设计个性签名范文
时间:2023-12-03 12:55:33
设计个性签名篇1
[关键词]电子现金匿名性盲签名切割选择技术Applet
一、引言
20世纪90年代以来,随着计算机网络技术的飞速发展,在全世界范围内掀起了电子商务的热潮,电子支付是电子商务中最为关键的重要组成部分。为了保护用户的合法权利,保障交易的匿名性和不可跟踪性,发展了一种新的电子支付方式即电子现金。理想的电子现金应有具有独立性、安全性、匿名性、离线性、可传递性和可分性等特点。
电子现金的发展已经经历过20多年的历史。1982年D.Chaum最早提出盲签名的概念,并在RSA盲签名的基础上设计了一个在线的、完全匿名的电子现金方案。之后,Chaum等人利用切割选择技术和RSA盲数字签名技术,于1988年提出了一个离线的、完全匿名的电子现金方案。1991年Okamoto等基于切割-选择技术,采用二叉树结构表示电子现金,提出第一个可分的电子现金方案。1993年Brands提出限制性盲数字签名的概念,并在此基础上,提出了一个离线的、完全匿名的、具有重复花费者追踪功能的电子现金方案。1995年,Stadler和Brickel分别独立地提出离线、匿名性可控制的电子现金方案,称为公平电子现金方案。1996年Frankel等基于间接论述证明,提出一个基于可信方的离线、公平的电子现金方案。同年Abe等提出了部分盲数字签名的概念,并基于部分盲数字签名构建了第一个可以在电子现金中植入有效期的匿名的、离线的电子现金系统。1997年Jakobsson等[9]提出基于魔力墨水数字签名技术实现公平电子现金方案。1998年,Lysyanskaya和Ramzan结合群数字签名与盲数字签名协议,首次提出了群盲数字签名协议的概念,并且构造了一个多个银行参与发行电子现金的完全匿名的电子现金方案。2001年,王常吉等人把群盲数字签名协议与限制性盲签名相结合,提出了群限制性盲签名的概念,并在此基础上构造了一个多银行参与发行的、公正的可控匿名的电子现金方案。
然而,目前已提出的电子现金系统偏重于理论研究,很少有文章讨论电子现金系统的设计问题。本文介绍了电子现金方案中常用的关键技术,设计了一个离线的、匿名性可控的电子现金系统。
二、电子现金方案中的关键密码技术
为了保证电子现金的匿名性,常用的相关密码技术如下:
1.盲签名
盲签名就是接收者在不让签名者获取所签署消息具体内容的情况下所采取的一种特殊的数字签名技术,它除了满足一般的数字签名条件外,还必须满足下面的两条性质:
盲性:签名者对其所签署的消息的具体内容是不可见的。
不可链接性:当签名信息被公布后,签名者不能将签名与盲消息联系起来。
在电子现金支付系统中,盲签名能很好地保证电子现金的匿名性,因此在电子现金系统中得到广泛的应用。但是,在盲签名中,签名人完全不知道最终签名的任何信息,可能造成签名被非法使用等问题。
2.限制性盲签名
限制性盲签名是由Brands提出的,在限制性盲签名中,消息提供者要把其公钥附在盲化的消息后面作为待签信息的一部分交给签名者;签名的验证方要求消息的提供者用其私钥签名,用收到的公钥验证后才予以接收。对于离线的、匿名的电子现金系统来说,限制性盲签名很好地保护了合法用户身份的匿名性,同时可以对重复花费电子现金的非法用户进行匿名性撤销。
3.群签名
在一个群签名方案中,允许群体中的任意一个成员以匿名的方式代表整个群体对消息进行签名。与其他的数字签名一样,群签名可以用惟一的群公钥来公开验证,但人们却无法揭露具体签名者的身份,也无法判断两个群签名是否是由同一个群成员签署。当发生争议时(如产生法律纠纷时),惟一指定的群管理者能够“打开”群签名,揭示签名者的身份。一个好的群签名方案应该满足以下的安全需求:匿名性、不关联性、防伪造性、可跟踪性、防陷害攻击、抗联合攻击。在电子现金系统中,群签名用于设计多银行的电子现金系统。中央银行作为群管理者,每个银行拥有自己的群成员证书,用于代表整个群签发电子现金。
对离线电子现金系统,为了防止电子现金的重复花费,目前主要有两种解决方法:
(1)事前阻止
事前阻止是依赖防篡改智能卡的物理安全性,以达到电子现金重复花费的事前阻止。该方法最早由Brands提出,在电子现金方案中置入了一个防窜扰的设备(如智能卡)以保护银行与用户的利益,用户的计算机可以看成是储存电子现金的电子钱包,同时,防篡改设备可以看成是该电子钱包内的一个观察者,防窜扰设备用以确保用户不能重复花费电子现金,而电子钱包确保银行不能够毫无根据地指控用户重复花费。
(2)事后检测
可以利用切割选择技术和限制性盲签名技术。切割选择技术即用户在提取电子现金时,不能让银行知道电子现金中用户的身份信息,但银行需要知道提取的电子现金是正确构造的。切割选择技术是用户正确构造N个电子现金传给银行,银行随机抽取其中的N-1个让用户给出它们的构造,如果构造是正确的,银行就认为另一个的构造也是正确的,并对它进行签名。
为了防止犯罪分子利用电子现金的匿名性进行诸如洗钱、勒索、非法购买等非法活动,研究者提出公正的盲数字签名技术来实现电子现金的匿名性可撤销。公正的盲数字签名除了具有盲签名的性质外,还具有如下性质:可信方可以给签名者发送一些信息,使得签名者能把所签名的消息与协议的执行场景(viewofprotocol)联系起来。公正的盲签名协议机制模型包括签名者、发送者(也是签名的接收者)、可信实体与签名协议和联系恢复协议。执行签名协议后,发送者接收到一个消息的签名,而且签名者不能把该签名与执行场景联系起来。通过执行联系恢复(link-recovery)协议,签名者从可信实体处获得一些辅助信息,使得签名者能把签名与执行场景联系起来。
三、电子现金支付系统结构设计
电子现金系统开发工具选用JAVA语言,在用户端主要是下载并运行Applet,可确保从远方来的Applet在执行时,不会对用户端的电脑造成伤害,也不会将电脑病毒传播进来。系统在通信时,采用SSL协议,确保通信安全。电子现金系统包括有3个实体:银行、商家以及用户。系统结构图如图1所示。
图1系统结构图
1.银行
(1)银行网站服务器:银行必须建立一个网站服务器,这样用户可通过浏览器进行开户、查看自己账户相关信息等相关操作。
(2)取款Applet:用户通过取款Applet与银行通信,并通过操作用户本地文件系统将电子现金数据存入用户计算机。
(3)存款Applet:用户通过存款Applet与银行通信,并通过操作用户本地文件系统将电子现金读取出来以发送给银行。
(4)银行管理系统:银行使用管理系统来管理和操作数据库中的电子现金。
(5)数据库:银行用数据库来存储电子现金数据。
2.商家
(1)网站服务器:商家必须建立一个网站服务器,这样用户可通过浏览器查看商家商品相关信息。
(2)付款Applet:用户通过付款Applet与商家电子钱包通信,并通过操作用户本地文件系统将电子现金读取出来以发送给商家电子钱包。
(3)电子钱包:商家通过电子钱包软件来管理并操作商家接收的电子现金。
(4)数据库:商家通过数据库来存储电子现金数据。
3.用户
(1)浏览器:用户使用浏览器来查看其在银行的账户信息以及商家的商品信息,并利用浏览器运行各种Applet以实现网上支付。
(2)文件系统:用户的电子现金是以文件形式存储在用户计算机上的。
四、电子现金支付系统流程设计
1.开户
用户携带证件,先到银行开立账户,取得个人账户信息。银行先确认其合法身份,建立消费者数据库,并将消费者的相关信息存入数据库。为实现重复消费者检测功能以及可撤销匿名,用户和银行还需要执行零知识证明协议。
2.取款过程
取款过程如图2所示。
①用户浏览银行网站,银行网站服务器向用户发送由银行数字签名的取款Applet。
②用户浏览器用银行的数字证书验证取款Applet,如果验证成功,则下载并运行取款Applet。
③用户在取款Applet中输入需要取得的电子现金相关信息(譬如面值、数量),确认取款后,Applet将生成电子现金数据发送给银行管理系统。
④银行管理系统接收到电子现金数据后,对其进行验证,若验证成功,则对其进行盲签名,然后将盲签名后的电子现金数据回发给用户的取款Applet。同时,银行管理系统从用户账户中扣除相应金额。
⑤用户Applet将得到的数据解开盲数字签名得到电子现金的银行签名,并将电子现金和签名一并以文件形式存储于用户计算机中。同时,取款Applet显示一条消息以提示用户取款成功。
3.支付过程
支付过程如图3所示。
图3支付过程
①用户浏览商家网站,商家服务器向用户发送支付Applet。
②用户浏览器下载并运行支付Applet之后,用户可通过操作支付Applet向商家支付电子现金。
③支付Applet显示出用户所拥有的电子现金以供用户选择。在用户选择完电子现金之后,支付Applet读取相应电子现金数据,并发送给商家的电子钱包。
④商家电子钱包使用银行公钥验证所接收的电子现金的银行签名,若电子现金有效,则商家电子钱包将所收到的电子现金存入数据库,并向用户的支付Applet发送确认消息。
(4)存款过程
存款过程如图4所示。
图4存款过程
①商家浏览银行网站,银行网站服务器向商家发送存款Applet。
②商家浏览器下载存款并运行存款Applet后,商家可通过存款Applet向银行进行存款操作。
③存款Applet显示出商家所拥有的电子现金以供商家选择。在商家选择完电子现金之后,存款Applet读取相应电子现金数据,并发送给银行管理系统。
