基于橢圓曲線密碼體制和schnorr數(shù)字簽名體制的通用門限方案

基于橢圓曲線密碼體制和schnorr數(shù)字簽名體制的通用門限方案

1面向社群通信的通用門限簽密方案簽署密鑰是zhang在1997年提出的一種新的身份加密方案。這意味著在一個單一的邏輯步驟中可以同時實現(xiàn)兩個功能：數(shù)字簽名和密鑰加密，計算成本遠低于傳統(tǒng)的“先簽名后加密”方法。自德爾比特提出了集群加密的概念以來，這項研究受到了越來越多的關(guān)注，并被廣泛應用。同時，還有許多基于組的門限認證加密方案（簽署密碼）。為了使群體通信的門限認證加密方案具有普遍性和普遍性，王鶴2000年首次提出了一種通用和廣泛的門限認證加密方案（wcl方案）。該方案還實現(xiàn)了（t，n）門限簽名加密功能和（k，l）共享驗證功能。然而，自此以后，wcl系統(tǒng)的一些安全性已經(jīng)指出。其中，wcl系統(tǒng)不是真正的門限方案，但斯皮爾特等人指出，對無線傳感器網(wǎng)絡(luò)系統(tǒng)的攻擊和改進無效，相反，無線傳感器系統(tǒng)的安全缺陷沒有提出改進，但沒有提出改進方案。h等人的改進方案（hww方案）需要密鑰分發(fā)中心kdc參與簽名加密步驟，計算效率低。因此，為集群通信建立一種通用的門限簽字方案應該是件重要的工作。本文基于橢圓曲線離散對數(shù)困難問題(ECDLP)和Schnorr數(shù)字簽名體制,結(jié)合Zheng的簽密思想,建立了一個新的面向群組通信的通用門限簽密方案,該方案同時具有(t,n)門限簽密功能和(k,l)共享驗證功能,并克服了WCL方案的安全缺陷和HWW方案的弱點;方案在不暴露接收組的私鑰和消息m的情況下,可以通過將簽密轉(zhuǎn)換成普通簽名實現(xiàn)公開驗證功能,以揭露發(fā)送方的抵賴;另外,該方案還克服了目前一些認證加密方案在抵抗已知明文攻擊和消息猜測攻擊方面的漏洞.因此,本文所提出的方案實現(xiàn)了認證性、保密性、數(shù)據(jù)完整性和發(fā)送方的不可抵賴性.由于方案是基于橢圓曲線密碼體制建立,因而運算效率比HWW方案高得多,通信代價也較小.2密鑰分配及驗證本文提出的面向群組通信的門限簽密方案共分為四個階段:參數(shù)選擇及密鑰分配階段、(t,n)門限簽密階段、(k,l)共享驗證及消息恢復階段和公開驗證階段.2.1組gs和組gv的公鑰這一階段將利用Shamir秘密共享方案實現(xiàn)密鑰分配,并用Pedersen-VSS可驗證方法實現(xiàn)對密鑰分配中心KDC的欺詐行為檢測.在本方案中,簽密組記為GS=(S1,S2,…,Sn),驗證接收組記為GV=(V1,V2,…,Vl),設(shè)(EK(·),DK(·))是一對關(guān)于密鑰K的對稱加密/解密算法.首先KDC選擇一個單向無碰撞hash函數(shù)H(·),并在有限域Fp上選擇一條安全的橢圓曲線E(Fp)和一個階為q的基點P,q是一個大于160bit的大素數(shù);然后隨機選擇xs,xv∈Z*q分別作為組GS和組GV的私鑰,則相應的公鑰為Qs=xs·P和Qv=xv·P;最后KDC用下述方法為組GS和組GV的每個成員分配密鑰:(1)由Shamir秘密共享方案,KDC首先在Zq上分別隨機選擇次數(shù)為t-1和k-1的多項式:fs(x)=a0+a1x+…+at-1xt-1modqfv(x)=c0+c1x+…+ct-1xk-1modq其中a0=fs(0)=xs,c0=fv(0)=xv,ai,cj∈Z*q(i=1,2,…,t-1,j=1,2,…,k-1).