強不可偽造的雙向代理重簽名方案

馮 婕,藍才會,,郟伯榮,楊小東

(1.蘭州城市學院信息工程學院,蘭州730070;2.西北師范大學計算機科學與工程學院,蘭州730070)

強不可偽造的雙向代理重簽名方案

馮 婕1,藍才會1,2,郟伯榮1,楊小東2

(1.蘭州城市學院信息工程學院,蘭州730070;2.西北師范大學計算機科學與工程學院,蘭州730070)

在代理重簽名中,一個擁有重簽名密鑰的半可信代理者可以把受托者的簽名轉換為委托者對同一消息的簽名(即重簽名),但該代理者不能單獨生成受托者或委托者的簽名。標準模型下的代理重簽名方案多數是存在不可偽造性的,無法阻止敵手對已經簽名過的消息重新偽造一個合法的簽名。為此,利用基于密鑰的目標抗碰撞雜湊函數,提出一種新的雙向代理重簽名方案。在計算Diffie-Hellman困難問題的假設下,證明該方案在適應性選擇消息攻擊下是強不可偽造的。分析結果表明,與已有強不可偽造的雙向代理重簽名方案相比,該方案的系統參數和重簽名的長度短,且重簽名的計算量小。

雙向代理重簽名;強不可偽造性;存在不可偽造性;標準模型;系統參數;目標抗碰撞雜湊函數

1 概述

代理重簽名具有轉換簽名的功能,在跨域身份認證、驗證網絡路徑和構造審查系統等方面有廣泛的應用前景［1-3］。代理重簽名是近年來密碼學領域的一個熱點研究方向,研究者先后提出了一系列代理重簽名方案［4-7］。然而,在標準模型下的多數代理重簽名方案［8-10］滿足存在不可偽造性,即要求敵手不能對一個新的消息產生一個的合法簽名。強不可偽造性具有更強的安全性［11-13］,保證敵手不僅無法偽造新的消息的簽名,也不能偽造已經簽名的消息的合法簽名,可有效防止電子投票、電子現金和數字版權等的篡改。

具有強不可偽造性的代理重簽名的研究剛剛起

步,公開的相關文獻較少。2012年,Vivek等人［14］提出了2個具有強不可偽造性的雙向代理重簽名方案(下文簡稱Vivek1方案和Vivek2方案),但這2個方案具有大量的系統公開參數,對存儲空間的要求比較高。本文利用較弱的基于密鑰的目標抗碰撞(Target Collision Resistant,TCR)雜湊函數［15］,提出了一個強不可偽造的雙向代理重簽名方案。

2 預備知識

假設M1和M2分別為TCR雜湊函數的輸入和輸出消息空間,K為密鑰空間,其中,k∈K,利用下面的游戲定義一個TCR雜湊函數Hk:K×M1→M2的安全性:敵手首先輸出消息m1∈M1;挑戰者然后隨機選取k∈K,并將k發送給敵手;最后敵手輸出消息m2∈M1。如果Hk(m1)=Hk(m2)且m1≠m2,則敵手贏得游戲。

定義如果敵手在多項式時間t內贏得上述游戲的概率ε是可忽略的,那么稱TCR雜湊函數Hk是(t,ε)安全的［15］。

3 改進的強不可偽造雙向代理重簽名方案

3.1 方案描述

利用TCR雜湊函數,構造一個高效的雙向代理重簽名方案,具體描述如下:

(1)系統參數生成算法(Setup):根據群(G1,G2)的定義,在G1中隨機選取4個元素g2,v,m0和m1;K為TCR雜湊函數的密鑰空間,選取一個TCR雜湊函數Hk:{0,1}?→Zp,其中,k∈K;公開系統參數cp=(G1,G2,p,e,g,g2,v,m0,m1,k,Hk)。

(3)重簽名密鑰生成算法(ReKey):利用受托者的私鑰skA=α和委托者的私鑰skB=β,為代理者生成重簽名密鑰rkA→B的過程如下:

(4)簽名生成算法(Sign):對于待簽名的消息M,簽名者首先隨機選取,然后計算σ1=gs和h=Hk(M‖σ1),并檢查h的最右邊比特值u∈{0, 1};利用私鑰sk=α計算,最后輸出消息M的簽名。

(5)重簽名生成算法(ReKey):輸入一個重簽名密鑰rkA→B,一個消息M,一個公鑰pkA和一個簽名σA=(σA1,σA2),首先驗證σA的合法性,如果Verify (pkA,M,σA)=0,輸出⊥;否則,輸出對應于公鑰pkB的消息M的簽名σB=(σB1,σB2,σB3)=(σA1,rkA→B·σA2·(mu2vh2)r,gr),其中r∈Z?p,h2=Hk(M‖σB3),u2是h2的最右邊比特值。

