几个门限群签名方案的弱点
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(3) 由此,这 t 个成员掌握了其他所有成员的秘密密钥 α f ( x j ) ( j ∈ IN \ I ) 以及秘密参数 α f (0) 。加之 ( y j , x j ) 是公开的,于是他们就可以任意选择 R ∈R [1, p ′ − 1] 和 t 元指标 子集 I ′ ,伪造 X ( I ′) 对任何消息 m 的签名 (m, R, S , hI ′ ( y )) 。其中的 S 由下式计算:
i∈I f ( xi ) 发送给某个成员 T
mod q
,则 T 可生成多项式 F ( x) :
mod q
F ( x) = ˆ ∏ (α f ( xi ) ) ci , I ( x )
mod p ′ = α ∑i∈I f ( xi )⋅ci , I ( x ) = α f ( x ) mod p ′
mod p ′
3
xi 和 ui (i ∈ I ) 间的对应关系, 揭露签署群签名 (m, R, S , hI ( y )) 的所有真实成员身份集合 U ( I ) 。 ,那么对于一个有效的群签名 但 ( y j , x j ) ( j ∈ IN ) 是公开的(至少对于系统中的各个成员) (m, R, S , hI ( y )) ,任何人(至少各成员)都可以把 hI ( y ) 篡改为 hI ′ ( y ) ,使得验证者相信该签 名的签署成员集是 X ( I ′) ,而不是 X ( I ) (| I |=| I ′ |= t ) 。于是 SDC 根据 X ( I ′) 追查出的真实成员 集是就 U ( I ′) ,而不是 U ( I ) 。所以 WLC 方案实际上不具备可追查性。前一小结中已经说明, t 个成员合谋可以获取许多系统秘密参数,所以 WLC 方案不也不具备强壮性。 容易知道,要在 WLC 方案中加入新成员 ui ,SDC 只需为他选择化名身份值 xi ,并将秘密 密钥 α f ( xi ) 和公开密钥 yi = g α
f ( 0)
分别作为群秘密密钥和群公开密钥;
f ( xi )
(6) 为各成员 ui 选择化名 xi ∈R [1, q − 1] ,并计算成员 ui 的秘密密钥 α
和公开密钥
yi = g α
f (x i )
。
(7) 最后,SDC 公开 p , p ′ , q , g , α , Y , H 和 ( yi , xi ) (i = 0, 1, L, N − 1) ;并向各成员秘 密发送 α f ( xi ) 。 1.1.2 部分签名的生成及验证
若 t 个成员构成的小组 X ( I ) ( I ⊆ IN ∧ | I |= t ) 同意对某消息 m 进行签名,则每个成员
xi (i ∈ I ) 选择、计算以下各数,以生成部分签名: (1) ri = α ki mod p ′ ,其中 k i ∈R [1, q − 1] ; (2) si = α ci , I ⋅ f ( xi ) ⋅ H (m) ⋅ ri mod p ′ ,其中插值系数 ci , I = ∏ j∈I \{i} (0 − x j ) ( xi − x j ) ;
X = {xi | i ∈ IN } 。对指标子集 I ⊆ IN ,记 U ( I ) = {ui | i ∈ I } , X ( I ) = {xi | i ∈ I } 。以下一般用 I
表示 IN 的 t 或 (t + 1) 元指标子集,而 X ( I ) 可以是签署某消息的成员小组,也可以是进行合谋 的某个恶意成员小组。另外,用 d ∈R D 表示从集合 D 中随机、均匀地选择元素 d 。
1
WLC 门限群签名方案及其弱点
