[碩士論文精品]關(guān)于指定驗(yàn)證者簽名的研究.pdf

摘要 指定驗(yàn)證者簽名，是指被指定的驗(yàn)證者能夠驗(yàn)證簽名是簽名者的合法簽名， 然而他不可能讓其他任何人相信這是簽名者的合法簽名，因?yàn)楸恢付ǖ尿?yàn)證者 自己也能產(chǎn)生合法的簽名。即使知道了簽名者和被指定的驗(yàn)證者的私鑰，也無 法斷定簽名是誰產(chǎn)生的。也就是說，它通過犧牲簽名的不可否認(rèn)性完美地解決 了“保密”和“真實(shí)”發(fā)生沖突的問胚。 強(qiáng)指定驗(yàn)證者簽名是一種特殊的指定驗(yàn)證者簽名，在該協(xié)議中，由于在驗(yàn) 證簽名過程中要用上被指定的驗(yàn)證者的私鑰，所以只有被指定的驗(yàn)證者才有能 力驗(yàn)證簽名。 然i i i 0 5 年l i p m a a 等人指出：為了滿足指定驗(yàn)證者簽名的本意，任何方案的 設(shè)計必須滿足不可授權(quán)性。簡單地說，就是對消息m 簽名是用簽名者( 或者被 指定的驗(yàn)證者) 的私鑰s k s ( s k o ) ，而不是使用函數(shù)f ( s k s ，p k o ) ( f ( s k o ，p s ) ) 對 消息進(jìn)行簽名。他們提出的授權(quán)攻擊攻破了所有的強(qiáng)指定驗(yàn)證者簽名方案。最 近，s u s i l o 等人證明：對強(qiáng)指定驗(yàn)證者簽名而言l i p m a a 等人發(fā)現(xiàn)的不可授權(quán)的概 念太強(qiáng)，而將沒有滿足要求的強(qiáng)指定驗(yàn)證者簽名方案。因此他們對強(qiáng)指定驗(yàn)證 者簽名重新構(gòu)造了新的術(shù)語“弱不可授權(quán)性”。 本文在對指定驗(yàn)證者簽名的研究中，主要做了如下一些工作： 首先，本文指出l i p m a a 等人不可偽造性證明存在漏洞，重新證明了該方案 的安全性，并把授權(quán)攻擊的概念推廣到環(huán)簽名上l i p m a a 等人雖然提出了安全 的指定驗(yàn)證者簽名模型和方案，但是他們的不可偽造性證明中由于區(qū)分器構(gòu)造 的不合理，導(dǎo)致其證明是不正確的：本文在不可程序化隨機(jī)預(yù)言機(jī)模型下重新 給出不可偽造性定理的證明。l i p m a a 等人提出的簽名權(quán)的授權(quán)攻擊不僅對( 強(qiáng)) 指定驗(yàn)證者簽名方案有效而且對某些環(huán)簽名方案也是有效的，如b e n d e r y 等人 的2 用戶環(huán)簽名方案，因此用該方法成功攻擊了b e n d e r y 等人的2 用戶環(huán)簽名方 案。 其次，本文建立了強(qiáng)指定驗(yàn)證者簽名的新的安全模型，并證明s u s i l o 等人的 論點(diǎn)是不正確的本文形式化定義了在授權(quán)情況下簽名者身份的保密性一簽 名者身份的強(qiáng)保密性。在該概念里，要求在考慮泄露任何部分信息的攻擊下( 除 生日祝福短信http:/www.zhufuyu.us 關(guān)于指定驗(yàn)證者簽名的研究 了參與者的私鑰) ，方案也滿足簽名者身份的保密性。然后證明該概念與共享 密鑰的授權(quán)和強(qiáng)指定驗(yàn)證者簽名的概念都是一致的、相容的。相反，s u s i l o 等人 定義的弱不可授權(quán)性卻是冗余的，使指定驗(yàn)證者簽名與強(qiáng)指定驗(yàn)證者簽名從概 念上產(chǎn)生矛盾。因?yàn)閘 i p m a a 等人的不可授權(quán)并未考慮到強(qiáng)指定驗(yàn)證者簽名方 案，而s u s i l o 等人假想只存在唯一的方式構(gòu)造強(qiáng)指定驗(yàn)證者簽名( 使用共享密 鑰) ，同時忽略了所有強(qiáng)指定驗(yàn)證者簽名都是指定驗(yàn)證者簽名的事實(shí)，所以激 于j a k o b s s o n 等人定義的強(qiáng)指定驗(yàn)證者簽名的原始概念，本文提出了正確的強(qiáng)指 定驗(yàn)證者簽名的模型，并證明存在滿足該模型的方案。 隨后，本文構(gòu)造出安全的強(qiáng)指定驗(yàn)證者簽名方案首先構(gòu)造基于雙線性對 的基礎(chǔ)簽名方案，它是b o n e h 等人短簽名方案的變型。然后證明了在隨機(jī)預(yù)言 機(jī)模型下，假設(shè)r c d h 問題是難問題的情況下該方案是不可偽造的。隨后證明 了b o n e h 等人的環(huán)簽名方案當(dāng)參與者只有2 個時是指定驗(yàn)證者簽名方案1 ，并在 此基礎(chǔ)上構(gòu)造了強(qiáng)指定驗(yàn)證者簽名方案。同時證明了該方案是安全的強(qiáng)指定驗(yàn) 證者簽名方案。而本文的基礎(chǔ)簽名方案還可以構(gòu)造安全可證明的盲簽名方案。 最后，提出弱指定驗(yàn)證者簽名的概念，并給出安全模型和構(gòu)造出安全的方 案( 強(qiáng)) 指定驗(yàn)證者簽名是在犧牲簽名的不可否認(rèn)特性的情況下，解決了“保 密性”和“真實(shí)性”發(fā)生沖突的問胚。然而在實(shí)際應(yīng)用中，由于參與雙方身份的 差異決定了簽名需要不可否認(rèn)特性。因此本文提出弱指定驗(yàn)證者簽名的概念， 即在保留簽名的不可否認(rèn)特性的條件下，達(dá)到既“保密”又“真實(shí)”的目的。弱 指定驗(yàn)證者簽名是指：簽名者的簽名只有被指定的驗(yàn)證者才有能力驗(yàn)證，而其 他任何用戶在沒有得到關(guān)于消息簽名的部分信息的情況下，是無法驗(yàn)證該簽名 的( 即在沒有驗(yàn)證者的幫助下是無法驗(yàn)證該簽名的) 。