安全增強(qiáng)的基于RSA可驗(yàn)證門限簽名方案

1、安全增強(qiáng)的基于RSA可驗(yàn)證門限簽名方案         08-05-01 09:44:00     作者：劉坤    編輯：studa0714 摘  要  本文提出一種驗(yàn)證功能完善、安全性更高的門限RSA簽名方案。該門限簽名方案利用有理數(shù)域上的插值公式，Shamir秘密共享方案以及改進(jìn)的門限RSA簽名方案等理論，解決了在 中對(duì)元素求逆和代數(shù)結(jié)構(gòu)擴(kuò)張的問(wèn)題以及共享服務(wù)器合謀的問(wèn)題。   &

2、#160; 關(guān)鍵詞  門限密碼體制，門限簽名，RSA算法，門限RSA簽名方案 1  引言    門限簽名是門限密碼學(xué)的主要研究?jī)?nèi)容之一，最初由Desmedt和Frankel等人引進(jìn)的，并基于ElGamal密碼方案建立了第一個(gè)(t，n)門限密碼體制。在(t，n)門限簽名方案中，n個(gè)成員共享群體的簽名密鑰，使得任何不少于t個(gè)成員的子集可以代表群體產(chǎn)生簽名，而任何少于t個(gè)成員的子集則不能產(chǎn)生簽名。門限簽名方案的基本假設(shè)是：在系統(tǒng)生命周期中，至少有(t-1)個(gè)非誠(chéng)實(shí)成員。由于RSA算法滿足構(gòu)成門限密碼體制的同態(tài)性要求，并且在CA中被廣泛使用，

3、所以這里選擇基于RSA的門限簽名方案。    但是對(duì)于RSA密碼系統(tǒng)，情況要復(fù)雜一些。首先剩余環(huán)不是域，其中的元素未必都可逆，于是不能利用一般的秘密共享方法共享簽名密鑰d；其次，為了保護(hù)RSA模數(shù)N的因子分解，不能讓參與簽名的成員知道，因此給在上建立秘密共享方案和建立門限簽名方案都帶來(lái)了困難。另外一個(gè)需要解決的問(wèn)題是由于采用Shamir秘密共享方案共享簽名私鑰，任意t個(gè)或更多個(gè)成員共享的密鑰就是簽名私鑰，所以他們合謀可以恢復(fù)出秘密密鑰，從而假冒系統(tǒng)生成有效的群簽名。這些問(wèn)題都是我們?cè)谠O(shè)計(jì)門限簽名方案時(shí)應(yīng)該考慮的。    本文以基于有理

4、數(shù)域上插值公式的Shamir的秘密共享方案為基礎(chǔ)，將改進(jìn)的門限RSA簽名體制、兩方共享與(t，n)門限方案相結(jié)合，提出了一個(gè)需要可信任中心的安全性增強(qiáng)的基于門限RSA簽名方案。利用由hash函數(shù)建立的特殊形式的RSA簽名體制，很好解決了在中對(duì)元素求逆和代數(shù)結(jié)構(gòu)擴(kuò)張的問(wèn)題，為實(shí)現(xiàn)帶來(lái)了方便。同時(shí)在簽名過(guò)程中對(duì)分發(fā)的子密鑰、部分簽名以及簽名都進(jìn)行了驗(yàn)證，保證子密鑰和簽名的正確性；保證在簽名過(guò)程中不會(huì)被敵人入侵和欺詐，同時(shí)也防止了共享服務(wù)器合謀的危險(xiǎn)。因此是一個(gè)安全性更高的門限簽名方案。2  門限秘密共享方案分析     通過(guò)前面的分析我們知道門限秘密共享方案

