，G1是由P生成的阶为q的循环加法群，G2是有相同阶q的循环乘法群.双线性映射满足下列性质：①双线性；②非退化性；③易计算性存在有效算法计算e（P，Q）.2.1 方案介绍张玉磊等人［15］构造了一个无证书广义指定验证者聚合签名方案，具体构造如下：2.1.1 无证书聚合签名方案 -Setup分别定义为两个阶为素数q的循环群，生成元双线性映射4个安全散列函数私钥生成中心KGC随机选取并秘密保存，计算公钥公开系统参数-User-Key-Extract：用户选随机值作为秘密值，计算用户公钥-Partial-Private-Key-Extract：给定用户身份IDi，KGC计算该用户的部分私钥其中-Part-Sign：计算签名如下：①给定消息mi，签名生成如下：选随机数，则在消息mi上的签名为-Part-Verify：若要验证的有效性，则计算检验等式是否成立.-Aggregate-Sign：该算法由聚合者NA执行.输入用户对不同消息mi的签名，计算输出聚合签名-Aggregate-Verify：输入Params、用户身份IDi及公钥Pi、消息mi及在这n 个mi上的聚合签名，验证者计算如下验证等式是否成立，如果成立则接受签名.2.1.2 指定验证者签名算法和验证者算法 1）UD-AS算法：聚合者NA（或签名持有者）输入自己的公私钥对，聚合签名，指定验证者NDV的身份及公钥则生成的指定验证者的聚合签名为2）UDV-AS算法：输入用户身份IDi及公钥Pi、消息mi及指定验证者NDV的公私钥对检验等式是否成立，如果成立则接受签名.张玉磊等人方案的安全性证明详见文献［15］.2.2 张玉磊等人方案的安全性分析在无证书公钥密码体制中，存在两类敌手AI、AII：AI模拟的是一个恶意的用户，他不知道系统主密钥和用户的部分私钥，但可以替换任意用户的公钥；AII模拟的是一个恶意但被动的KGC，他掌握系统主密钥，但不能替换目标用户的公钥.张玉磊等人声称方案［15］能够抵抗敌手AI、AII在适应性选择消息和身份攻击下的存在性伪造攻击.但是我们指出，该方案构造存在较多安全漏洞，具体攻击如下：2.2.1 敌手AII对无证书聚合签名方案的攻击 -Setup：AII随机选取，其余参数选取与方案［15］的参数选取相同，最后AII公开系统参数Params如下-User-Key-Extract，-Partial-Private-Key--Extract：与方案［15］对应的算法相同.-Part-Sign：对任意消息冒充用户签名如下：①选随机数，则在消息上的签名为-Part-Verify：给定消息-签名对，验证者计算检验式子是否成立.显然：验证式子是成立的，即AII冒充用户对消息的签名是有效的.因为：所以，我们指出张玉磊等人的方案中Part-Sign算法无法抵抗第二类敌手的伪造攻击.2.2.2 无证书聚合签名方案构造的无效性在张玉磊等人方案的Aggregate-Verify算法中，要验证用户N1，N2，…，Nn在消息m1，m2，…，mn上的聚合签名，验证者计算如下：①；②验证等式是否成立，如果成立则接受签名.很显然，签名验证等式中只出现了签名人的身份及公钥，没有用到消息m1，m2，…，mn，即使验证等式成立也根本无法说明是用户N1，N2，…，Nn在消息m1，m2，…，mn上的聚合签名，所以张玉磊等人的无证书聚合签名方案构造无效.2.2.3 敌手AI对无证书广义指定验证者聚合签名方案的攻击张玉磊等人的方案生成的指定验证者的聚合签名在类型I敌手AI的攻击下是可以普遍伪造的，AI采用公钥替换攻击，可以冒充聚合者NA（或签名持有者）生成有效的无证书指定验证者聚合签名.假设NA的秘密值/公钥为，指定验证者NDV的身份及公钥为，给定聚合签名为，AI冒充NA伪造如下：①AI选随机数，将NA的公钥PA替换为②计算，则生成的指定验证者的聚合签名为AI伪造的指定验证者的聚合签名是有效的，因为指定验证者NDV执行UDV-AS算法如下：UDV-AS算法：输入用户身份IDi及公钥Pi、消息mi及，指定验证者NDV的公私钥对，计算如下检验以下等式是否成立：显然，是恒成立的，即张玉磊等的无证书广义指定验证者聚合签名方案无法抵抗类型I敌手的攻击.当然，在方案［15］中，即使不存在敌手AI和AII的攻击，该无证书广义指定验证者聚合签名方案的构造仍是无效的，因为聚合签名、指定验证者的聚合签名的验证算法中都没有用到消息m1，m2，…，mn，所以根本无法说明是在m1，m2，…，mn上的聚合签名或指定验证者的聚合签名.广义指定验证者聚合签名在无线传感器网络、车载自组织网络、云计算和分布式系统等领域有着广泛的应用背景.本文指出张玉磊等人的无证书广义指定验证者聚合签名方案的设计有安全漏洞，首先是无证书聚合签名方案中部分签名算法无法抵抗第二类敌手的攻击，其次是无证书聚合方案中生成的聚合签名无效，最后是方案生成的指定验证者的聚合签名在第一类敌手的公钥替换攻击下是可以普遍伪造的，总体来说，该无证书广义指定验证者聚合签名方案的构造是无效的.【相关文献】［1］ Al-Riyami S，Paterson K G.Certificateless public key cryptography［C］//Proceedings of ASIACRYPT 2003，LNCS 2894，Berlin：Springer-Verlag，2003.［2］ Boneh D，Gentry C，Lynn B，et al.Aggregate and verifiably encrypted signatures from bilinear maps［C］//Proceedings of Cryptology-Eurocrypt 2003.LNCS 2656，Berlin：Springer-Verlag，2003.［3］ Gong Z，Long Y，Hong X，et al.Two certificateless aggregate signatures from bilinear maps［C］//Proceedings of IEEE SNPD USA：IEEE，2007.［4］杜红珍，黄梅娟，温巧燕.高效的可证明安全的无证书聚合签名方案［J］.电子学报，2013，41（1）：72-76.［5］ Xiong H，Guan Z，Chen Z，et al.An efficient certificateless aggregate signature with constant pairings computations［J］.Information Sciences，2013，219：225-235. ［6］ He D B，Tian M M，Chen J H.Insecurity of an efficient certificateless aggregate signature with constant pairing computations［J］. Information Sciences，2014，268：458-462.［7］侯红霞，张雪锋，董晓丽.改进的无证书聚合签名方案［J］.山东大学学报：理学版，2013，48（9）：29-34.［8］ Cheng L，Wen Q Y，Zhang H，et al.Cryptanalysis and improvement of a certificateless aggregate signature scheme［J］.Information Sciences，2015，295：337-346.［9］ Steinfeld R，Bull L，Wang H，et al.Universal designated verifier signatures［C］//proceedings of Advances in Cryptology-Asiac⁃rypt’03.Berlin：Springer-Verlag，2003. ［10］王晓峰，张璟，王尚平，等.新的基于身份的广义指定验证者签名方案［J］.电子学报，2007，35（8）：1432-1436.［11］ Ming Y，Shen X Q，Wang Y M.Certificateless universal designated verifier signature schemes［J］.The Journal of China University of Post and Telecommunications，2007，14（3）：85-90.［12］ Cao F，Cao Z F.An identity based universal designated verifier signature scheme secure in the standard model［J］.Journal of Systems and Software，2009，82（4）：643-649.［13］ Ming Y，Jin Q，Zhao X M.A multi-signer universal designated multi-verifier signature scheme in the standard model［J］.Jour⁃nal of Computational Information Systems，2013，9（9）：3751-3758.［14］ Zuo L M，Neeraj K，Hang T，et al.Detection and analysis of secure intelligent universal designated verifier signature scheme for electronic voting system［J］.The Journal of Supercomputing，2014，70（1）：177-199.［15］张玉磊，周冬瑞，李臣意，等.高效的无证书广义指定验证者聚合签名方案［J］.通信学报，2015，36（2）：1-8.。