本文給出了弱指定驗(yàn)證者 簽名的定義，及其安全模型。同時提出了安全可證明的弱指定驗(yàn)證者簽名方案 和它的一個應(yīng)用。 關(guān)鍵詞：簽名，指定驗(yàn)證者簽名，隨機(jī)預(yù)言機(jī)模型，雙線性對，授權(quán) 1 斑v 西t 等人指出2 _ 用戶的環(huán)簽名方案是指定驗(yàn)證者簽名方案，那時還未考慮到授權(quán)攻擊模型現(xiàn) 在2 用戶的環(huán)簽名方案只要是不可授權(quán)的才為安全的指定驗(yàn)證者簽名方案 a b s t r a c t d e s i g n a t e dv e r i f i e rs i g n a t u r e ( d v s ) ，e n a b l e sas i g n e rt os i g nam e s s a g es o t h a tt h ed e s i g n a t e dv e r i f i e rc a nv e r i f yi ti sc o m i n gf r o mt h es i g n e r b u tt h ed 睜 i g n a t e dv e r i f i e rc a n n o tc o n v i n c et h et h i r dp a r t yb e l i e v ei t s i n c eh eh i m s e l fc a n p r o d u c et h es i g n a t u r e a l t h o u g hs o m e o n ek n o w st h es e c r e tk e yo fs i g n e ro r d e s i g n a t e dv e r i f i e r ，h ec a nn o tk n o ww h o i ss i g n e re x c e p tf o rs i g n e ra n dt h ed e s - i g n a t e dv e r i f i e r t h a ti st os a y ，d v si sp e r f e c t l ys o l v i n gc o n t r a d i c t i o np r o b l e m o f “p r i v a c y a n d “r e a l i t y ”b yl o s i n gn o n - r e p u d i a t i o n s t r o n gd e s i g n a t e dv e r i f i e rs i g n a t u r e ( s d v s ) i sas p e c i a ld v s i ns d v s ，v e r - i f y i n ga l g o r i t h mo fs i g n a t u r em u s tb eu s e dt h es e c r e tk e yo fd e s i g n a t e dv e r i f i e r ， t h u so n l yt h ed e s i g n a t e dv e r i f i e ri sc a p a b l eo fv e r i f y i n gt h ev a l i d i t yo ft h es i g n a - t u r e ， h o w e v e r ，i n2 0 0 5 ，l i p m a ae ta 1 p o i n t e do u tt h a ta n yd v ss c h e m eh a dt o s a t i s f yt h ep r o p e r t yo fn o n - d e l e g a t a b i l i t yo fs i g n i n gr i g h t sa c c o r d i n gt oo r i g i n a l d e f i n i t i o no fd v s s i m p l et os a y , n o n - d e l e g a t a b i l i t yo fd v ss c h e m ei st or e q u i r e s i g n e r ( d e s i g n a t e dv e r i f i e r ) t os i g nam e s s a g eb yu s i n gt h es i g n e r ss e c r e tk e y s k so rd e s i g n a t e dv e r i f i e r ss e c r e tk e ys k o ) ，b u tn o taf u n c t i o n f ( s k s ，p k d ) ( f ( p k s ， s 幻) ) a n dt h ed e l e g a t i n ga t t a c kb r o k eo u ta l ls d v ss c h e m e s r e c e n t l y s u s i l o e ta 1 s h o w e dt h a tt h ea p p l i c a b i l i t yo ft h en o n - d e l e g a t a b i l i t yn o t i o nd i s c o v e r e d b yl i p m a ae ta 1 w 硒t o os t r o n gt ob ei m p l e m e n t e di ns t r o n gd e s i g n a t e dv e r i f i e r s i g n a t u r e ( s d v s ) s c h e m e s t h e r e f o r e ，t h e yr e - c o i n e dan e wt e r mc a l l e d v