一個(gè)可公開(kāi)驗(yàn)證且前向安全的簽密方案

一個(gè)可公開(kāi)驗(yàn)證且前向安全的簽密方案喻琇瑛1，2何大可1，2(1.西南交通大學(xué)信息安全與國(guó)家計(jì)算網(wǎng)格實(shí)驗(yàn)室，成都610031；2.西南交通大學(xué)信息科學(xué)與技術(shù)學(xué)院，成都610031)摘要：簽密是實(shí)現(xiàn)認(rèn)證加密的一種新的密碼技術(shù)，其效率遠(yuǎn)遠(yuǎn)高于傳統(tǒng)“先簽名再加密”認(rèn)證加密方法。現(xiàn)有的簽密方案往往不能像傳統(tǒng)方法那樣同時(shí)提供前向安全性和可公開(kāi)驗(yàn)證性。本文對(duì)一個(gè)可公開(kāi)驗(yàn)證的簽密方案進(jìn)行了改進(jìn),提出一個(gè)同時(shí)具有公開(kāi)驗(yàn)證性的和前向安全的簽密方案。使攻擊者不可能通過(guò)發(fā)送者私鑰得到本次及以前通信者的秘密信息，實(shí)現(xiàn)了可公開(kāi)驗(yàn)證性和前向安全性。關(guān)鍵詞：簽密；前向安全；公開(kāi)驗(yàn)證；Abstract:Signcryption,asanewcryptographictechnique,itsefficiencyismuchhigherthanthatofthetraditionalmethod“signature-then-encryption”.Butsigncryptionschemesusuallycannotprovidebothforwardsecrecyandpublicverifiabilitysimultaneityasthetraditionalmethoddoes.Ansigncryptionschemesisimprovedandasaresult,apublicverifiablesigncryptionschemeswithforwardsecrecyisproposed.Intheimprovedschemes,theattackswhichobtainthesender’sprivatekeycannotgetanysecretinformationbetweentheseparticipatesbeforethiscommunication.Bythesemethodstheimprovedschemesachievepublicverifiabilityandforwardsecuritysimultaneity.Keywords:signcryption;forwardsecrecy;publicverify;1引言保密性與認(rèn)證性是密碼學(xué)中要研究的重要課題，數(shù)字簽名和加密是密碼學(xué)的兩個(gè)基本而重要的功能，其中數(shù)字簽名具有提供消息完整性、認(rèn)證性和不可否認(rèn)性的功能，而加密則可以提供消息的機(jī)密性。以往，簽名和加密是分開(kāi)應(yīng)用的，然而隨著信息傳輸?shù)木W(wǎng)絡(luò)化，網(wǎng)上傳輸?shù)男畔⑼瑫r(shí)需要認(rèn)證和加密。1997年，Y.L.Zheng提出一個(gè)新的認(rèn)證加密方案，稱為簽密(signcryption)，它能在一個(gè)邏輯步驟內(nèi)同時(shí)完成數(shù)字簽名和消息加密，實(shí)現(xiàn)保密和認(rèn)證兩項(xiàng)功能，這比傳統(tǒng)的“先簽名后加密”所需的計(jì)算代價(jià)與通信代價(jià)要小得多，大大減少了計(jì)算量與通信量[1,2]，非常適合大量數(shù)據(jù)的認(rèn)證安全傳遞。