劉曉紅

(運城學院 數(shù)學與信息技術學院，山西 運城 044000)

1982年CHAUM首次提出了基于RSA的盲簽名概念[1],可以用來保護簽名者的隱私，是一種特殊的數(shù)字簽名方案。在此之后各種基于因子分解問題、離散對數(shù)問題、二次剩余問題、雙線性對問題以及各種具有特殊性質的指定驗證者的盲簽名方案、具有消息恢復功能的盲簽名方案、代理盲簽名方案等相繼被提出[2-4]。盲簽名就是指簽名人在真實消息被盲化后對其進行的簽名,并且消息脫盲公布后不能追蹤到此消息。盲簽名方案除了具備普通數(shù)字簽名方案的性質之外,還有其特有的性質,如盲性與不可鏈接性。由于這兩大特性,使得盲簽名方案被廣泛應用于各種電子貨幣,電子投票，電子拍賣及電子現(xiàn)金系統(tǒng)中。

1994年CAMENISH et al首次提出了基于離散對數(shù)的盲簽名方案[5]。1995年HARN對其進行了安全性分析[6],發(fā)現(xiàn)其不滿足盲簽名方案的不可鏈接性。針對文獻[6]提出的攻擊,2005年LEE et al提出了一種改進的方案[7],接著WU et al提出了該方案的簡化版[8],馬冬蘭等對其進行了安全性分析,并給出了一個攻擊以及改進的方案[9]。2017年毛昱昉等提出了一種基于身份的盲簽名方案[10]，但是該方案也用到了雙線性對的運算。2018年廖小平提出了一種基于證書的盲簽名方案[11]，該方案雖然解決了傳統(tǒng)密碼系統(tǒng)的秘鑰和證書的管理問題，但是缺乏必要的安全性證明。2019年左黎明等提出了一種可證安全的短的盲簽名方案[12]，但是因方案中存在雙線性對的運算從而使得開銷較大。2019年王方鑫提出了一種基于RSA的盲簽名方案[13]，雖然其沒有雙線性對的運算，但是方案缺少盲簽名方案中必要的安全性證明。本文在此基礎上,提出了一種更加簡單的無雙線性對的盲簽名方案，并對其進行盲性、不可鏈接性、不可偽造性以及效率分析。最后結合文獻[14]的代理簽名技術，在提出的盲簽名方案的基礎上給出了一種代理盲簽名方案，并證明其滿足代理盲簽名方案的可區(qū)分性及不可偽造性。

1 預備知識

本文提出的方案基于離散對數(shù)問題(Discrete Logarithm Problem, DLP)以及Hash函數(shù)性質。因此本節(jié)給出以下預備知識：

(1)離散對數(shù)問題

(2)Hash函數(shù)具有的性質

(i)對于任意的消息x，計算h(x)是容易的；

(ii)尋找2個不同消息x和x*，使得h(x)=h(x*)在計算上是不可行的。

2 基于離散對數(shù)的盲簽名方案

本節(jié)首先給出基于離散對數(shù)的盲簽名方案的構造過程，方案具體描述如下。

2.1 初始化階段

2.2 盲簽名和簽名驗證階段

(4)消息擁有者進行脫盲,得到

則消息m的簽名為(m,r,s)。

(5)簽名驗證者收到簽名(m,r,s)后,計算h=H(m,r),然后驗證等式gs=yrrhmodp是否成立,若成立,則說明簽名有效;否則簽名無效。

2.3 安全性分析

本節(jié)從方案的正確性、盲性、不可鏈接性、不可偽造性等方面分析上述方案的安全性。

2.3.1 正確性分析

驗證等式gs=yrrhmodp的正確性

gxrgkhagch=(gx)r(gka+c)h=yrrh。

2.3.2 盲性分析

2.3.3 不可鏈接性分析

(1)

(2)

(3)

上述論證表明不論合法消息的簽名對與任意的一組中間數(shù)據(jù)是否對應,驗證等式都成立,從而說明驗證等式成立時,簽名人也不能將中間信息與消息簽名對聯(lián)系起來，即滿足不可鏈接性。

