《一种动态群签名方案的安全性分析.doc》由会员分享,可在线阅读,更多相关《一种动态群签名方案的安全性分析.doc(6页珍藏版)》请在三一文库上搜索。
1、一种动态群签名方案的安全性分析群签名是数字签名的一种,由Chaum和Van Heyst于1991年提出1。群签名的任何一个成员均可以代表该群进行签名,即签名者可以利用群签名机制向验证者证明他属于此群体而又不会暴露他/她的身份。当争议发生时,签名者的身份可以通过群管理员公开。由于拥有这些特殊的性质,群签名的应用范围非常广泛,如在电子现金、电子投票、电子拍卖等电子商务应用方面。 设计可以删除群成员的方案一直是群签名研究的难点。而目前提出的删除群成员方案主要有两种:每一次群成员的删除都需要改变群公钥的参数或群成员的参数,即相当于为每一位群成员颁发新的成员证书2;应用证书删除链表对群成员进行删除3。
2、1 动态群签名方案的定义 动态群签名方案4是包含以下六个协议或算法的数字签名方案: (1)创建算法(setup)。通过输入一个随机数能够产生群的公开密钥Y和群管理员的秘密密钥S。 (2)注册协议(join)。使得某用户可注册成为一个新的群成员。输出为一个群成员的身份证书以及一个只有群成员知道的秘密密钥。 (3)删除协议(delete)。群管理员与成员之间的一个协议,使得一个群成员的签名能力被撤销。 (4)签名算法(sign)。当输入一个消息M与某个群成员的身份证书和秘密密钥后,输出对消息M的签名。 (5)验证算法(verify)。当输入一个消息M和消息的签名以及群的公开密钥Y后,输出关于这个签
3、名是否有效的确定性算法。 (6)打开算法(open)。当输入消息M和它的签名以及群管理员的秘密密钥S后,输出签名者的身份。 一个好的动态群签名也必须满足下面一般群签名应满足的安全特性: (1)不可伪造性。只有群成员能够代表群进行签名。 (2)匿名性。给定一个群签名,除群管理员外,任何人想识别签名者的身份都是计算困难的。 (3)不关联性。除群管理员之外,判断两个不同的群签名是否是由同一个群成员提交的是一个计算困难的问题。 (4)不可替代性。任何一个群成员与群管理员都不能代表其他的群成员进行签名。 (5)可跟踪性。群管理员能够打开一个有效的群签名,以揭示签名者的身份。任何签名者都不能阻碍一个有效的
4、群签名的打开。 (6)抗联合攻击性。任何群成员的联合子集都不能生成一个不能被跟踪的有效群签名。 一个好的动态群签名除了满足一般群签名应满足的安全特性外还必须满足: (1)一个群成员一旦被删除后,他就无法再生成有效的群签名。 (2)被删除的群成员以前所提交的群签名仍具有匿名性与不关联性,当然其他未被删除的群成员所作的签名也是匿名和不相关联的。 2 HZ05动态群签名 何业锋等人于2005年提出的动态群签名方案4属于证书更新类动态群签名方案。本文将介绍这个签名方案,并对它进行安全分析。 2.1 系统参数建立 群管理员计算下面的值。 2.2 群成员加入协议 为加入群,Alice按如下步骤计算她的成员
5、证书: 2.3 签名算法 为了代表群对消息m进行签名,Alice进行如下计算: 2.4 签名的验证 签名的接收者可以根据验证知识签名V1与V2的正确性来判断此群签名的有效性。如果V1与V2有效则签名(A,B,C,V1,V2)有效。 2.5 签名的打开 2.6 群成员删除算法 3 HZ05方案的安全性分析 这里主要说明,HZ05动态群签名方案无法抵抗广义联合攻击。在此,笔者将广义联合攻击定义为任何两个或以上的实体相互勾结即可构造出一个非法的,可能损害群体利益的有效签名。在HZ05动态群签名方案中,只要被删除者如Bob和群中未被删除的成员如Alice勾结即可继续代表群进行有效的群签名,而管理者也无
6、法找出究竟是谁将秘密泄露给Bob的。 因为HZ05的成员身份的确定完全由成员证书表示,有成员证书即可代表该群进行签名,所以Bob只需要得到新的成员证书即可继续他的群成员身份。 即可以不通过群管理员而得到一个T时刻后Bob的新群证书vTB, Bob可使用此证书在T时刻之后继续生成有效的群签名。而且即使签名因为被群管理员解开而暴露出签名者为Bob,群管理员也无法提供任何证据表明Bob在T时刻已经被清理出群,他在T时刻之后提供的签名文件不具备代表该群的法律效应;也无法确认究竟哪一位(或多位)群成员是Bob的合谋者。由此证明了HZ05不可抵抗广义联合攻击。 在现实中,如果出现如上述例子的广义联合攻击,
7、那么很有可能是这样的情况:Alice和Bob同在Group公司任职,并且有权利用Group公司的名义签署文件。有一天,Bob因为某些原因离开了Group公司(很有可能是被炒了鱿鱼),然而他和Alice依然保持着秘密的联系。某次因为某些原因,在Alice的帮助下,离职的Bob利用Group公司的名义签署了一项损害Group公司利益的文件。Group公司的管理者发觉以后,既没有办法给出证据证明此份签署文件时Bob已经离职,因此文件无效,也没有办法找出究竟是谁和Bob合伙坑害了公司。 群签名和现实应用联系得十分紧密。由以上例子可以看出,具有抵抗本文所提出的广义联合攻击的性质对动态群签名来说十分必要。笔者建议将本文第1章中动态群签名方案的安全性必须满足的一般群签名的安全性外,还必须满足的两条性质中的第一条修改为:一个群成员一旦被删除后,他就无法再生成有效的群签名,即使与其他群成员勾结也无法再生成有效的群签名。 4 结束语 群签名对于电子商务等的发展具有重要意义。允许群签名具备删除老成员的能力具有现实意义,并且是群签名方案今后的发展趋势。本文对何业锋等人的动态群签名方案进行了安全性分析,并给出了一种攻击方法,证明了HZ05方案无法抵抗广义的联合攻击,并据此对动态群签名的安全性要求提出了一项修改建议。 本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。
链接地址:https://www.31doc.com/p-1591965.html