簽密的高效性使其得到了廣泛的關(guān)注，近年來(lái)，有許多簽密方案提出來(lái)。但是，一方面，由于被簽密的消息在簽名的同時(shí)也被加密，不能像一般簽名那樣被公開(kāi)驗(yàn)證，另一方面，由于任何得到簽密者密鑰的人都可以解密本次及以前通信的簽密密文恢復(fù)出消息，簽密方案不具備前向安全性。因此，在文獻(xiàn)[3]中指出，設(shè)計(jì)一個(gè)具有公開(kāi)可驗(yàn)證性和前向安全性的簽密方案是公開(kāi)難題。1998年，文獻(xiàn)[4]以Zheng的簽密方案為基礎(chǔ)，提出了一種簽名可公開(kāi)驗(yàn)證的簽密方案-BD簽密方案，但該方案依然存在效率和安全問(wèn)題。為了進(jìn)一步解決簽密的公開(kāi)驗(yàn)證難題，2000年，文獻(xiàn)[6]基于BD方案和文獻(xiàn)[5]中的認(rèn)證加密方案提出了一種可公開(kāi)驗(yàn)證的簽密方案，簡(jiǎn)稱Lee方案。文獻(xiàn)[7]對(duì)Lee方案進(jìn)行密碼分析研究，發(fā)現(xiàn)了其中存在的安全問(wèn)題，并給出了一個(gè)改進(jìn)方案，簡(jiǎn)稱Zhang方案。本文研究后，將指出該方案不滿足前向安全性，因此，在此方案基礎(chǔ)上，我們?cè)O(shè)計(jì)了一個(gè)具有公開(kāi)可驗(yàn)證性和前向安全性的簽密方案，其他任何人均可驗(yàn)證該簽名的有效性。而且，即使簽名者的簽密私鑰丟失，用此私鑰簽密過(guò)的任何消息均不會(huì)被指定接收者之外的其他人非法讀解，從而保證的方案的前向安全性。本文將首先介紹Lee方案，接著說(shuō)明文獻(xiàn)[7]在此基礎(chǔ)上進(jìn)行改進(jìn)所得到的Zhang方案，最后在Zhang方案的基礎(chǔ)上，給出一個(gè)新的可公開(kāi)驗(yàn)證且滿足前向安全的簽密方案。2Lee方案方案中系統(tǒng)參數(shù)p是一個(gè)大素?cái)?shù)，q是p-1的一個(gè)大的素因子，是q階元素，和=是Alice的公鑰對(duì)，類似地，和是Bob的公鑰對(duì)，是一個(gè)單向散列函數(shù)，‖表示級(jí)聯(lián)。設(shè)Alice要將需要認(rèn)證加密的消息發(fā)送給Bob，那么，Alice隨機(jī)選取整數(shù)，計(jì)算，，，，并將發(fā)送給Bob。Bob接收到后，計(jì)算=，，，=，并驗(yàn)證=。當(dāng)出現(xiàn)糾紛時(shí),Bob將給第三方，第三方計(jì)算=，=()，=，驗(yàn)證=()。乖3炮Zh航an鏟g方崗案蛇文獻(xiàn)客[7稿]對(duì)蒜Le化e方辟案進(jìn)瞎行分催析后珠，指斥出其萄不滿盜足不遞可偽降造性命，對(duì)糟原方膊案進(jìn)漠行了暫修改礙。嘩修改浩方案薄中的狡參數(shù)誤是安蒼全的舊對(duì)稱見(jiàn)加解價(jià)密算列法對(duì)超，銷其余筍參數(shù)捉與亂Le輕e警方案煙中的爺相同黑。下Al售ic龜e義隨機(jī)追選取倉(cāng)整數(shù)顛，粗計(jì)算粒，貓，揚(yáng)，封和蜓，宵并發(fā)造送錘給鹿Bo陜b鮮。騾B姓ob晝收到著后江，肌計(jì)算叮，卵，捏，通恢復(fù)召消息罩，蜻并驗(yàn)闊證叼。升當(dāng)出巡現(xiàn)糾健紛襖，千Al罪i柳ce踩否認(rèn)達(dá)自己喜的簽腿密時(shí)荒，慨Bo套b虎將櫻給第上三方美驗(yàn)證穗。晉第三抬方計(jì)擔(dān)算衛(wèi)，斗驗(yàn)證挎即可陡。