e a k n o n - d e l e g a t a b i l i t y ”f o rt h es t r o n gd v sv a r i a n t s t h i st h e s i sh a v ed o n es o m ew o r k 髂f o i l o w so nd v s ： f i r s t l y , 叫ep o i n to u tt h a tt h e r e 1 1 ) 0 , 8n o tc o r r e c ti np r o o fo yu n f o r g e a b i l i t ya n d r e p r o o t h eu n f o r g e a b i l i t y , t h e nw ee x t e n dn o n - d e l e g a t a b i l i t yt or i n gs i g n a t u r e w es t u d yd e l e g a t a b i l i t yo fd v ss c h e m e s a l t h o t i g hl i p m a ae ta 1 s h o w e dt h e i r s c h e m ei ss e c u r e ，t h e r ee x i s t sab u gi np r o o fo fu n f o r g e a b i l i t y , w em o d i f yt h e p r o o fi nt h en o n - p r o g r a m b l er a n d o mo r a c l e w ed i s c o v e rt h a ta t t a c ko fd e l e g a t i n g s i g n i n gr i g h t si sn o to n l ya v a i l a b l et o ( s ) d v ss c h e m e ，b u ta l s os o m er i n gs i g n a t u r e 生日祝福短信http:/www.zhufuyu.us 關(guān)于指定驗(yàn)證者簽名的研究 s c h e m e s s u c ha sb e n d e r ye ta 1 s2u s o r - r i n gs i g n a t u r es c h e m e s w es h o wt h a t b e n d e r ye ta 1 s2u s e r - r i n gs i g n a t u r es c h e m e sa r ed e l e g a t a b l e s e c o n d l y , 鋤ef o r m a l i z et h es e c b r em o d e l o rs d v ss c h e m e sa n ds h o ws u s i l o 甜缸臺i d e aw a , sw r o n g ，w ef o r m a l l yd e f i n et h en o t i o no fs t r o n gp m v a c yo f s i g n e r s i d e n t i t yf o rs d v s w h i c hi st h ep r i v a c yo fs i g n e r si d e n t i t yu n d e rd e l e g a t a b i l i t y n o t i o n i nt h i sn e wn o t i o n ，w er e q u i r et h a ti fw ec o n s i d e rt h ea t t a c ko fr e v e a l i n ga n ys i d eo fi n f o r m a t i o nf o rs d v ss c h e m e sf e x c l u d i n gt h es e c r e tk e y so ft h e p a r t i c i p a n t s ) t h e nt h es c h e m em u s ts a t i s f yt h ep r o p e r t yo fp r i v a c yo fs i g n e r s i d e n t i t y ( p s i ) s e c o n d l y , w es h o wt h a to u rn o t i o nn o t i o ni sc o n s i s t e n tw i t ht h e n o t i o no fc o m m o nk e yd e l e g a t i o na n dt h ec o n c e p to fs d v s ，i nc o n t r a s tt ot h e w e a kn o n - d e l e g a t a b i l i t yn o t i o nt h a ti sr e d u n d a n ta n dp r o d u c ei n c o n s i s t e n c yb e - t w e e nd v sa n ds d v s f o rt h ef i r s tt i m ei nt h el i t e r a t u r e ，t h i sp a p e rc l a r i f i e s t h en o t i o nb e t w e e nd v sa n ds d v s ，s i n c el i p m a ae ta 1 sn o n d e l e g a t a b i l i t yn o - t i o nd o e sn o tr e a h yc o n s i d e rs d v s m e a n w h i l es u s i l oe ta l sw o r ka