張永潔 張玉磊 王彩芬

1(甘肅衛(wèi)生職業(yè)學(xué)院 甘肅 蘭州 730000) 2(西北師范大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院 甘肅 蘭州 730070)

?

聚合簽名方案的安全性分析與改進(jìn)

張永潔1張玉磊2王彩芬2

1(甘肅衛(wèi)生職業(yè)學(xué)院 甘肅 蘭州 730000)2(西北師范大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院 甘肅 蘭州 730070)

聚合簽名可以降低簽名的驗(yàn)證開銷和簽名的長度。分析三個無證書聚合簽名方案的安全性，指出它們不能抵抗無證書公鑰密碼系統(tǒng)的一般用戶公鑰替換攻擊和惡意密鑰生成中心KGC偽造攻擊。其中，Chen方案和喻方案既不能抵抗公鑰替換攻擊，也不能抵抗KGC被動攻擊；張方案不能抵抗KGC主動攻擊。通過具體的攻擊算法和原因分析，證明該類方案不安全。對張方案進(jìn)行改進(jìn)，改進(jìn)的方案增強(qiáng)了原方案的安全性。

無證書公鑰密碼 聚合簽名 密鑰生成中心 被動攻擊 主動攻擊

0 引 言

聚合簽名[1]能夠把多個同類簽名聚合轉(zhuǎn)換成單個簽名，實(shí)現(xiàn)對多個用戶身份的驗(yàn)證。聚合簽名技術(shù)能夠降低簽名的驗(yàn)證計(jì)算量，縮短簽名的長度[2-3]。

2001年，Al-Riyami等[4]提出無證書公鑰密碼體制。無證書公鑰密碼體制中，用戶的私鑰由部分私鑰和秘密值組成。這樣，可以克服身份公鑰密碼體制[5]的密鑰托管問題，簡化傳統(tǒng)公鑰密碼的證書管理問題。基于無證書公鑰密碼的優(yōu)勢，研究者們對無證書密碼方案進(jìn)行了一定的研究[6-8]。

2007年，Gong等[9]提出無證書聚合簽名安全模型。2010年，Zhang等[10]完善了無證書聚合簽名方案的安全模型。自此，研究者對該類簽名進(jìn)行了相關(guān)研究[11-18]。

無證書聚合簽名包含AI和AII兩類攻擊者[9]。AI表現(xiàn)為一般用戶，它不能獲得系統(tǒng)主密鑰，但可以實(shí)現(xiàn)公鑰替換攻擊；AII表現(xiàn)為惡意KGC，它能夠利用系統(tǒng)主密鑰計(jì)算用戶的部分私鑰。惡意KGC攻擊分為KGC被動攻擊和KGC主動攻擊[15]。KGC被動攻擊是指KGC能夠利用部分私鑰進(jìn)行簽名偽造，KGC主動攻擊是指KGC在系統(tǒng)建立過程中選擇有利的特殊系統(tǒng)參數(shù)。

分析Chen、喻琇瑛和張玉磊等人分別提出的無證書聚合簽名方案[12-14]的安全性，指出前兩個方案存在KGC攻擊和一般用戶公鑰替換攻擊，張方案存在KGC主動攻擊。針對三個方案，分別構(gòu)造了攻擊算法，證明以上三個方案不安全，可以實(shí)現(xiàn)偽造攻擊。對張方案進(jìn)行改進(jìn)。改進(jìn)方案增強(qiáng)了原方案的安全性?；贑DH困難問題，證明改進(jìn)方案滿足不可偽造性。

限于篇幅，略去對數(shù)學(xué)困難、雙線性對、無證書聚合簽名方案及安全模型的描述。

1 Chen方案安全性分析

首先回顧C(jī)hen方案[12]，然后描述具體的攻擊過程并分析方案存在攻擊的原因。

1.1 Chen具體方案

Chen方案主要包括以下算法。

(2) 部分私鑰生成算法：KGC計(jì)算部分私鑰Si=sQi。

(4) 簽名算法：用戶輸入公鑰Xi、私鑰(xi,Si)、消息mi和狀態(tài)信息Δ，執(zhí)行以下過程，其中1≤i≤n。

② 計(jì)算wi=H3(mi,Δ,IDi,Xi,Ri)，Vi=Si+wirixiD。

③ 輸出消息mi的簽名σi=(Ri,Vi)。

(6) 聚合簽名驗(yàn)證算法：輸入用戶身份IDi、公鑰Xi、聚合簽名σ=(R1,R2,…,Rn,V)、消息mi及狀態(tài)信息Δ，執(zhí)行以下過程，其中，1≤i≤n。

