一种针对ElGamal数字签名生成的安全外包计算方案

■ doi ：10.3969/j.issn.1671-1122.2019.03.010
一
种针对El -G am al 数字签名生成的
安全外包计算方案
----------------------赵谱、崔巍、郝蓉、于佳u -----------------------(1.青岛大学计算机科学技术学院，山东青岛266071; 2.科学技术部信息中心，北京100862;
3.中国科学院信息工程研究所信息安全国家重点实验室，北京100093)
摘要：云计算作为一种新型计算模式，满足了人们将计算能力作为一种资源的需求。

云服务器可以为资源受限的用户提供计算能力、存储空间等多方面的支持。

完全可信的云服 务器在实际应用中非常少见，不受信任的云服务器可能会窃取用户隐私。

文章提出一种针对 E 卜Gamal 数字签名生成的安全外包计算方案，在云服务器的协助下，资源受限的签名者可 以高效生成E l-G am al 签名，且保护签名者的隐私不被泄露。

该方案还包含验证机制，使 签名者可以验证云服务器返回结果的正确性。

理论分析证明，该方案可以在保护签名者隐 私的前提下帮助签名者提高签名生成效率。

关键词：安全外包计算；E l-G am al 数字签名；云计算安全中图分类号：TP 309文献标识码：A 文章编号：1671-1122 (2019) 03-0081-06
中文引用格式：赵谱，崔巍，郝蓉，等.一种针对El-Gam al 数字签名生成的安全外包计算方案[J].信息 网络安全，2019, 19(3): 81-86.
英文引用格式：ZHAO Pu, CUI Wei, HAO Rong, et a! A Secure Outsourcing Computation Scheme for El-Gamal
Signature Generation[J], Netinfo Security, 2019,19(3): Bl-86.
A Secure Outsourcing Computation Scheme for El-Gamal
Signature Generation
ZHAO Pu 1, C U I Wei 2, HAO Rong 1, Y U Jia 1'3
(1. College of C omputer Science and Technology, Qingdao University, Qingdao Shandong 266071, China', 2. Information
Center o f t he Ministry of S cience and Technology, Beijing 100862, China', 3. State Key Laboratory of I nformation
Security, Institute o f I nformation Engineering, Chinese Academy o f S ciences, Beijing 100093, China)
A bstract : As a new computing mode, cloud computing has realized people’s requirement
of computing power as a resource. Cloud servers can provide resource-constrained clients
with much support, including computing power and storage space. But fully trusted servers are rare in practice. Untrusted servers may steal the privacy of the clients. This paper presents a secure outsourcing scheme for El-Gamal signature generation, which makes resource-收稿日期：2018-7-10
基金项目：国家自然科学基金[61572267, 61272425]; “十三五”国家密码发展基金[MMJJ20170118];中国科学院信息工程研究所信息安
全国家重点实验室开放课题P 〇16—MS—23, 2017—MS—21]
作者简介：赵谱（1995—），男，河南，硕士研究生，主要研究方向为云计算安全；崔巍（1982—)，男，山东，高级工程师，博士，主要研究方
向为网络安全、数字签名、云计算安全；郝蓉（1976—），女，山东，高级实验师，硕士，主要研究方向为信息安全；于佳（1976—），男，山东， 教授，博士，主要研究方向为密码学、云计算安全、大数据安全、网络安全。

通信作者：郝蓉hr@
2019年第3期、
constrained signers could efficiently generate El-Gamal signature with the help of cloud servers. Meanwhile, our scheme also provides privacy protection of signers. Our scheme also includes verification mechanism, which allows signer to check the correctness of result returned by the cloud server. The security analysis proves that our proposed scheme can help signers to improve signature generation efficiency under the premise of protecting signers5 privacy.
K ey w ords:secure outsourcing computation; El-Gamal signature; cloud computing security
o引言
人类社会已经进人互联网时代。

相对于手写签名，数字签名更加环保、节能、快捷，而且更易于验证，因此，针对电子文档的数字签名技术受到了广泛关注。

数字签名的概念由DIFFIE和HELLMAN于1976年 提出W，用于鉴别数字信息。

经过近半个世纪的发展，数字签名已经在商业、军事、政务等领域得到了广泛 的应用，并得到了大众的认可。

尽管数字签名有很多优点，但也存在一些新的问 题。

目前常用的数字签名大多基于公钥密码体制，如 RSA签名[2]、El-Gamal签名[3]等。

在这些数字签名算 法中，可能会涉及一些资源开销较大的运算，如模指 数运算、模逆运算、椭圆曲线上的标量乘运算等。

这 些复杂运算对于计算能力有限的签名者来说，可能是 难以接受的。

在当今的移动互联网时代，移动终端已 经大范围普及，人们已经习惯于用手机、平板电脑、智能手表等计算能力较弱的终端来处理日常事务，其 中不可避免地会出现用移动终端对文件或消息进行签 名的情况。