s s u m e dt h a t t h e r ee x i s t so n l yo n ew a yt oc o n s t r u c ts d v sa n dn e g l e c t i n gt h ef a c tt h a ta l l s d v ss c h e m e sa x ei n d e e dd v s a sm o t i v a t e di nt h eo r i g i n a lp a p e rb yj a k o b s s o n ， s a k oa n di m p a g l i a z z o t h i r d l y , w ec o n s t r u c tas e c b r ee 師c i e n ts d 坩s c h e m e w e f i r s tc o n s t r u c tb a - s i cs i g n a t u r es c h e m e w h i c hi sv a r i a t i o no fb o n e he ta 1 ss h o r ts i g n a t u r es c h e m e w es h o wi t ss e c u r i t yi nr a n d o mo r a c l em o d e lb yu s i n gb o n e he ta l ，sm e t h o d w h e r e a f t e r w es h o wb o n e he t 出sr i n gs i g n a t u r es c h e m ei sd v ss c h e m ew h e n t h e r ea x eo n l y2u s e r s 2 a n dw ec o n s t r u c tas d v ss c h e m eb a s e dt h i sd v ss c h e m e a n ds h o wt h es c h e m ei ss e c u r es d v ss c h e m e a tt h es a m et i m e w eu s et h eb a s i c s i g n a t u r es c h e m et od e s i g nt w op r o v a b l ys e c u r eb l i n ds i g n a t u r es c h e m e s f i n a l l y , w ep r e s e n tan e wn o t i o no fw e a kd e s i g n a t e dv e r i f i e rs i g n a t u r e ，t h e n f o r m a l i z ei t ss e c b r em o d e l a n dc o n s t r u c tt w os c h e m e s ( s ) d v ss o l v e st h ep r o b l e m o fc o l l i s i o nb e t w e e n “p r i v a c y ”a n d “r e a l i t y ”b yl o s i n gt h ep r o p e r t yo fs i g n e r s n o n r e p u d i a t i o n h o w e v e r ，i ns o m er e a lw o r l d ，s i n c ei d e n t i t y o fp a r t i c i p a n t s i sd i f f e r e n t ，n o to n l yi tr e q u i r e ss i g n a t u r e sn o to n l yt oh a st h ep r o p e r t yo fn o n - 2 r i v e s te ta 1 p o i n t e do u tt h a t2 - u s e rr i n gs i g n a t u r es c h e m e sw e r ed e s i g n a t e dv e r i f i e rs i g n a t u r e s c h e m e s h o w e v e r ，a tt l m tt i m et h e yd i dn o tc o n s i d e ra t t a c ko fd e l e g a t a b i l i t y s on o w a d a y sbs c h e m e i sd e s i g n a t e dv e r i f i e rs i g n a t t t r es c h e m e t h es c h e m ei sd e l e g a t a b l e 第。章a b s t r a c t r e p u d i a t i o n b u ta l s o “p r i v a c y ”a n d “r e a l i t y ”t h u s w ei n t r o d u c ean e wc o n c e p t o fw e a kd e s i g n a t e dv e r i f i e rs i g n a t u r e ( w d v s ) w d v se n a b l e sa s i g n e rt os i g na m e s s a g es ot h a tt h ed e s i g n a t e dv e r i f i e ri st h eo n l yo n ew h oc a nv e r i f yw h e t h e r as i g n a t u r ei sv a l i do rn o t ( a n yo t h e ru s e r se x c e p ts i g n e ra n dt h