2.3.4 不可偽造性分析

gs*=yr*(r*)h*modp，

然后挑戰(zhàn)者在此基礎上可偽造一個消息m=s*的ElGamal簽名(m,γ,δ)，其中

γ=r*,δ=h=H(m,γ)。

從而可將本方案的安全性規(guī)約到ElGamal簽名方案的安全性上，由于ElGamal簽名方案在離散對數(shù)困難問題假設下是安全的，所以本方案在離散對數(shù)困難問題假設下也是安全的。

概率分析：要使得攻擊成功，須滿足以下條件：

(2)攻擊者以ε的概率生成一個有效且沒有被詢問過的簽名(m*,r*,s*)。

2.3.5 效率分析

令P,Te,Ti,Tm分別表示一個雙線性對，一次模冪,模逆和模乘運算所需要的時間,將新方案與現(xiàn)有方案進行比較(表1)：

表1 本文算法與已有算法比較Tab. 1 Comparison between the proposed algorithm and the existing algorithms

由表1可以看出:文獻[10-12]均含有雙線性對運算，文獻[9]雖然不含雙線性對運算,但比本文方案運算量更大，其在簽名與驗證的整個過程中含有10個模冪、5個模逆以及19個模乘運算，而本文方案僅含有6個模冪、2個模逆以及10個模乘運算，從而本文方案是更加高效的。

3 代理盲簽名方案及其分析

在上述盲簽名方案的基礎上，結合代理簽名技術，本文提出了一種代理盲簽名方案。

3.1 代理盲簽名方案

3.1.1 參數(shù)生成階段

3.1.2 代理授權階段

UA=grA,VA=H2(mw,UA)xA+rA。

將(mw,UA,VA)通過安全信道發(fā)送給代理簽名人B,B收到(mw,UA,VA)后驗證

等式成立則計算代理秘鑰為

SB=H2(mw,UA)xB+VA。

3.1.3 代理盲簽名階段

從而得到消息m的簽名為(m,mw,UA,r,s)。

3.1.4 簽名驗證階段

簽名驗證者收到簽名(m,mw,UA,r,s)后,計算h=H1(m,r),然后驗證等式

是否成立,若成立,說明簽名有效,否則簽名無效。

3.2 代理盲簽名方案的分析

3.2.1 正確性分析

3.2.2 代理盲簽名的可區(qū)分性

在代理盲簽名的驗證等式

中，同時有原始簽名人和代理簽名人的公鑰yA,yB，還有代理授權的Hash函數(shù)H2(mw,UA)，因此任何一個簽名驗證者都可以判斷該簽名是代理盲簽名還是一般的盲簽名方案。從而簽名滿足代理盲簽名方案的可區(qū)分性。

3.2.3 代理盲簽名方案的不可偽造性

定理2在代理授權階段，如果離散對數(shù)問題是難解的，那么代理授權是不可偽造的。

證明假設偽造者為代理簽名人，因為如果他不能偽造代理授權，則其他人更不能偽造代理授權。

定理3在代理簽名階段，如果離散對數(shù)問題是難解的，那么代理簽名是不可偽造的。

證明在代理盲簽名方案中，首先代理秘鑰是不可偽造的，因為即使是原始簽名人，他雖然知道代理授權但是不知道代理簽名人的私鑰，因而不能偽造代理秘鑰。其次代理盲簽名階段是用代理簽名人的代理秘鑰以及隨機選擇的參數(shù)進行盲簽名的，與上述介紹的盲簽名方案一樣，因而具有相同的性質。不可偽造性的證明同定理1。

定理4代理盲簽名方案滿足盲簽名方案的所有特性。

證明代理盲簽名方案是在盲簽名方案的基礎上增加代理簽名技術而得出來的，所以同樣滿足盲簽名方案的盲性、不可鏈接性等特性。證明同盲簽名方案中的證明類似。

4 總結

通過對現(xiàn)有方案的分析，提出了一種更加安全且高效的基于離散對數(shù)的盲簽名方案,并對其進行了盲性、不可鏈接性和不可偽造性以及效率分析,并在此基礎上結合代理簽名技術提出了一種代理盲簽名方案，最后對其進行了正確性、可區(qū)分性以及不可偽造性分析。