希4償本文腫方案辦密鑰鍵安全欄是密懇碼體特制安升全的題關(guān)鍵冶，而康竊取將用戶膏的密昏鑰是雨非法耗攻擊仁者可績(jī)能采膝取的核攻擊停方法楚之一譜。在療Zh稍an織g方新案中竊，末如果額敵手逐獲取除了定，療則通脆過(guò)經(jīng)，磨就可拘以華計(jì)算盟出k郊，進(jìn)竄而盾由娘，卷得到釘和鎮(zhèn)，幻從而貸解密歷出前紋面所講有的片密文滴。毫因此老，該括方案迷不具殺有前震向安僻全性棗，本監(jiān)文所鑰提出施的改穗進(jìn)方代案如橡下。濫方案壟中未殲提及他的其學(xué)他參間數(shù)與券Zh靜an程g方動(dòng)案相涼同。志Al遮ic木e弓的簽縱密過(guò)集程：酸隨機(jī)奉選取既整數(shù)租，厲計(jì)算泄，坊，服，曉，副和仰。貴Al示ic毫e計(jì)援算燥傳遞拋給B鼻ob融。幕Bo閱b曬解簽引密騎過(guò)程跑：霧Bo清b粱得到將后，姥計(jì)算慧，鄉(xiāng)，滴，招恢復(fù)沃消息剝，健驗(yàn)證站即可瑞。威當(dāng)出而現(xiàn)糾它紛時(shí)輛，B續(xù)ob約將痛發(fā)送慢給第也三方匙驗(yàn)證筋。第校三方殲計(jì)算駛，婆驗(yàn)證腫。鋤5趙方案儀的安弊全性再分析哲及性擇能評(píng)慕價(jià)凍5．乖1宴安全委性分跨析唱（1賀）機(jī)攝密性跑關(guān)于藥機(jī)密睜性淡，醫(yī)要求竿除了導(dǎo)Bo命b稈，找其他掌任何響人不童能從漁得到非消息事。在烘本方昏案中四，器是機(jī)漁密性武得以樂(lè)保證壓的關(guān)田鍵捆，兵因?yàn)椴m，由復(fù)于只免有A失li粗ce枝知道先值，走Bo幟b知般道附，因補(bǔ)此，增除了敵Al撥ic池e和疼Bo咬b簡(jiǎn)以外湖，艙沒(méi)有叛人能耍算出掌，也輛就無(wú)濕法獲喬取羨(門(mén)包括儲(chǔ)在取公開(kāi)鳳驗(yàn)證濁中拴)鍋。施（2秧）不瓜可御偽造通性隱召滾不可暗偽造撐性指攝任何攔外部點(diǎn)攻擊門(mén)者或判內(nèi)部漲攻擊群者都蒸不能準(zhǔn)偽造框一個(gè)睡來(lái)自穿發(fā)方齒的關(guān)賭于某伸個(gè)消垂息的捎簽密慰。很在文蟲(chóng)獻(xiàn)[衡7]漲中，偶已證免明Z槐ha叢ng慈方案開(kāi)滿足域機(jī)密跑性、送不可旗偽造暖性和裝不可淘否認(rèn)軟性江,枯是一鐵個(gè)安劉全的槐可公柱開(kāi)驗(yàn)述證簽瀉密方費(fèi)案賀。益其簽廳名用方的是飽Sc年hn著or秤r碼算法濟(jì)，啟而佩Sc貪hn燕or肢r無(wú)簽名榴是可降證明康安全核的等，即殿沒(méi)有襪人扭(銀包括寶Bo派b)母能偽矛造消缸息急m櫻的有用效簽潤(rùn)密密溫文雖，需使得漂，訓(xùn)，活其中奶,滲=落秒。額不然書(shū)的話蚊，燥S彩ch補(bǔ)no腎rr顛簽名憂就可很偽造巡，這兔點(diǎn)在亞文獻(xiàn)撐[7翼]信中給控出了喂證明鳴。在鞏修改歷方案皂中掛也實(shí)霜現(xiàn)了稿不可奶偽造揀性鄰，盲因?yàn)樗囋赯們ha習(xí)ng識(shí)方案賞中，創(chuàng)已對(duì)睜其不?？煽觽卧灬勑赃M(jìn)貴行了積證明憲，而壩在本測(cè)方案站中，量只套增加還了一弄個(gè)參逃數(shù)綁R歡，趁R北也只汪出現(xiàn)畢在越的計(jì)跡算式壞中。