如何让计算能力有限的移动终端高效地对 文件或消息进行签名已经成为一个亟待解决的问题。

云计算作为一种新型的计算模式，为解决上述问题提 供了思路。

云计算满足了人们把计算资源作为一种基础设施 的需求，目前是学术界广泛关注的热点。

外包计算技 术是云计算的重要应用之一。

在拥有近乎无限计算能 力的云服务器的帮助下，资源受限的用户可以完成复 杂运算任务。

外包计算也存在以下缺陷[4,5]:
1)实际应用中很难找到一个完全可信的云服务 器，而需要计算的内容常常包含一些不能泄露给云服务器的隐私信息，因此需要对计算内容做一定的盲化,
保护用户的隐私不被泄露。

2)不受信任的云服务器有可能由于经济效益、被 敌手收买等原因给用户返回错误的结果，因此要保证
用户有验证结果正确性的能力。

3)对计算内容的盲化和结果的验证必须高效,如果外包计算方案中用户本地计算量等于甚至大于用
户本地计算原计算内容消耗的计算量，那么外包计算
方案就失去了原有的意义。

在隐私性、可验证性和高效性三个要求之下，安
全外包计算的概念应运而生。

学术界对安全外包计算
展开了深人研究，针对各种复杂的计算任务提出了有
效的方案。

现有的安全外包计算方案主要集中于密码
基础运算的安全外包计算方案和大规模科学计算的安
全外包计算方案两个方面。

前者包括模指数运算[6'
模逆运算間、椭圆曲线上的标量乘运算M等，后者包
括矩阵相乘[12_15]、矩阵求逆[14，16]、求矩阵行列式[17，18]、
矩阵分解[19]及解大规模线性方程组P0,叫等矩阵运算。

此外，针对特定加密算法的安全外包计算方案[22]也引
起了学术界关注。

本文主要的贡献如下：
1)利用El-Gam al数字签名生成过程中公钥可以 公开这一特点，对现有安全外包计算方案进行改进,
提出了一个针对El-Gam al数字签名生成的安全外包
计算方案。

在方案中分别对模指数和模逆两种运算进
行外包，大大提高了签名生成效率。

2)对提出的方案进行了隐私性、可验证性和高 效性三方面的分析，证明了方案可以在确保隐私性和
可验证性的前提下，让资源受限的终端高效地实现对
O tin fo securit
理论研究_
消息或文件的El -Gamal 签名。

1 E l-G am a 丨数字签名
H -Gamal 数字签名方案于1985年提出 '与EK 3amal
加密体制一样，El -Gamal 数字签名算法同样基于离散 对数难题。

El -Gamal 数字签名算法描述如下。

1)
密钥生成算法。

设P 为一个大素数，那么
求解(Z %〇上的离散对数问题是一个困难问题。

令
奸。

为一个生成元。

随机选择x (l <x </7-l )，公开
密钥少按公式（1)计算。

y = a x{mo&p)
(1)
其中，为公开密钥，即公钥;x 为秘密密钥，即私钥；
a 和；7均为公共参数。

2)
签名算法。

假设签名者为Bob ，则Bob 用自己
的私钥x 对消息m 进行签名。

Bob 随机选择一个秘密
W ik(\<k < p), ^gcd(A ：,p -\) = \, ifWy=ak (modp ),
知((m -xy )A ：_1)(mod 〇-l ))，则(w ，y ，3)就是 Bob 对消息
m 的签名。

3) 验证算法。

验证者收到(m j ，)后，验证
〇r (m 〇dp )是否成立，若成立，则签名者的签名有效。

2系统模型及设计目标 2.1系统模型
本文提出的安全外包计算方案模型如图1所示。

签名者的隐私信息或欺骗签名者。

因此，签名者首先 把复杂计算中用到的数据进行加密，再发送给云服务 器；云服务器根据收到的加密数据进行运算，并将结 果返回；签名者收到云服务器返回的结果之后，对结 果进行验证。