然后計算xsi=fs(i)和Qsi=xsi·P分別作為Si的私鑰和公鑰(i=1,2,…,n),xvj=fv(j)和Qvj=xvj·P分別作為Vj的私鑰和公鑰(j=1,2,…,l).(2)KDC分別將子鑰xsi和xvj通過安全信道傳送給Si(i=1,2,…,n)和Vj(j=1,2,…,l),并把ai·P(i=1,2,…,t-1)和cj·P(j=1,2,…,k-1)分別廣播給組GS的n個成員和組GV的l個成員.最后,KDC公開參數(shù):E(Fp),P,p,q,H(·),Qs,Qv,Qsi(i=1,2,…,n),(j=1,2,…,l).根據(jù)Pedersen-VSS驗證方法,GS的每個成員Si(i=1,2,…,n)可通過等式(1)驗證KDC分配給自己的私鑰xsi的有效性:xsi·P=t-1∑j=0∑j=0t?1ij·(aj·P)(1)若等式成立,則Si收到的子密鑰xsi正確,否則出現(xiàn)KDC欺詐.同理,GV的每個成員Vj(j=1,2,…,l)也可通過類似的方法驗證自己私鑰xvj的正確性.2.2si的簽密算法本階段將實現(xiàn)由簽密組GS的t個成員對消息m∈Z*p進行門限簽密(少于t個成員無法完成簽密).假設(shè)這t個簽密成員記為S={Si}i∈A,這里A?{1,2,…,n}且|A|=t,并從S中隨機選擇一名成員作為簽密合成員.假設(shè)消息m包含足夠的冗余信息,以便接收組在恢復該消息后能進一步判斷其有效性.簽密操作利用Schnorr數(shù)字簽名方案并結(jié)合Zheng的簽密思想實現(xiàn),具體操作步驟如下:Step1:每個簽密成員Si(i∈A)隨機選取一個整數(shù)ki∈Z*p,計算Yi1=ki·P=(xi1,yi1),yi2=ki·Qv=(xi2,yi2).如果xi1=0或xi2=0,重新選擇ki.然后將Yi1,Yi2通過安全信道發(fā)送給其它簽密成員.Step2:每個簽密成員Si(i∈A)首先計算:Y1=∑i∈A∑i∈AYi1=(x1,y1),Y2=∑i∈A∑i∈Ayi2=(x2,y2)然后計算部分簽名:r=H(H(m),Qv,x1,x2),si=ki-xsi·li·rmodq其中l(wèi)i=∏j∈A,j≠i∏j∈A,j≠i-ji-jmodq?ji?jmodq.最后將部分簽名si交給簽密合成員.Step3:簽密合成員收到部分簽名si后,利用Si(i∈A)的公鑰Qsi驗證部分簽名si的有效性,其驗證等式為:Yi1=(r·limodq)·Qsi+si·P(2)若等式成立,則部分簽名si有效.如果所有的si都有效,則計算合成簽名s=∑i∈A∑i∈Asi,并用K=H(x2)作為對稱鑰加密消息m,密文為c=Ek(m).Step4:簽密合成員將簽密(c,r,s)通過公開信道發(fā)送給接收組GV.2.3隨機選擇驗證執(zhí)行員接收組GV收到簽密(c,r,s)后,由l個成員中的k個來完成簽密的驗證和消息的恢復,假設(shè)這k個驗證成員記為V={Vj}j∈B,這里B?{1,2,…,L}且|B|=k,并從這k個驗證成員中隨機選擇一名作為驗證執(zhí)行員.具體操作步驟如下:Step1:每個成員Vj(j∈B)計算Y1=r·Qs+s·P=(x1,y1),Yj2=(xvj·ljmodq)·Y1,其中l(wèi)j=∏i∈B,i≠j-ij-i.