羞如果裁有膛外部餃攻敘擊者手偽造絮簽名汗，偷由于汗其沒(méi)陰有山，呀假設(shè)大其任芝選k如’環(huán)，計(jì)沫算約，律=旬，在彈驗(yàn)證儀時(shí)，更驗(yàn)證摘方潔需要機(jī)計(jì)算碎，響要怨使昌=粱=蜘，鴉在不蠅知道峰的前等提下塘，要候想計(jì)望算一曲個(gè)潛值到，使取得赴相當(dāng)詢于解代離散苗對(duì)數(shù)槳問(wèn)題綁，是跑不可貸能的談；趙因此球只有栽Al欣ic董e佳可生耳成有散效的攀簽密丟密文古，這將點(diǎn)由唐公開(kāi)姑驗(yàn)證柜式可析證得繩。寬（3夫）不金可否姓認(rèn)性卡簽密幻方案魔的不櫻可否筑認(rèn)性土是指慧當(dāng)發(fā)溪送方露Al松ic互e否垮認(rèn)其監(jiān)曾向肌接收枝方B鈔ob犁發(fā)送賤過(guò)消懶息潤(rùn)的簽牽密時(shí)去，收翁方可駁以在太不泄近露其闊私鑰能的前鄰提下議，向萍第三龍方提斬交必現(xiàn)要信六息進(jìn)潮行驗(yàn)甜證。炒由于非本方陷案美是可鋒公開(kāi)墾驗(yàn)證著的，血任何滅人都次可以陶驗(yàn)證做是否咽為A掩li黃ce療生成菠的有險(xiǎn)效機(jī)簽密屯密文圈,旺因此仿只要難通過(guò)臨驗(yàn)證蛇，A誦li支ce陽(yáng)無(wú)法餃否認(rèn)葛其簽謙名的六消息糊，從府而壯實(shí)現(xiàn)低了不軟可否習(xí)認(rèn)性陽(yáng)。技（捆4嚼）約前向奇安全醫(yī)性瘋那駕關(guān)于煮前向位安全聰，很紙多方卡案提綁出將瘋r隱系藏到慶指數(shù)備上，堆但實(shí)拌際上良在進(jìn)飯行公此開(kāi)驗(yàn)鉤證時(shí)葬，仍紛然計(jì)嚴(yán)算覆得到珠了紋的值卡，茶其方然案中餡只是物在驗(yàn)議證時(shí)國(guó)將r仇用另纏一個(gè)做符號(hào)鑼代替餓，實(shí)芽際上掘同樣樓可以蘿被獲零取，棗因此雖，并予沒(méi)有擺真正乏實(shí)現(xiàn)慕前向?qū)侔踩?。智在本栗方案葉中，概攻擊獎(jiǎng)?wù)咧蝗沼蝎@嬌得了或和櫻才能祝對(duì)消僑息進(jìn)摔行解柔密。加設(shè)鑰攻擊竿者穿獲取薯了磚，習(xí)，縱和裙，進(jìn)面行如涼下攻仿?lián)魩停悍绻孪胍加珊扔?jì)算沙出責(zé)相當(dāng)題于解聲離散伏對(duì)數(shù)兇問(wèn)題偶，是句不可膜能的臺(tái)；達(dá)如果羅想勇由層式勞，甩得到策k值困，由暢于瘋攻擊輸者僅逆有即，堆和炕，黃因此忠攻擊才者無(wú)伏法靠計(jì)算律出k潤(rùn)值，日也就照無(wú)法繪計(jì)算靈出磁和峽來(lái)解疼密前付面的御消息笛；捐且由廢于解跡簽密掙需要屯，而朝簽密槳時(shí)詳，解抗簽密勁時(shí)壁，攻細(xì)擊者預(yù)不知隙道k秘值或歇x唱b景，因奪此無(wú)恨法獲等得追解密蝕出消浮息。詳5．腦2你性能伶評(píng)價(jià)寫(xiě)關(guān)于槐效率毯?jiǎn)栴}訓(xùn)，本頃方案婦為?？俗C前怪向安短全性領(lǐng)，需哈要多藝計(jì)算足一次再，并院發(fā)送趨給B環(huán)ob視，但吩對(duì)于矮計(jì)算女能力改較高拖的加攻密方嗓來(lái)說(shuō)緊，以渣較小險(xiǎn)的計(jì)墊算量友的增托加換甘取安盯全性避的象增加齊是可灑以接驢受的悶，而雙對(duì)于巨解密肥方和庭驗(yàn)證懇方來(lái)拔說(shuō)，傭由于甘直接腔對(duì)懇進(jìn)行兔乘法減運(yùn)算遲，粥計(jì)算從量并冬沒(méi)有灣顯著幣的增事加。劉6惹結(jié)賠束語(yǔ)圣往簽密胖能在勵(lì)一個(gè)從合理記的邏響輯步肥驟內(nèi)由同時(shí)爪實(shí)現(xiàn)礎(chǔ)保密貨和認(rèn)金證兩競(jìng)項(xiàng)功欺能邪，貫與番“乘先簽連名后哄加密旦”濱的方迅法相相比沾效率揪更高吹，留因而拆成為巨實(shí)現(xiàn)抗既保夜密又核認(rèn)證赤的傳章輸消監(jiān)息的般理想綠方法魔之一賴，得稀到了吊廣泛季的應(yīng)折用，非例如立電子斧現(xiàn)金省支付翼、密絲鑰分撕配等常。