2016年10月Journal on Communications October 2016 第37卷第Z1期通信学报V ol.37No.Z1 对2个属性基签名方案安全性的分析和改进杨骁1，向广利1，魏江宏2,3，孙瑞宗1（1. 武汉理工大学计算机科学与技术学院，湖北武汉 430070；2. 解放军信息工程大学，河南郑州 450001；3. 数字工程与先进计算国家重点实验室，河南郑州 450001）摘要：为了克服已有属性基签名机制在安全性、效率和签名策略上的缺陷，Ma等和Cao等分别提出了一个单属性机构环境下的门限属性基签名体制和多属性机构环境下签名策略支持属性的与、或、门限操作的属性基签名体制，并在计算性Diffie-Hellman假设下给出了相应体制的安全性证明。

通过给出具体的攻击方法，指出这2个属性基签名方案都是不安全的，均不能抵抗伪造攻击，无法在实际中应用。

此外，分析了这2个方案不安全的原因，并给出了针对Ma等方案的一种改进措施。

关键词：属性基签名；安全性分析；伪造攻击中图分类号：TP309 文献标识码：ASecurity analysis and improvement of twoattribute-based signature schemesYANG Xiao1, XIANG Guang-li1, WEI Jiang-hong2,3, SUN Rui-zong1(1. School of Computer Science and Technology, Wuhan University of Technology, Wuhan 430070, China;2. PLA Information Engineering University, Zhengzhou 450001, China;3. Stake Key Laboratory of Mathematical Engineering and Advanced Computing, Zhengzhou 450001, China)Abstract: In order to overcome the drawbacks of current attribute-based signature (ABS) schemes in terms of security, efficiency and signing policy, Ma, et al. and Cao, et al. respectively proposed a threshold ABS with single attribute au-thority and a multi-authority ABS with signing policy supporting AND, OR, threshold gates, and presented the security proof of their schemes under computational Diffie-Hellman assumption. Both schemes were demonstrated have security pitfalls by presenting specified attacks against them. Specifically, their schemes are all vulnerable to forgery attack. Thus, they are not feasible for practical applications. In addition, the cause of the flaws in these ABS schemes are presented, as well as an improvement of Ma et al.’s scheme.Key words: attribute-based signature, security analysis, forgeable attack1引言为克服传统公钥密码体制在分布式网络中应用时存在的缺陷，实现密文数据的细粒度访问控制问题，Sahai等[1]在2005年欧密会上提出了属性基加密（ABE, attribute based encryption）的概念。