① 計(jì)算wi=H3(mi,Δ,IDi,Xi,Ri)，Qi=H1(IDi)，1≤i≤n。

1.2 Chen方案安全性分析

1.2.1 KGC被動攻擊

當(dāng)KGC獲得用戶對mi的簽名σi=(Ri,Vi)時(shí)，可以通過以下過程實(shí)現(xiàn)對新消息m′的簽名偽造。

(2) 偽造消息m′簽名。通過以下步驟偽造簽名：

② 輸出消息m′的偽造簽名σi=(Ri′,Vi′)。

(3) 驗(yàn)證簽名σi=(Ri′,Vi′)的有效性。

由于以下驗(yàn)證等式成立，因此，簽名σi=(Ri′,Vi′)有效，KGC被動攻擊成功。

e(P,Vi′)=e(P,Si+tiwi′(rixiD))=

e(Ppub,Qi)e(xiP,wi′tiriD)=

e(Ppub,Qi)e(Xi,wi′Ri′)=

e(Ppub,Qi)e(wi′Ri′,Xi)

由于

驗(yàn)證等式成立，偽造的聚合簽名有效，KGC被動攻擊成功。

1.2.2 一般用戶公鑰替換攻擊

AI類攻擊者可以通過以下過程實(shí)現(xiàn)替換用戶公鑰實(shí)現(xiàn)，并通過獲得的簽名能夠獲得用戶的部分私鑰，進(jìn)而可以進(jìn)行簽名的偽造。

(4) 攻擊者利用部分私鑰和替換用戶公鑰的秘密值可以正常執(zhí)行簽名算法，進(jìn)行各類簽名偽造。

1.2.3 原因分析

Chen方案不安全的主要原因表現(xiàn)在兩個方面：

①AII類攻擊者獲得用戶對mi的簽名σi=(Ri,Vi)后，能夠通過Vi、wi和Si=sQi計(jì)算表達(dá)式Vi=Si+wirixiD中的固定值rixiD，(其中D=H2(Δ)∈G1為固定值)。然后，KGC利用rixiD、Ri和Si成功偽造簽名。

② 當(dāng)AI類攻擊者替換目標(biāo)用戶的公鑰以后，可以選擇新消息并提交給簽名預(yù)言機(jī)，利用獲得的簽名σi=(Ri,Vi)可以計(jì)算出用戶的部分私鑰。一旦AI類攻擊者獲得用戶的部分私鑰，那么她可以代替用戶實(shí)現(xiàn)各種密碼學(xué)操作(包括簽名的偽造)。

2 喻方案安全性分析

2016年，胡等[16]指出喻方案[13]存在AI類一般用戶公鑰替換攻擊。經(jīng)過分析，喻方案同時(shí)存在AII類KGC被動攻擊。首先回顧喻方案，然后證明該方案存在AII類KGC被動攻擊并分析原因。

2.1 喻方案

(1) 簽名算法：用戶輸入身份IDi、公鑰pkIDi=xiP、私鑰(xi,dIDi=sQi)和消息mi，執(zhí)行以下過程。

① 計(jì)算W=H2(P,Ppub)，hi=H3(mi,IDi,pkIDi)。

(2) 聚合簽名算法：輸入簽名σi=(Ui,Vi)后，執(zhí)行以下過程，其中，1≤i≤n。

① 計(jì)算hi=H3(mi,IDi,pkIDi)，W=H2(P,Ppub)。

② 驗(yàn)證e(P,Vi)=e(Ppub,Ui+hiQi)e(hipkIDi,W)等式是否成立。若成立，則接受簽名σi。

(3) 聚合簽名驗(yàn)證算法：驗(yàn)證者輸入用戶公鑰pkIDi、消息mi，以及聚合簽名σ=(U,V)，執(zhí)行以下過程。

① 計(jì)算Qi=H1(IDi)，hi=H3(mi,IDi,pkIDi)和W=H2(P,Ppub)，其中，1≤i≤n。

② 驗(yàn)證等式是否成立

2.2 喻方案安全性分析

2.2.1 KGC被動攻擊

當(dāng)KGC獲得用戶對mi的簽名δi=(Ui,σi=(Vi,Ri)時(shí)，可以通過以下過程實(shí)現(xiàn)對新消息的簽名偽造。

(2) 偽造消息m′的簽名。任意選擇Ui′∈G1，計(jì)算hi′=H3(m′,IDi,pkIDi),Vi′=sUi′+hi′(dIDi+xiW)，輸出偽造的簽名σi=(Ui′,Vi′)。

(3) 驗(yàn)證簽名σi=(Ui′,Vi′)的有效性。由于

e(P,Vi′)=e(P,sUi′+hi′(dIDi+xiW))=

e(P,sUi′)e(P,hi′(dIDi+xiW))=

e(Ppub,Ui′+hi′Qi,)e(hi′pkIDi,W)