如果通过验证，接受服务器返回的结果
并对其进行解密，得到签名者需要的签名；如果未通
过验证，签名者可以丢弃结果，并指控云服务器存在
恶意行为。

在整个过程中，签名者所耗费的计算资源
小于签名者自身生成签名消耗的计算资源。

2.2设计目标
本文提出的安全外包计算方案应该满足如下齡1)
正确性。

云服务器诚实地按照方案响应签名
者时，签名者可以从云服务器返回的结果中恢复出正
确的签名。

2) 隐私性。

云服务器不能知道签名者的隐私信息，
包括签名者的私钥、签名过程中选取的随机数等。

3) 可验证性。

当签名者收到云服务器返回的结
果时，可以检验结果的正确性。

如果云服务器恶意欺
骗用户，用户应该能以高概率检测出云服务器的恶意
行
为。

4) 髙效性。

在整个安全外包计算方案中，签名者
的计算开销要小于签名者自身生成签名的计算开销。

3安全外包计算方案
「-S
厂
响应
;
可验证性丨
签名者
图1安全外包计算方案模型
方案中存在签名者和云服务器两个实体。

签名者 需要对消息或文件进行签名，但自身计算能力较弱，文献[9]给出了一种模指数运算的安全外包计算
方案。

本文利用El -Gamal 签名中模指数运算的底数 是公共参数可以公开这一特点，对此方案进行了改进， 提高了客户端运算效率，然后将其运用到本文方案中。

同时，对El -Gamal 签名中的模逆运算进行了安全外包。

本文提出的方案由盲化阶段、计算阶段、验证阶段及
求解阶段四个阶段组成。

方案的流程如表1所示。

3.1盲化阶段
在签名者外包自己的计算任务之前，首先要将交无法承担签名算法中复杂的计算任务。

云服务器拥有 付给云的数据进行盲化。

近乎海量的计算资源，可以高效地执行各种复杂的计 签名者持有自己的私钥X 、消息m 、随机数灸以及算任务，但云服务器不被签名者信任，有可能会窃取
公共参数a 和；7。

签名者首先选取一个随机数心使得
2019年第3期、
表1针对曰-G am al签名生成的安全外包计算方案流程阶段签名者云服务器
盲化阶段通过盲化操作将签
名生成转化为四个
模指数运算和一个
模逆运算随机顺序发送四个模指
数计算请求贩4模
逆计算请求、
计算阶段将计算请求发送给
云服务器
云服务器依照签
名者的计算请求
进行相应计算，并
将计算结果返回
给签名者
云服回其i愼结果
签名者雛
验证阶段接收到云服务器的 响应之后验证返回 结果的正确性
求解阶段若验证成功,签名者 依据服务器返回结 果恢复出签名
gcd(s，/?-l)= l，并计算= 之后，签名者再随机 选取一个随机数广，并将灸和蜻做如下分解：k= b1+C j J j(2)
rk= b2+ c2d2(3)
为了减轻签名者的计算压力，r应该尽量小，使 签名者可以迅速计算某数的r次幕。

与文献[9]类似，本文建议r从区间[2，11]中随机选取。

为了保护输入 的隐私性，心C l和c2至少需要64比特的随机数。

3.2计算阶段
签名者以随机的顺序向云服务器发送四个模指数 计算请求，分别为：
1) ；
2) {a,b2)^a b l ；
3) {a,d^)^a d' ；
4) —
再向云服务器发送一个模逆计算请求)，云服务器计算出相应的结果并返回给用户。

3.3验证阶段
云服务器收到服务器的响应之后，验证等式aS i(一 广=(ah(ad2py•及灸’-1七三 lm od(/>-1)是否成立，若成立，则通过验证；若不成立，签名者丢弃云服务 器产生的结果，并指控云服务器存在恶意欺骗行为。

3.4求解阶段
云服务器返回的结果通过验证之后，签名者按照 公式（5)和公式（6)计算y和
(a d l)C l(mod p)(5)
8 = {m- xy)sk'~l(mod(/?-1)) (6) (坩，r，<5)即为签名者对消息坩的签名。