5、是構(gòu)成門限簽名方案的基礎(chǔ)。現(xiàn)有的許多門限簽名方案采用的是ITTC項(xiàng)目中的方案，采用隨機(jī)和的拆分方法，也就是將秘密密鑰d按多種(t，t)共享方案分割，每種分割稱為一種聯(lián)合，每種聯(lián)合含有t份子密鑰，這t份子密鑰分別存儲(chǔ)在n個(gè)服務(wù)器中的t個(gè)不同共享服務(wù)器上，不同的子密鑰聯(lián)合對(duì)應(yīng)不同的t個(gè)共享服務(wù)器組合。這種方案具有方法簡(jiǎn)單，運(yùn)算效率高的特點(diǎn)，但是它的子密鑰分發(fā)和管理都比較困難。它需要客戶機(jī)或是組合者指定共享服務(wù)器而不具有任意性，對(duì)于客戶機(jī)的要求很高，實(shí)現(xiàn)起來(lái)比較困難。    本文采用有理數(shù)域上的插值公式和經(jīng)典的Shamir(t，n)秘密共享方案作為構(gòu)造門限簽名方案的理論

6、基礎(chǔ)。這是因?yàn)镾hamir門限體制具有以下特點(diǎn)：    (1)增加新的子密鑰不用改變已有的子密鑰。在參與者P1， P2， ， Pn中成員總數(shù)不超過(guò)q的條件下可以增加新的成員而不用重新撤銷以前分發(fā)的子密鑰。當(dāng)系統(tǒng)需要增加共享服務(wù)器時(shí)，我們只需要對(duì)新增加的服務(wù)器分發(fā)新的子密鑰，而不需要將已經(jīng)分發(fā)的子密鑰一起替換掉，這樣可以減少系統(tǒng)的工作，提高系統(tǒng)效率。    (2)可以通過(guò)選用常數(shù)項(xiàng)不變的另一（t-1）次新的多項(xiàng)式，將某個(gè)成員的子密鑰作廢。當(dāng)某個(gè)共享服務(wù)器被攻破時(shí)，需要作廢它的子密鑰，我們可以采用這種方法。  

7、0; (3)組合者可以任意選擇共享服務(wù)器的子密鑰進(jìn)行密鑰恢復(fù)而不需要指定它們。這是我們選擇Shamir(t，n)秘密共享方案的一個(gè)重要原因。當(dāng)共享服務(wù)器完成部分簽名后組合者Combiner可以在n個(gè)服務(wù)器中任意選擇t個(gè)進(jìn)行最后的組合，而不需要去指定由某些服務(wù)器的部分簽名構(gòu)成最后的簽名。    這里我們給出這樣一個(gè)假設(shè)：任意t個(gè)共享組件所構(gòu)成的信息與n個(gè)共享組件所構(gòu)成的信息應(yīng)該是完全等價(jià)的。在此基礎(chǔ)上給出本文的基于RSA門限簽名方案。3  基于RSA門限簽名方案設(shè)計(jì)3.1 密鑰初始化    定義5-1可信任中心A(Admini

8、strator)指將簽名私鑰分給n個(gè)秘密共享者的組件?？尚湃伟岛薃一定能確保秘密信息不會(huì)被泄漏，并且在執(zhí)行完密鑰的分發(fā)后將簽名私鑰和其它信息一起銷毀。    (1)假設(shè)可信任中心A選擇好RSA模數(shù)N，公鑰e和私鑰d以及，使得。其中，模數(shù)N為兩個(gè)安全大素?cái)?shù)p，q的乘積。    (2)取定一個(gè)固定的正整數(shù)k及值域包含于(指中最高兩個(gè)比特為0的數(shù)構(gòu)成的集合)的適當(dāng)?shù)膆ash函數(shù)h(如MD5)，H由得到，由于對(duì)N的分解是困難的，所以H(m)是強(qiáng)無(wú)碰撞的、單向的函數(shù)。    (3)d1為隨機(jī)數(shù)，現(xiàn)在可信任中心A欲

