具有消息恢复的指定接收者的盲签名方案

具有消息恢复的指定接收者的盲签名方案
褚万霞;张建中
【摘要】A new designated verifier blind signature scheme with message recovery based on the discrete logarithm problem is proposed,and its security and efficiency are analyzed and discussed in details.The proposed scheme can satisfy the properties of a blind signature with message recovery,and only designated verifier can verify the validity. It also satisfies the untraceability,that is the signer can't relate the formation process of the blind signature to the unblind signature for the file.The blindness and unlinkability in electronic transactions of business are achieved. At the same time,this scheme has the role of confidentiality of information. The new scheme is more efficient than the existing scheme in terms of computation overhead.%基于离散对数问题,提出了一个具有消息恢复的指定接收者的盲签名方案,并对方案的安全性和效率性进行了详细的分析讨论.方案不仅能满足消息恢复盲签名所要求的性质,而且只有指定的接收者才能验证签名的有效性,具有不可追踪性,即签名者无法将盲签名的行为与去盲后得到的真实文件签名联系起来.新方案实现了电子商务中的盲性和不可链接性且具有增强信息保密性的作用,其效率也优于已有方案.
【期刊名称】《计算机工程与应用》
【年(卷),期】2011(047)013
【总页数】3页(P72-73,153)
【关键词】数字签名;强盲签名;消息恢复;不可链接性;指定验证者
【作者】褚万霞;张建中
【作者单位】陕西师范大学,数学与信息科学学院,西安,710062;西北政法大学,经济与管理学院,西安,710063;陕西师范大学,数学与信息科学学院,西安,710062
【正文语种】中文
【中图分类】TP393
1 引言
数字签名又称电子签名，主要用于对数字消息进行签名，以防止消息的冒名伪造或篡改。

由于数字签名技术能够提供身份认证、数据完整性、不可否认性等安全服务，因而数字签名是安全电子商务和安全电子政务的关键技术之一。

但是随着对数字签名的不断深入及电子商务的快速发展，简单模拟手写签名的一般数字签名已不能完全满足现实中的应用需要。

例如：有时为了所签文件的保密性，必须要求签名人既可以生成对消息的签名，而又不知道消息的具体内容。

David Chaum[1]在1982
年的美国密码学学会上首次提出了盲签名的概念。

通常一个盲签名体制是用户和签名人之间的一个交互协议，如果参与方正确执行协议，那么持有消息m的用户User可以获得签名人Signer对消息m的数字签名s，但Signer不知道消息m
的内容，即使以后签名消息对(m，s)公开，Signer也无法追踪该消息。

盲签名的这种盲性特性在密码学协议中可用以保护消费者及他人的隐私，因而能适应许多商务活动的要求：在认证的同时不泄露内容，如合同、遗嘱的公证、电子货币、电子投票等。

盲签名一经提出就引起了国内外学者的广泛兴趣，针对不同的需求，人们设计了各种不同的盲签名方案[2-8]，如具有消息恢复的盲签名[2]、无证
书盲签名[3-4]、代理盲签名方案[5-6]、部分盲签名方案[7]。

具有消息恢复功能的数字签名是Nyberg和Rueppel[8]在1994年首次提出的，在消息可恢复签名中，合法的签名接收者能够通过所得到的数字签名自行恢复出签名的消息。

结合盲签名和具有消息恢复签名的优点，构造了一个基于离散对数的具有消息恢复的指定接收者的盲签名方案，并对方案的安全性和效率性进行了详细的分析和讨论。

方案不仅满足数字签名的性质，而且具有盲性和不可追踪性，是一个强盲签名方案[5]。

2 盲签名的定义和性质
在1982年的美国密码学学会上，Chaum首次提出了盲签名的概念。

所谓盲签名
就是签名者为用户的消息签名但并不知道消息的具体内容，事后签名者不能追踪消息。

2.1 盲签名的基本概念
在一个盲签名体制中，通常存在两个参与实体，即用户和签名者。

用户拥有消息m，并希望在签名者不知道消息内容的情况下得到签名人对消息的签名。

一个盲签名方案一般由如下3个算法构成：
（1）系统建立算法：是由密钥生成中心KGC运行的一个概率多项式时间算法，
输入安全参数k，其输出为系统参数params和签名人的公私钥对(PK，SK)。

（2）签名算法：是一个签名人和用户之间的概率多项式时间的交互协议，其过程为：①签名者向用户签发一个承诺值；②用户随机选择盲化因子对消息进行盲化处理，并将盲化后的消息发送给签名者；③签名者对用户的盲化信息进行签名后发送给用户；④用户对所得到的签名去盲后，得到消息的最终签名。

（3）验证算法：是一个确定的多项式时间算法，输入系统公开参数params、签
名者的公钥PK、消息m及其签名s，检验s是否为m的有效签名，如果s有效
输出“1”，否则，输出“0”。