两个高效基于证书签名方案的攻击及改进李慧敏;王海民;张金辉【摘要】对两个基于证书签名方案进行了安全性分析,给出了具体的攻击方法,并分析存在这类攻击的根本原因.为了克服存在的攻击方法,分别对这两个签名方案给出了相应的改进方法.这些攻击和改进方法对基于证书签名的构造与分析具有借鉴意义.【期刊名称】《宁德师范学院学报（自然科学版）》【年(卷),期】2015(027)004【总页数】5页(P344-347,352)【关键词】基于证书;数字签名;安全性分析;攻击;改进【作者】李慧敏;王海民;张金辉【作者单位】莆田学院数学学院,福建莆田351100;莆田学院数学学院,福建莆田351100;莆田学院数学学院,福建莆田351100【正文语种】中文【中图分类】TN918.91在Eurocrypt 2003 上，Gentry 首先提出了基于证书公钥密码系统[1]的概念，它克服了现有三类公钥密码系统中存在的问题，分别克服了PKI 中存在的证书管理问题[2]，克服了基于身份公钥密码系统中的密钥托管问题[3]，也克服了无证书公钥密码系统中的DOS 攻击[4].在这种新的公钥密码系统中，用户的公钥是用户自己选择秘密值产生的，然后由半可信的系统管理者（CA）利用系统私钥为用户的公钥及身份信息绑定生成一个签名（或称为证书），注意这里的证书一般是不公开的，作为用户私钥的一部分，在验证签名过程中一起验证的.那么，用户的私钥就由两部分组成：一个是用户自己选择的秘密值xA；另一个是CA 为用户产生的证书CertA.因此，基于证书公钥密码系统的安全模型，需要考虑两类攻击者，分别记为AⅠ和AⅡ.AⅠ刻画的是一般攻击者可以进行替换公钥攻击，AⅡ刻画的是半可信的系统管理者（CA）所能做的攻击，注意CA 不能做替换公钥攻击.基于证书公钥密码系统的定义及其安全性模型可参见文献[5].近年来，基于证书公钥密码系统已成为当前的研究热点之一.众多学者对基于证书签名方案及其相关具有附加性质的基于证书签名方案进行了研究，如文献[6-16].最近，文献[17]给出了一个高效的基于证书签名方案，并声称该签名方案能抵抗两类攻击方法.遗憾的是，笔者经过分析发现，该签名方案无法抵抗AⅠ的攻击，在这类攻击下，攻击者可以对任选的消息成功伪造签名.另外，文献[18]也给出了一个使用双线性对的基于证书的签名方案，并声称该签名方案是安全的.但是，经过分析发现，该签名方案同样也是不安全的，能够被AⅡ攻击.对上述两个基于证书签名方案，笔者给出了具体的攻击方法，并分析了存在这类攻击的根本原因，最后对存在的攻击方法给出了具体的改进方案并做了简要的安全性分析及效率比较.1 预备知识（1）双线性对.设G1 和G2 分别为大素数q 阶的加法群和乘法群，p 为G1 的生成元，则双线性对定义为满足下述性质的映射e∶G1×G1→G2：①双线性：和P，Q∈G1，有②非退化性：e（P，P）≠1G2.③可计算性：对任意的P，Q∈G1，存在计算e（P，Q）的有效算法.（2）群G1 上的三个困难性问题.①离散对数问题（DLP）：设P 和Q 为群G1 中的任意两个元素，求整数n 满足Q=nP.②计算Diffie-Hellman 问题（CDHP）：给定P，aP，bP∈G1，其中a，b∈Z*q，计算abP.③逆Diffie-Hellman 问题（Inv-DHP）：给定P，aP∈G1，其中a∈Z*q，计算a-1P.2 文献[17]中高效基于证书签名方案的安全性分析及改进2.1 文献[17]中高效基于证书签名方案的回顾文献[17]在文献[19]的基础上给出了一个改进的高效基于证书签名方案.该签名方案由六个算法组成，由于篇幅关系，具体方案描述请见文献[17].其中需要注意的是，在方案中f 只与用户的公钥及系统参数有关，与消息m 无关，因此当再次验证用户A 的签名时，f 都不需要重新计算.2.2 对文献[17]中高效基于证书签名方案的攻击及原因分析文献[17]的签名方案容易受到替换公钥攻击.攻击者可以对任意选择的消息m′成功伪造签名，具体如下：（1）∀t′∈RZq*，令PK′A2=t′PKC，任取PK′A1∈G1，并替换用户的公钥.替换公钥PK′A=（PK′A1，PK′A2）=（t′P，t′PKC）.（2）计算P′A=H1（PK1，PK′A，IDA，i），f′=e（P′A，PK′A2）.（3）选取R′R∈G，计算h′=H2（m′，e（R′，PKC））.（4）令V′=R′-t′h′，则σ′=（V′，h′）为消息m′的有效签名.则有h′=H2（m′，e（v′，PKC）f′h′）即为有效签名.上述攻击方法之所以成功，原因在于原签名方案验证算法中，公钥中的PKA1 并没用上，而且对验证人来说看不出PKA1 与PKA2 的内在联系.因此，为了克服上述攻击，PKA1 与PKA2 应该建立可验证的内在联系，从而让验证人能明确PKA2 的内部结构.2.3 对文献[17]中高效基于证书签名方案的改进及分析具体改进方案如下：（1） Setup 和CertGen 与原方案相同.（2） UserKeyGen：选取x∈RZq*，计算用户公钥PKA=（PKA1，PKA2）=（xP，x-1PKC+P），输出用户A 的私钥x，公钥PKA.（3） CertGen：与原方案相同.（4） SignKeyGen：计算签名密钥SA=CA+x-1PA，并计算f=e（SA，PKC）=e（PA，PKA2）.（5） Sign：与原方案相同，σ=（V，h）为消息m 的签名.（6） Verify：这里分别验证公钥和签名的有效性：①验证公钥PKA=（PKA1，PKA2）的有效性：e（PKA1，PKA2）==e（P，PKC+PKA1）.②验证签名σ=（V，h）的有效性：h==H2（m，e（v，PKC）fh），其中f=e （PA，PK2）.容易验证，上述①、②是成立的：①e（PKA1，PKA2）=（xP，x-1PKC+P）=e（P，PKC+xP）=e（P，PKC+PKA1）；②e（V，PKC）=e（（r-h）（sPA+x-1PA），s-1P）=e（（r-h）（PA+x-1s-1PA），P）；因此，h=H2（m，R）==H2（m，e（v，PKC）fh）.安全性分析：上述改进方法可以克服本文给出的攻击方法.在改进方法中，它主要是增加了公钥的有效性的验证，即验证e（PKA1，PKA2）==e（P，PKC+PKA1），假设用户的公钥被攻击者替换，不妨设PKA1=xP，其中x 攻击者知道，但是从上面验证式可知PKA2 的内部结构为PKA2=x（PKC+PKA1）=（xs-1+x2）P，其中PKA2与系统私钥s 有关，那么要从PKA2 计算出关于P 或者PKC 的离散对数，都必须知道系统私钥s 或者s-1.因此，替换公钥攻击方法对于改进后的方案是无法成功的.另外从验证式②可以看出，签名方案是与文献[19]基本相同的，故不可伪造性的证明方案类似.效率比较：改进后的签名方案虽然增加了对公钥有效性的验证，但是注意到这部分的运算可以采用预运算的方式.因此改进后的签名方案与原签名方案的效率是相当的.3 文献[18]中基于证书签名方案的安全性分析及改进3.1 文献[18]中基于证书签名方案的回顾该签名方案由五个算法组成，把证书生成算法和签名密钥生成算法合并为一个.因为在该签名方案中用户的签名密钥由用户自己选的秘密值和系统管理者CA 为用户生成的证书这两部分组成，所以没有通过额外的计算过程.由于篇幅关系，具体方案描述请见文献[18].3.2 对文献[18]中基于证书签名方案的攻击及原因分析针对任意的用户ID，攻击者（此处指CA）利用其掌握的系统私钥s 并且保持用户公钥PKID 不变的情况下可以做到对任意选择的消息m′成功伪造签名，具体如下：（1）选择r′∈RZ*q，计算u′=r′P-PKID；（2）计算h′=H2（m′‖ID‖PKID‖u′）；（3）计算v′=sH1（ID‖PKID）+r′·h′.