④银行管理系统使用银行公钥验证所接收的电子现金的银行签名,并搜索数据库查看该电子现金是否被重复消费。如果没有被重复消费,则存储该电子现金及相应参数。银行从商家账户中增加相应的金额并返回一条确认消息。
五、结论
本文介绍了电子现金支付系统中用到的关键密码技术,详细介绍了一个通用的、离线匿名的电子现金系统的设计。由于该系统避免了第三方实体(例如:信用卡中心等)的介入,使得交易更加直接,也节省了交易时候的通信负担和与第三方实体发生通信时候的成本,实现了离线性。可以利用盲签名技术和切割选择的方法,实现匿名性,但当用户重复消费时,银行能揭示出作弊者的实际身份。交易过程中涉及到用户、商家以及银行之间的通信是通过Applet来完成的,对Applet签名排除了所有其他非法Applet在浏览器上运行的可能性,保证了电子现金的安全性。
参考文献:
[1]D.Chaum.BlindSignatureforuntraceablepayment.InAdvancesinCryptology-CRYPTO’82,1983:199~203
[2]D.Chaum,etc..UntraceableElectronicCash.InAdvancesinCryptology-CRYPTO''''88,1989:3~327
[3]T.Okamato,K.Ohata.Universalelectroniccash.InAdvancesCryptology-CRYPTO’91.LectureNotesinComputerScience576,Springer-Verlag,1991:324~327
[4]S.Brands.Anefficientoff-lineelectroniccashsystembasedontherepresentationproblem.ReportsCS-R9323,CentrumvoorWiskundeenInformatica,March1993
[5]M.Stadler,etc..FairBlindSignature.InAdvancesinCryptology-EUROCRYPT''''95,LectureNotesinComputerScience921,Springer-Verlag,1995:209~219
[6]E.Brickell,P.Gemmell,D.Kravitz.Trustee-basedtracingextensionstoanonymouscashandthemakingofanonymouschange.InProceedingsofthe6thAnnualACM-SIAMSymposiumonDiscreteAlgorithms,1995:157~166
[7]Y.Frankel,etc..IndirectDiscourseProofs:AchievingEfficientFairOff-LineE-cash.InAdvancesinCryptology-ASIACRYPT''''96,LectureNotesinComputerScience1163,Springer-Verlag,1996:286–300.
[8]M.Abe,E.Fujisaki.HowtoDateBlindSignatures.InAdvancesinCryptology-ASIACRYPT''''96,LectureNotesinComputerScience1163,Springer-Verlag,1996:244~251,1996
[9]M.Jakobsson,M.Yung.Distributedmagicinksignatures.InAdvancesinCryptology-EUROCRYPT''''97,LectureNotesinComputerScience1233,Springer-Verlag,1997:450~464
[10]A.LysyanskayaandZ.Ramzan.GroupblindDigitalSignatures:AScalableSolutiontoElec-troniccash.InFinacialCryptography''''98,LNCS1465,184-197,Springcr-Verlag,1998
设计个性签名篇2
强盲签名(完全盲签名)数字签名不可追踪性匿名性ElGamal
1引言
盲签名是由David Chaum于1983年提出的,他曾经给出了一个非常直观的说明:所谓盲签名,就是将要隐蔽的文件放进信封里,而除去盲因子的过程就是打开这个信封。当文件在一个信封中时,任何人都不能读它。对文件签名就是通过在信封里放一张复写纸,当签名者在信封上签名时,签名便透过复写纸签到文件上。强盲签名是一类要求更强的盲签名,又称为完全盲签名,无论签名者存储多少中间信息,待求签名者公开消息和消息的签名,都无法将盲化后消息的签名和脱盲后原消息的签名进行联系,不可能对消息拥有者进行跟踪,强盲签名实现了无条件的不可追踪性和匿名性。
2强盲签名
强盲签名是一类要求更强的盲签名,它不仅满足盲签名的要求,还要满足下面的两个条件(1)消息的内容对签名者来说是不可知的;(2)求签名者把已签名的消息和签名公布后,即使签名者保留了对盲化后消息的签名Sig(m′)及其他有关数据,也无法追踪所签的消息,即签名者无法将Sig(m)与Sig(m′)进行联系。
3强盲签名方案
3.1方案描述如下
3.1.1参数选取
(1)签名者随机选择:大素数p并满足在Zp中求解离散对数为困难问题;
g是Zp中乘群Z*p的一个生成元或本原元;
(2)签名者选择私钥x,x∈Z*p,并计算公钥y=gxmodp;
签名者公开p,g,y,x保密。
3.1.2签名过程
(1)签名者生成随机数k∈Zp-1,计算r=gkmodp,然后把r发送给求签名者;
(2)求签名者收到r后,随机生成α,β∈Zp-1,对待签名的消息m进行盲化,计算:
m′=r1-α-βmmod(p-1),
并把m′发送给签名者进行签名。
(3)签名者收到m′后,从m′=sk+rxmod(p-1)计算得到s,把(r,s)作为对m′的签名,并把(m′,(r,s))发给求签名者。
3.1.3除盲过程
求签名者收到(m′,(r,s))后,计算:
则求签名者得到消息m的签名为(r′,s′)。
3.1.4验证过程
求签名者得到消息m的签名(r′,s′)后,进行验证,验证如下等式:
令v1=yr′r′s′modp,v2=gmmodp,如果v1=v2,表示签名有效,否则签名无效拒绝接受。
3.2方案正确性,强盲性及安全性分析
3.2.1.方案正确性分析
签名验证算法证明:
m′=sk+rxmod(p-1)
r1-α-βm=sk+rxmod(p-1)
m=skrα+β-1+rxrα+β-1mod(p-1)
m=skrα+β-1+xrα+βmod(p-1)
m=k(α+β)(α+β)-1srα+β-1+r′xmod(p-1)
m=k(α+β)s′+r′xmod(p-1)
又因为r′=gk(α+β)mod(p-1),所以签名(m,(r′,s′))满足签名方程m=k(α+β)s′+xr′mod(p-1);
下面考察签名验证中的等式:
v2=gmmodp=gk(α+β)s′+xr′modp
=gk(α+β)s′gxr′modp
=r′s′yr′modp
=v1modp
所以有v1=v2,该方案是正确的。
3.2.2方案的强盲性分析
(1)求签名者选择随机数α,β∈Zp-1,对待签名的消息m进行盲化后得到
m′=r1-α-βmmod(p-1),由于α,β是随机的,且对签名者是保密的,所以签名者得不到消息m,即消息的内容对签名者来说是不可知的,因而满足强盲签名的条件(1)。
(2)求签名者公布签名的消息和签名后,签名者利用(m,(r′,s′))和他所保留的对盲消息的签名(m′,(r,s))及相关数据k,x,来求解α,β。由方程组r′=rα+βmod(p-1)和s′=(α+β)-1rα+β-1smod(p-1)及m′=r1-α-βmmod(p-1)求解α,β属于有限域上离散对数难解问题。即签名者利用(m,(r′,s′))和(m′,(r,s))得不到他们之间的联系,即不能对消息拥有者(求签名者)进行追踪,所以满足强盲签名的条件(2)。
综上这个盲签名是一个强盲签名方案。
3.2.3方案的安全性分析
(1)体制安全性分析
这个强盲签名方案的设计是基于ElGamal盲签名体制而设计的,安全性是基于求解离散对数的困难性。只要参数的选择在ElGamal签名体制的安全范围内,本方案就是体制上安全的,在此我们不再阐述。
(2)不可为造性
如果一个敌手要伪造签名者的合法签名,那么他必须要知道签名者的私钥x,而通过公开的p,g,y,求x属于离散对数困难问题。即敌手无法伪造签名。
(3)不可追踪性
由于方案满足强盲性,所以能够保证方案的不可追踪性。
结语:作者基于ElGamal签名体制中签名方程的变形方程构造了一个强盲签名方案并做了详细的论证,关于正确性、安全性以及强盲性,当然也可以根据其他变形方程构造出强盲签名方案,形式可以多样。强盲性签名方案是目前性能最好的方案,在电子商务中使用的许多电子货币系统和电子投票系统都采用了这种技术。
参考文献:
[1]蔡勉,卫宏儒.信息系统安全与理论技术[M].北京工业大学出版社:2006.