ed e s i g n a t e d v e r i f i e rc a nn o tv e r i f yt h es i g n a t u r e sw i t h o u tt h eh e l po fs i g n e ra n dt h ed e s i g - n a t e dv e r i f i e r ) ，b u tt h a tt h ed e s i g n a t e dv e r i f i e rc a ng e n e r a t ev a l i ds i g n a t u r e si s c o m p u t a t i o n a l l yi m p o s s i b l e w ep r e s e n t sd e f i n i t i o no fw d v sa n di t ss e c u r i t y m o d e l m e a n w h i l e ，h e r ew ep r o p o s et w os e c u r ew d v s ，o n ei sb a s e do nb l s s h o r ts i g n a t u r es c h e m e ，a n o t h e ri sb a s e do nb a s i cs i g n a t u r es c h e m ei nt h i st h e s i s k e y w o r d s ：s i g n a t u r e ，d e s i g n a t e dv e r i f i e rs i g n a t u r e ，r a n d o mo r a c l em o d e l b i l i n e a rp a i r i n g s ，d e l e g a t a b i l i t y 生日祝福短信http:/www.zhufuyu.us 第一章引言 數(shù)字簽名是最早融入密碼學(xué)的元素之一，其拓寬了密碼學(xué)研究的領(lǐng)域，使之 從特殊的安全通信問題擴(kuò)展到有關(guān)限制系統(tǒng)內(nèi)外成員用“不誠實(shí)”的行為竊取信 息的各種問題，從而形成現(xiàn)代密碼學(xué)。早在1 9 7 6 年，d i f f i e 和h e l l m a nf 1 1 就提出此 概念( 預(yù)印稿在1 9 7 5 年十二月就已經(jīng)分發(fā)出來了) ，它使密碼學(xué)的內(nèi)容變得更 豐富多采。隨著商務(wù)電子化、政務(wù)電子化的發(fā)展，數(shù)字簽名在不同的應(yīng)用背景下， 產(chǎn)生出不同的特殊簽名概念，如不可否認(rèn)簽名( u n d e n i a b l es i g n a t u r e ) 、盲簽 名( b l i n ds i g n a t u r e ) ，1 1 、群簽名( g r o u ps i g n a t u r e ) 5 】、環(huán)簽名( r i n gs i g n a t u r e ) 6 等。 例如，在電子商務(wù)及政務(wù)中，我們可能會遇到如下的案例。 假設(shè)浙江省政府在造杭州灣大橋之前希望通過拓標(biāo)的形式把該項(xiàng)目交 給某個公司各公司在投標(biāo)的標(biāo)書中肯定有該項(xiàng)目的報價，以及項(xiàng)目的 運(yùn)轉(zhuǎn)和完成要迭到的目標(biāo)等等具體的情況為了確保各個公司的投標(biāo) 書的內(nèi)容是可信的，且來源與標(biāo)書里的公司一致，浙江省政府肯定要求 各公司都要對標(biāo)書進(jìn)行簽名 要求對標(biāo)書進(jìn)行簽名，這是一個合理的要求。但是這些投標(biāo)的公司都不想 它們自己的投標(biāo)意向被別的公司知道，相反卻想知道別的公司的標(biāo)書意向。也 就是說，一個公司如果得到其競爭對手簽名后的投標(biāo)書，為了增加投標(biāo)成功的 機(jī)會，該公司會提供一份讓浙江省政府更容易接受的投標(biāo)書。每家公司為了阻 止其它公司得到其簽名的投標(biāo)書，似乎可以通過加密的方式把簽名的投標(biāo)書遞 交，使其只能被浙江省政府得到并驗(yàn)證。這好象是個簡單而有效的方案。難道 真的這么簡單就解決了問題? 似乎不行，如果政府? 1 1指定驗(yàn)證者簽名 其實(shí)，在電子世界和真實(shí)世界一樣，并不是任何個人、組織都希望自己的 簽名文件能被任何人驗(yàn)證。換句話說，有時候我們希望簽名的驗(yàn)證是簽名者可 控制的，只有簽名者同意才能被驗(yàn)證。例如：一個軟件開發(fā)商在他們的產(chǎn)品里 添加了數(shù)字簽名，以保證產(chǎn)品被認(rèn)證是正確的，無病毒的，等等，但是只有買了 產(chǎn)品的用戶才能驗(yàn)證其簽名的合法性。為了解決諸如上述使簽名者完全控制簽 2關(guān)于指定驗(yàn)證者簽名的研究 名的問題，1 9 8 9 年，c h a u m 和a n t w e r p e n 【3 1 3 提出了不可否認(rèn)簽名的概念。也就是 說，為了避免不希望的驗(yàn)證者獲得簽名合法性，借助于交互式協(xié)議，使這類簽名 的驗(yàn)證需要簽名者的參與。 但是由于存在勒索( b l a c k m a i l i n g ) 攻擊【_ ，h 】和黑手黨( m a f i a ) 攻擊m ，這類簽 名總不能達(dá)到預(yù)期的目的。其主要的問題是因?yàn)楹灻卟恢浪蛘l提供簽 名的合法性證明。 不可否認(rèn)簽名的這個缺陷激發(fā)了j a k o b s s o n 等人1 提出了指定驗(yàn)證者簽 名( d e s i g n a t e d v e r i f i e rs i g n a t u r e ) 的概念，同時c h a u m 1 1 介紹了秘密簽名( p r i v a t e s i g n a t u r e ) 的概念。