则攻击者伪造了消息m′的签名δ′=（u′，v′）.上述攻击者对消息m′的签名δ′=（u′，v′）是有效的，因为上述攻击之所以能成功的原因是：事实上验证式虽然出现了系统公钥P0=sP 和用户的公钥PKID=xP，说明在签名过程中会用到系统私钥s 和用户的秘密值x，但是在笔者给出的攻击方法中注意到PKID 可以通过u′的设置而把它约去，说明在签名过程中其实无需用到用户的秘密值x.那么由于CA 掌握了系统私钥s 自然就可以对任意的消息伪造签名.3.3 对文献[18]中基于证书签名方案的改进及分析为了克服上述攻击方法，验证式就不能出现PKID+u.为此笔者的改进方式是去掉u，具体改进如下：（1） Setup，UserKeyGen，CertGen 三个算法与原签名方案中的相同；（2） Sign：对于待签名的消息m，计算h=H2（m‖ID‖PKID），最后计算v=xh+CertID，则消息签名对为δ={v}；（3） Verify：计算h=H2（m‖ID‖PKID）并检查下面的等式是否成立：等式成立，则接受签名，否则拒绝.安全性分析：为了克服上述攻击方法，验证式去掉了u，从而签名算法中无需使用参数r.注意到改进后的方案与文献[20]中的签名方案是类似的，因此安全性的证明方法与文献[20]中的基本相同，签名方案的安全性是基于CDH 问题.效率比较：改进后的签名方案与原签名方案的效率基本相同.此外，验证算法效率比文献[20]中更高，少了一个双线性对运算.4 结束语基于证书数字签名是基于证书公钥密码系统的重要研究内容. 虽然目前在基于证书数字签名方面的文献不少，但是存在安全问题的签名方案也不少，其主要原因：基于证书公钥密码系统需要考虑两类攻击者[1]，这与传统的公钥密码系统是很大不同的，因此在具体设计方法上也应有所不同.本文通过对新近提出的两个基于证书签名方案进行了安全性分析，给出的攻击方法刚好体现了可能存在的两种攻击方法.同时，本文给出存在这种攻击方法的原因分析与改进方法，对于基于证书签名的设计与分析具有参考价值.如何设计安全高效的基于证书签名方案是接下来进一步考虑的问题.参考文献：[1] Gentry C. Certificate-based encryption and the certificate revocation problem [A]. Biham E., ed. In: Eurocrypt 2003,LNCS: 2656 [C]. Berlin: Springer-Verlag, 2003:272-293.[2] Gutmann P. PKI: It's not dead, just resting [J]. IEEE Computer, 2002,35(8): 41-49.[3] Shamir A. Identity-based cryptosystems and signature schemes [A]. Blakely, G.R., Chaum, D, ed. In: CRYPTO'84.LNCS:196 [C]. Berlin: Springer-Verlag, 1984: 47-53.[4] Al-Riyami S, Paterson K. Certificateless public key cryptography [A]. Lee P.J., ed. In: ASIACRYPT '03. LNCS: 2894 [C].Berlin: Springer-Verlag, 2003:452-473.[5] Wu W, Mu Y, Susilo W, et al. Certificate-Based signatures revisited [J]. Journal of Universal Computer Science, 2009,15(8):1659-1684.[6] Man H, Liu J, Susilo W, et al. Certificate based (linkable) ring signature[A]. E. Dawson and D.S. Wong (Eds.). In:ISPEC 2007, LNCS 4464 [C]. Berlin: Springer-Verlag, 2007: 79-92.[7] Li J, Zhang Y， Teng H. A forward-secure certificate-based signature scheme in the standard model [A]. Y. Xiang,Lopez,Javier, Kuo, C. -C Jay (Eds.).In: CSS 2012, LNCS 7672 [C]. Berlin: Springer-Verlag, 2012:362-376. [8] 刘云芳，左为平. 高效的可证明安全的基于证书聚合签名方案[J]. 计算机应用，2014，34（9）：2664-2667.[9] 王海民，张金辉，黄慧. 两类新的基于证书签名方案的安全性分析[J]. 计算机系统应用，2015，24（2）：211-215.[10] 黄振杰，郭亚峰. 一个双线性对下高效的基于证书签名方案[J]. 江苏大学学报：自然科学版，2013，34（3）：320-325.[11] 黄茹芬，农强，黄振杰. 高效可证安全的基于证书数字签名方案[J]. 计算机工程与应用，2013（24）：55-60.[12] 吴晨煌，郭瑞景，陈智雄. 高效的基于证书短签名方案[J]. 计算机系统应用，2013，22（2）：129-132，145.[13] Li J, Huang X, Zhang Y, et al. An efficient short certificate-based signature scheme [J]. The Journal of Systems and Software, 2012(85): 314-322.[14] Li J, Xu L, Zhang Y. Provably secure certificate-based proxy signature schemes [J]. Journal of Computers, 2009, 4（6）：444-452.[15] Wang S H, Chang S Q. Construction of lightweight certificate-based signature and application in cloud computing[A]. L.Sun,H.Ma, and F. Hong (Eds.).In: CWSN 2013, CCIS 418 [C]. Berlin: Springer-Verlag, 2013: 61-70. [16] 杜桂颖，黄振杰. 高效的基于证书可验证加密签名方案[J]. 计算机应用，2015，35（2）：407-411.[17] 陈江山，黄振杰. 一个高效的基于证书签名方案[J]. 计算机工程与应用，2012，48（30）：98-102．[18] 杨晓峰，郭亚峰. 一个使用双线性对的基于证书的签名方案[J]. 洛阳理工学院学报，2013，23（6）：70-73.[19] 王雯娟，黄振杰，郝艳华. 一个高效的基于证书数字签名方案[J]. 计算机工程与应用，2011（6）：89-92.[20] Li J, Huang X, Mu Y, et al. Certificate-based signature security model and efficient construction [A]. J. Lopez, P.Samarati, and J.L. Ferrer (Eds.).In: EuroPKI 2007, LNCS 4582 [C]. Berlin: Springer-Verlag, 2007:110-125.。

