关键词 门限密码体制,门限签名,RSA算法,门限RSA签名方案
1 引言
门限签名是门限密码学的主要 研究 内容 之一,最初由Desmedt和Frankel等人引进的,并基于ElGamal密码方案建立了第一个(t,n)门限密码体制。在(t,n)门限签名方案中,n个成员共享群体的签名密钥,使得任何不少于t个成员的子集可以代表群体产生签名,而任何少于t个成员的子集则不能产生签名。门限签名方案的基本假设是:在系统生命周期中,至少有(t-1)个非诚实成员。由于RSA算法满足构成门限密码体制的同态性要求,并且在CA中被广泛使用,所以这里选择基于RSA的门限签名方案。
但是对于RSA密码系统,情况要复杂一些。首先剩余环
不是域,其中的元素未必都可逆,于是不能利用一般的秘密共享 方法 共享签名密钥d;其次,为了保护RSA模数N的因子分解,不能让参与签名的成员知道
,因此给在上建立秘密共享方案和建立门限签名方案都带来了困难。另外一个需要解决的问题是由于采用Shamir秘密共享方案共享签名私钥,任意t个或更多个成员共享的密钥就是签名私钥,所以他们合谋可以恢复出秘密密钥,从而假冒系统生成有效的群签名。这些问题都是我们在设计门限签名方案时应该考虑的。
不是域,其中的元素未必都可逆,于是不能利用一般的秘密共享 方法 共享签名密钥d;其次,为了保护RSA模数N的因子分解,不能让参与签名的成员知道,因此给在上建立秘密共享方案和建立门限签名方案都带来了困难。另外一个需要解决的问题是由于采用Shamir秘密共享方案共享签名私钥,任意t个或更多个成员共享的密钥就是签名私钥,所以他们合谋可以恢复出秘密密钥,从而假冒系统生成有效的群签名。这些问题都是我们在设计门限签名方案时应该考虑的。 本文以基于有理数域上插值公式的Shamir的秘密共享方案为基础,将改进的门限RSA签名体制、两方共享与(t,n)门限方案相结合,提出了一个需要可信任中心的安全性增强的基于门限RSA签名方案。利用由hash函数建立的特殊形式的RSA签名体制,很好解决了在中对元素求逆和代数结构扩张的问题,为实现带来了方便。同时在签名过程中对分发的子密钥、部分签名以及签名都进行了验证,保证子密钥和签名的正确性;保证在签名过程中不会被敌人入侵和欺诈,同时也防止了共享服务器合谋的危险。因此是一个安全性更高的门限签名方案。
中对元素求逆和代数结构扩张的问题,为实现带来了方便。同时在签名过程中对分发的子密钥、部分签名以及签名都进行了验证,保证子密钥和签名的正确性;保证在签名过程中不会被敌人入侵和欺诈,同时也防止了共享服务器合谋的危险。因此是一个安全性更高的门限签名方案。 2 门限秘密共享方案 分析
通过前面的分析我们知道门限秘密共享方案是构成门限签名方案的基础。现有的许多门限签名方案采用的是ITTC项目中的方案,采用随机和的拆分方法,也就是将秘密密钥d按多种(t,t)共享方案分割,每种分割称为一种联合,每种联合含有t份子密钥,这t份子密钥分别存储在n个服务器中的t个不同共享服务器上,不同的子密钥联合对应不同的t个共享服务器组合。这种方案具有方法简单,运算效率高的特点,但是它的子密钥分发和管理都比较困难。它需要客户机或是组合者指定共享服务器而不具有任意性,对于客户机的要求很高,实现起来比较困难。
本文采用有理数域上的插值公式和经典的Shamir(t,n)秘密共享方案作为构造门限签名方案的理论基础。这是因为Shamir门限体制具有以下特点:
(1)增加新的子密钥不用改变已有的子密钥。在参与者P1, P2, …, Pn中成员总数不超过q的条件下可以增加新的成员而不用重新撤销以前分发的子密钥。当系统需要增加共享服务器时,我们只需要对新增加的服务器分发新的子密钥,而不需要将已经分发的子密钥一起替换掉,这样可以减少系统的工作,提高系统效率。
(2)可以通过选用常数项不变的另一(t-1)次新的多项式,将某个成员的子密钥作废。当某个共享服务器被攻破时,需要作废它的子密钥,我们可以采用这种方法。
(3)组合者可以任意选择共享服务器的子密钥进行密钥恢复而不需要指定它们。这是我们选择Shamir(t,n)秘密共享方案的一个重要原因。当共享服务器完成部分签名后组合者Combiner可以在n个服务器中任意选择t个进行最后的组合,而不需要去指定由某些服务器的部分签名构成最后的签名。
这里我们给出这样一个假设:任意t个共享组件所构成的信息与n个共享组件所构成的信息应该是完全等价的。在此基础上给出本文的基于RSA门限签名方案。
3 基于RSA门限签名方案设计
3.1 密钥初始化
定义5-1可信任中心A(Administrator)指将签名私钥分给n个秘密共享者的组件。可信任暗含了A一定能确保秘密信息不会被泄漏,并且在执行完密钥的分发后将签名私钥和其它信息一起销毁。
