武旭升

(西南大學(xué)數(shù)學(xué)與統(tǒng)計(jì)學(xué)院， 重慶　北碚　400715)

?

基于DLP的自認(rèn)證簽密方案探討

武旭升

(西南大學(xué)數(shù)學(xué)與統(tǒng)計(jì)學(xué)院， 重慶北碚400715)

文章基于離散對數(shù)提出一種新的自認(rèn)證簽密方案，在有限域上離散對數(shù)問題的困難性假設(shè)下，新構(gòu)造的方案被證明是安全的.該方案還具有保密性、不可偽造性、公開驗(yàn)證性、不可否認(rèn)性和前向安全性等安全屬性.本方案消除了證書管理和秘鑰托管的安全問題且效率較高，易于實(shí)現(xiàn).

自認(rèn)證；簽密；有限域上離散對數(shù)問題DLP；可公開驗(yàn)證

信息安全研究的主要目標(biāo)是使消息保密又可以認(rèn)證傳輸.傳統(tǒng)方法“先簽名后加密”所需的代價(jià)是簽名和加密兩部分代價(jià)之和，效率也較低.Zheng于1997年第一次提出簽密的具體概念[1].簽密能夠在一個合理的邏輯步驟內(nèi)同時(shí)完成數(shù)字簽名和公鑰加密兩項(xiàng)功能，提高了效率，在計(jì)算量和通信成本方面都要比傳統(tǒng)的“先簽名后加密”降低很多，因而可以把簽密看作是一種較為理想且安全的傳輸消息的方法.1984年，Shamir首次提出基于身份的密碼體制[2].在該密碼體制中，用戶公鑰是相應(yīng)身份信息，而對應(yīng)私鑰則是由一可信方產(chǎn)生，稱其為私鑰生成中心(PKG).但依舊存在秘鑰托管問題.1991年，Girault M首次建立自認(rèn)證簽密體制[3].自認(rèn)證簽密體制不僅解決了傳統(tǒng)的“先簽名后加密”問題，而且解決了公鑰密碼系統(tǒng)中的證書托管問題和基于身份的密碼體制中的密鑰托管問題.

在已有研究[4-7]和有限域上離散對數(shù)問題的難解性下，本文提出一種不依賴于橢圓曲線和雙線性對的新的自認(rèn)證簽密方案.

1　相關(guān)困難問題

離散對數(shù)DL問題[8].設(shè)乘法群G,一個n階元素g∈G,β是在乘法群G下以g為生成元的任意一個元素，即β∈.找到唯一的整數(shù)a，0≤a≤n-1，滿足ga=β，記a為loggβ，a即為β的離散對數(shù).

2　一種基于離散對數(shù)的自認(rèn)證簽密方案

本文提出一種基于離散對數(shù)的自認(rèn)證簽密方案，具體如下：

(3)PKG計(jì)算Qu=H1(yu)和xu=gxQumodq，并將(Qu,xu)發(fā)送給用戶u.

(4)用戶u可以通過方程yQu=xumodq驗(yàn)證xu的合法性，如果等式成立，進(jìn)行以下步驟.

(5)私鑰生成(Private Key Extract)：用戶u通過計(jì)算Su=ru+xH1(xu)生成私鑰Su.

(6)簽密(Sign Crypt)：當(dāng)Alice要發(fā)送消息m給Bob時(shí)，Alice執(zhí)行以下操作：

②計(jì)算V=(yByH1(yQB))kmodq；

③計(jì)算c=H3(V)⊕m；

④計(jì)算S=g-kH1(gSA)H2(m,R)modq；

⑤發(fā)送消息σ=(R,c,S).

(7)解密驗(yàn)證(Unsign Crypt)：收到密文σ后，Bob執(zhí)行以下操作：

①計(jì)算V=RSBmodq；

②恢復(fù)消息m=c⊕H3(V)；

③RS=H1(yAyH1(yQA))H2(m,R)modq成立，則Bob接收消息m；否則Bob不接收m.