然后將Yj2交給驗證執(zhí)行員.Step2:驗證執(zhí)行員首先計算Y2=∑j∈BYj2=(x2,y2),然后用密鑰K=H(x2)恢復消息m=DK(c),最后驗證等式r=H(H(m),Qv,x1,x2)是否成立,.如果等式成立,則簽密通過驗證,并進一步從m的冗余信息驗證消息的有效性.2.4接收組gv的成立如果后來簽密組GS否認其對消息m的簽密,則可通過以下操作進行公開驗證,以證明GS的欺騙:Step1:接收組GV首先將簽密(c,r,s)轉(zhuǎn)換成普通簽名(m,r,s),然后將(H(m),r,s)和x2交給第三方驗證.Step2:第三方先求出r·Qs+s·P=(x1,y1),然后驗證等式r=H(H(m),Qv,x1,x2)是否成立.如果等式成立,則確信簽密是發(fā)送給GV的,因為r中包含接收組GV的公鑰Qv.2.5gs的簽名和認證定理1在(t,n)門限簽密階段,部分簽名si的有效性可通過式(2)得以驗證.證明:若簽密成員Si(i∈A)沒有欺詐行為,則有(r·limodq)·Qsi+si·P=(r·limodq)·Qsi+((ki-xsi·li·r)modq)=(r·limodq)·Qsi+ki·P-(r·limodq)·(xsi·P)=ki·P=Yi1即式(2)成立,證畢.定理2若簽密組GS能嚴格遵循簽密步驟,則指定接收組GV的k個誠實成員就能正確恢復消息m并進行有效性驗證;第三方也能夠正確對簽密進行公開驗證.證明:若簽密組GS能嚴格遵循簽密步驟,就有r·Qs+s·P=r·(xs·P)+∑i∈ASi·P=r?xs?Ρ+(∑i∈A(ki-xsi?li?r)modq)?Ρ=r?xs?Ρ+∑i∈Aki?Ρ-(∑i∈Axsi?limodq)?r?Ρ,由Lagrange插值多項式性質(zhì)有:∑i∈Axsi·limodq=∑i∈Afs(i)·∏j∈A,j≠i-jj-imodq=fs(0)=xs,所以有r·Qs+s·P=∑i∈Aki·P=∑i∈AYi1.又因為∑j∈BYj2=(∑j∈Bxvj?ljmodq)?Y1,由Lagrange插值多項式有:∑j∈Bxvj·ljmodq=∑j∈Bfv(j)·∏i∈B,i≠j-ij-imodq=fv(0)=xv則∑j∈BYj2=xv·Y1=xv·∑i∈Aki·P=∑i∈Aki·Qv=∑i∈AYi2.這樣指定接收組GV的k個誠實成員就能正確求出x1和x2,從而可以用密鑰K=H(x2)正確恢復消息m=DK(c),并能正確通過等式r=H(H(m),Qv,x1,x2)進行有效性驗證,第三方也能正確通過該等式進行公開驗證,證畢.2.6安全分析(1)第二,安全問題的解決文獻指出在WCL方案中,存在攻擊者能夠求出簽名組的私鑰和會話鑰的安全缺陷,而文獻指出了WCL方案存在當攻擊者知道一組有效簽密后就能夠恢復其它消息的缺陷(已知明文攻擊).我們的方案克服了這些缺陷,首先若攻擊者要從公開的信息求出簽密方或接收方的私鑰,它必須面對ECDLP;其次我們方案采用的對稱加密方法可以防止已知明文攻擊,而攻擊者要求出對稱鑰K=H(x2),他必須要知道ki(i∈A)或驗證參與者的私鑰xvj(j∈B).(2)s,kiiaa攻擊者要偽造簽名(r,s)是不可能的,首先他若要從等式s=k-xs·rmodq(其中k=∑i∈Aki)偽造(r,s),他必須要知道簽密組的私鑰xs和ki(i∈A);其次,若要從等式r·Qs+s·P=k·P偽造(r,s),他只能先偽造(k,r)或(k,s),然后求出s或r,這都需要面對ECDLP.