[2]Chaum D. Blind signature for untraceable payments[A].Proc,Crypto'82[C].New York:Plenum press,1983:199-203.
[3]ElGamal T.A public-key cryptosystem and a signatures scheme based on discrete logarithms[J].IEEE Transations on Information Theory,1985,31(4):469-472.
[4]MENEIESA,VAN OORSCHOR PC,VANSTONE S.HANDBOOK of Applied Cryptography[M].New York CRC Press 1996.
设计个性签名篇3
[关键词] 电子现金 匿名性 盲签名 切割选择技术 applet
一、引言
20世纪90年代以来,随着计算机网络技术的飞速发展,在全世界范围内掀起了电子商务的热潮,电子支付是电子商务中最为关键的重要组成部分。为了保护用户的合法权利,保障交易的匿名性和不可跟踪性,发展了一种新的电子支付方式即电子现金。理想的电子现金应有具有独立性、安全性、匿名性、离线性、可传递性和可分性等特点。
电子现金的发展已经经历过20多年的历史。1982年d.chaum最早提出盲签名的概念,并在rsa盲签名的基础上设计了一个在线的、完全匿名的电子现金方案。之后,chaum等人利用切割选择技术和rsa盲数字签名技术,于1988年提出了一个离线的、完全匿名的电子现金方案。1991年okamoto等基于切割-选择技术,采用二叉树结构表示电子现金,提出第一个可分的电子现金方案。1993年brands提出限制性盲数字签名的概念,并在此基础上,提出了一个离线的、完全匿名的、具有重复花费者追踪功能的电子现金方案。1995年,stadler和brickel分别独立地提出离线、匿名性可控制的电子现金方案,称为公平电子现金方案。1996年frankel等基于间接论述证明,提出一个基于可信方的离线、公平的电子现金方案。同年abe等提出了部分盲数字签名的概念,并基于部分盲数字签名构建了第一个可以在电子现金中植入有效期的匿名的、离线的电子现金系统。1997年jakobsson等[9]提出基于魔力墨水数字签名技术实现公平电子现金方案。1998年,lysyanskaya和ramzan结合群数字签名与盲数字签名协议,首次提出了群盲数字签名协议的概念,并且构造了一个多个银行参与发行电子现金的完全匿名的电子现金方案。2001年,王常吉等人把群盲数字签名协议与限制性盲签名相结合,提出了群限制性盲签名的概念,并在此基础上构造了一个多银行参与发行的、公正的可控匿名的电子现金方案。
然而,目前已提出的电子现金系统偏重于理论研究,很少有文章讨论电子现金系统的设计问题。本文介绍了电子现金方案中常用的关键技术,设计了一个离线的、匿名性可控的电子现金系统。
二、电子现金方案中的关键密码技术
为了保证电子现金的匿名性,常用的相关密码技术如下:
1.盲签名
盲签名就是接收者在不让签名者获取所签署消息具体内容的情况下所采取的一种特殊的数字签名技术,它除了满足一般的数字签名条件外,还必须满足下面的两条性质:
盲性:签名者对其所签署的消息的具体内容是不可见的。
不可链接性:当签名信息被公布后,签名者不能将签名与盲消息联系起来。
在电子现金支付系统中,盲签名能很好地保证电子现金的匿名性,因此在电子现金系统中得到广泛的应用。但是,在盲签名中,签名人完全不知道最终签名的任何信息,可能造成签名被非法使用等问题。
2.限制性盲签名
限制性盲签名是由brands提出的,在限制性盲签名中,消息提供者要把其公钥附在盲化的消息后面作为待签信息的一部分交给签名者;签名的验证方要求消息的提供者用其私钥签名,用收到的公钥验证后才予以接收。对于离线的、匿名的电子现金系统来说,限制性盲签名很好地保护了合法用户身份的匿名性,同时可以对重复花费电子现金的非法用户进行匿名性撤销。
3.群签名
在一个群签名方案中,允许群体中的任意一个成员以匿名的方式代表整个群体对消息进行签名。与其他的数字签名一样,群签名可以用惟一的群公钥来公开验证,但人们却无法揭露具体签名者的身份,也无法判断两个群签名是否是由同一个群成员签署。当发生争议时(如产生法律纠纷时),惟一指定的群管理者能够“打开”群签名,揭示签名者的身份。一个好的群签名方案应该满足以下的安全需求:匿名性、不关联性、防伪造性、可跟踪性、防陷害攻击、抗联合攻击。在电子现金系统中,群签名用于设计多银行的电子现金系统。中央银行作为群管理者,每个银行拥有自己的群成员证书,用于代表整个群签发电子现金。
对离线电子现金系统,为了防止电子现金的重复花费,目前主要有两种解决方法:
(1)事前阻止
事前阻止是依赖防篡改智能卡的物理安全性,以达到电子现金重复花费的事前阻止。该方法最早由brands提出,在电子现金方案中置入了一个防窜扰的设备(如智能卡)以保护银行与用户的利益,用户的计算机可以看成是储存电子现金的电子钱包,同时,防篡改设备可以看成是该电子钱包内的一个观察者,防窜扰设备用以确保用户不能重复花费电子现金,而电子钱包确保银行不能够毫无根据地指控用户重复花费。
(2)事后检测
可以利用切割选择技术和限制性盲签名技术。切割选择技术即用户在提取电子现金时,不能让银行知道电子现金中用户的身份信息,但银行需要知道提取的电子现金是正确构造的。切割选择技术是用户正确构造n个电子现金传给银行,银行随机抽取其中的n-1个让用户给出它们的构造,如果构造是正确的,银行就认为另一个的构造也是正确的,并对它进行签名。
为了防止犯罪分子利用电子现金的匿名性进行诸如洗钱、勒索、非法购买等非法活动,研究者提出公正的盲数字签名技术来实现电子现金的匿名性可撤销。公正的盲数字签名除了具有盲签名的性质外,还具有如下性质:可信方可以给签名者发送一些信息,使得签名者能把所签名的消息与协议的执行场景(view of protocol)联系起来。公正的盲签名协议机制模型包括签名者、发送者(也是签名的接收者)、可信实体与签名协议和联系恢复协议。执行签名协议后,发送者接收到一个消息的签名,而且签名者不能把该签名与执行场景联系起来。通过执行联系恢复(link-recovery)协议,签名者从可信实体处获得一些辅助信息,使得签名者能把签名与执行场景联系起来。
三、电子现金支付系统结构设计
电子现金系统开发工具选用java语言,在用户端主要是下载并运行applet,可确保从远方来的 applet 在执行时,不会对用户端的电脑造成伤害,也不会将电脑病毒传播进来。系统在通信时,采用ssl协议,确保通信安全。电子现金系统包括有3个实体:银行、商家以及用户。系统结构图如图1所示。
图1 系统结构图
1.银行
(1)银行网站服务器:银行必须建立一个网站服务器,这样用户可通过浏览器进行开户、查看自己账户相关信息等相关操作。
(2)取款applet:用户通过取款applet与银行通信,并通过操作用户本地文件系统将电子现金数据存入用户计算机。
(3)存款applet:用户通过存款applet与银行通信,并通过操作用户本地文件系统将电子现金读取出来以发送给银行。
(4)银行管理系统:银行使用管理系统来管理和操作数据库中的电子现金。
(5)数据库:银行用数据库来存储电子现金数据。
2.商家
(1)网站服务器:商家必须建立一个网站服务器,这样用户可通过浏览器查看商家商品相关信息。
(2)付款applet:用户通过付款applet与商家电子钱包通信,并通过操作用户本地文件系统将电子现金读取出来以发送给商家电子钱包。
(3)电子钱包:商家通过电子钱包软件来管理并操作商家接收的电子现金。
(4)数据库:商家通过数据库来存储电子现金数据。
3.用户
(1)浏览器:用户使用浏览器来查看其在银行的账户信息以及商家的商品信息,并利用浏览器运行各种applet以实现网上支付。
(2)文件系统:用户的电子现金是以文件形式存储在用户计算机上的。
四、电子现金支付系统流程设计
1.开户
用户携带证件,先到银行开立账户,取得个人账户信息。银行先确认其合法身份,建立消费者数据库,并将消费者的相关信息存入数据库。为实现重复消费者检测功能以及可撤销匿名性功能,用户和银行还需要执行零知识证明协议。
2.取款过程
取款过程如图2所示。
①用户浏览银行网站,银行网站服务器向用户发送由银行数字签名的取款applet。
②用户浏览器用银行的数字证书验证取款applet,如果验证成功,则下载并运行取款applet。
③用户在取款applet中输入需要取得的电子现金相关信息(譬如面值、数量),确认取款后,applet将生成电子现金数据发送给银行管理系统。
④银行管理系统接收到电子现金数据后,对其进行验证,若验证成功,则对其进行盲签名,然后将盲签名后的电子现金数据回发给用户的取款applet。同时,银行管理系统从用户账户中扣除相应金额。
⑤用户applet将得到的数据解开盲数字签名得到电子现金的银行签名,并将电子现金和签名一并以文件形式存储于用户计算机中。同时,取款applet显示一条消息以提示用户取款成功。
3.支付过程
支付过程如图3所示。
图3支付过程
①用户浏览商家网站,商家服务器向用户发送支付applet。
②用户浏览器下载并运行支付applet之后,用户可通过操作支付applet向商家支付电子现金。
③支付applet显示出用户所拥有的电子现金以供用户选择。在用户选择完电子现金之后,支付applet读取相应电子现金数据,并发送给商家的电子钱包。
④商家电子钱包使用银行公钥验证所接收的电子现金的银行签名,若电子现金有效,则商家电子钱包将所收到的电子现金存入数据库,并向用户的支付applet发送确认消息。
(4)存款过程
存款过程如图4所示。
图4 存款过程
①商家浏览银行网站,银行网站服务器向商家发送存款applet。
②商家浏览器下载存款并运行存款applet后,商家可通过存款applet向银行进行存款操作。