对两个双难题数字签名方案的攻击分析周克元【摘要】T he security of Z-C digital signature schemes and I-T digital signature schemes based on discrete logarithms and factoring were analyzed .If the difficulties of discrete logarithms or factoring can be solved , Z-C digital signature schemes can be attacked by forged signature . If the difficulties of discrete logarithms can be solved , I-T digital signature schemes can be attacked by forged signature .%对基于离散对数和因子分解双难题的数字签名方案Z-C方案和I-T方案进行了攻击分析。

若因子分解难题可计算或离散对数难题可计算，则Z-C方案可被替换消息伪造签名攻击；若离散对数难题可计算，则I-T方案可被伪造签名攻击。

【期刊名称】《西北师范大学学报（自然科学版）》【年(卷),期】2014(000)005【总页数】3页(P37-39)【关键词】数字签名;离散对数;因子分解;伪造签名;Hash函数【作者】周克元【作者单位】宿迁学院二系，江苏宿迁 223800【正文语种】中文【中图分类】TP309.7利用离散对数和因子分解双难题的数字签名方案最早由Harn于1994年提出[1],1996年Lee等[2]指出,一个攻击者如果能够解决离散对数问题,就能以很高的概率伪造一个Harn签名[3].至今已有多种基于离散对数和因子分解双难题的签名方案提出,但多数方案都已证明可被攻击[3-14]，目前能查到的未被攻击的方案有两个[12,14].2007年Zheng等提出了一个基于离散对数和因子分解双难题的Z-C签名方案[15],文中证明如果任意一个难题可解，则该方案可被伪造攻击.2008年Ismail等提出了另一个基于离散对数和因子分解双难题的I-T签名方案[16],文中证明若离散对数难题可解,则该方案可被伪造攻击.1 Z-C方案1.1 参数选取设p是大素数,且p=4p1q1+1,p1=2p2+1,q1=2q2+1, p1,p2,q1,q2都是大素数.设n=p1q1,选取g∈Z *p满足g n≡1 mod p,gp1≠1 mod p,gq1≠1 mod p.随机选择整数x满足1<x<n且gcd(x,p-1)=1,计算y=gx2mod p.则公钥(y,g,n,p),私钥(x,p1,q1),明文信息为m(m<n).1.2 签名阶段1) 随机选取整数k(1<k<n),满足gcd(k,n)=1；2)计算r=gk mod p；3)寻找t满足m=x2r2+kt mod n；4)若t∈QRn,计算s满足s2=t mod n；5)若t∈QNRn,转到1)；则(r,s)是消息m的签名.1.3 验证阶段验证gm=yr2rs2mod p,若正确则接受该签名；否则不接受.2 对Z-C方案的攻击1)若因子分解可计算,则Z-C方案可被伪造签名攻击.若因子分解可计算,设(r,s)是消息m的有效签名.另设变量s′,r′=r ayb mod p(参数a,b待定),代入验证方程令r-2(r′2+bs′2)=s-2a s′2·T mod n,整理可得选取整数a,b(1<a,b<n)使得ar2-bs2≠0 mod n,由假设n因子分解可计算,则由数论相关理论[17]可求出s′.故设m′=mT mod n,则有gm′=yr′2r s′2 mod p,所以(r′,s′)是消息m′的有效签名.2)若离散对数可计算,则Z-C方案可被伪造签名攻击.若离散对数可计算,则可由y=gx2 mod p计算出x2.任取整数s′(1<s′<n),计算t′=s′2 mod n,任取整数k′(1<k′<n),计算r′=gk′ mod n,r′2=g2k′ mod n,令m′=(x2r′2+k′t′) mod n,则有yr′2r′s′2=g x2r′2gk′t′=gm′ mod p,所以(r′,s′)是消息m′的有效签名.由上所述,离散对数和因子分解难题只要有一个可解,Z-C方案则不再安全,可被伪造签名攻击.3 Z-C方案的改进Z-C方案的改进只需将对消息m签名和验证过程改为对消息m的Hash值e=h(m)的签名和验证即可.使用上述两种攻击方法,最后都需由e′=h(m′)求解m′,而此为单向函数,目前仍为无法求解的难题.但签名方案依赖的难题变成了同时依赖离散对数、因子分解和单项函数3个难题,任意两个难题可解签名方案仍然无法伪造签名.在不改变主体签名思路基础上,将其改进为只依赖离散对数和因子分解双难题数字签名方案是下一步需要做的工作.4 I-T方案4.1 参数选取h(·)为安全Hash函数，输出长度为t bit，设定t=128.设p是大素数,p-1的因子n=p1q1,p1,q1亦为大素数,欧拉函数φ(n)=(p1-1)(q1-1).选取g∈Z*p满足gn=1 mod p,gp1≠1 mod p,gq1≠1 mod p.任取e∈Zn满足gcd(e,n)=1,计算d 满足ed=1 mod φ(n),任取x∈Zn,计算y=gx mod p.则公钥(y,e),私钥(x,d,p1,q1),明文信息为m(m<n).4.2 签名阶段1)计算h(m)；2)随机选取整数r,u(1<r,u<n),计算K=gh(m)u mod p,R=gh(m)r mod p；3)计算s=(x h(m)+R h(m)u+K h(m)r)dmod p;则(K,R,s)是消息m的签名.4.3 验证阶段验证gse=yh(m)KRRK mod p,若正确则接受该签名；否则不接受.5 对I-T方案的攻击若离散对数难题可解,则由y=gx mod p可计算出私钥x,由K=gh(m)u mod p可计算出h(m)u和u;同理由R=gh(m)r mod p可计算出h(m)r和r.则签名方程s=(x h(m)+R h(m)u+K h(m)r)d mod p中,底x h(m)+R h(m)u+K h(m)r可计算出,由离散对数可解可计算出私钥d.注：若因子分解难题可计算,I-T方案无法成功攻击.6 结束语对基于离散对数和因子分解双难题设计数字签名方案的Z-C方案进行了分析,发现不是同时基于离散对数和因子分解双难题,只要一个难题可解,则方案即可被伪造攻击.进一步给出了改进方案.对基于离散对数和因子分解双难题的I-T方案进行了分析,若离散对数难题可解,则该方案可被伪造攻击.参考文献:[1]HARN L.Public-key cryptosystem design based on factoring and discrete logarithms[J].IEEE Proceedings—Computers and DigitalTechniques,1994,141(3):193-195.[2]LEE N,HUANG T.Modified Harn signature scheme based on factoring and discrete logarithms[J].IEEE Proceedings—Computers and Digital Techniques,1996,143(3):196-198.[3]李发根,辛向军,胡予濮.基于离散对数和因子分解签名方案的改进[J].中国铁道科学,2006,27(5):132-135.[4]邵祖华.基于因数分解和离散对数的数字签名协议[J].通信保密,1998(4)：36-41.[5]杨刚,李艳俊.基于离散对数和因子分解的签名方案[J].北京理工大学学报,2004,24(4):324-326.[6]阴元斌,陈一宏.基于因数分解和离散对数的数字签名方案[J].北京理工大学学报,2002,22(1):22-24.[7]吴秋新,杨义先,胡正名.同时基于离散对数和素因子分解的新的数字签名方案[J].北京邮电大学学报,2001,24(1)：61-65.[8]任俊伟,林东岱.一种基于因数分解和离散对数的数字签名算法的分析与改进[J].计算机工程与应用,2005(7):132-133.[9]汤鹏志,何涛,李彪,等.基于RSA和DLP数字签名方案的分析和改进[J].宜春学院学报,2012,33(8):1-3.[10]杨君辉,张玉峰,戴宗铎.一个基于两个数学难题的签名方案的分析[J].通信保密,1999(4):42-43.[11]梁钰敏,曹天杰.新的基于双难题的带有消息恢复的签名方案[J].微电子学与计算机,2012,29(9):175-178.[12]沈忠艳,于秀源.一个基于两大难题的数字签名方案[J].信息技术,2004,28(6):21-22.[13]何定彦,石国红.一个基于离散对数和因子分解的数字签名方案的分析[J].计算机应用与软件,2009,26(7):272-273.[14]周克元.一个新的基于离散对数和因子分解的数字签名[J].科学技术与工程,2013,13(26):272-275.[15]ZHENG Ming-hui,CUI Guo-hua.New signature scheme based on two cryptographic assumptions[J].Journal of Southeast University(English Edition),2007,23(3):461-464.[16]ISMAIL E S,TAHAT N M F,AHMAD R R.A new digital signature scheme based on factoring and discrete logarithms[J].Journal of Mathematics and Statistics,2008,4(4):222-225.[17]陈景润.初等数论(3)[M].哈尔滨：哈尔滨工业大学出版社,2012:120-124.。