這兩者都是基于相同的思想。 指定驗(yàn)證者簽名，顧名思義，即除了被指定的驗(yàn)證者外其他任何人都不能 驗(yàn)證的簽名。換句話說，指定驗(yàn)證者簽名的真實(shí)性只有被指定的驗(yàn)證者能判斷， 而對其他任何用戶都是保密的。這是一個解決“保密性”和“真實(shí)性”發(fā)生沖突 的問題。指定驗(yàn)證者簽名以損失傳統(tǒng)數(shù)字簽名的不可否認(rèn)性，提供了對消息的 一種認(rèn)證。與標(biāo)準(zhǔn)的數(shù)字簽名不同，它只有僅僅一個特別指定的用戶( 稱為被 指定的驗(yàn)證者) 能驗(yàn)證消息的合法性，對消息的簽名是否是簽名者的合法簽名， 而別的任何用戶是不能確信的。其不能確信的原因在于：被指定的用戶自己也 能產(chǎn)生簽名，而且與簽名者產(chǎn)生的簽名是不可區(qū)分的。因此，當(dāng)被指定的驗(yàn)證 者b o b 收至l j a l i e e 給他的簽名時，因?yàn)樗约簺]有產(chǎn)生該簽名，所以他能確信簽 名是a l i c c 產(chǎn)生的，并且驗(yàn)證其是否合法。但是，其他的用戶，如c i n d y ，就無法 接受簽名是a l i c e 的，因?yàn)閎 o b 也可能是消息的簽署者。 j a k o b s s o n 等人【1 i 】j 用下 面簡單的描述解決了該問題。 假設(shè)只有參與的雙方才能判斷證明的正確性，月拓希望向b o b i l 正明命 題“1 ，是真的”，a l i c e 將向b d 妊明命題“或者1 ，是真的，或者我是b o b ”來 代替原命題 顯然，a l i e e 向b o b 證明命題“或者穢是真的，或者我是b o b ”是“真的”，由 于a l i c e 無法證明她是b o b ，所以她只能證明一是“真的”；而如果b o b 向其他用 戶，c i n d y ，證明命題“或者穢是真的，或者我是b o b ”是“真的”，他剛好可證 明“我是b o b ”，所以，雖然b o b 能證明該命題是“真的”，但是他無法使c i n d y 相 信“毋是真的”。 這不正是解決上面案例的方法嗎! 實(shí)際上，對每家公司而言，一方面它們 希望自己的標(biāo)書只有政府能得到。并驗(yàn)證其真實(shí)性，而另一方面它們又希望得 生日祝福短信http:/www.zhufuyu.us 第一章引言 3 到其它公司的標(biāo)書及其簽名。而對政府而言，它更希望公司之間的標(biāo)書是透明 的，是相互競爭的，這樣可用最小的代價得到最大的回報。所以，公司如果通過 加密的方式提供標(biāo)書和簽名，可以滿足只能被政府得到和驗(yàn)證，但是，政府完全 有可能解密后泄露標(biāo)書和簽名，而某個公司為了得到該項(xiàng)目，一定會據(jù)之調(diào)整 自己的標(biāo)書。所以，通過加密的方式把簽名的投標(biāo)書遞交不能阻止政府“不誠 實(shí)”的行為，是不能解決問題的。但是如果用指定驗(yàn)證者簽名方案，a l i c e 代表投 標(biāo)公司，b o b 代表政府，而c i n d y 代表另外的投標(biāo)者，如上所述就可以完全解決 該問題。 在文獻(xiàn)f 1 2 ，p p6 6 2 1 中還提到下面一個應(yīng)用一電子投票：選舉中心在收到 投票者c a r o l 的投票后，必須發(fā)送給c a r o l - - 個收據(jù)，使她相信已經(jīng)正確地統(tǒng)計了 她的投票。在這里，選舉中心讓c a r o l 相信中心收據(jù)的正確性是非常重要的，必 須防止武裝脅迫者m a l i c e 強(qiáng)迫c a r o l 投他要的候選人?，F(xiàn)在如果收據(jù)是利用指定 驗(yàn)證者簽名技術(shù)構(gòu)造的，那么m a l i c e 就不能驗(yàn)證正確性：因?yàn)閏 a r o l 也可生成一 份選取m a l i c e 想要選的候選人的收據(jù)。 未來的世界是電子的世界，所有的商務(wù)活動都有可能在網(wǎng)上進(jìn)行，指定驗(yàn) 證者簽名還可以使你在網(wǎng)上進(jìn)行安全地討價還價1 。 1 2指定驗(yàn)證者簽名研究的現(xiàn)狀 在文獻(xiàn)f 1 0 1 中，j a k o b s s o n 等人介紹了兩個信任模型：一、指定驗(yàn)證者：暗藏 的驗(yàn)證者c i n d y 不信任參與的雙方( 簽名者a l i c e 、驗(yàn)證者b o b ) ，認(rèn)為他們都有 可能產(chǎn)生0v 砂口曲是“真的”的證明，其中加曲是b o b 私鑰的知識的證明；二、強(qiáng) 指定驗(yàn)證者：暗藏的驗(yàn)證者c i n d y 信任b o b ，相信他只是一個相當(dāng)誠實(shí)的驗(yàn)證者， 不會是簽名者。然而，c i n d y 試圖通過“合法的”交互協(xié)議欺騙b o b ，使她確信0v 妒b 曲是“真的”。第二個模型是比較弱的信任模型，因此相應(yīng)的它能得到更強(qiáng)的 安全性。迄今，所有的( 強(qiáng)) 指定驗(yàn)證者簽名方案都是遵從這兩個信任模型的。 在文獻(xiàn)1 0 1 中給出了如下的定義。 假設(shè)( ，p s ) 是 f i c e 向且。推明命題目是。