1.1 WLC 门限群签名方案简介 WLC 门限群签名方案由可信任的秘密分发中心 SDC(Share Distribution Center)选择系 统参数和分发秘密分存。整个方案由三个阶段组成:初始化、部分签名的生成及验证和群签 名的生成及验证。 1.1.1 初始化阶段 SDC 选择、计算以下参数: (1) 选择三个大素数 p , p ′ , q 使得 p ′ | ( p − 1) , q | ( p ′ − 1) 。 (2) 选择 GF ( p ) 中阶为 p ′ 的元素 g ,及 GF ( p ′) 中阶为 q 的元素 α 。 (3) 选择单向 Hash 函数 H 。 其中 ai ∈R [1, q − 1] 。 (4) 选择一个 (t − 1) 次多项式 f ( x) = a0 + a1 x + L + at −1 x t −1 mod q , (5) 将 a0 = f (0) 、 Y = g α
按这八条性质去检查,现有的门限群签名方案几乎都有缺点。Desmedt 和 Frankel 首次 提出基于 RSA 的门限群签名方案[4],但是[9]发现[4]中的恶意成员大于或等于门限时,他们 合谋可以高概率获取系统秘密(群秘密密钥) ,进而可不负责任地伪造其他成员的群签名。 Langford 在[10]中指出:[5],[6]和[7]中的密钥生成协议有问题。对[11]所提出的门限群签 名方案,[12]指出了对该方案的两个攻击:攻击者根据已有的群签名可伪造出关于其它消息 的群签名。 本文主要分析[11]、[4]和[13]所提出的三个群门限签名的弱点。其中最主要的缺点在于 强壮性和防伪造性:t 或 (t + 1) 个成员可以合谋得到(至少是以高概率得到)系统的秘密参数, 从而可伪造群签名,甚至由此彻底攻破签名系统。同时,我们还分析了这三个方案在可追查 性和匿名性方面的缺点。对于[11]和[4]提出的方案,我们的攻击不仅不同于[9]和[12]中所 发现的攻击,而且我们的攻击更彻底,成功的概率更高,具有更强的实践性。 为方便起见,以下把文献[11]、文献[4]和文献[13]所提出的这三个群门限群签名方案分 别简称为 WLC、DF、Xu 门限群签名方案(或 WLC、DF、Xu 方案) 。这三个方案都是 (t , N ) 门限 群签名方案,其中 t 是门限, N 是成员的个数,并用 IN = {0, 1, L , N − 1} 表示指标集。系统中 全 部 N 个 成 员 的 真 实 身 份 构 成 集 合 U = {u i | i ∈ IN } , 而 他 们 的 化 名 身 份 构 成 集 合
(3)
其中,插值系数多项式 ci , I ( x) = ∏ j∈I \{i} ( x − x j ) ( xi − x j ) . (2) 于是成员 T 可计算
F (0) = α f (0) mod p ′ , F ( x j ) = α f ( x j ) mod p ′ ( j ∈ IN \ I ) 。
S = F (0) ⋅ H (m) t ⋅ R mod p ′(= α f ( 0) ⋅ H (m) t ⋅ R mod p ′)
根据(2)式容易验证,由(4)式计算出的群签名是有效的。 1.2.2 WLC 方案不具备可追查性和强壮性,且系统稳定性差
(4)
由于验证者只能通过计算 hI ( yi ) 判断 xi 是否参加了群签名,而化名成员 xi 和真实成员 ui 间的对应关系只有 SDC 知道,所以 WLC 方案具备匿名性。若事后发生纠纷,SDC 可以通过公开
* 本文研究得到国家自然科学基金跨学科重点项目(No.19931010)和国家 973 高科技项目基金Biblioteka BaiduNo.
G1999035810)资助。作者王贵林,1968 年生,博士生,主要研究领域为协议分析,信息安全基础。卿斯汉, 1939 年生,研究员,博士生导师,主要研究领域为信息安全理论和技术。 本文通讯联系人:卿斯汉,北京 100080,中国科学院软件研究所。电话:62635150。 1
i∈I j∈I \{i}
(3) (m, R, S , hI ( y )) 就是对消息 m 的门限群签名。 验证者可以通过下式确定门限群签名是否有效:
g S ≡ Y H ( m) ⋅R mod p .