③存款applet显示出商家所拥有的电子现金以供商家选择。在商家选择完电子现金之后,存款applet读取相应电子现金数据,并发送给银行管理系统。
④银行管理系统使用银行公钥验证所接收的电子现金的银行签名,并搜索数据库查看该电子现金是否被重复消费。如果没有被重复消费,则存储该电子现金及相应参数。银行从商家账户中增加相应的金额并返回一条确认消息。
五、结论
本文介绍了电子现金支付系统中用到的关键密码技术,详细介绍了一个通用的、离线匿名的电子现金系统的设计。由于该系统避免了第三方实体(例如:信用卡中心等)的介入,使得交易更加直接,也节省了交易时候的通信负担和与第三方实体发生通信时候的成本,实现了离线性。可以利用盲签名技术和切割选择的方法,实现匿名性,但当用户重复消费时,银行能揭示出作弊者的实际身份。交易过程中涉及到用户、商家以及银行之间的通信是通过applet来完成的,对applet签名排除了所有其他非法applet在浏览器上运行的可能性,保证了电子现金的安全性。
参考文献:
[1] d. chaum. blind signature for untraceable payment. in advances in cryptology - crypto’82, 1983: 199~203
[2] d. chaum, etc.. untraceable electronic cash. in advances in cryptology - crypto '88, 1989: 3~327
[3] t. okamato, k. ohata. universal electronic cash. in advances cryptology - crypto’91. lecture notes in computer science 576, springer-verlag, 1991: 324~327
[4] s. brands. an efficient off-line electronic cash system based on the representation problem. reports cs-r9323,centrum voor wiskunde en informatica, march 1993
[5] m. stadler, etc.. fair blind signature. in advances in cryptology - eurocrypt'95, lecture notes in computer science 921, springer-verlag, 1995: 209~219
[6] e. brickell, p. gemmell, d. kravitz. trustee-based tracing extensions to anonymous cash and the making of anonymous change. in proceedings of the 6th annual acm-siam symposium on discrete algorithms, 1995: 157~166
[7] y. frankel, etc.. indirect discourse proofs: achieving efficient fair off-line e-cash. in advances in cryptology - asiacrypt'96, lecture notes in computer science 1163, springer-verlag, 1996: 286 – 300.
[8] m. abe, e. fujisaki. how to date blind signatures. in advances in cryptology - asiacrypt '96, lecture notes in computer science 1163, springer-verlag, 1996: 244~251, 1996
[9] m. jakobsson, m. yung. distributed magic ink signatures. in advances in cryptology - eurocrypt'97, lecture notes in computer science 1233, springer-verlag, 1997: 450~464
[10] a.lysyanskaya and z.ramzan. group blind digital signatures: a scalable solution to elec-tronic cash. in finacial cryptography'98, lncs 1465, 184-197, springcr-verlag, 1998
设计个性签名篇4
关键词:基于身份的密码;环签名;私钥生成中心;标准模型;双线性对;计算性DiffieHellman假设
中图分类号:TP309
文献标志码:A
0引言
文献[1]中提出基于身份的公钥密码体制以解决公钥密码中的证书管理问题。在基于身份的密码中,用户的公钥可以是任一可以标志用户的二进制串,例如电子邮件地址。由私钥生成中心(PrivateKeyGenerator,PKG)借助于主密钥根据用户的需要生成相应的私钥。因此PKG无需保存所签发的证书列表,而用户只需要存储PKG的系统参数,而不是其他用户的证书数据库。文献[2]中提出第一个应用双线性对的实用的基于身份的加密方案。由于双线性对在密码学中有良好的性质,因此得到广泛的关注。
环签名[3]因为签名由一定规则组成一个环而得名。利用环签名技术,用户可以匿名地对消息进行签名,验证者可以检查签名的有效性,但不知道签名是由环中的哪一个成员所签。此外,由同一签名者所签的两个签名是不可链接的,即验证者要确定哪些签名是由同一签名者所签在计算上是不可行的。环签名与群签名[4]相比,没有群管理员,没有组织过程,没有撤销程序,任何签名者可以选择任何的集合,在没有其他人同意和赞成的情况下用自己的私钥和其他人的公钥签名任何消息。基于身份的环签名理论仍有两个公开的难题,其一是现有多数方案是基于双线性对的,众所周知,双线性对的计算相当费时。根据当前的MIRACL[5],一个512@bit的tate对大约需20@ms,而一个1B024@bit的素数阶模幂大约需8.8@ms。其二是可证明安全问题,现在已知基于身份的环签名的安全性都是把证明和非基于身份的安全结合在一起的。这些方法构造的体制在某种程度上效率比较低。因此在不借助于随机预言机的标准模型下设计可证明安全的方案,同时用尽可能少双线性对的运算更有意义。
设计个性签名篇5
关键词: 信息安全;密码学;量子计算;抗量子计算密码
中图分类号:TP 183 文献标志码:A 文章编号:1672-8513(2011)05-0388-08
The Challenge of Quantum Computing to Information Security and Our Countermeasures
ZHANG Huanguo, GUAN Haiming, WANG Houzheng
(Key Lab of Aerospace Information Security and Trusted Computing of Ministry of Education, Computer School, Whan University, Wuhan 430072, China)
Abstract: What cryptosystem to use is a severe challenge that we face in the quantum computing era. It is the only correct choice to research and establish an independent resistant quantum computing cryptosystem. This paper introduces to the research and development of resistant quantum computing cryptography, especially the signature scheme based on HASH function,lattice-based public key cryptosystem,MQ public key cryptosystem and public key cryptosystem based on error correcting codes. Also the paper gives some suggestions for further research on the quantum information theory,the complexity theory of quantum computing,design and analysis of resistant quantum computing cryptosystems .
Key words: information security; cryptography; quantum computing; resistant quantum computing cryptography
1 量子信息时代
量子信息技术的研究对象是实现量子态的相干叠加并对其进行有效处理、传输和存储,以创建新一代高性能的、安全的计算机和通信系统.量子通信和量子计算的理论基础是量子物理学.量子信息科学技术是在20世纪末期发展起来的新学科,预计在21世纪将有大的发展[1].
量子有许多经典物理所没有的奇妙特性.量子的纠缠态就是其中突出的一个.原来存在相互作用、以后不再有相互作用的2个量子系统之间存在瞬时的超距量子关联,这种状态被称为量子纠缠态[1].