2个代理签名方案的安全性分析黄斌;史亮【摘要】针对Fu等提出的改进的适用于移动通信的代理签名方案和代理聚合签名方案的安全性,提出了相应的攻击方法.通过对代理私钥的等价构造,原始签名人可以容易地伪造合法的代理签名和代理聚合签名,从而说明Fu等添加随机数的方法是无效的.安全分析表明,Fu等的代理签名方案和代理聚合签名方案都不满足强不可伪造性,是不安全的代理签名方案,不能应用于移动通信.%Attacks on Fu et al' s improved proxy signature and proxy aggregate signature schemes for mobile communication were presented. By constructing equivalent proxy secret keys, the original signer can easily forge valid proxy signature and proxy aggregate signature. It means that Fu et al s method of adding random numbers is invalid. Security analysis show that Fu et al s proxy signature and proxy aggregate signature schemes do not satisfy strong unforgeability. So they are insecure proxy signature schemes and can not be used in mobile communication.【期刊名称】《厦门大学学报（自然科学版）》【年(卷),期】2013(052)002【总页数】3页(P206-208)【关键词】移动通信;代理签名;代理聚合签名;强不可伪造性【作者】黄斌;史亮【作者单位】厦门大学软件学院,福建厦门361005【正文语种】中文【中图分类】TP915代理签名使得原始签名人可以将自己的部分签名权利下放给代理签名人，以应对一些突发情况.Mambo等［1］提出了代理签名的概念并区分了几类代理签名，包括完全代理签名，部分代理签名和具有证书的代理签名.Lee等［2］进一步将代理签名划分为强代理签名和弱代理签名，并给出了强代理签名需要满足的安全性质.相对于弱代理签名，强代理签名是一种更实用的代理签名，相应地，它的要求也更高，主要体现为强不可伪造性，即除了授权代理签名人之外的任何人（包括原始签名人）都无法伪造合法代理签名.这种性质使得强代理签名方案的权利划分更加清晰，因此它也受到了广泛的关注.虽然代理签名方案在移动通信中有重要应用，然而大多数的代理签名方案都无法在移动网络环境下直接使用.主要因为这种环境对代理签名方案的效率要求较高，因此设计高效的适合于移动通信网络的代理签名方案是一个研究热点.2008年，Lu等［3］提出了一个适用于移动通信网络的代理签名方案和一个代理聚合签名方案［4］.虽然Lu等证明这2个方案在随机预言模型下都是安全的，但是Li等［5］指出Lu等的代理签名方案都不满足强不可伪造性，即原始签名人可以伪造合法的代理签名或代理聚合签名.为了设计安全的适合移动通信网络的代理签名方案，Fu等［6］对Lu等的2个代理签名方案进行了改进.改进方案与Lu等方案的主要区别是，在生成代理私钥时改进方案需要加入一个随机数.Fu等认为改进方案能够满足代理签名的强不可伪造性，可以应用在移动通信中.本文分析了Fu等提出的2个代理签名方案，发现原始签名人可以通过Fu等加入的随机数来伪造合法的代理签名和代理聚合签名.分析表明，Fu等的代理签名方案和代理聚合签名方案都不满足强不可伪造性，是不安全的代理签名方案.1 Fu等的代理签名方案介绍1.1 系统初始化Fu等的代理签名方案的系统初始化过程与Lu等的方案相同.原始签名人A和代理签名人B的公私钥对分别为（PA＝xAP，xA）和（PB＝xBP，xB），系统公开参数为（G1，G2，e，q，P，H，H1）.1.2 代理生成原始签名人A和代理签名人B执行以下步骤以生成代理权：1）原始签名人A制作并公布一个包含A和B身份以及签名策略的证书ω.2）原始签名人A选择随机数k，计算R＝kP，s＝k－xAH1（ω，R）mod q，并将（R，s）发送给代理签名人B.（这一步实际上是A对证书ω的Schnorr签名［7］，因此该步是安全的.）3）代理签名人B收到（R，s）后，验证sP＝RH1（ω，R）PA 是否成立.等式成立时，B接受（ω，R，s）.4）B接受（ω，R，s）后，选择随机数kB，计算其代理私钥为sp＝s－（xB＋kB）H1（ω，R）mod q.令RB＝kBP，则相应的公钥为Pp＝spP＝R－H1（ω，R）（PA＋PB＋RB）.1.3 代理签名生成输入消息m∈｛0，1｝＊，代理签名人B计算σ＝spH（m），其中H（m）∈G1.最后B 输出代理签名（ω，m，R，RB，σ）.（该代理签名实际是一个以sp 为私钥的BLS签名［8］，因此也是安全的.）1.4 代理签名验证验证者收到代理签名（ω，m，R，RB，σ）后，检验等式e（σ，P）＝e（H （m），R－H1（ω，R）（PA＋PB＋RB））是否成立.如果等式成立，则接受签名，否则拒绝.2 Fu等的代理聚合签名方案介绍2.1 系统初始化该方案的系统初始化过程与上述代理签名方案类似.原始签名人A和n个代理签名人Bi（1≤i≤n）的公私钥对分别为（PA＝xAP，xA）和系统公开参数为（G1，G2，e，q，P，H，H1）.2.2 代理生成原始签名人A和n个代理签名人Bi（1≤i≤n）执行以下步骤以生成代理权：1）原始签名人A为每个代理签名人Bi制作并公布一个包含A和Bi身份以及签名策略的证书ωi.2）对每个代理签名人Bi，原始签名人A选择随机数ki，计算Ri＝kiP，si＝ki－xAH1（ωi，Ri）mod q，并将（Ri，si）发送给Bi.3）Bi 收到（Ri，si）后，验证siP＝Ri－H1（ωi，Ri）PA 是否成立.仅当等式成立时，Bi 才接受（ωi，Ri，si）.4）Bi 接受（ωi，Ri，si）后，选择随机数kBi，计算其代理私钥为令，则相应的公钥为2.3 代理聚合签名生成输入n个消息mi∈｛0，1｝＊（1≤i≤n），代理聚合签名如下生成：1）每个代理签名人Bi计算其中H（mi）∈G1.2）管理员计算并输出代理聚合签名2.4 代理聚合签名验证验证者收到代理聚合签名后，检验等式是否成立.如果等式成立，则接受该代理聚合签名，否则拒绝.3 Fu等的2个代理签名方案的分析3.1 Fu等的代理签名方案的分析Fu等虽然在Lu等方案的基础上做了改进，使得改进方案可以抵抗Li等方案的攻击.但是，Fu等的代理签名方案仍不满足强不可伪造性，因为原始签名人A可以伪造代理签名人B的有效签名，过程如下：1）原始签名人A制作并公布一个包含A和B身份以及签名策略的证书.2）原始签名人A选择随机数k，计算R＝kP，s＝k－xAH1（ω，R）mod q. 3）A选择随机数r，计算其代理私钥为sp＝srH1（ω，R）mod q.令RB＝rP－PB，则相应的公钥为Pp ＝spP ＝R－H1（ω，R）（PA＋PB＋RB）.4）输入消息m∈｛0，1｝＊，A 计算σ＝spH（m）并输出代理签名（ω，m，R，RB，σ）.5）显然，代理签名（ω，m，R，RB，σ）满足等式e（σ，P）＝e（H（m），R －H1（ω，R）（PA＋PB＋RB）），所以该代理签名是有效的.从A构造签名的过程不难看出，上述攻击是有效的.分析上述过程可以知道，Fu等方案的弱点在于其代理私钥含有一个随机数kB，这导致xB＋kB和RB都是随机的，而原始签名人恰好可以使用该随机性，选择随机数r代替xB＋kB并令RB＝rP－PB来构造签名.因此，Fu等这种添加随机数的方式不能构造安全的代理签名方案.3.2 Fu等的代理聚合签名方案的分析Fu等的代理聚合签名方案是其改进的代理签名方案在聚合签名中的一个应用，因此该代理聚合签名方案也存在类似上述代理签名方案的弱点.原始签名人A伪造代理聚合签名的过程如下：1）原始签名人A为每个代理签名人Bi（1≤i≤n）制作一个包含A和Bi身份以及签名策略的证书ωi.2）对每个代理签名人Bi，原始签名人A选择随机数ki，计算Ri＝kiP，si＝ki－xAH1（ωi，Ri）mod q.3）A为每个代理签名人Bi选择随机数ri，计算其代理私钥为spi＝si－riH1（ωi，Ri）mod q.令RBi＝riP－PBi，则相应的公钥为Ppi＝spiP＝Ri－H1（ωi，Ri）（PA＋PBi＋RBi）.3）输入n个消息mi∈｛0，1｝＊（1≤i≤n），A计算相应的n个σi＝spiH （mi）.最后，A计算并输出代理聚合签名4）与上述签名类似，验证者收到代理聚合签名后，容易验证等式 e（σ，P）＝4 结论对Fu等最近提出的适用于移动通信网络的代理签名方案和代理聚合签名方案进行了分析，提出了2个攻击方法.通过利用在Fu等方案的代理私钥产生阶段加入的随机值，原始签名人可以容易地伪造合法的代理私钥，进而成功伪造代理签名和代理聚合签名.分析表明，Fu等的方案不满足强不可伪造性，不能应用于移动通信网络.事实上，Boldyreva等［9］指出，低开销并满足强不可伪造性的代理签名方案早已经存在，即Kim等［10］的方案.Lu等的方案本质上与文献［10］完全一致，只是其安全模型更强，所以才不安全.通过对文献［10］的改进，文献［9］提出的方案满足更强的安全要求，也具有极低的复杂性，是一种理想的代理签名方案.【相关文献】［1］Mambo M，Usuda K，Okamoto E.Proxy signatures：delegation of the power to sign messages［J］.IEICE Transactions on Fundamentals of Electronics，Communications and Computer Sciences，1996，79（9）：1338－1354.［2］Lee B，Kim H，Kim K.Strong proxy signature and its applications［C］∥Proceedings of Symposium on Cryptography and Information Security 2001.Berlin：Springer，2001：603－608.［3］Lu R，Dong X，Cao Z.Designing efficient proxy signature schemes for mobilecommunication［J］.Sci China：F，2008，51（2）：183－195.［4］Li J，Kim K，Zhang F，et al.Aggregate proxy signature and verifiably encrypted proxy signature［C］∥Proceedings of International Conference on ProvableSecurity.Berlin：Springer，2007：208－217.［5］Li F，Shirase M，Takagi T.Cryptanalysis of efficient proxy signature schemes for mobile communication［J］.Sci China：F，2010，53（10）：2016－2021.［6］傅晓彤，汪婵.改进的适用于移动通信的代理签名方案［J］.华中科技大学学报：自然科学版，2012，40（4）：72－75.［7］Schnorr C.Efficient signature generation by smart cards［J］.Journal of Cryptology，1991，4（3）：161－174.［8］Boneh D，Lynn B，Shacham H.Short signatures from the Weil pairing［C］∥Proceedings of Advances in Cryptology—ASIACRYPT 2001，LNCS 2248.Berlin：Springer，2001：514－532.［9］Boldyreva A，Palacio A，Warinschi B.Secure proxy signature schemes for delegation of signing rights［J］.Journal of Cryptology，2012，25（1）：57－115.［10］Kim S，Park S，Won D.Proxy signatures，revisited［C］∥Proceedings of International Conference on Information and Communications Security.Berlin：Springer，1997：223－232.。