t
(2)
另外,验证者通过计算 hI ( yi ) 是否为 xi 知道某个化名成员 xi 是否参加了此次群签名。 1.2 WLC 门限群签名方案的弱点 文献[12]指出了对 WLC 门限群签名方案的两个攻击:攻击者由已知的有效群签名可伪造 出关于其它消息的群签名。在此我们指出一个攻击:在不知道任何有效群签名的情况下, t 个 成员合谋可以获取大部分系统秘密,并由此伪造群签名。另外,WLC 方案还有其它几个缺点: 不具备可追查性和强壮性,且系统稳定性差。 1.2.1 WLC 方案不具备防冒充性 在没有任何有效的群签名时,t 个成员构成的小组 X ( I ) 通过合谋可以伪造有效的群签名, 方法如下。 (1) 各成员 xi (i ∈ I ) 把 α
如果 DC 收到的 t 份部分签名都是有效的,则他按如下步骤生成群签名: (1) 计算 R = ∏ ri mod p ′ 和 S = ∏ si mod p ′ ;
i∈I i∈I
(2) 计算身份确定函数 hI ( y ) = ∑ ( xi ⋅ ∏ ( y − y j ) ( yi − y j )) ;
2
(3) ri′ = g ki′ mod p ,其中 k i′ ∈R [1, p ′ − 1] ; (4) si′ = ki−1 ( si − ri′ ⋅ α
f ( xi ) )
mod p ′ ;
(5) 发送部分签名 ( yi , m, ri , si , ri′, si′ ) 给预定的签名合成者 DC(Designated Combiner)。 DC 按下式是否成立判定各部分签名是否有效: g si ≡ yiri′ ⋅ ri′ si′ mod p . 1.1.3 群签名的生成及验证 (1)
几个门限群签名方案的弱点*
王贵林 卿斯汉
(中国科学院软件研究所信息安全国家重点实验室 北京 100080) (中国科学院信息安全技术工程研究中心 北京 100080)
E-mail: glwang@ercist.iscas.ac.cn, qsihan@yahoo.com
摘 要:门限群签名是一类重要的数字签名,但现有的门限群签名方案几乎都有缺点。本文 首先给出了良好门限群签名所应具备的性质,随后详细分析了三个门限群签名方案的弱点。 其中最主要的弱点是:部分成员可以合谋得到系统的秘密参数,从而伪造群签名,甚至彻底 攻破签名系统。 关键词:数字签名 群签名 门限群签名 密码学 毫无疑问,数字签名是现代密码学的一项重要发明。数字签名也是保证数据完整性、实 现网络认证和开展现代电子商务的重要工具。使用普通的数字签名时,无论是产生签名还是 验证签名,都只有一个用户参与。但随着网络应用的蓬勃发展,普通的数字签名技术已经不 能满足许多应用的要求。近十年来,众多研究者提出了许多特殊的数字签名。群签名,门限 群签名,非否认群签名和多方签名就是其中的四种。群签名方案首次由 Chaum 和 Heyst 提出 [1]。 在群签名方案中, 每个成员都可以代表整个群体签名。 在群签名方案中引入秘密分存[2] , 就形成门限群签名方案[3-8], 使得群体中的某些给定子集可以代表整个群体签名。在非否认 群签名中,签名的验证需要签名者的合作。而在多方签名方案中,各签名成员的身份是公开 的,且验证签名时一般需要各成员的公钥。在门限群签名方案中,门限群签名是由参加签名 的各个成员所签署的部分数字签名按某种方式结合后产生的。根据分存秘密的分发方式的不 同,现有的门限群签名方案可分为两种类型:带有秘密分发中心的门限群签名方案[4,7,8]和 分布式分发分存秘密的门限群签名方案[5-7]。就目前的研究来看,我们认为良好的门限群签 名应该具备以下性质: (1)群签名特性:只有群体中的成员才可以生成有效的部分签名,非群成员无法伪造有 效的部分签名; (2)门限特性:只有当签名人数不少于门限时,才可以产生出有效的门限群签名; (3)防冒充性:任何小组不能假冒其他小组生成群签名; (4)验证简单性:签名的验证者可以方便而简单地验证签名是否有效; (5)匿名性:签名的验证者不知道该签名是群体中哪些成员签署的; (6)可追查性:事后发生纠纷时,可以追查出签名者的身份。 (7)强壮性:恶意成员大于等于门限时仍然无法获取系统秘密参数; (8)系统稳定性:剔除违规成员或加入新成员时,勿需或只需少量改变系统参数和老成 员参数。