2.2 盲签名的安全性
一个安全有效的盲签名方案不仅要满足一般数字签名的性质，而且要具有盲性和不可链接性。

所谓盲性就是在签名的过程中，签名者并不知道所签文件的具体内容。

不可链接性是指签名者不可能将签名过程与最终所得的签名联系起来。

也就是说签名者无法将通过交互协议产生的信息与最终的盲签名正确地匹配起来，不能追踪其签名。

3 方案设计
基于离散对数问题，提出了一个具有消息恢复的指定接收者的盲签名方案。

方案中有用户A、签名者B、指定接收者C三个参与实体。

具体算法如下：
（1）系统建立
p，q是两个大素数，且q|p-1；g为GF(q)的本原元。

A、B、C的公私钥对为、、，其中。

系统公开参数为(p，q，g，yA，yB，yC)。

（2）签名生成过程
①签名者B随机选择，计算modp，然后将rB发送给用户A。

②（盲化）用户A收到rB后，随机选择，计算modp，modp。

用户A将m′发送给B。

③（盲签名）B收到m′后，计算modq，并将s′发送给A。

④（脱盲）A 收到s′后，首先验证等式 modp是否成立。

如果等式成立，则签名有效。

否则，签名无效。

A计算s=as′+b-xAmodq，m″=am′modp，假若用户A欲将消息m发送给指定的接收者C，那么用户A计算modp。

则B对消息 m 的盲签名为(m″，r，s)。

A将(m″，r，s)发送给接收者C。

（3）签名验证
指定接收者 C 收到签名(m″，r，s)后，计算modp，这样指定接收者C就可以恢复出消息m了。

4 方案安全性及效率性分析
下面详细分析了方案的安全性，指出方案不仅具有不可伪造性、不可否认性、可验证性等性质，而且是一个强盲签名方案。

与相似方案相比，方案计算速度较快，效率较高。

4.1 安全性分析
（1）有效性
如果用户A、签名者B、指定接收者C都是诚实的，且都按步骤执行方案，那么方案是可验证的，且只有指定接收者C才可以恢复出消息m。

证明如下：
由于
所以方案是可验证的。

在验证方程中，要用到指定接收者C的私钥xC，所以只有指定的接收者才能验证并恢复出消息m，方案具有保密性。

（2）不可伪造性
如果攻击者要想成功伪造签名人的一个有效的签名，他可以随机选择并计算modp，但他无法获得签名者的签名私钥，因为通过yB=gxBmodp求解xB将面
临离散对数问题的难题。

攻击者无法生成有效的签名对(m′，s′)满足modp。

因此，该方案满足不可伪造性。

（3）不可否认性
由不可伪造性的分析可知，只有签名人才能生成有效的签名，且验证等式中要用到签名人的公钥，所以签名人不可能否认自己产生的签名。

（4）盲性
由于签名者B是对消息m′进行签名的，而m′是用户利用盲化因子盲化之后得到
的消息，所以，签名者不知道自己所签消息的具体内容。

（5）不可链接性
签名人的签名为(m′，s′)，当消息的签名(m″，s)被公开后，签名人B可以知道它们之间存在如下关系
签名者B可以知道m′，m″，并从第二个等式中解出a，但他利用a无法从第一个等式中获得随机数b和用户A的私钥xA的任何信息。

因此方案具有不可追踪性。

4.2 效率性分析
文献[2]是利用双线性映射构造的一个基于身份具有消息恢复的盲签名方案，由于
双线性映射中的对计算最耗时，运行效率较低。

本文在乘法群上，利用离散对数的难解性构造的盲签名方案。

乘法群上的运算速度相对较高，运行效率及性能优于文献[2]中的方案。

5 结束语
结合盲签名和消息恢复签名，基于离散对数构造了一个指定接收者的盲签名方案。

通过对方案安全性及效率性分析表明，该方案不仅满足恢复消息盲签名的性质，而且只有指定的接收者才能恢复出消息，具有保密性，其效率也优于文献[2]。

【相关文献】
[1]Chaum D.Blind signatures for untraceable payments[C]//Advances in Cryptology Crypto’82.New York，USA：Plenum Press，1983：199-203.
[2]张学军.高效的基于身份具有消息恢复的盲签名[J].计算机工程与应用，2008，44（32）：19-21.
[3]杨晓元，梁中银，郭耀，等.一个高效的无证书盲签名方案[J].南京邮电大学学报：自然科学版，2009，29（3）：37-42.
[4]苏万力，张跃余，张晓红，等.无证书盲签名方案[J].电子科技大学学报，2009，38（4）：533-536.
[5]夏满民，谷利泽.一种新型的代理盲签名方案[J].北京邮电大学学报，2006，29（3）：48-52.
[6]李霞，杨长海.基于椭圆曲线的门限多代理盲多签名方案[J].计算机工程，2009，35（13）：
169-171.
[7]成林，亢保元，王国瞻.一种部分盲签名方案[J].计算机工程，2010，36（8）：163-164.
[8]Nyberg K，Rueppel R A.Message recovery for signature schemes based on the discrete logarithm problem[C]//Advances in Cryptology-Eurocrypt’94.Heidelberg Be rlin：Springer，1994：175-190.。