对一种新型代理签名方案的进一步分析和改进杨丽;张建中【摘要】In this paper, a new proxy signature scheme proposed by Lu Rong-bo et al. is given a detailed cryptanalysis. This paper points out that this scheme is not secure against public key substitution attack and proposes a method to attack the new scheme. Based on this, one improved scheme is given and concluded that it is not only secure against the original signer’s forgery attack effectively but also avoiding the problems of the original scheme. Compared with the original scheme, the new scheme is more security and has the same computation complexity.%通过对鲁荣波等人提出的新型代理签名方案进行分析，指出该方案不满足公钥替换攻击，并给出了攻击方法。

在此基础上提出一种改进的代理签名方案，克服了原方案的安全缺陷，有效地防止原始签名人的伪造攻击。

与原方案相比，改进的方案在效率不变的情况下具有更高的安全性。

【期刊名称】《计算机工程与应用》【年(卷),期】2013(000)022【总页数】4页(P100-103)【关键词】数字签名;代理签名;公钥替换攻击;可证明安全【作者】杨丽;张建中【作者单位】陕西师范大学数学与信息科学学院，西安 710062;陕西师范大学数学与信息科学学院，西安 710062【正文语种】中文【中图分类】TP309.2数字签名技术是一种用来证明签名者身份信息的密码技术，也是现代密码学的主要研究内容之一。

无证书聚合签名方案的攻击与改进杜红珍;温巧燕【摘要】聚合签名因其在物联网中的广泛应用而成为数字签名技术研究的热点。

Ming等（2014）提出了一个高效的无证书聚合签名方案，但Zhang等（2015）指出Ming方案不能抵抗类型II敌手的攻击，并给出了Ming方案的2种改进。

指出Zhang等的第二个改进方案是不安全的，通过构造具体的攻击方法，证明了第二个方案无法抵抗类型II敌手的攻击。

接着基于Ming方案构造了一个新的无证书聚合签名方案，在随机预言机模型下证明了新方案是安全的，且方案生成的聚合签名长度是固定的，很适合于物联网应用环境。

%Aggregate signature becomes a hot topic in the digital signature technology researches because of its wide application in the Internet of Things.Ming et al.(201 4)proposed an efficient certificateless aggregate signature scheme.But Zhang et al.(201 5 )showed the scheme is not secure against a Type II adversary,and then they proposed an improvement of Ming's scheme.However,it is pointed out that the improved scheme is still insecure against a Type II adversary by giving specific attacks.Then,based on Ming's scheme,a new certificateless aggregate signature scheme is constructed.The new scheme is prov-ably-secure in the random oracle model and the length of aggregate signature is constant so that it is suit-able for the Internet of Things.【期刊名称】《中山大学学报（自然科学版）》【年(卷),期】2017(056)001【总页数】8页(P77-84)【关键词】无证书公钥密码;聚合签名;不可伪造性【作者】杜红珍;温巧燕【作者单位】宝鸡文理学院数学与信息科学学院，陕西宝鸡721013;北京邮电大学网络与交换技术国家重点实验室，北京100876【正文语种】中文【中图分类】TP309数字签名可以在电子数据传输中提供认证性、完整性和不可否认性等安全服务，是信息安全的核心技术之一。

聚合签名方案的安全性分析与改进张永洁;张玉磊;王彩芬【摘要】Aggregate signature can reduce the cost of signature verification and the length of the signature.First, we analyzed security of three certificateless aggregation signatures.We allowed certificateless public key cryptosystems to attack them.These attacks: general user public key replacement attack and malicious key generation center KGC forged attack.And Chen program and Yu scheme cannot resist the public key to replace the attack, nor resistance to KGC passive attack.Zhang program cannot resist KGC active attack.Through the specific attack algorithm and cause analysis, proved that the program is not safe.We improved the Zhang''s scheme to strengthen the security compared with the original program.%聚合签名可以降低签名的验证开销和签名的长度.分析三个无证书聚合签名方案的安全性,指出它们不能抵抗无证书公钥密码系统的一般用户公钥替换攻击和恶意密钥生成中心KGC伪造攻击.其中,Chen方案和喻方案既不能抵抗公钥替换攻击,也不能抵抗KGC被动攻击;张方案不能抵抗KGC主动攻击.通过具体的攻击算法和原因分析,证明该类方案不安全.对张方案进行改进,改进的方案增强了原方案的安全性.【期刊名称】《计算机应用与软件》【年(卷),期】2017(034)008【总页数】5页(P307-311)【关键词】无证书公钥密码;聚合签名;密钥生成中心;被动攻击;主动攻击【作者】张永洁;张玉磊;王彩芬【作者单位】甘肃卫生职业学院甘肃兰州 730000;西北师范大学计算机科学与工程学院甘肃兰州 730070;西北师范大学计算机科学与工程学院甘肃兰州730070【正文语种】中文【中图分类】TP309聚合签名[1]能够把多个同类签名聚合转换成单个签名，实现对多个用户身份的验证。

对两类新型聚合签名方案的攻击及原因分析李慧敏;梁红梅;王海民;张金辉【期刊名称】《计算机应用与软件》【年(卷),期】2016(033)012【摘要】Through the security analyses on a certificateless aggregate signature scheme and a certificate-based aggregate signature scheme, both are newly proposed,we found that these two aggregate signature schemes are insecure,they can all suffer from KGC attack. Furthermore,the certificateless aggregate signature scheme will also suffer from public key replacement attack as well.In such attacks,the attacker can forge a valid aggregate signature on arbitrarily selected message.Finally,we analysedthe primary reason of the existence of these attacks,which is of referential significance to the construction of these two aggregate signature schemes.%通过对新近提出的一个无证书聚合签名方案和一个基于证书聚合签名方案进行安全性分析，发现这两类签名方案并不安全，均能够受到 KGC 攻击。