真的”的協(xié)議如果對任何包含a l i c e b o b 和a n 婦的協(xié)議( f _ ，尼，p c ) ，曰0 6 能向d 班明口是“真的”，那么存在協(xié)議( 彤，尼) 使 得日0 6 能完成鹺的計算，i j c i n 不可能把( n ，晶，尼) 的副本( 拋吻0 從( 彤，) 的副 本中區(qū)分出，則稱b o b s 4 5 定驗(yàn)證者 4 關(guān)于指定驗(yàn)證者簽名的研究 假設(shè)( p ，p b ) 是 “向口口啦明命題口是“真的”的協(xié)議如果對任何包含a l i c e 、b o b d a w 和a n 婦的協(xié)議( f _ ，p b ，0 ，尸b ) ，d a v e 能向a 仃d 班明療是“真的”，那么存在協(xié)議( j 口島， 尼) 使得d d 口e 能完成的計算，且a n 咖不可能把( ( 巳，尸b ，尸b ，恐) 的副本從( ，f b ) 的 副本中區(qū)分出，則稱b o b 是強(qiáng)指定驗(yàn)證者 利用陷門承諾方案( t r a p - d o o rc o m m i t ) 1 4 l ，文獻(xiàn) 0 】中給出了安全的指定 驗(yàn)證者簽名方案1 。為了得到強(qiáng)指定驗(yàn)證者，文獻(xiàn)【10 1 建議通過使用概率加密 方案【l j 】，即：用被指定驗(yàn)證者的公鑰加密指定驗(yàn)證者簽名的副本2 。這能保 證c i n d y 在不知指定驗(yàn)證者的私鑰的情況下，既不能驗(yàn)證簽名，又不能把副本從 相同長度和分布的隨機(jī)字符串區(qū)分出來。然而，不管是直接用公鑰加密副本，還 是用公鑰加密方案先加密會話密鑰，再用會話密鑰加密副本，這都會增加算法 的運(yùn)算量和簽名長度。0 1 年r i v e s t 等人指出，2 - 用戶的環(huán)簽名是指定驗(yàn)證者簽 名。 雖然文獻(xiàn)【1 0 】中( 強(qiáng)) 指定驗(yàn)證者的定義清楚地說明了：當(dāng)b o b 收至t j a l i c e 的 證明( 簽名) 以后，如果他l 旬c i n d l y 證明命題是“真的”，那么b o b 自己也能 產(chǎn)生不可區(qū)分的副本。因?yàn)闊o論什么樣的“真實(shí)”副本，b o b 總能產(chǎn)生“模 擬”副本，所以，c i n d l y 不相信b o b 對命題的證明。因此，為了更適合協(xié)議的 安全分析，0 3 年在信息安全與密碼學(xué)年會上，s a e e d n i a 等人m 借助于零知 識證明( z e r o - k n o w l e d g ep r o o f ) 中的模擬器( s i m u l a t o r ) 給出了更直觀的定 義3 ，并提出了第一個高效的強(qiáng)指定驗(yàn)證者簽名方案( s k m 方案) 。該方案利用 了s c h n o r r 簽名方案 17 】和z h e n g 簽名加密方案【1 8 】使得不用加密就實(shí)現(xiàn)了“強(qiáng) 指定驗(yàn)證者”特性。但是s k m 方案只證明了在無消息攻擊( n om e s s a g ea t t a c k ) 情況下是存在性不可偽造的( e x i s t e n t i a l l yu n f o r g e a b l e ) ，由于缺乏好的安全分 析的模型，不能證明在選擇消息攻擊( c h o s e nm e s s a g ea t t a c k ) 的情況下是不可 偽造的。 1 0 z g w m g _ 1 州證明該方案是可偽造的，由于只需簡單修改( 而其結(jié)構(gòu)不變) 就使該方案具有不可偽造 性，所以認(rèn)為該方案還是安全的。 2 在文獻(xiàn)- o 】中，證明了只要加密方案在自適應(yīng)選擇密文攻擊下是不可區(qū)分的那么該方案是強(qiáng)指定驗(yàn) 證者箍名方案 3 假設(shè)p m 且) 是a t e o n b o b i , t 明命題口是4 真的。的協(xié)議如果b o b 能產(chǎn)生恒等分布的副本，且 與p ( a b ) 的副本不可區(qū)分，那么稱b o b 為指定驗(yàn)證者 假設(shè)p ( a b ) 是一“向b o b s - 明命題0 是“真的。的協(xié)議如果任何用戶能產(chǎn)生恒等分布的副奉且 與p ( a ，b ) 的副本除了b o b ，l “ 的所有用戶都不可區(qū)分那1 , 稱p ( a ，b ) 為強(qiáng)指定驗(yàn)證者證明即b o b 為強(qiáng)指 定驗(yàn)證者 生日祝福短信http:/www.zhufuyu.us 第一章引言 5 同年，在亞洲密碼學(xué)年會上，s t e i n f e l d 等人2 1 1 提出了一個新的指定驗(yàn) 證者簽名的概念一普遍指定驗(yàn)證者簽名( u n i v e r s a ld e s i g n a t e dv e r i f i e rs i g n a t u r e ( u d v s ) 1 ，它是指定驗(yàn)證者簽名的一種變型。也就是說，如果簽名的擁有 者( 不必是簽名者) 獲得簽名者的標(biāo)準(zhǔn)數(shù)字簽名( 傳統(tǒng)數(shù)字簽名) ，他能把( 簽 名者產(chǎn)生的) 標(biāo)準(zhǔn)數(shù)字簽名轉(zhuǎn)化為指定某個驗(yàn)證者的指定驗(yàn)證者簽名，使得只 有被指定的驗(yàn)證者能相信該消息的簽名是否是簽名者的合法簽名。而其他任何 用戶不能相信該消息是被簽名者簽署，因?yàn)楸恢付ǖ尿?yàn)證者同樣可以用其自身 的私鑰產(chǎn)生合法的普遍指定驗(yàn)證者簽名( 指定其自己) 。因此，其他用戶不能區(qū) 分簽名( u d v s ) 是簽名的擁有者生成的，還是被指定的驗(yàn)證者生成的。