4安全性分析
下面从正确性、隐私性及可验证性三个方面对方 案的安全性进行分析。

1)正确性
正确性是指当云服务器诚实地响应签名者的请求 时，签名者可以得到正确的结果。

方案的正确性是显 然的。

2)隐私性
签名者的隐私信息包搬名者的私钥工及随机数怂 在某些情况下，消息m的隐私性可能也需要保护。

服 务器得到的数据为，其中没有与私 钥x及消息m直接相关的内容，因此可以断定私钥；c 及消息在该方案中不会泄露给云服务器。

从盲化阶 段中的拆分过程可以知道，如果服务器尝试恢复出随 机数/«,需要猜出1^和〇2三者中的一个。

然而这 三者都是64比特的随机数，并且由客户端秘密留存，云服务器准确猜出其数值的概率极低，可以忽略不计。

因此，可以断定随机数A：同样不会泄露给云服务器。

综上所述，签名者的隐私得到了足够的保护，方 案的隐私性是符合要求的。

3)可验证性
假设云服务器被敌手收买，想要欺骗用户。

显然,如果敌手返回的)T1不是正确的解，那么就无法通过 验证。

因此，敌手只能从a中入手。

观 察验证阶段，用于验证的等式为《61(«，1=(一(…呼2，,由于C l和c2都是64比特、由签名者保存的随机数, 敌手获取其准确值的概率极低，可以忽略不计。

因此,敌手只能尝试从W和一中人手。

在得到签名者提供 的数据后，敌手不返回正确的而是用
和及一代替。

这样的话，签名者在验证阶段使用的等 式就变换为吖，错误的答案就通
过了验证。

想要达到这一目的，敌手要从签名者发送 的四个模指数计算请求中，找出^和一X M的计算 请求，再猜出正确的r值。

成功找出对应计算请求的 概率为1/12,猜出正确的r值的概率为1/10。

如果r 的取值范围更大，敌手准确猜出r值的概率则更低。

因此敌手欺骗签名者成功的概率小于1/120,签名者 能以大于119/120的概率验证结果的正确性。

依照“一 次一密”的思想，签名者在每次外包签名的过程中选 用不同的参数对数据进行盲化，因此本文方案的可验 证性是满足要求的。

5效率分析
从客户端的计算开销上对本文方案进行分析。

如果签名者自行生成签名，一般采用模快速幂算 法来进行模指数运算，用扩展欧几里得算法求逆。

在 现有的计算能力条件下，El-Gamal签名算法的密钥长 度需要达到1024比特，才能保障算法的安全性。

在 此，假定灸是2048比特的随机数。

方案中C l和c2都 是64比特的随机数，r最大取值仅为11。

表2对比了 本地生成签名和采用本文提出的安全外包计算方案生 成签名客户端计算开销的情况。

表2中的数据表示各 项操作的运行次数。

表2本地生成签名和采用本文提出的安全外包计算方案
生成签名客户端计算开销的情况
操作签名者本地生成签名签名者外包生成签名模乘运算 1.51og2it+2«300010+1.51og2c1+l .51og2c2+1.51og2r!：：^200
模加运算13
扩展欧几里得算法10
由表2可知，本文方案在用户端进行的模乘运算 的次数要远小于本地生成签名时模乘运算的次数。

相 对于模乘运算而言，模加运算所消耗的计算资源可以 忽略不计。

此外，方案中也没有用到复杂的扩展欧几 里得算法，在盲化过程中也没有用到密码学原语等复 杂操作。

因此，方案在高效性上满足要求，签名者可 以高效地实现签名生成。

6结束语
本文提出了一种针对E l-G am al数字签名生成的安全外包计算方案，使资源受限的签名者可以在云 服务器的协助下高效地生成E l-G am al签名，并且保 护签名者的隐私。