量子的另一个奇妙特性是量子通信具有保密特性.这是因为量子态具有测不准和不可克隆的属性,根据这种属性除了合法的收发信人之外的任何人窃取信息,都将破坏量子的状态.这样,窃取者不仅得不到信息,而且窃取行为还会被发现,从而使量子通信具有保密的特性.目前,量子保密通信比较成熟的技术是,利用量子器件产生随机数作为密钥,再利用量子通信分配密钥,最后按传统的“一次一密”方式加密.量子纠缠态的超距作用预示,如果能够利用量子纠缠态进行通信,将获得超距和超高速通信.
量子计算机是一种以量子物理实现信息处理的新型计算机.奇妙的是量子计算具有天然的并行性.n量子位的量子计算机的一个操作能够处理2n个状态,具有指数级的处理能力,所以可以用多项式时间解决一些指数复杂度的问题.这就使得一些原来在电子计算机上无法解决的困难问题,在量子计算机上却是可以解决的.
2 量子计算机对现有密码提出严重挑战
针对密码破译的量子计算机算法主要有以下2种.
第1种量子破译算法叫做Grover算法[3].这是贝尔实验室的Grover在1996年提出的一种通用的搜索破译算法,其计算复杂度为O(N).对于密码破译来说,这一算法的作用相当于把密码的密钥长度减少到原来的一半.这已经对现有密码构成很大的威胁,但是并未构成本质的威胁,因为只要把密钥加长1倍就可以了.
第2种量子破译算法叫做Shor算法[4].这是贝尔实验室的Shor在1997年提出的在量子计算机上求解离散对数和因子分解问题的多项式时间算法.利用这种算法能够对目前广泛使用的RSA、ECC公钥密码和DH密钥协商体制进行有效攻击.对于椭圆曲线离散对数问题,Proos和Zalka指出:在N量子位(qbit)的量子计算机上可以容易地求解k比特的椭圆曲线离散对数问题[7],其中N≈5k+8(k)1/2+5log 2k.对于整数的因子分解问题,Beauregard指出:在N量子位的量子计算机上可以容易地分解k比特的整数[5],其中N≈2k.根据这种分析,利用1448qbit的计算机可以求解256位的椭圆曲线离散对数,因此也就可以破译256位的椭圆曲线密码,这可能威胁到我国第2代身份证的安全.利用2048qbit的计算机可以分解1024位的整数,因此也就可以破译1024位的RSA密码,这就可能威胁到我们电子商务的安全
Shor算法的攻击能力还在进一步扩展,已从求广义解离散傅里叶变换问题扩展到求解隐藏子群问题(HSP),凡是能归结为HSP的公钥密码将不再安全.所以,一旦量子计算机能够走向实用,现在广泛应用的许多公钥密码将不再安全,量子计算机对我们的密码提出了严重的挑战.
3 抗量子计算密码的发展现状
抗量子计算密码(Resistant Quantum Computing Cryptography)主要包括以下3类:
第1类,量子密码;第2类,DNA密码;第3类是基于量子计算不擅长计算的那些数学问题所构建的密码.
量子保密的安全性建立在量子态的测不准与不可克隆属性之上,而不是基于计算的[1,6].类似地,DNA密码的安全性建立在一些生物困难问题之上,也不是基于计算的[7-8].因此,它们都是抗量子计算的.由于技术的复杂性,目前量子密码和DNA密码尚不成熟.
第3类抗量子计算密码是基于量子计算机不擅长的数学问题构建的密码.基于量子计算机不擅长计算的那些数学问题构建密码,就可以抵御量子计算机的攻击.本文主要讨论这一类抗量子计算密码[9].
所有量子计算机不能攻破的密码都是抗量子计算的密码.国际上关于抗量子计算密码的研究主要集中在以下4个方面.
3.1 基于HASH函数的数字签名
1989年Merkle提出了认证树签名方案(MSS)[10]. Merkle 签名树方案的安全性仅仅依赖于Hash函数的安全性.目前量子计算机还没有对一般Hash函数的有效攻击方法, 因此Merkle签名方案具有抗量子计算性质.与基于数学困难性问题的公钥密码相比,Merkle签名方案不需要构造单向陷门函数,给定1个单向函数(通常采用Hash函数)便能造1个Merkle签名方案.在密码学上构造1个单向函数要比构造1个单向陷门函数要容易的多,因为设计单向函数不必考虑隐藏求逆的思路, 从而可以不受限制地运用置换、迭代、移位、反馈等简单编码技巧的巧妙组合,以简单的计算机指令或廉价的逻辑电路达到高度复杂的数学效果.新的Hash标准SHA-3[11]的征集过程中,涌现出了许多新的安全的Hash函数,利用这些新的Hash算法可以构造出一批新的实用Merkle签名算法.
Merkle 签名树方案的优点是签名和验证签名效率较高,缺点是签名和密钥较长,签名次数受限.在最初的Merkle签名方案中, 签名的次数与需要构造的二叉树紧密相关.签名的次数越多,所需要构造的二叉树越大,同时消耗的时间和空间代价也就越大.因此该方案的签名次数是受限制的.近年来,许多学者对此作了广泛的研究,提出了一些修改方案,大大地增加了签名的次数, 如CMSS方案[12]、GMSS方案[13]、DMSS方案等[14].Buchmann, Dahmen 等提出了XOR树算法[12,15],只需要采用抗原像攻击和抗第2原像攻击的Hash函数,便能构造出安全的签名方案.而在以往的Merkle签名树方案中,则要求Hash函数必须是抗强碰撞的.这是对原始Merkle签名方案的有益改进.上述这些成果,在理论上已基本成熟,在技术上已基本满足工程应用要求, 一些成果已经应用到了Microsoft Outlook 以及移动路由协议中[16].
虽然基于Hash函数的数字签名方案已经开始应用,但是还有许多问题需要深入研究.如增加签名的次数、减小签名和密钥的尺寸、优化认证树的遍历方案以及如何实现加密和基于身份的认证等功能,均值得进一步研究.
3.2 基于纠错码的公钥密码
基于纠错码的公钥密码的基本思想是: 把纠错的方法作为私钥, 加密时对明文进行纠错编码,并主动加入一定数量的错误, 解密时运用私钥纠正错误, 恢复出明文.
McEliece利用Goppa码有快速译码算法的特点, 提出了第1个基于纠错编码的McEliece公钥密码体制[17].该体制描述如下, 设G是二元Goppa码[n;k;d]的生成矩阵,其中n=2h;d=2t+1;k=n-ht,明密文集合分别为GF(2)k和GF(2)n.随机选取有限域GF(2)上的k阶可逆矩阵S和n阶置换矩阵P,并设G′=SGP,则私钥为,公钥为G′.如果要加密一个明文m∈GF(2)k,则计算c=mG′+z,这里z∈GF(2)n是重量为t的随机向量.要解密密文c, 首先计算cP-1=mSGPP-1+zP-1=mSG+zP-1,由于P是置换矩阵, 显然z与zP-1的重量相等且为t,于是可利用Goppa的快速译码算法将cP-1译码成m′= mS,则相应明文m= m′S-1.
1978年Berlekamp等证明了一般线性码的译码问题是NPC问题[18],McEliece密码的安全性就建立在这一基础上.McEliece密码已经经受了30多年来的广泛密码分析,被认为是目前安全性最高的公钥密码体制之一.虽然McEliece 公钥密码的安全性高且加解密运算比较快, 但该方案也有它的弱点, 一是它的公钥尺寸太大,二是只能加密不能签名.
1986年Niederreiter提出了另一个基于纠错码的公钥密码体制[19]. 与McEliece密码不同的是它隐藏的是Goppa码的校验矩阵.该系统的私钥包括二元Goppa码[n;k;d]的校验矩阵H以及GF(2)上的可逆矩阵M和置换矩阵P.公钥为错误图样的重量t和矩阵H′=MHP.假如明文为重量为t 的n 维向量m, 则密文为c=mH′T .解密时,首先根据加密表达式可推导出z(MT )-1=mPTHT,然后通过Goppa码的快速译码算法得到mPT,从而可求出明文m .1994年我国学者李元兴、王新梅等[20]证明了Niederreiter密码与McEliece密码在安全性上是等价的.
McEliece密码和Niederreiter密码方案不能用于签名的主要原由是,用Hash算法所提取的待签消息摘要向量能正确解码的概率极低.2001年Courtois等提出了基于纠错码的CFS签名方案[21].CFS 签名方案能做到可证明安全, 短签名性质是它的最大优点. 其缺点是密钥量大、签名效率低,影响了其实用性.