(6)簽名驗證算法(Verify):該算法分簽名和重簽名2種情形:

1)對于公鑰pk,消息M和簽名σ=(σ1,σ2),首先計算h=Hk(M‖σ1),檢查h的最右邊比特值u∈{0,1};然后驗證e(σ2,g)=e(σ1,muvh)e(pk,g2)是否成立,如果成立,輸出1;否則,輸出0。

2)對于公鑰pk和消息M的重簽名σ=(σ1,σ2,σ3),首先計算h=Hk(M‖σ1)和h2=Hk(M‖σ3),檢查h和h2的最右邊比特值u,u2∈{0,1};驗證e(σ2,g)=e(σ1,muvh)e(pk,g2)e(σ3,mu2vh2)是否成立,如果成立,輸出1;否則,輸出0。

3.2 正確性分析

案中重簽名的強不可偽造性。

3.3 安全性分析

定理若TCR雜湊函數Hk是(t,ε/2)安全的或G1上的(t,ε/8)-CDH假設成立,則本文提出的雙向代理重簽名方案是(t,ε)強不可偽造的。

假設Mi是第i次詢問簽名和重簽名預言機的輸入,預言機返回相應的簽名(Mi,σi=(σi1,σi2))和重簽名(Mi,σi=(σi1,σi2,σi3)),令q=qS+qRS,hi=Hk(Mi‖σi1),hi2=Hk(Mi‖σi3),i=1,2,…,q。A輸出消息的偽造為(M?,σ?=,令。將的偽造分成2類:

類型1:h?≠hi,i=1,2,…,q;

類型2:h?=hi,存在i∈{1,2,…,q}。

建立:令g1=gα,g2=gβ,隨機選取4個元素x,,計算m0=gx,m1=gt2gy和v=gz,運行Setup算法得到系統其他參數,并將(g,g1,g2,v,m0,m1,k)發送給敵手。

當pki未被攻陷時,公鑰pki=gα+xi隱含了對應的密鑰為α+xi,簽名σj=(σj1,σj2)的正確性驗證過程如下:

于是有:

(4)重簽名預言機OReSign:敵手輸入2個公鑰(pki,pkj),一個消息Mi和一個簽名σi,如果Verify (pki,Mx,σi)=0,敵手輸出⊥;否則,進行如下操作:如果pki和pkj中有一個已被攻陷,返回一個重簽名σj=OSign(pkj,Mi);如果pki和pkj均已被攻陷或均未被攻陷,運行重簽名生成算法和查詢重簽名密鑰生成預言機,然后返回一個重簽名σj=ReSign (ReKey(pki,pkj),pki,Mi,σi);

建立:令k=k?,運行Setup算法得到系統其他參數,將(G1,G2,p,e,g,pk?,g2,v,m0,m1,k,Hk)發送給敵手。

3.4 有效性分析

下面將已有的一些雙向代理重簽名方案和本文提出的方案進行效率和安全屬性比較,其結果見表1。假定所有方案選擇相同長度的大素數p,其中,|·|表示元素長度;E表示指數運算;P表示雙線性對運算;n表示Waters簽名方案［16］中的簽名消息長度;Y表示具有此種屬性;N表示不具有此種屬性。

表1 簽名方案的效率和安全屬性比較

從表1可以看出,Smd方案［5］和Smd改進方案［6］不滿足強不可偽造性,并且具有較長的系統公開參數長度。文獻［14］提出的2個方案滿足強不可偽造性,但與這2個方案相比,本文方案具有更短的系統公開參數長度和重簽名長度,并且重簽名驗證的計算量更小,同時滿足密鑰最優性。

4 結束語

為了提高代理重簽名方案的安全性能,基于目標抗碰撞雜湊函數和CDH困難問題假設,本文提出一個強不可偽造的雙向代理重簽名方案,并在標準模型下給出了新方案的安全性證明。分析結果表明,與已有的強不可偽造雙向代理重簽名方案相比,新方案在系統公開參數長度、重簽名長度、安全屬性等方面具有較大的優勢。

［1]Hao Shengang,Li Zhang,Muhammad M.A Union Authentication Protocol of Cross-domain Basedon Bilinear Pairing［J］.Journal of Software,2013,8(5): 1094-1100.

［2]Zhang Longjun,Zhang Jianhe,Xia Ang,et al.Domain AuthenticationProtocolBasedonCertificate Signcryption in Ipv6 Network［C］//Proceedings of International Conference on Information Engineering and Applications.London,UK:Springer,2013:213-220.

［3]Hong Xuan,Long Yu.A Novel Unidirectional Proxy Resignature Scheme and Its Application for MANETs［J］.Journal of Computers,2012,7(7):1796-1800.

［4]Ateniese G,Hohenberger S.Proxy Re-signatures:New Definitions,Algorithms,andApplications［C］// Proceedings of ACM CCS’05.Alexandria,USA:ACM Press,2005:310-319.