9、將d2分發(fā)給n個(gè)共享服務(wù)器Share Serveri ，將d1發(fā)給密鑰服務(wù)器K。這里簽名私鑰d由d1和d2組成，各共享服務(wù)器共享私鑰d2。3.2 子密鑰的生成與驗(yàn)證    可信任中心A按如下步驟將簽名密鑰d2分發(fā)給n個(gè)共享服務(wù)器Share Serveri 。    (1)A隨機(jī)選取多項(xiàng)式使f(0)=a0= d2，計(jì)算下式：     其中g(shù)是可信任中心A隨機(jī)選取的信息樣本。    A將d2i秘密地發(fā)送給Share Serveri，而將N，n，e，h公開，將所有的g，ci，yi廣

10、播給各Share Serveri，p， q不再使用將其銷毀。    (2)各共享服務(wù)器Share Serveri(i1，2，n)收到可信任中心A發(fā)送來(lái)的子密鑰d2i后，利用已廣播的公開信息驗(yàn)證子密鑰d2i的正確性，方法如下：    每個(gè)共享服務(wù)器Share Serveri判斷下面的式子是否成立：       由于(5-4)式是所有共享服務(wù)器都收到的，因此方案中任何的組件都可以驗(yàn)證，故稱為公開驗(yàn)證部分；式(5-5)由每個(gè)共享服務(wù)器自己驗(yàn)證，故稱為秘密驗(yàn)證部分。對(duì)于Share S

11、erveri來(lái)說(shuō)，秘密驗(yàn)證就是用自己的子密鑰d2i和收到的g計(jì)算yi并與從可信中心A發(fā)送的yi比較是否一致來(lái)判斷d2i的正確性。    公開驗(yàn)證的正確性說(shuō)明如下：    當(dāng)公開驗(yàn)證和秘密驗(yàn)證中有一個(gè)不成立就認(rèn)為驗(yàn)證失敗，Share Serveri宣布可信任中心A發(fā)放的子密鑰是錯(cuò)誤的，于是可信任中心A被認(rèn)為是不合格的，協(xié)議至此中止。可信任中心A將重新選擇N和密鑰對(duì)(d，e)重復(fù)上面的步驟發(fā)放新的密鑰，否則可信任中心A分發(fā)密鑰成功，可以進(jìn)行下面步驟。這時(shí)可信任中心A銷毀所分發(fā)的密鑰，以防止密鑰泄露。3.3  部分簽名的生成與驗(yàn)證

12、    首先密鑰服務(wù)器K利用密鑰d1對(duì)消息m的hash函數(shù)值進(jìn)行簽名。然后各共享服務(wù)器Share Serveri利用自己的子密鑰d2i對(duì)消息m的摘要進(jìn)行簽名，如下所示并廣播其部分簽名：    共享服務(wù)器Share Serveri生成對(duì)消息m的部分簽名后，本文借助交互驗(yàn)證協(xié)議來(lái)驗(yàn)證Share Serveri的部分簽名是否正確。在交互驗(yàn)證協(xié)議中可以由任何一方來(lái)驗(yàn)證部分簽名的正確性，這里為了方便后面系統(tǒng)設(shè)計(jì)故規(guī)定共享服務(wù)器Share Serveri的部分簽名是由Share Serveri1來(lái)驗(yàn)證。若協(xié)議成功，則Share Serveri1確

13、信Share Serveri的部分簽名S2i是正確的；否則S2i是不正確的。方法如下：    (1)Share Serveri1任意選取a，bR1，N，計(jì)算出 并將R發(fā)送給Share Serveri；    (2)Share Serveri收到R后，計(jì)算出并將發(fā)送給Share Serveri1；    (3)Share Serveri1收到后，根據(jù)下式是否成立來(lái)判斷S2i是否為Share Serveri之部分簽名；    下面我們來(lái)說(shuō)明協(xié)議的安全性，假設(shè)N為兩個(gè)安全素?cái)?shù)p，q之積。若非誠(chéng)實(shí)驗(yàn)證者P不能攻破RSA系統(tǒng)，則上述驗(yàn)證RSA部分簽名的交互式協(xié)議滿足以下性質(zhì)：    (1)完備性