因此, 如何用纠错码构造一个既能加密又签名的密码, 是一个相当困难但却非常有价值的开放课题.
3.3 基于格的公钥密码
近年来,基于格理论的公钥密码体制引起了国内外学者的广泛关注.格上的一些难解问题已被证明是NP难的,如最短向量问题(SVP)、最近向量问题(CVP)等.基于格问题建立公钥密码方案具有如下优势:①由于格上的一些困难性问题还未发现量子多项式破译算法,因此我们认为基于格上困难问题的密码具有抗量子计算的性质.②格上的运算大多为线性运算,较RSA等数论密码实现效率高,特别适合智能卡等计算能力有限的设备.③根据计算复杂性理论,问题类的复杂性是指该问题类在最坏情况下的复杂度.为了确保基于该类困难问题的密码是安全的,我们希望该问题类的平均复杂性是困难的,而不仅仅在最坏情况下是困难的.Ajtai在文献[22]中开创性地证明了:格中一些问题类的平均复杂度等于其最坏情况下的复杂度.Ajtai和Dwork利用这一结论设计了AD公钥密码方案[23].这是公钥密码中第1个能被证明其任一随机实例与最坏情况相当.尽管AD公钥方案具有良好的安全性, 但它的密钥量过大以及实现效率太低、而缺乏实用性.
1996年Hoffstein、Pipher和Silverman提出NTRU(Number Theory Research Unit)公钥密码[24]. 这是目前基于格的公钥密码中最具影响的密码方案.NTRU的安全性建立在在一个大维数的格中寻找最短向量的困难性之上.NTRU 密码的优点是运算速度快,存储空间小.然而, 基于NTRU的数字签名方案却并不成功.
2000年Hoffstein等利用NTRU格提出了NSS签名体制[25], 这个体制在签名时泄露了私钥信息,导致了一类统计攻击,后来被证明是不安全的.2001年设计者改进了NSS 体制,提出了R-NSS 签名体制[26],不幸的是它的签名仍然泄露部分私钥信息.Gentry 和Szydlo 结合最大公因子方法和统计方法,对R-NSS 作了有效的攻击.2003年Hoffstein等提出了NTRUSign数字签名体制[27].NTRUSign 签名算法较NSS与R-NSS两个签名方案做了很大的改进,在签名过程中增加了对消息的扰动, 大大减少签名中对私钥信息的泄露, 但却极大地降低了签名的效率, 且密钥生成过于复杂.但这些签名方案都不是零知识的,也就是说,签名值会泄露私钥的部分相关信息.以NTRUSign 方案为例,其推荐参数为(N;q;df;dg;B;t;N)= (251;128;73;71;1;"transpose";310),设计值保守推荐该方案每个密钥对最多只能签署107 次,实际中一般认为最多可签署230次.因此,如何避免这种信息泄露缺陷值得我们深入研究.2008 年我国学者胡予濮提出了一种新的NTRU 签名方案[28],其特点是无限制泄露的最终形式只是关于私钥的一组复杂的非线性方程组,从而提高了安全性.总体上这些签名方案出现的时间都还较短,还需要经历一段时间的安全分析和完善.
由上可知,进一步研究格上的困难问题,基于格的困难问题设计构造既能安全加密又能安全签名的密码,都是值得研究的重要问题.
3.4 MQ公钥密码
MQ公钥密码体制, 即多变量二次多项式公钥密码体制(Multivariate Quadratic Polynomials Public Key Cryptosystems).以下简称为MQ密码.它最早出现于上世纪80年代,由于早期的一些MQ密码均被破译,加之经典公钥密码如RSA算法的广泛应用,使得MQ公钥算法一度遭受冷落.但近10年来MQ密码的研究重新受到重视,成为密码学界的研究热点之一.其主要有3个原因:一是量子计算对经典公钥密码的挑战;二是MQ密码孕育了代数攻击的出现[29-31],许多密码(如AES)的安全性均可转化为MQ问题,人们试图借鉴MQ密码的攻击方法来分析这些密码,反过来代数攻击的兴起又带动了MQ密码的蓬勃发展;三是MQ密码的实现效率比经典公钥密码快得多.在目前已经构造出的MQ密码中, 有一些非常适用于智能卡、RFID、移动电话、无线传感器网络等计算能力有限的设备, 这是RSA等经典公钥密码所不具备的优势.
MQ密码的安全性基于有限域上的多变量二次方程组的难解性.这是目前抗量子密码学领域中论文数量最多、最活跃的研究分支.
设U、T 是GF(q)上可逆线性变换(也叫做仿射双射变换),而F 是GF(q)上多元二次非线性可逆变换函数,称为MQ密码的中心映射.MQ密码的公钥P为T 、F 和U 的复合所构成的单向陷门函数,即P = T•F•U,而私钥D 由U、T 及F 的逆映射组成,即D = {U -1; F -1; T -1}.如何构造具有良好密码性质的非线性可逆变换F是MQ密码设计的核心.根据中心映射的类型划分,目前MQ密码体制主要有:Matsumoto-Imai体制、隐藏域方程(HFE) 体制、油醋(OV)体制及三角形(STS)体制[32].
1988年日本的Matsumoto和Imai运用"大域-小域"的原理设计出第1个MQ方案,即著名的MI算法[33].该方案受到了日本政府的高度重视,被确定为日本密码标准的候选方案.1995年Patarin利用线性化方程方法成功攻破了原始的MI算法[34].然而,MI密码是多变量公钥密码发展的一个里程碑,为该领域带来了一种全新的设计思想,并且得到了广泛地研究和推广.改进MI算法最著名的是SFLASH签名体制[35],它在2003年被欧洲NESSIE 项目收录,用于智能卡的签名标准算法.该标准签名算法在2007年美密会上被Dubois、Fouque、Shamir等彻底攻破[36].2008年丁津泰等结合内部扰动和加模式方法给出了MI的改进方案[37-38].2010年本文作者王后珍、张焕国也给出了一种SFLASH的改进方案[39-40],改进后的方案可以抵抗文献[36]的攻击.但这些改进方案的安全性还需进一步研究.
1996年Patarin针对MI算法的弱点提出了隐藏域方程HFE(Hidden Field Equations)方案[41].HFE可看作为是对MI的实质性改进.2003 年Faugere利用F5算法成功破解了HFE体制的Challenge-1[42].HFE主要有2种改进算法.一是HFEv-体制,它是结合了醋变量方法和减方法改进而成,特殊参数化HFEv-体制的Quartz签名算法[43].二是IPHFE体制[44],这是丁津泰等结合内部扰动方法对HFE的改进.这2种MQ密码至今还未发现有效的攻击方法.
油醋(OilVinegar)体制[45]是Patarin在1997年利用线性化方程的原理,构造的一种MQ公钥密码体制.签名时只需随机选择一组醋变量代入油醋多项式,然后结合要签名的文件,解一个关于油变量的线性方程组.油醋签名体制主要分为3类:1997年Patarin提出的平衡油醋(OilVinegar)体制, 1999年欧密会上Kipnis、Patarin 和Goubin 提出的不平衡油醋(Unbalanced Oil and Vinegar)体制[46]以及丁津泰在ACNS2005会议上提出的彩虹(Rainbow)体制[47].平衡的油醋体制中,油变量和醋变量的个数相等,但平衡的油醋体制并不安全.彩虹体制是一种多层的油醋体制,即每一层都是油醋多项式,而且该层的所有变量都是下一层的醋变量,它也是目前被认为是相对安全的MQ密码之一.
三角形体制是现有MQ密码中较为特殊的一类,它的签名效率比MI和HFE还快,而且均是在较小的有限域上进行.1999年Moh基于Tame变换提出了TTM 密码体制[48],并在美国申请了专利.丁津泰等指出当时所有的TTM实例均满足线性化方程.Moh等随后又提出了一个新的TTM 实例,这个新的实例被我国学者胡磊、聂旭云等利用高阶线性化方程成功攻破[49].目前三角形体制的设计主要是围绕锁多项式的构造、结合其它增强多变量密码安全性的方法如加减(plus-minus) 模式以及其它的代数结构如有理映射等.
我国学者也对MQ密码做了大量研究,取得了一些有影响的研究成果.2007年管海明引入单向函数链对MQ密码进行扩展,提出了有理分式公钥密码系统[50].胡磊、聂旭云等利用高阶线性化方程成功攻破了Moh提出的一个TTM新实例[51].2010年本文作者王后珍、张焕国给出了一种SFLASH的改进方案[39-40].2010年王后珍、张焕国基于扩展MQ,设计了一种Hash函数[52-53],该Hash函数具有一些明显的特点.同年,王后珍、张焕国借鉴有理分式密码单向函数链的思想[52],对MQ密码进行了扩展,设计了一种新的抗量子计算扩展MQ密码[54].这些研究对于扩展MQ密码结构,做了有益的探索.但是这些方案提出的时间较短,其安全性有待进一步分析.