節(jié)但是砌現(xiàn)已著公開(kāi)蹦發(fā)表項(xiàng)的簽?zāi)z密方杏案大鵝多不虎同時(shí)電具有汁普遍袍可驗(yàn)田證性磨和前系向安萍全性補(bǔ)。本蟻文穴在一高個(gè)旬可秀公開(kāi)漏驗(yàn)證墻的簽迅密方聲案基泥礎(chǔ)上辦，洋提出庭一個(gè)突同時(shí)沫滿足繡公開(kāi)孩可驗(yàn)少證性估和前合向安心全性撿的簽慧密方析案陵，茅它鞋同時(shí)荒滿足皮公開(kāi)賀可驗(yàn)魄證性填和前綠向安霞全性亡，襯解決風(fēng)了文分獻(xiàn)頭[假3蒜]欠提出弓的一換個(gè)公捕開(kāi)問(wèn)咬題培，屯從而怒為簽辜密在疼電子嫁商務(wù)機(jī)、公棟平交棄易、適密鑰閥協(xié)商培等實(shí)拋際中詠的應(yīng)賓用提趨供了呆強(qiáng)的來(lái)理論霞工具脂。叉由于約簽密損的高黎效性柳，講在現(xiàn)蜜有朋的許艙多方述案扔之上背，可夫以進(jìn)解一步梢研究乘如何投將簽典密方噴案與慕實(shí)際咱應(yīng)用椅相結(jié)軍合索。供參考重文獻(xiàn)霸[舍1灘]涉Y朵Zh攀en巾g.薯Di擋gi辮ta評(píng)l宗si騰gn服cr粗yp身ti償on殊o促r個(gè)ho瘦w失to婆a玻ch釋ie腰ve活c拖os符t祝(旋si膛gn泉at遲ur個(gè)e嶄&鳴en木cr弓yp嘩ti扯on桿)賣<<雅co濁st綱(迎si左gn給at婆ur惕e)咸+c咬os耍t(就e川nc他ry伴pt繡io江n)畏[坑C]羽.I棚n:落C蠻RY彩PT舟O'咸97改,夕LN臨CS憶12激94星S騎pr匆in割ge雪r俘Ve業(yè)rl勺ag宮,釀19苗97度,敞16芬5~皆17豎9廣.全[2快]Z唯he影ng脫Yu腔la潛ng總.S獨(dú)ig本nc模ry賭pt嘗io乒n滾an揭d省It樓s輩Ap晝pl虧ic優(yōu)at微io似ns桑in給Ef攏fi扇ci籍en籮t汪Pu鳥(niǎo)bl嘴ic疏Ke蛾y糾So征lu泳ti銷on歐[C懼].夕Be幅rl娛in忙:P撕ro奸ce貌ed膽in緣gs俗o(hù)f杏In餅fo督rm燃at從io淚n丘Se釣cu活ri爺ty償Wo恨r(nóng)k玩sh漁op頭(I惜SW懇’9叫7)注,俯LN燕CS匆13努97建,懶Sp級(jí)ri訴ng告er斤V甩er鐘la貪g,恒19步98牙,紅29盤(pán)1亮-僻31類2.祖[當(dāng)3酒]L汗ib盞er誤tB黑,Q幼u(yù)i蟲(chóng)sq爸ua乓te湊rJ村.N彩ew績(jī)Id掙en平ti立ty子Ba惠se岔d提Si跡gn碰cr弟yp痰ti染on濕Sc襖he隊(duì)me榨s煤fr榜om佩Pa涂ir礙in鞭gs曬[C藥].停IE濕EE香In梯fo覽rm寶at抄io闖n傘Th憑eo偏ry壩Wo鈴rk演sh譜op姨,S如pr久in旅ge棚r天Ve谷rl癥ag乘,2遍00攝3捆,撐46宗-煎57匠.猶[洞4檢]頭F再Ba斧o,婦R憤H毀D飯en賄g.翠A豬s汽ig厭nc眼ry壺pt范io糞n僵sc粉he獄me滲w時(shí)it偉h局si寒gn岡at倚ur手ed寫(xiě)ir宴ec扯tl裕y屠ve新ri抓ab練le缺b喉y翠pu們bl均ic肚k遭ey泥[A器]緒.儀LN殼CS偵1抄43鳥(niǎo)1,拌i繁n友PK妹C摔’洽98粘[米C劣].魄它Be襖rl美in賢:睜Sp乏ri志ng鼻er橡2V說(shuō)er膊la懷g,漿