(1)假设可信任中心A选择好RSA模数N,公钥e和私钥d以及
,使得
。其中,模数N为两个安全大素数p,q的乘积。
,使得。其中,模数N为两个安全大素数p,q的乘积。 (2)取定一个固定的正整数k及值域包含于
(指
中最高两个比特为0的数构成的集合)的适当的hash函数h(如MD5),H由
得到,由于对N的分解是困难的,所以H(m)是强无碰撞的、单向的函数。
(指中最高两个比特为0的数构成的集合)的适当的hash函数h(如MD5),H由得到,由于对N的分解是困难的,所以H(m)是强无碰撞的、单向的函数。 (3)d1为随机数,
,现在可信任中心A欲将d2分发给n个共享服务器Share Serveri 
,将d1发给密钥服务器K。这里签名私钥d由d1和d2组成,各共享服务器共享私钥d2。
,现在可信任中心A欲将d2分发给n个共享服务器Share Serveri ,将d1发给密钥服务器K。这里签名私钥d由d1和d2组成,各共享服务器共享私钥d2。 3.2 子密钥的生成与验证
可信任中心A按如下步骤将签名密钥d2分发给n个共享服务器Share Serveri 。
(1)A随机选取多项式
使f(0)=a0= d2, 计算 下式:
使f(0)=a0= d2, 计算 下式: 
其中g是可信任中心A随机选取的信息样本
。
。 A将d2i秘密地发送给Share Serveri,而将N,n,e,h公开,将所有的g,ci,yi广播给各Share Serveri,p, q不再使用将其销毁。
(2)各共享服务器Share Serveri(i=1,2,…,n)收到可信任中心A发送来的子密钥d2i后,利用已广播的公开信息验证子密钥d2i的正确性,方法如下:
①每个共享服务器Share Serveri判断下面的式子是否成立:
②由于(5-4)式是所有共享服务器都收到的,因此方案中任何的组件都可以验证,故称为公开验证部分;式(5-5)由每个共享服务器自己验证,故称为秘密验证部分。对于Share Serveri来说,秘密验证就是用自己的子密钥d2i和收到的g计算yi并与从可信中心A发送的yi比较是否一致来判断d2i的正确性。
③公开验证的正确性说明如下:
当公开验证和秘密验证中有一个不成立就认为验证失败,Share Serveri宣布可信任中心A发放的子密钥是错误的,于是可信任中心A被认为是不合格的,协议至此中止。可信任中心A将重新选择N和密钥对(d,e)重复上面的步骤发放新的密钥,否则可信任中心A分发密钥成功,可以进行下面步骤。这时可信任中心A 销毁所分发的密钥,以防止密钥泄露。
3.3 部分签名的生成与验证
首先密钥服务器K利用密钥d1对消息m的hash函数值进行签名
。然后各共享服务器Share Serveri利用自己的子密钥d2i对消息m的摘要进行签名,如下所示并广播其部分签名:
。然后各共享服务器Share Serveri利用自己的子密钥d2i对消息m的摘要进行签名,如下所示并广播其部分签名:
共享服务器Share Serveri生成对消息m的部分签名后,本文借助交互验证协议来验证Share Serveri的部分签名是否正确。在交互验证协议中可以由任何一方来验证部分签名的正确性,这里为了方便后面系统设计故规定共享服务器Share Serveri的部分签名是由Share Serveri+1来验证。若协议成功,则Share Serveri+1确信Share Serveri的部分签名S2i是正确的;否则S2i是不正确的。方法如下:
(1)Share Serveri+1任意选取a,b∈R[1,N],计算出 
并将R发送给Share Serveri;
并将R发送给Share Serveri; (2)Share Serveri收到R后,计算出
并将
发送给Share Serveri+1;
并将发送给Share Serveri+1; (3)Share Serveri+1收到后,根据下式是否成立来判断S2i是否为Share Serveri之部分签名;
后,根据下式是否成立来判断S2i是否为Share Serveri之部分签名;
下面我们来说明协议的安全性,假设N为两个安全素数p,q之积。若非诚实验证者P不能攻破RSA系统,则上述验证RSA部分签名的交互式协议满足以下性质:
(1)完备性 若P, Share Serveri都是诚实的,则Share Serveri总是接受P的证明。
(2)合理性 非诚实证明者P使Share Serveri接受不正确部分签名的成功率是可忽略的。
(3)零知识性 非诚实验证者除了能知道部分签名是正确外,不能获得其他任何信息。
因此由这样的交互式协议验证为正确的部分签名基本可以认为是正确的。