［5]Shao J,Cao Z,Wang L,et al.Proxy Re-signature Schemes Without Random Oracles［C］//Proceedings of INDOCRYPT’07.Chennai,India:［s.n.］,2007:197-209.

［6]Kiate K,Ikkwon Y,Secogan L.Remark on Shao et al Bidirectional Proxy Re-signature Scheme in Indocrypt’07［J］.International Journal of Network Security,2009, 8(3):308-311.［7]Benoit L,Damien V.Multi-use Unidirectional Proxy Resignatures［C］//Proceedingsofthe15thACM Conference on Computer and Communications Security.Alexandria,USA:ACM Press,2008:511-520.

［8]Deng Y,Du M,You Z,et al.A Blind Proxy Resignatures Scheme Based on Standard Model［J］.Journal of Electronics&Information Technology,2010,32(5): 1119-1223.

［9]He Defei.A Novel Blind Proxy Re-signature Scheme［J］.Computer Applications and Software,2012,29(3): 294-296.

［10]Rawat S S,Shrivastava G K.Improved Id-based Proxy Re-signcryption Scheme［C］//Proceedingsof 2012 IEEE CICN’12.Mathura,India:［s.n.］,2012:730-733.

［11]Buchmann J,Dahmen E,Ereth S,et al.On the Security of the Winternitz One-time Signature Scheme［J］.International Journal of Applied Cryptography,2013, 3(1):84-96.

［12]劉振華,胡予濮,張襄松.標準模型下高效的強不可偽造簽名方案［J］.江蘇大學學報:自然科學版,2013, 34(3):309-313.

［13]魏春艷,蔡曉秋.標準模型下的高調無證書短簽名方案［J］.計算機工程,2012,38(13):119-121.

［14]Vivek S S,Selvi S S D,Rangan C P,et al.Strongly Unforgeable Proxy Re-signature Schemes in the Standard Model［EB/OL］.(2012-10-10).http://eprint.iacr.org/2012/080.pdf.

［15]Matsuda T,Attrapadung N,Hanaoka G,et al.A CDH-based Strongly Unforgeable Signature Without Collision Resistant Hash Function［C］//Proceedings of ProvSec’07.Wollongong,Australia:［s.n.］:2007:68-84.

［16]Waters B.Efficient Identity-based Encryption Without Random Oracles［C］//Proceedings of EuroCrypt’05.Aarhus,Danish:［s.n.］,2005:114-127.

編輯 索書志

Bidirectional Proxy Re-signature Scheme with Strong Unforgeability

FENG Jie1,LAN Caihui1,2,JIA Borong1,YANG Xiaodong2
(1.School of Imformation Engineering,Lanzhou City University,Lanzhou 730070,China;
2.College of Computer Science&Engineering,Northwest Normal University,Lanzhou 730070,China)

In a proxy re-signature scheme,a semi-trusted proxy is allowed to transform a signature from a delegatee into a signature from a delegator on the same message using the re-signature key.But the proxy cannot generate signatures for either the delegatee or the delegator.Proxy re-signature schemes in the standard model are existentially unforgeable,which cannot prevent forgeries from forging valid signatures on new messages not previously re-signed.Based on target collision-resistant hash function,a bidirectional proxy re-signature scheme is proposed.Under computational Diffie-Hellman assumption,the proposed proxy re-signature scheme is provably secure against strong forgery under adaptive chosen message attacks.Moreover,the new scheme has some advantages over the available schemes,such as short system parameters,short re-signature and low re-signature computation cost.

bidirectional proxy re-signature;strong unforgeability;existential unforgeability;standard model;system parameter;Target Collision Resistant(TCR)hash function

馮 婕,藍才會,郟伯榮,等.強不可偽造的雙向代理重簽名方案［J］.計算機工程,2015,41(3):116-119,124.

英文引用格式:Feng Jie,Lan Caihui,Jia Borong,et al.Bidirectional Proxy Re-signature Scheme with Strong Unforgeability［J］.Computer Engineering,2015,41(3):116-119,124.

1000-3428(2015)03-0116-04

:A

:TP309.7

10.3969/j.issn.1000-3428.2015.03.022

國家自然科學基金資助項目(61262057,61163038,61063041);國家檔案局科技計劃基金資助項目(2014-X-33);甘肅省自然科學基金資助項目(1308RJYA039);蘭州市科技計劃基金資助項目(2013-4-22);西北師范大學青年教師科研能力提升計劃基金資助項目(NWNU-LKQN-10-22)。

馮 婕(1976-),女,講師、碩士,主研方向:代理重簽名,信息管理系統;藍才會,副教授、博士;郟伯榮,副教授;楊小東,副教授、博士。

2014-05-13

:2014-07-08E-mail:lzfenjie@163.com