i∈I f ( xi ) 发送给某个成员 T
mod q
,则 T 可生成多项式 F ( x) :
mod q
F ( x) = ˆ ∏ (α f ( xi ) ) ci , I ( x )
mod p ′ = α ∑i∈I f ( xi )⋅ci , I ( x ) = α f ( x ) mod p ′
mod p ′
3
xi 和 ui (i ∈ I ) 间的对应关系, 揭露签署群签名 (m, R, S , hI ( y )) 的所有真实成员身份集合 U ( I ) 。 ,那么对于一个有效的群签名 但 ( y j , x j ) ( j ∈ IN ) 是公开的(至少对于系统中的各个成员) (m, R, S , hI ( y )) ,任何人(至少各成员)都可以把 hI ( y ) 篡改为 hI ′ ( y ) ,使得验证者相信该签 名的签署成员集是 X ( I ′) ,而不是 X ( I ) (| I |=| I ′ |= t ) 。于是 SDC 根据 X ( I ′) 追查出的真实成员 集是就 U ( I ′) ,而不是 U ( I ) 。所以 WLC 方案实际上不具备可追查性。前一小结中已经说明, t 个成员合谋可以获取许多系统秘密参数,所以 WLC 方案不也不具备强壮性。 容易知道,要在 WLC 方案中加入新成员 ui ,SDC 只需为他选择化名身份值 xi ,并将秘密 密钥 α f ( xi ) 和公开密钥 yi = g α
f ( 0)
分别作为群秘密密钥和群公开密钥;
f ( xi )
(6) 为各成员 ui 选择化名 xi ∈R [1, q − 1] ,并计算成员 ui 的秘密密钥 α
和公开密钥
yi = g α
f (x i )
。
(7) 最后,SDC 公开 p , p ′ , q , g , α , Y , H 和 ( yi , xi ) (i = 0, 1, L, N − 1) ;并向各成员秘 密发送 α f ( xi ) 。 1.1.2 部分签名的生成及验证
若 t 个成员构成的小组 X ( I ) ( I ⊆ IN ∧ | I |= t ) 同意对某消息 m 进行签名,则每个成员
xi (i ∈ I ) 选择、计算以下各数,以生成部分签名: (1) ri = α ki mod p ′ ,其中 k i ∈R [1, q − 1] ; (2) si = α ci , I ⋅ f ( xi ) ⋅ H (m) ⋅ ri mod p ′ ,其中插值系数 ci , I = ∏ j∈I \{i} (0 − x j ) ( xi − x j ) ;
X = {xi | i ∈ IN } 。对指标子集 I ⊆ IN ,记 U ( I ) = {ui | i ∈ I } , X ( I ) = {xi | i ∈ I } 。以下一般用 I
表示 IN 的 t 或 (t + 1) 元指标子集,而 X ( I ) 可以是签署某消息的成员小组,也可以是进行合谋 的某个恶意成员小组。另外,用 d ∈R D 表示从集合 D 中随机、均匀地选择元素 d 。
1
WLC 门限群签名方案及其弱点