根据上面的介绍,目前还没有一种公认安全的MQ公钥密码体制.目前MQ公钥密码的主要缺点是:只能签名,不能安全加密(加密时安全性降低),公钥大小较长,很难设计出既安全又高效的MQ公钥密码体制.
3.5 小结
无论是量子密码、DNA密码,还是基于量子计算不擅长计算的那些数学问题所构建的密码,都还存在许多不完善之处,都还需要深入研究.
量子保密通信比较成熟的是,利用量子器件产生随机数作为密钥,再利用量子通信分配密钥,最后按“一次一密”方式加密.在这里,量子的作用主要是密钥产生和密钥分配,而加密还是采用的传统密码.因此,严格说这只能叫量子保密,尚不能叫量子密码.另外,目前的量子数字签名和认证方面还存在一些困难.
对于DNA密码,目前虽然已经提出了DNA传统密码和DNA公钥密码的概念和方案,但是理论和技术都还不成熟[9-10].
对于基于量子计算不擅长计算的那些数学问题所构建的密码,现有的密码方案也有许多不足.如,Merkle树签名可以签名,不能加密;基于纠错码的密码可以加密,签名不理想;NTRU密码可以加密,签名不理想;MQ密码可以签名,加密不理想.这说明目前尚没有形成的理想的密码体制.而且这些密码的安全性还缺少严格的理论分析.
总之,目前尚未形成理想的抗量子密码.
4 我们的研究工作
我们的研究小组从2007年开始研究抗量子计算密码.目前获得了国家自然科学基金等项目的支持,并取得了以下2个阶段性研究成果.
4.1 利用多变量问题,设计了一种新的Hash函数
Hash 函数在数字签名、完整性校验等信息安全技术中被广泛应用.目前 Hash 函数的设计主要有3类方法:①直接构造法.它采用大量的逻辑运算来确保Hash函数的安全性. MD系列和SHA系列的Hash函数均是采用这种方法设计的.②基于分组密码的Hash 函数,其安全性依赖于分组密码的安全性.③基于难解性问题的构造法.利用一些难解性问题诸如离散对数、因子分解等来构造Hash 函数.在合理的假设下,这种Hash函数是可证明安全的,但一般来讲其效率较低.
我们基于多变量非线性多项式方程组的难解性问题,构造了一种新的Hash 函数[54-55].它的安全性建立在多变量非线性多项式方程组的求解困难性之上.方程组的次数越高就越安全,但是效率就越低.它的效率主要取决多变量方程组的稀疏程度,方程组越稀疏效率就越高,但安全性就越低.我们可以权衡安全性和效率来控制多变量多项式方程组的次数和稠密度,以构造出满足用户需求的多变量Hash 函数.
4.2 对MQ密码进行了扩展,把Hash认证技术引入MQ密码,得到一种新的扩展MQ密码
扩展MQ密码的基本思想是对传统MQ密码的算法空间进行拓展. 如图1所示, 我们通过秘密变换L将传统MQ密码的公钥映G:GF(q)nGF(q)n, 拓展隐藏到更大算法空间中得到新的公钥映射G′:GF(q)n+δGF(q)n+μ, 且G′的输入输出空间是不对称的, 原像空间大于像空间(δ>|μ|), 即具有压缩性, 但却并未改变映射G的可逆性质. 同时, 算法空间的拓展破坏了传统MQ密码的一些特殊代数结构性质, 从攻击者的角度, 由于无法从G′中成功分解出原公钥映射G, 因此必须在拓展空间中求解更大规模的非线性方程组G′, 另外, 新方案中引入Hash认证技术, 攻击者伪造签名时, 伪造的签名不仅要满足公钥方程G′、 还要通过Hash函数认证, 双重安全性保护极大地提升了传统MQ公钥密码系统的安全性. 底层MQ体制及Hash函数可灵活选取, 由此可构造出一类新的抗量子计算公钥密码体制.这种扩展MQ密码的特点是,既可安全签名,又可安全加密[56].
我们提出的基于多变量问题的Hash函数和扩展MQ密码,具有自己的优点,也有自己的缺点.其安全性还需要经过广泛的分析与实践检验才能被实际证明.
5 今后的研究工作
5.1 量子信息论
量子信息建立在量子的物理属性之上,由于量子的物理属性较之电子的物理属性有许多特殊的性质,据此我们估计量子的信息特征也会有一些特殊的性质.这些特殊性质将会使量子信息论对经典信息论有一些新的扩展.但是,具体有哪些扩展,以及这些新扩展的理论体系和应用价值体现在哪里?我们尚不清楚.这是值得我们研究的重要问题.
5.2 量子计算理论
这里主要讨论量子可计算性理论和量子计算复杂性理论.
可计算性理论是研究计算的一般性质的数学理论.它通过建立计算的数学模型,精确区分哪些是可计算的,哪些是不可计算的.如果我们研究清楚量子可计算性理论,将有可能构造出量子计算环境下的绝对安全密码.但是我们目前对量子可计算性理论尚不清楚,迫切需要开展研究.
计算复杂性理论使用数学方法对计算中所需的各种资源的耗费作定量的分析,并研究各类问题之间在计算复杂程度上的相互关系和基本性质.它是密码学的理论基础之一,公钥密码的安全性建立在计算复杂性理论之上.因此,抗量子计算密码应当建立在量子计算复杂性理论之上.为此,应当研究以下问题.
1) 量子计算的问题求解方法和特点.量子计算复杂性建立在量子图灵机模型之上,问题的计算是并行的.但是目前我们对量子图灵机的计算特点及其问题求解方法还不十分清楚,因此必须首先研究量子计算问题求解的方法和特点.
2) 量子计算复杂性与传统计算复杂性之间的关系.与电子计算机环境的P问题、NP问题相对应, 我们记量子计算环境的可解问题为QP问题, 难解问题为QNP问题.目前人们对量子计算复杂性与传统计算复杂性的关系还不够清楚,还有许多问题需要研究.如NP与QNP之间的关系是怎样的? NPC与QP的关系是怎样的?NPC与QNP的关系是怎样的?能否定义QNPC问题?这些问题关系到我们应基于哪些问题构造密码以及所构造的密码是否具有抗量子计算攻击的能力.
3) 典型难计算问题的量子计算复杂度分析.我们需要研究传统计算环境下的一些NP难问题和NPC问题,是属于QP还是属于QNP问题?
5.3 量子计算环境下的密码安全性理论
在分析一个密码的安全性时,应首先分析它在电子计算环境下的安全性,如果它是安全的,再进一步分析它在量子计算环境下的安全性.如果它在电子计算环境下是不安全的,则可肯定它在量子计算环境下是不安全的.
1) 现有量子计算攻击算法的攻击能力分析.我们现在需要研究的是Shor算法除了攻击广义离散傅里叶变换以及HSP问题外,还能攻击哪些其它问题?如果能攻击,攻击复杂度是多大?
2) 寻找新的量子计算攻击算法.因为密码的安全性依赖于新攻击算法的发现.为了确保我们所构造的密码在相对长时间内是安全的,必须寻找新的量子计算攻击算法.
3) 密码在量子计算环境下的安全性分析.目前普遍认为, 基于格问题、MQ问题、纠错码的译码问题设计的公钥密码是抗量子计算的.但是,这种认识尚未经过量子计算复杂性理论的严格的论证.这些密码所依赖的困难问题是否真正属于QNP问题?这些密码在量子计算环境下的实际安全性如何?只有经过了严格的安全性分析,我们才能相信这些密码.
5.4 抗量子计算密码的构造理论与关键技术
通过量子计算复杂性理论和密码在量子计算环境下的安全性分析的研究,为设计抗量子计算密码奠定了理论基础,并得到了一些可构造抗量子计算的实际困难问题.但要实际设计出安全的密码,还要研究抗量子计算密码的构造理论与关键技术.
1) 量子计算环境下的单向陷门设计理论与方法.理论上,公钥密码的理论模型是单向陷门函数.要构造一个抗量子计算公钥密码首先就要设计一个量子计算环境下的单向陷门函数.单向陷门函数的概念是简单的,但是单向陷门函数的设计是困难的.在传统计算复杂性下单向陷门函数的设计已经十分困难,我们估计在量子计算复杂性下单向陷门函数的设计将更加困难.