成立，因此，驗(yàn)證等式成立，KGC被動攻擊成功。

由于

驗(yàn)證等式成立，偽造的聚合簽名有效，KGC攻擊成功。

2.2.2 原因分析

3 張方案安全性分析

3.1 張方案

(1) 簽名算法：輸入身份IDi、公鑰Pi=xiP、私鑰(xi,Di=sQi)和消息mi，執(zhí)行以下過程。

② 計(jì)算Vi=Di+hiriT+xiQ，輸出消息mi對應(yīng)的簽名σi=(Ui,Vi)。

3.2 張方案安全性分析

張方案中若KGC在“系統(tǒng)建立算法”中選擇特殊的生成元Q=tP，則KGC很容易計(jì)算簽名表達(dá)式Vi=Di+hiriT+xiQ中的固定值xiQ。即使KGC不了解用戶的秘密值xi，也可以扮演合法用戶對任意消息偽造簽名。具體攻擊過程如下：

(2) 計(jì)算固定值。KGC計(jì)算xiQ=xitP=tPi。

(3) 偽造簽名并驗(yàn)證。由于KGC了解部分私鑰，固定值xiQ，因此，它可以計(jì)算任意消息的簽名。

張方案的聚合簽名驗(yàn)證等式中，由于沒有出現(xiàn)消息(m1,m2,…,mn)，因此，即使聚合驗(yàn)證等式成立也無法保證簽名σ=(U,V)是用戶(u1,u2,…,un)對消息(m1,m2,…,mn)簽名的聚合，所以，張方案的聚合簽名構(gòu)造無效。

4 改進(jìn)的無證書聚合簽名方案

4.1 具體的改進(jìn)方案

為了提升張方案的安全性，克服KGC主動攻擊，本文提出一個改進(jìn)的無證書聚合簽名方案。具體方案如下：

(2) 部分私鑰生成算法和用戶密鑰生成算法與原方案相同。其中，Qi=H1(IDi)，用戶完整私鑰和公鑰分別為(xi,Si=sQi)和Pi=xiP。

(3) 簽名算法：

② 計(jì)算T=H2(Ppub)，W=H3(Ppub)，Vi=Di+riT+hixiW，輸出消息mi的簽名σi=(Ui,Vi)。

(5) 聚合簽名驗(yàn)證算法：

① 計(jì)算hi=H0(mi,IDi,Pi,Ui)，Qi=H1(IDi)和T=H2(Ppub)，W=H3(Ppub)。

4.2 改進(jìn)方案的安全性證明

定理1如果敵手AI以不可忽略的概率實(shí)現(xiàn)簽名偽造，必定存在算法可以輸出CDH困難問題的解。改進(jìn)方案針對AI類攻擊的不可偽造性證明過程與原方案相似，限于篇幅，略去該部分。以下證明改進(jìn)方案針對AII類攻擊的不可偽造性。

定理2如果敵手AII以不可忽略的概率實(shí)現(xiàn)簽名偽造，必定存在算法B可以輸出CDH困難問題的解。

證明：挑戰(zhàn)者B輸入(P,aP,bP)，令Ppub=sP，系統(tǒng)參數(shù)為{G1,G2,e,P,Ppub,H0,H1,H2,H3}，發(fā)送系統(tǒng)參數(shù)和s給AII。

B通過列表L0～L3和L保存H0～H3預(yù)言機(jī)詢問、公鑰詢問和秘密值詢問過程中產(chǎn)生的數(shù)據(jù)。AII執(zhí)行以下詢問。

(2)H2詢問：B保持列表，若L2表存在詢問項(xiàng)則直接返回Ti；否則，B選擇并計(jì)算，增加到L2表并返回Ti。

(4) 秘密值詢問：AII詢問IDi秘密值時(shí)，B查L表，若存在對應(yīng)IDi則直接返回，否則B執(zhí)行“公鑰詢問”得到(IDi,xi,Pi,ci)。若ci=1，則終止；否則ci=0，B返回xi給AII。

因此，改進(jìn)方案能夠抵抗AII惡意KGC的攻擊。

5 結(jié) 語

分析Chen方案、喻方案和張方案的安全性，指出它們存在一般用戶公鑰替換攻擊和KGC偽造攻擊。通過構(gòu)造的攻擊算法，證明Chen方案和喻方案無法抵抗公鑰替換攻擊和KGC被動攻擊，張方案無法抵抗KGC主動攻擊。最后，對張方案進(jìn)行改進(jìn)。改進(jìn)方案不僅具有與原方案相同的計(jì)算效率，同時(shí)，改進(jìn)的方案增強(qiáng)了原方案的安全性，可以抵抗AII攻擊。設(shè)計(jì)無證書聚合簽名方案時(shí)，不僅要考慮方案的計(jì)算效率，更要重視方案的安全性。

[1] Boneh D,Gentry C,Lynn B,et al.Aggregate and verifiably encrypted signatures from bilinear maps[C]//Proceedings of EUROCRYPT’03,Berlin,Springer-Verlag,2003:416-432.