同樣接收組要偽造簽名(H(m),r,s)欺騙第三方的公開驗證也是不可能的,他需先偽造(x1,y1),然后求出(x2,y2)=xv·(x1,y1),再從驗證等式中求出r=H(H(m),Qv,x1,x2),最后從等式r·Qs+s·P=(x1,y1)求出s,這時他就必須求解ECDLP.(3)qv的公開驗證如果簽密組否認其簽密,接收方可以將簽密(c,r,s)轉(zhuǎn)換成普通簽名(H(m),r,s)交給第三方驗證.由于驗證等式r=H(H(m),Qv,x1,x2)包含指定接收方的公鑰Qv,所以任何其他第三人都不能宣稱自己是合法的接收者.同樣,由于簽名(r,s)包含簽密組的私鑰xs,簽密組也不能否認她對m的簽密.這種公開驗證方法不會暴露接收組的私鑰和消息m,也不需要發(fā)送方的合作.(4)認證加密方案的攻擊的預防語義安全(semanticsecurity)是指攻擊者不能確定它所猜測的消息是否為原始簽名者所簽的實際消息,即具有消息的不可分辨性(indistinguishability),這種猜測即使在攻擊者知道了簽名的情況下也不能成功.但是目前的一些認證加密方案普遍存在不能抵抗這種猜測攻擊的弱點:如果攻擊者截獲了一組有效簽名(r,s),他就可以利用驗證等式猜測所發(fā)送的消息,對于明文空間較小的情況,這種攻擊是有效的.我們的方案可以防止這種消息猜測的攻擊,攻擊者要從驗證等式r=H(H(m),Qv,x1,x2)猜測所發(fā)送的消息m是否為簽名者所簽的實際消息是不可能的,因為他不知道x2,而要求出x2,必須要知道k=∑i∈Aki或接收方的私鑰xv.(5)密鑰映射試驗在子密鑰分配階段,簽密組成員可以通過式(1)驗證KDC分配給自己密鑰的正確性,接收組成員也可用類似的方法驗證所得到密鑰的正確性.(6)部分簽署的有效證書在簽密階段,簽密合成員可以通過式(2)驗證部分簽名的有效性,以檢測簽密成員的惡意欺詐.(7)門限方案的安全性由于方案是基于Shamir秘密共享方案建立,因此在簽密階段和驗證階段都具有門限方案的安全性:任意少于t個合法簽密者無法得到有效的簽密,任意少于k個合法的驗證者無法合謀進行簽密驗證和恢復消息.另外,為了避免消息重放,可在消息m中增加足夠的冗余信息,用于進一步檢驗消息的有效性.2.7參數(shù)設(shè)計和方案比較由于WCL方案和Tseng等的方案存在安全漏洞,因此這里只將本文方案與HWW方案的效率進行比較.HWW方案是基于DLP建立,其最為耗時的運算是冪模運算,用Te表示,我們的方案是基于ECDLP建立,其最耗時的運算是點乘運算,用Tp表示.假設(shè)取|p|=1024bit,|q|=160bit,文獻指出Tp的速度大約比Te快8倍.表1給出了本文方案與HHW方案的通信代價和計算代價的比較分析.從表1可以看出,HWW方案的簽密長度比本文方案短些,但從簽密成員之間、簽密成員與簽密合成員之間和驗證成員與驗證執(zhí)行員之間的總通信代價來看,本文方案的通信代價更小,而且還可以通過對橢圓曲線點進行壓縮以進一步降低通信量.對于運算復雜度,本文方案的運算效率比HWW方案高得多.HWW方案除了計算代價太大的缺點之外,還有一個弱點:每次簽密的產(chǎn)生都需要KDC參加,在每次簽密時,KDC都需要重新選擇會話多項式,并將會話私鑰通過安全通道發(fā)送給簽密參與者,同時向接收組廣播會話公鑰.而本文的方案在系統(tǒng)參數(shù)產(chǎn)生后,就不再需要KDC的參與.3通用門限編碼認證算法設(shè)計目前大多數(shù)面向群組的簽密方案都是(t,n)門限簽密功能