1.1 WLC 门限群签名方案简介 WLC 门限群签名方案由可信任的秘密分发中心 SDC(Share Distribution Center)选择系 统参数和分发秘密分存。整个方案由三个阶段组成:初始化、部分签名的生成及验证和群签 名的生成及验证。 1.1.1 初始化阶段 SDC 选择、计算以下参数: (1) 选择三个大素数 p , p ′ , q 使得 p ′ | ( p − 1) , q | ( p ′ − 1) 。 (2) 选择 GF ( p ) 中阶为 p ′ 的元素 g ,及 GF ( p ′) 中阶为 q 的元素 α 。 (3) 选择单向 Hash 函数 H 。 其中 ai ∈R [1, q − 1] 。 (4) 选择一个 (t − 1) 次多项式 f ( x) = a0 + a1 x + L + at −1 x t −1 mod q , (5) 将 a0 = f (0) 、 Y = g α
按这八条性质去检查,现有的门限群签名方案几乎都有缺点。Desmedt 和 Frankel 首次 提出基于 RSA 的门限群签名方案[4],但是[9]发现[4]中的恶意成员大于或等于门限时,他们 合谋可以高概率获取系统秘密(群秘密密钥) ,进而可不负责任地伪造其他成员的群签名。 Langford 在[10]中指出:[5],[6]和[7]中的密钥生成协议有问题。对[11]所提出的门限群签 名方案,[12]指出了对该方案的两个攻击:攻击者根据已有的群签名可伪造出关于其它消息 的群签名。 本文主要分析[11]、[4]和[13]所提出的三个群门限签名的弱点。其中最主要的缺点在于 强壮性和防伪造性:t 或 (t + 1) 个成员可以合谋得到(至少是以高概率得到)系统的秘密参数, 从而可伪造群签名,甚至由此彻底攻破签名系统。同时,我们还分析了这三个方案在可追查 性和匿名性方面的缺点。对于[11]和[4]提出的方案,我们的攻击不仅不同于[9]和[12]中所 发现的攻击,而且我们的攻击更彻底,成功的概率更高,具有更强的实践性。 为方便起见,以下把文献[11]、文献[4]和文献[13]所提出的这三个群门限群签名方案分 别简称为 WLC、DF、Xu 门限群签名方案(或 WLC、DF、Xu 方案) 。这三个方案都是 (t , N ) 门限 群签名方案,其中 t 是门限, N 是成员的个数,并用 IN = {0, 1, L , N − 1} 表示指标集。系统中 全 部 N 个 成 员 的 真 实 身 份 构 成 集 合 U = {u i | i ∈ IN } , 而 他 们 的 化 名 身 份 构 成 集 合
(3)
其中,插值系数多项式 ci , I ( x) = ∏ j∈I \{i} ( x − x j ) ( xi − x j ) . (2) 于是成员 T 可计算
F (0) = α f (0) mod p ′ , F ( x j ) = α f ( x j ) mod p ′ ( j ∈ IN \ I ) 。
S = F (0) ⋅ H (m) t ⋅ R mod p ′(= α f ( 0) ⋅ H (m) t ⋅ R mod p ′)
根据(2)式容易验证,由(4)式计算出的群签名是有效的。 1.2.2 WLC 方案不具备可追查性和强壮性,且系统稳定性差
(4)
由于验证者只能通过计算 hI ( yi ) 判断 xi 是否参加了群签名,而化名成员 xi 和真实成员 ui 间的对应关系只有 SDC 知道,所以 WLC 方案具备匿名性。若事后发生纠纷,SDC 可以通过公开
* 本文研究得到国家自然科学基金跨学科重点项目(No.19931010)和国家 973 高科技项目基金Biblioteka BaiduNo.
G1999035810)资助。作者王贵林,1968 年生,博士生,主要研究领域为协议分析,信息安全基础。卿斯汉, 1939 年生,研究员,博士生导师,主要研究领域为信息安全理论和技术。 本文通讯联系人:卿斯汉,北京 100080,中国科学院软件研究所。电话:62635150。 1
i∈I j∈I \{i}
(3) (m, R, S , hI ( y )) 就是对消息 m 的门限群签名。 验证者可以通过下式确定门限群签名是否有效:
g S ≡ Y H ( m) ⋅R mod p .