[2] Chen C M,Lin Y H,Lin Y C,et al.RCDA:recoverable concealed data aggregation for data integrity in wireless sensor networks[J].IEEE Transactions on Parallel and Distributed Systems,2012,23(4):727-734.

[3] Xiong Hu,Wu Q H,Chen Z.An efficient provably secure certificateless aggregate signature applicable to mobile computation[J].Control and Cybernetics,2012,41(2):373-391.

[4] Al-riyami S S,Paterson K.Certificateless Public Key Cryptography[C]//Proceedings of the ASIACRYPT2003.Berlin,Germany:Springer-Verlag,2003:452-473.

[5] Shamir A.Identity-based cryptosystems and signature schemes[C]//Proceedings of the CRYPTO1984.Berlin,Springer,1985:47-53.

[6] Shen L,Zhang F,Sun Y.Efficient revocable certificateless encryption secure in the standard model[J].The Computer Journal,2014,57(4):592-601.

[7] 周彥偉,楊波,張文政.高效可證安全的無證書聚合簽名方案[J].軟件學(xué)報(bào),2015,26(12):3204-3214.

[8] 孫銀霞,張福泰,沈麗敏.抗簽名密鑰泄露的可撤銷無證書簽名[J].軟件學(xué)報(bào),2015,26(12):3196-3203.

[9] Gong Z,Long Y,Hong X,et al.Two certificateless aggregate signatures from bilinear maps[C]//Proceeding of the SNPD 2007.IEEE Computer Society,2007:188-193.

[10] Zhang Lei,Qin Bo,Wu Qianhong,et al.Efficient many-to-one authentication with certificateless aggregate Signatures[J].Computer Networks,2010,54(14):2482-2491.

[11] 杜紅珍,黃梅娟,溫巧燕.高效的可證明安全的無證書聚合簽名方案[J].電子學(xué)報(bào),2013,41(1):72-76.

[12] Chen Yu-Chi,Horng Gwoboa,Liu Chao-Liang,et al.Efficient Certificateless Aggregate Signature Scheme[J].Journal of Electronic Science and Te6chnology,2012,10(3):209-214.

[13] 喻琇瑛,何大可.一種新的無證書聚合簽名[J].計(jì)算機(jī)應(yīng)用研究,2014,31(8):2485-2487.

[14] 張玉磊,周冬瑞,李臣意,等.高效的無證書廣義指定驗(yàn)證者聚合簽名方案[J].通信學(xué)報(bào),2015,36(2):1-8.

[15] Au M,Mu Y,Chen J,et al.Malicious KGC attack in certificateless cryptography[C]//Proceeding of the ASIACCS2007.NewYork,ACM Press,2007:302-311.

[16] 胡江紅,杜紅珍,張建中.兩類無證書聚合簽名方案的分析與改進(jìn)[J].山東大學(xué)學(xué)報(bào)(理學(xué)版),2016,51(7):107-114.

SECURITYANALYSISANDIMPROVEMENTOFAGGREGATESIGNATURESCHEMES

Zhang Yongjie1Zhang Yulei2Wang Caifen2
1(GansuHealthVocationalCollege,Lanzhou730000,Gansu,China)2(CollegeofComputerScienceandEngineering,NorthwestNormalUniversity,Lanzhou730070,Gansu,China)

Aggregate signature can reduce the cost of signature verification and the length of the signature. First, we analyzed security of three certificateless aggregation signatures. We allowed certificateless public key cryptosystems to attack them. These attacks: general user public key replacement attack and malicious key generation center KGC forged attack. And Chen program and Yu scheme cannot resist the public key to replace the attack, nor resistance to KGC passive attack. Zhang program cannot resist KGC active attack. Through the specific attack algorithm and cause analysis, proved that the program is not safe. We improved the Zhang’s scheme to strengthen the security compared with the original program.

Certificate less public key cryptography Aggregate signature Key generation center Passive attack Initiative attack

2016-09-02。國家自然科學(xué)基金項(xiàng)目(61163038)；甘肅省高等學(xué)?？蒲许?xiàng)目(2015B-220，2013A-014)。張永潔，副教授，主研領(lǐng)域：信息安全。張玉磊，副教授。王彩芬，教授。

TP309

A

10.3969/j.issn.1000-386x.2017.08.055