此外，该无证书聚合签名方案还能受到替换公钥攻击。

在这些攻击中，攻击者可以对任意选择消息成功伪造签名。

抗合谋攻击门限签名的研究摘要:门限签名是一种特殊而重要的数字签名,但合谋攻击一直是一个难以解决的问题。

本文对现有各种类型的抗合谋攻击门限签名方案进行了安全性分析,并基于现有的门限签名体制,对如何抗合谋攻击给出了一些启发式的思想。

关键词:抗合谋攻击门限签名门限值门限签名是一种特殊的数字签名,自提出以来得到了广泛地发展。

但由于现有的门限签名方案基本都是基于门限秘密共享体制,因此,自从台湾学者Li C.M.等提出合谋攻击以来,就一直是门限签名中难以解决的问题。

合谋攻击是指群中t（门限值）个或更多的恶意成员合谋,伪造出群中另外t 个成员对消息的签名。

为了实现抗合谋攻击,许多学者做了大量研究。

1998年,Wang等[1]提出了两个新的门限签名方案,通过可追踪性来达到防止合谋攻击的目的。

但王贵林和卿斯汉、Jan和Tseng、Li Z.C.等分别给出了不同的攻击方法,证明[1]的方案无法抗合谋攻击且不具有可追踪性。

1999年,Jan和Tseng[2]基于离散对数和大数分解问题的困难性提出了一个抗合谋攻击的方案。

但是,徐秋亮和陈泽雄证明该方案不能阻止子秘密持有者的合谋攻击。

2001年,Li Z.C.等[3]提出了没有附加秘密随机数的抗合谋攻击方案。

但是,该方案实际上不具有身份的可追踪性,且n-t+1个成员合谋就可以控制群签名密钥,从而对任何消息生成有效签名。

2003年,王斌和李建华[4]利用联合秘密共享技术提出了无可信中心的抗合谋攻击方案,该方案的群签名密钥是由共享的私钥和成员的部分私钥组成,避免了由合谋引起的成员私钥泄露问题。

但是,谢琪等表明他们的方案也是不安全的,且生成门限签名时每个成员的部分私钥并没有起到实质性的作用。

2007年,胡迎松和徐鹏[5]指出谢琪等的方案存在着安全性缺陷,不能实现抗合谋攻击,并提出一个基于消息源可识别的方案。

但是,该方案忽略了合谋者可以恢复出被伪造者私钥的事实,从而可以伪造合法签名。

对两类基于双线性对的签名方案的攻击
杜红珍
【期刊名称】《计算机应用研究》
【年(卷),期】2010(027)005
【摘要】Wen和Ma提出了一个基于传统PKI体制上的聚合签名方案,并认为该方案在随机预言机模型下是可证明安全的.但本文指出Wen-Ma方案是可以普遍伪造的,敌手既可以伪造某一个签名人的(普通)数字签名又可以伪造多个签名人的聚合签名.另外,Dai等人提出了一个适用于移动商务的基于身份的数字签名方案,但杜红珍发现该方案是不安全的,并给出了该方案的两种伪造攻击.
【总页数】3页(P1879-1881)
【作者】杜红珍
【作者单位】宝鸡文理学院,数学系,陕西,宝鸡,721013
【正文语种】中文
【中图分类】TN918
【相关文献】
1.基于双线性对的具有已知签名人的门限代理签名方案 [J], 李发根;王超;熊虎
2.基于双线性对的无证书签名与群签名方案 [J], 李凤银;刘培玉;朱振方
3.基于双线性对的部分盲签名中的“约分攻击” [J], 侯整风;王鑫;韩江洪;朱晓玲
4.对两类新型聚合签名方案的攻击及原因分析 [J], 李慧敏;梁红梅;王海民;张金辉
5.一种基于椭圆曲线自双线性映射的门限签名方案 [J], 张尚韬
因版权原因，仅展示原文概要，查看原文内容请购买。

两个自认证签密方案的攻击及改进
王云
【期刊名称】《计算机工程与科学》
【年(卷),期】2014(36)5
【摘要】自认证公钥密码体制与签密思想相结合,使得消息在一个合理逻辑步骤内既签名又加密,同时无需公钥证书和密钥托管,为系统节约开销和存储空间,设计安全、高效的自认证签密方案尤为重要.通过对两个自认证签密方案的分析研究,发现这两
个签密方案都是不安全的.存在已知明文与密文对的伪造攻击,任何第三方均可借助
窃取到的明文与密文对假冒发送方伪造任意消息的签名.进而对第一个方案提出改进,通过添加随机数的方法,克服了原方案的安全隐患,提高了原方案的安全性能.
【总页数】4页(P856-859)
【作者】王云
【作者单位】青海大学成人教育学院,青海西宁810001
【正文语种】中文
【中图分类】TP309.7
【相关文献】
1.两个自认证签密方案的安全性分析 [J], 王云
2.一种改进的自认证多接收者签密方案 [J], 吴凡;徐丽丽
3.一种改进的无可信中心的自认证多代理签密方案 [J], 吴凡;徐丽丽
4.对一个无证书签密方案的攻击与改进 [J], 左黎明;夏萍萍;林楠
5.两个无证书代理环签名方案的攻击与改进 [J], 李慧敏; 宁华英; 梁红梅; 张金辉
因版权原因，仅展示原文概要，查看原文内容请购买。

2个聚合签名方案的密码学分析与改进张玉磊;王彩芬【期刊名称】《计算机工程》【年(卷),期】2011(037)007【摘要】The analysis of the ID-based aggregate signature schemes proposed by Zhou-Du and Zhao respectively reveals that they are insecure.The partial and aggregate signatures in Zhou-Du's scheme can be fabricated.Likewise, in Zhao's scheme, the adversary can utilize the partial signature to gain access to the signer's private key for any attacks.The schemes are modified respectively.The modified scheme of Zhou-Du achieves non-forgeability while the modified scheme of Zhao succeeds to avoid the private key leakage.The modified scheme of Zhou-Du is more efficient than the original one.the modified scheme of Zhao works as efficiently as the original one.%分析Zhou-Du方案和Zhao方案,指出这2个基于身份的聚合签名方案是不安全的.在Zhou-Du方案中,单个签名和聚合签名是可伪造的;在Zhao方案中,攻击者可利用单个签名获得签名者的私钥,进而实现任何攻击.对2个方案进行改进,改进的Zhou-Du方案满足不可伪造性,改进的Zhao方案可避免私钥泄露.同时,改进的Zhou-Du方案效率优于原方案,改进的Zhao方案的效率与原方案相同.【总页数】3页(P145-147)【作者】张玉磊;王彩芬【作者单位】西北师范大学数学与信息科学学院,兰州,730070;西北师范大学数学与信息科学学院,兰州,730070【正文语种】中文【中图分类】TP309;TP393【相关文献】1.无证书聚合签名方案的分析与改进 [J], 徐明明;尹毅峰;张晴;刘扬;王佳星2.一个高效无证书聚合签名方案的密码学分析及改进 [J], 王海民;张金辉;李慧敏3.对三个聚合签名方案的密码学分析 [J], 陈群山;周豫苹;郝艳华;吴晨煌4.一个高效无证书聚合签名方案的密码学分析及改进 [J], 王海民;张金辉;李慧敏;5.面向车载自组网的无证书聚合签名方案的安全性分析与改进 [J], 杨小东;麻婷春;陈春霖;王晋利;王彩芬因版权原因，仅展示原文概要，查看原文内容请购买。