t
(2)
另外,验证者通过计算 hI ( yi ) 是否为 xi 知道某个化名成员 xi 是否参加了此次群签名。 1.2 WLC 门限群签名方案的弱点 文献[12]指出了对 WLC 门限群签名方案的两个攻击:攻击者由已知的有效群签名可伪造 出关于其它消息的群签名。在此我们指出一个攻击:在不知道任何有效群签名的情况下, t 个 成员合谋可以获取大部分系统秘密,并由此伪造群签名。另外,WLC 方案还有其它几个缺点: 不具备可追查性和强壮性,且系统稳定性差。 1.2.1 WLC 方案不具备防冒充性 在没有任何有效的群签名时,t 个成员构成的小组 X ( I ) 通过合谋可以伪造有效的群签名, 方法如下。 (1) 各成员 xi (i ∈ I ) 把 α
如果 DC 收到的 t 份部分签名都是有效的,则他按如下步骤生成群签名: (1) 计算 R = ∏ ri mod p ′ 和 S = ∏ si mod p ′ ;
i∈I i∈I
(2) 计算身份确定函数 hI ( y ) = ∑ ( xi ⋅ ∏ ( y − y j ) ( yi − y j )) ;
2
(3) ri′ = g ki′ mod p ,其中 k i′ ∈R [1, p ′ − 1] ; (4) si′ = ki−1 ( si − ri′ ⋅ α
f ( xi ) )
mod p ′ ;
(5) 发送部分签名 ( yi , m, ri , si , ri′, si′ ) 给预定的签名合成者 DC(Designated Combiner)。 DC 按下式是否成立判定各部分签名是否有效: g si ≡ yiri′ ⋅ ri′ si′ mod p . 1.1.3 群签名的生成及验证 (1)
几个门限群签名方案的弱点*
王贵林 卿斯汉
(中国科学院软件研究所信息安全国家重点实验室 北京 100080) (中国科学院信息安全技术工程研究中心 北京 100080)
E-mail: glwang@ercist.iscas.ac.cn, qsihan@yahoo.com
摘 要:门限群签名是一类重要的数字签名,但现有的门限群签名方案几乎都有缺点。本文 首先给出了良好门限群签名所应具备的性质,随后详细分析了三个门限群签名方案的弱点。 其中最主要的弱点是:部分成员可以合谋得到系统的秘密参数,从而伪造群签名,甚至彻底 攻破签名系统。 关键词:数字签名 群签名 门限群签名 密码学 毫无疑问,数字签名是现代密码学的一项重要发明。数字签名也是保证数据完整性、实 现网络认证和开展现代电子商务的重要工具。使用普通的数字签名时,无论是产生签名还是 验证签名,都只有一个用户参与。但随着网络应用的蓬勃发展,普通的数字签名技术已经不 能满足许多应用的要求。近十年来,众多研究者提出了许多特殊的数字签名。群签名,门限 群签名,非否认群签名和多方签名就是其中的四种。群签名方案首次由 Chaum 和 Heyst 提出 [1]。 在群签名方案中, 每个成员都可以代表整个群体签名。 在群签名方案中引入秘密分存[2] , 就形成门限群签名方案[3-8], 使得群体中的某些给定子集可以代表整个群体签名。在非否认 群签名中,签名的验证需要签名者的合作。而在多方签名方案中,各签名成员的身份是公开 的,且验证签名时一般需要各成员的公钥。在门限群签名方案中,门限群签名是由参加签名 的各个成员所签署的部分数字签名按某种方式结合后产生的。根据分存秘密的分发方式的不 同,现有的门限群签名方案可分为两种类型:带有秘密分发中心的门限群签名方案[4,7,8]和 分布式分发分存秘密的门限群签名方案[5-7]。就目前的研究来看,我们认为良好的门限群签 名应该具备以下性质: (1)群签名特性:只有群体中的成员才可以生成有效的部分签名,非群成员无法伪造有 效的部分签名; (2)门限特性:只有当签名人数不少于门限时,才可以产生出有效的门限群签名; (3)防冒充性:任何小组不能假冒其他小组生成群签名; (4)验证简单性:签名的验证者可以方便而简单地验证签名是否有效; (5)匿名性:签名的验证者不知道该签名是群体中哪些成员签署的; (6)可追查性:事后发生纠纷时,可以追查出签名者的身份。 (7)强壮性:恶意成员大于等于门限时仍然无法获取系统秘密参数; (8)系统稳定性:剔除违规成员或加入新成员时,勿需或只需少量改变系统参数和老成 员参数。