(8)消息正確性：

V=(yByH1(yQB))kmodq=(grBgxH1(xB))kmod

=gk[rB+xH1(xB)]modq=RrB+xH1(xB)modq=RSBmodq，

RS=gkg-kH1(gSA)H2(m,R)modq

=H1(gSA)H2(m,R)modq

=H1(grA+xH1(xA))H2(m,R)modq

=H1(grAgxH1(xA))H2(m,R)modq

=H1(yAyH1(xA))H2(m,R)modq

=H1(yAyH1(yQA))H2(m,R)modq

3　安全概念和安全性分析

3.1安全概念

一個基于離散對數(shù)問題的自認(rèn)證簽密方案需要具有以下安全屬性：(1) 消息保密性：攻擊者Oscar要想從已知的簽密密文中獲取任何明文信息在計(jì)算上是不可行的.(2) 密文不可偽造性：攻擊者Oscar通過已知信息產(chǎn)生一個合法的簽密密文在計(jì)算上是不可行的.(3) 第三方公開驗(yàn)證性：任何第三方在獲取密文之后通過利用系統(tǒng)公開參數(shù)和簽密方Alice的公鑰驗(yàn)證等式來證明這個密文是否由Alice所簽，并且驗(yàn)證者不能獲得除該密文之外簽密者Alice和接受者Bob更多的信息.(4)不可否認(rèn)性：簽密者Alice不能否認(rèn)她之前簽密過的消息.(5)前向安全性：如果簽密者Alice的私鑰被意外泄露或偷走，第三方也不能恢復(fù)出她已經(jīng)簽密消息的明文.

3.2安全性分析

定理1在有限域上離散對數(shù)問題的難解性下，除簽密者Alice和密文接收者Bob外，第三方Oscar不能從密文(R,c,S)中提取出消息m，則本文方案具有消息的保密性.

證明假設(shè)攻擊者Oscar已成功竊取Alice向Bob發(fā)送的已知消息m的一組密文(R,c,S)，要想通過m=c⊕H3(V)恢復(fù)消息m，則必須知道V.攻擊者只能通過R=gkmodq計(jì)算出k，再通過V=(yByH1(yQB))kmodq得到V.但從R=gkmodq中得出k相當(dāng)于解決一個有限域上的離散對數(shù)問題，幾乎是不可行的.Oscar不可能通過已獲得的密文中得到明文消息m.

定理2在有限域上離散對數(shù)問題和單項(xiàng)散列函數(shù)求逆問題的困難性下，任何內(nèi)部攻擊者和外部攻擊者都不可能偽造一個來自簽密者Alice的關(guān)于某個消息的簽密密文.本方案滿足不可偽造性.

證明分內(nèi)部攻擊者Bob和外部攻擊者兩種情況.假定Bob試圖通過R=gkmodq求出k之后偽造簽密，相當(dāng)于解決有限域上的離散對數(shù)問題，幾乎是不可行的.

對于外部攻擊者，在有限域上求解離散對數(shù)問題和單項(xiàng)散列函數(shù)的求逆問題是很困難的，想要通過等式RS=H1(yAyH1(yQA))H2(m,R)modq求出m，進(jìn)而去偽造密文是不可行的.

定理3本方案具有公開驗(yàn)證性.

證明只需提交(R,c,S)給第三方驗(yàn)證者，驗(yàn)證者只需通過驗(yàn)證RS=H1(yAyH1(yQA))H2(m,R)modq是否是成立的.在驗(yàn)證的整個過程中并不需要Bob的私鑰SB，同時(shí)也不用得到m，因此在取得保密性的基礎(chǔ)上，第三方可以公開驗(yàn)證.

定理4本方案滿足不可否認(rèn)性.

證明只有簽密者Alice才能聲稱密文(R,c,S)的有效性，任何第三方利用RS=H1(yAyH1(yQA))H2(m,R)modq來驗(yàn)證(R,S)是否是m的有效密文.因此，Bob 在不泄露其私鑰SB的條件下，只要把密文(R,c,S)給第三方驗(yàn)證者就能夠在滿足公開驗(yàn)證性的基礎(chǔ)上實(shí)現(xiàn)消息的不可否認(rèn)性.