當(dāng)簽名的 擁有者與簽名者是同一用戶時，普遍指定驗(yàn)證者簽名其實(shí)就是指定驗(yàn)證者簽名。 同時，在文獻(xiàn)f 2 1 l 中，四位作者提出了第一個基于b l s 短簽名方案4 2 2 ，2 ：j 】的普 遍指定驗(yàn)證者簽名方案。 0 4 年s u s i l o 等人f 2 4 1 提出了基于身份的強(qiáng)指定驗(yàn)證者簽名( s z m 方案) ，其安 全模型與文獻(xiàn)【1 6 相同，只是從基于證書的公鑰系統(tǒng)擴(kuò)展到基于身份的公鑰系統(tǒng) 上。其實(shí)，該方案的結(jié)構(gòu)與s k m 方案相同，是s k m 方案的變型。在0 4 年的p k c 年 會上，s t e i n f e l d 等人f 2 叫證明了如何用s e h n o r r r s a 方案構(gòu)造普遍指定驗(yàn)證者簽 名方案。z h a n g 等人16 1 把普遍指定驗(yàn)證者簽名方案的概念推廣到基于身份的普 遍指定驗(yàn)證者簽名方案并且提出兩個方案( s w p 方案) ，而普遍指定驗(yàn)證者簽名 的概念在文獻(xiàn)心? ，2 8 ，2 q ，：；f ) i 川1 中不斷發(fā)展。0 4 年l a g u i l l a u m i e 弄f l v e r g n a u d 2 0 首 先給出了( 強(qiáng)) 指定驗(yàn)證者簽名的形式化定義，為安全分析和證明提供了強(qiáng) 有力的模型。他們指出安全的指定驗(yàn)證者簽名方案包含下列特性：不可偽造 性( u n f o r g e a b i l i t y ) 、不可傳遞性( n o n - t r a n s f e r a b i l i t y ) 5 ；而強(qiáng)指定驗(yàn)證者簽名方 案在這些特性基礎(chǔ)上還包括簽名者身份的保密性( p r i v a c yo fs i g n e r si d e n t i t y ) ， 即知道消息和被指定的驗(yàn)證者及其簽名，但不知道他們的私鑰，無法判別兩個 可能的簽名者中誰是簽名者。至此，指定驗(yàn)證者簽名的安全模型建立了，為安 全分析提供了保障。 0 5 年，在a c n s 年會上，z h a n g 等人【：j 2 】提出第一個無隨機(jī)預(yù)言機(jī)( w i t h o u t r a n d o mo r a c l e ) 普遍指定驗(yàn)證者簽名方案，它是用b o n e h 和b o y e n 3 3 提出的無隨 機(jī)預(yù)言機(jī)的短簽名方案的變型構(gòu)造的。在眾多的密碼學(xué)家不斷提出各種各樣的 4 本文用作者姓中的第一字母表示他們提出的方案如b o n e h ，【歸n 和s h 礎(chǔ)a m 提出的短簽名方案 用b l s 表示。 5 在文獻(xiàn)陋j 】中為“$ o t t r r a eh i d i n g 。，也就是后來的不可傳遞性。 6 關(guān)于指定驗(yàn)證者簽名的研究 指定驗(yàn)證者簽名方案與概念的同時，很不幸，0 5 年l i p m a a 等人f 3 4 1 根據(jù)指定驗(yàn)證 者簽名的原始定義，發(fā)現(xiàn)了一種新的、非標(biāo)準(zhǔn)的攻擊方法一簽名權(quán)的授權(quán)攻 擊。指定驗(yàn)證者簽名的本意是指：a l i c e 向b o b 證明命題0 是“真的”，她通過證明 命題“口或她知道b o b 的私鑰”是“真的”來實(shí)現(xiàn)。但是在各種指定驗(yàn)證者簽名 方案的設(shè)計時，都變換成證明命題“日或她知道部分信息，( ，) ”是“真的”，其 o e f ( ，) 是關(guān)于a l i c e 的私鑰( 公鑰) 和b o b 的公鑰( 私鑰) 的單向函數(shù)( o n e - w a y f u n c t i o n ) ，即已知函數(shù)，的值是無法得到私鑰?，F(xiàn)代密碼學(xué)中，在任何密碼系統(tǒng) 中私鑰都是受保護(hù)不可泄露的，而除此以外的任何構(gòu)件，在各種各樣的攻擊下都 是脆弱的，都面l 臨被攻擊者獲得的可能。所以指定驗(yàn)證者簽名方案中函數(shù)，在設(shè) 計中是應(yīng)該避免的。在文獻(xiàn)【3 刮中，作者把這種部分信息泄露稱為授權(quán)，并給出 了兩種可能出現(xiàn)授權(quán)的具體的、實(shí)際的環(huán)境。同時，作者指出，雖然大部分指定 驗(yàn)證者簽名方案都有嚴(yán)格的不可偽造性的證明，但是不可偽造性并不能包括可 授權(quán)，由此重新定義了指定驗(yàn)證者簽名的安全要求：不可傳遞性、不可偽造性、 不可授權(quán)性。而l i p m a a 等人并未對強(qiáng)指定驗(yàn)證者簽名的安全模型進(jìn)行更深入的 研究。他們證明了s k m 方案f 1 6 1 、l v 方案! u 1 、s b w p 方案2 1 1 和s w p 方案2 j 1 是 可授權(quán)的，同時提出了安全的指定驗(yàn)證者簽名方案( l w b 方案) 6 。隨后，“等 人1 用此方法證明s z m 方案1 2 4 1 ，n s m 方案1 ，l v 2 方案陌1 ，和z f i 方案m 1 都 是可授權(quán)的。至此，僅有j s l 方案【1 0 】和l w b 方案 是安全的。 0 6 年h u a n g 等人p s ，3 1 j 1 提出基于雙線性函數(shù)的短( 基于身份) 的強(qiáng)指定驗(yàn) 證者簽名，然而用l i p m a a 等人的方法，很容易證明它們都是可授權(quán)的。幾乎 同時，k u m a r 等人1 4 , l 提出了基于身份的強(qiáng)指定驗(yàn)證者簽名，并