在盲化过程中，针对E l-G am al数 字签名的隐私性要求，对现有的对于模幂运算的安 全外包计算方案做了改进，提高了效率。

方案对E l-Gamal数字签名中的模逆运算也做了相应的安全外 包。

通过安全性分析，证明了提出的方案可以保护 签名者的隐私，同时保证了充分的可验证性。

通过 效率分析，证明了提出的方案可以显著提高资源受 限的签名者生成签名的效率，大大缩短了签名生成 时间。

1 (责编杨秋奎）
参考文献：
[1] DIFFIE W, HELLMAN M E. N ew Directions in Cryptography []]. IEEE Transactions on Information Theory, 1976, 22(6): 644—654. [2] RIVEST R L, SHAMIR A, ADLEMAN L. A Method for Obtaining Digital Signatures and Public—key Cryptosystems[J]. Communications of the ACM, 1978,26(2): 96-99.
[3] EL GAM AL T. A Public Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms [J]. IEEE Transactions on Information Theory, 1985, 31(4): 469—472.
[4] R E N K, W ANG C, W ANG Q. Security Challenges for the Public Cloud|J]. IEEE Internet Computing, 2012,16(1): 69—73.
[5] WANG C, CAO N, R E N K, et al. Enabling Secure and Efficient Ranked Keyword Search over Outsourced Cloud DataQ]. IEEE Transactions on Parallel & Distributed Systems, 2012, 23(8): 1467—1479.
[6] H O H EN B E R G E R S, LYSYANSKAYA A. H ow to Securely Outsource Cryptographic Computations[EB/OL]. http://www.cs.jhu. edu/~susan/papers/HL05.pdf, 2018—7—1.
[7] C H E N X, LI J, M A J, et al. N e w A lgorithm s for Secure Outsourcing o f Modular Exponentiations [EB/OL]. https://w w w. /publication/06567860.pdf, 2018—7—1.
[8] YE J, X U Z, D IN G Y. Secure O u tsou rcin g o f M odular
E xponentiations in C loud and Cluster Com puting[J]. Cluster Computing, 2016, 19(2): 811-820.
[9] D IN G Y, X U Z, YE J, et al. Secure Outsourcing o f Modular Exponentiations under Single Untrusted Programme Model[EB/OL]. https:///10.1016/jjcss.2016.ll.005, 2018-7-1.
[10] SU Q, Y U J, T IA N C, et al. H ow to Securely Outsource the Inversion M odulo a Large Composite Number [EB/OL]. https://doi. org/10.1016/j,jss.2017.04.015, 2018-7-1.
[11] Z H O U K, R E N J. Secure Outsourcing o f Scalar Multiplication on Elliptic Curves [EB/OL]. http://www.academ /27047539/ S ecu re_O u tso u rcin g_of_S cala r_M u ltip lica tion_on_E llip tic_ Curves, 2018—7—1.
2019年第3期、
[12] LEI X, LIAO X, H U A N G T, et al. Achieving Security, Robust Cheating Resistance, and H igh—efficiency for Outsourcing Large M atrix M ultip lication C om putation to a M alicious Cloud[J]. Information Sciences, 2014, 280: 205—217.
[13] H U X ing, PEI D ingyi, TANG Chunming, et al. Verifiable and Secure Outsourcing o f Matrix Calculation and its ApplicationQ]. Scientia Sinica(Informationis), 2013, 43(7): 842—852.
胡杏，裴定一，唐春明，等.可验证安全外包矩阵计算及其应用中国科学：信息科学，2013, 43 (7) : 842-852.
[14] ZH A N G Y, B L A N T O N M. Efficient Secure and Verifiable O utsourcing o f M atrix M ultiplications [EB/OL]. h ttp s://w w w. /publication/312768648_Efficient_Secure_and_ Verifiable_Outsourcing_of_Matrix_Multiplications, 2018—7—1. [15] W U D u odu o, LAI Q iqi, Y A N G B o. E fficient, Verifiable and Secure O utsourcing o f M atrix M ultiplication[J]. Journal o f Cryptologic Research, 2017, 4(4): 322—332.
武朵朵，来齐齐，杨波.矩阵乘积的高效可验证安全外包计算[J].密 码学报，2017, 4 (4) : 322-332.
[16] LEI X, LIAO X, H U A N G T, et al. Outsourcing Large Matrix Inversion Computation to a Public Cloud[J]. IEEE Transactions on Cloud Computing, 2013, 1(1): 78—87.
[17] R E N X, H UANG H. Secure and Efficient Protocol for Outsourcing Large Matrix Determinant Computation to Semi—honest Cloud[J].Computer Engineering & Applications, 2014, 50(10): 82—86.
任晓霞，黄宏宇.安全高效的大矩阵行列式计算云外包协议m.计算 机工程与应用，2014, 50 (10) : 82-86.
[18] FU S, Y U Y, X U M. Practical Privacy—preserving Outsourcing o f Large-scale Matrix Determinant Computation in the Cloud[EB/OL]. https:///chapter/10.1007/978-3—319—68542—7—1，2018-7-1.
[19] W U Hongfeng, R E N Huanshu. A n Outsourcing Computing Based on Large Matrix Q R Decomposition in Cloud Environment[J]. Netinfo Security, 2018, 18⑶：86—90.
吴宏锋，任桓枢.云环境下基于大规模矩阵Q R分解的外包计算〇].信息网络安全，2018, 18 (3) : 86-90.
[20] WANG C, R E N K, WANG J, et al. Harnessing the Cloud for Securely Outsourcing Large-Scale Systems o f L inear Equations!]]. IEEE Transactions on Parallel & Distributed Systems, 2013, 24(6):1172—1181. [21] CH EN X, H UANG X, LI J, et al. N ew Algorithms for Secure Outsourcing o f Large—Scale Systems o f Linear EquationsQ]. IEEE Transactions on Information Forensics & Security, 2014,10(1):69—78.
[22] D E N G Fuhu, LI Z henyu, Z E N G Liyao, et al. A C loud
D ecryption System Based on
E l—Gamal Security O utsourcing Decryption [J]. Netinfo Security, 2017, 17(12): 73—79.
邓伏虎，李震宇，曾莉尧，等.一种支持E l-G am al安全外包解密的云密码系统[J].信息网络安全，2017, 17 (12) : 73-79.。