定理5在有限域上離散對數(shù)問題的難解性下本方案滿足前向安全性.

證明假設(shè)在傳輸消息的過程中，第三方可以得到密文(R,c,S).若第三方知道Alice的私鑰SA，但由于他不知道接收者Bob的私鑰SB，從而不可能通過V=RSBmodq計(jì)算出V.第三方只能通過V=(yByH1(yQB))kmodq來計(jì)算V ，但必須先通過R=gkmodq計(jì)算出k，才可求出V，這是不可行的.因?yàn)閺腞=gkmodq中求得k相當(dāng)于求解有限域上的離散對數(shù)問題.

4　結(jié)語

簽密技術(shù)和自認(rèn)證公鑰技術(shù)是密碼學(xué)中的兩種新的密碼技術(shù).簽密能在一個邏輯步驟內(nèi)同時(shí)完成數(shù)字簽名和加密兩項(xiàng)功能.自認(rèn)證簽密技術(shù)使得用戶的公鑰無需被單獨(dú)認(rèn)證，而且用戶的私鑰由用戶自己獨(dú)立完成，PKG無法假冒用戶，消除了密鑰托管問題.本文提出一種不依賴于橢圓曲線和雙線性對的新的自認(rèn)證簽密方案.該方案是安全的,而且具有消息的保密性、密文的不可偽造性、密文的公開驗(yàn)證性、不可否認(rèn)性以及前向安全性等安全屬性.本方案不僅不存在密鑰托管問題，而且不需要使用任何公鑰證書，即消除了證書存在問題，節(jié)省了大量的存儲空間，相應(yīng)的系統(tǒng)運(yùn)行效率也隨之提高，降低了系統(tǒng)的復(fù)雜性且易于實(shí)現(xiàn).

[1]ZHENG Y. Digital signcryption or how to achieve cost (signature & encryption) cost (signature)+cost (encryption)[G]. Springer- Verlag, 1997:165-179.

[2]SHAMIR A. Identity-based cryptosystems and signature schemes [M]. Springer Berlin Heidelberg, 1984:47-53.

[3]GIRAULT M. Self-certified public keys[G]. Springer-Verlag, 1991:490-497.

[4]BAO F, DENG R H. A signcryption scheme with signature directly verifiable by public key[M]. Springer Berlin Heidelberg, 1998:55-59.

[5]CHANG Y S, WU T C, HUANG S C. Elgamal -like digital signature and multisignature schemes using self-certified public keys[J]. Journal of Systems and Software, 2000, 50(2):99-105.

[6]HSU C L, WU T S. Self-certified threshold proxy signature schemes with message recovery, nonrepudiation and traceability [J].Applied Mathematics and Computation, 2005, 164(1):201-225.

[7]CHANG Y F, CHANG C C, HUANG H F. Digital signature with message recovery using self-certified public keys without trustworthy system authority [J].Applied Mathematics and Computation,2005, 161(1):211-227.

[8]YU Y， MU Y, WANG G L, et al. Improved certificateless signature scheme provably secure in the standard model [J].IET Information Security, 2012, 6(2): 102-110.

(責(zé)任編輯穆剛)

Self-certified signcryption scheme based on DLP

WU Xusheng

(School of Mathematics and Statistics, Southwest University, Beibei Chongqing 400715, China)

In this paper, the author presented a new self-certified signcryption scheme based on the discrete logarithm problem, and the security analysis of the proposed scheme in the implementation plan with the random oracle model is presented in this paper. The proposed scheme has the security properties of confidentiality, non-forgeability, publicly verifiability, nonrepudiation and perfect forward security, etc. The scheme overcomes certificate management problem and key escrow problem. Moreover, it has high efficiency and is convenient to implement.

self-certified; signcryption; discrete logarithm problem (DLP); public verifiability

2016-04-06

武旭升(1990—)，女，山西長治人，碩士研究生，主要從事編碼理論、密碼學(xué)方面的研究．

TP309

A

1673-8004(2016)05-0105-03