2) 抗量子计算密码的算法设计与实现技术.有了单向陷门函数,还要进一步设计出密码算法.有了密码算法,还要有高效的实现技术.这些都是十分重要的问题.都需要认真研究才能做好.
6 结语
量子计算时代我们使用什么密码,是摆在我们面前的重大战略问题.研究并建立我国独立自主的抗量子计算密码是我们的唯一正确的选择.本文主要讨论了基于量子计算机不擅长计算的数学问题所构建的一类抗量子计算的密码,介绍了其发展现状,并给出了进一步研究的建议.
参考文献:
[1]张镇九,张昭理,李爱民.量子计算与通信保密[M].武汉:华中师范大学出版社,2002.
[2]管海明. 国外量子计算机进展、对信息安全的挑战与对策[J].计算机安全,2009(4):1-5.
[3]GROVER L K. A fast quantum mechanical algorithm for database search[C]// Proceedings of the Twenty-Eighth Annual Symposium on the Theory of Computing. New York: ACM Press, 1996.
[4]SHOR P W. Polynomial-time algorithms for prime factorization and discrete logarithms on a quantum computer [J]. SIAM J Computer, 1997(26) :1484-1509.
[5]HANKERSON D, MENEZES A, VANSTONE S. 椭圆曲线密码学导论[M].张焕国,译.北京:电子工业出版社,2005.
[6]曾贵华. 量子密码学[M].北京:科学出版社,2006.
[7]来学嘉, 卢明欣, 秦磊, 等. 基于DNA 技术的非对称加密与签名方法[J]. 中国科学E辑:信息科学, 2010, 40(2): 240-248.
[8]卢明欣,来学嘉,肖国镇,等. 基于DNA技术的对称加密方法[J]. 中国科学E辑:信息科学, 2007(2): 175-182.
[9]BERNSTEIN D J, BUCHMANN J A, DAHMEN E. Post-quantum cryptography [M]. Berlin:Springer, 2009.
[10]MERKLE R C. A certified digital signature[C]//Advances in Cryptology-CRYPTO 1989 Proceedings, LNCS. Berlin:Springer, 1989,435:218-238.
[11]NIST. Plan for new cryptographic hash functions[EB/OL]. [2010-12-30]..
[49]DING J, HU L, NIE X Y, et al. High order linearization equation (HOLE) attack on multivariate public key cryptosystems[C]//Proceedings of PKC 2007. Berlin: Springer-Verlag, 2007: 233-248.
[50]管海明.有理分式公钥密码体制[C]//第五届中国信息与通信安全学术会议(CCICS’2007)论文集.科学出版社,2007:135-141.
[51]胡磊,聂旭云.多变量公钥密码的研究进展[C]//中国密码学发展报告.北京:电子工业出版社, 2007: 235-254.
[52]王后珍,张焕国.多变量Hash函数的构造理论与方法[J].中国科学:信息科学版,2010,40(10):1299-1311.
[53]WANG H Z, ZHANG H G. Design theory and method of multivariate hash function[J].SCIENCE CHINA:Information Sciences, 2010, 53(10):1 917-2 158.
[54]王后珍, 张焕国.一种新的轻量数字签名方法[J].通信学报,2010(11):25-29.
收稿日期:2011-04-20.
基金项目:国家自然科学基金(60970115,91018008).
设计个性签名篇6
[摘要] 本文在分析了现行数字签名(PKI)的缺陷的基础上,提出基于离散对数问题的密钥隔离和数字水印技术的数字签名体制。利用z次多项式,将密钥分为用户密钥和系统密钥,签名时由用户密钥完成,密钥更新时由用户密钥和系统密钥合作完成。极大地提高了数字签名体制的安全性。
[关键词] PKI 用户密钥 系统密钥 数字签名
一、引言
在网络经济时代,电子商务逐渐成为一种主流商务模式。2004年8月28日经全国人民代表大会常务委员会审议批准通过的《中华人民共和国电子签名法》(简称《 电子签名法》)标志着电子签名与手写签名或印章具有同等法律效力。它适用于我国的电子商务、电子政务、网上银行及网上证券业并对它们的发展产生深远的影响。是我国进入世界先进数字化、网络化国家的重要标志之一,对我国电子商务、电子政务的顺利发展,提高我国信息化程度,提高我国的国民经济水平,提高银行界的经营效益和质量,将起着非常重大的促进作用。但目前比较成熟的,世界先进国家普遍使用的电子签名技术还是“数字签名”技术。数字签名用于鉴定签名人的身份以及对一项电子数据内容的认可。它还能验证出文件的原文在传输过程中有无变动,确保传输电子文件的完整性、真实性和不可抵赖性。随着网络的发展和普及,数字签名系统密钥的安全,一直是国内外研究人员的研究热点。
二、现行数字签名的加解密技术的缺陷
现行数字签名的加解密技术绝大多数采用的是20世纪80年代由美国学者提出的公钥基础设施(PKI)。PKI是一种利用非对称密码算法(RSA算法,即公开密钥算法)原理和技术来实现的,并提供网络安全服务应具有通用性的安全基础设施。它利用公钥加密技术为电子商务、电子政务、网上银行和网上证券业提供一整套安全保证的基础平台。用户利用PKI基础平台所提供的安全服务,能在网上实现安全的通信。它的组成如下图所示,图中,PKI的核心执行机构是认证机构CA,其核心元素是数字证书。它是一种权威性、可信任性和公正性的第三方机构。CA是不参与交易双方利益的第三方机构,因而具有公正性。在通信过程中,发方(甲方)将原文用哈希算法求得数字摘要,用签名私钥对数字摘要加密得数字签名,发方将原文与数字签名一起发送给接收方(乙方);接收方验证签名,即用发方公钥解密数字签名,得出数字摘要;接收方将原文采用同样哈希算法又得一新的数字摘要,将两个数字摘要进行比较,如果二者匹配,说明经数字签名的电子文件传输成功。根据Kerckhof假设,数字签名体制的安全性完全依赖于密钥的安全性。然而在实际应用中,由于采用公开密钥算法,密钥容易被攻破而带来严重后果。为了减轻密钥泄漏所带来的严重后果,有人提出了前向安全签名的概念,前向安全体制的思想是将整个系统的生存时间划分为n个时期,密钥根据更新算法在每个时期进行更新,而公钥保持不变。攻击者即使获得了某个时期的密钥,也无法对该时期以前的密钥构成威胁。但是随着各种无线、移动数字产品的使用,密钥越来越多地保存在不安全的设备中,另外由于用户缺乏经验和保护意识,使得密钥很容易泄露。攻击者获得某个时期的密钥,虽然无法对该时期以前的密钥构成威胁,但是对该时期以后的密钥仍会构成威胁。因此系统仍将停止使用,重新建立。另外,由于用户对可信中心依赖过大,加密或签名的过程必须在可信中心的监督下运行,即可信中心有能力在用户不同意的情况下单独解密签名用户的文件。
三、对数字签名的加解密技术的改进
针对上述数字签名的加解密技术方面存在的缺陷,本文提出基于离散对数问题的密钥隔离和数字水印技术的数字签名体制,利用z次多项式,将密钥分为用户密钥和系统密钥,签名时由用户密钥完成,密钥更新时由用户密钥和系统密钥合作完成(即上图中的甲方、乙方、CA共同完成),从而实现密钥隔离的思想。该体制计算简单,安全性能高,实用性强。
1.系统建立算法B(概率算法,由用户完成)
(1)随机选择两个n比特大素数P和q,P=2q+1,设Bq是中阶为q的子群,b是Bq的生成元;
(2)随机选择一个Z次多项式,;
(3)随机选择HASH函数H;
(4)公开公钥,秘密保存密钥。公钥,由用户秘密保存用户密钥,由可信中心秘密保存系统密钥。
2.系统密钥更新算法U*(多项式算法,由可信中心完成)
输入时期数i(1≤i≤n),由系统密钥SK*计算出i时期的部分密钥,并将秘密传送给用户。
3.用户密钥更新算法U(多项式算法,由用户完成)
输入时期数i(1≤i≤n),由i-1时期的密钥和i时期的部分密钥,计算出i时期的密钥,用户将秘密保存密钥,并销毁密钥。
4.签名过程
在i时期,设有待处理信息M,签名者将信息原文用哈希算法求得数字摘要,然后将数字摘要进行数字水印处理,用签名私钥对数字水印处理后的数字摘要加密得数字签名。签名者随机选取,计算:,,将作为签名公布。
5.验证算法V(多项式算法)
在i时期,对信息M的签名进行验证。
(1)计算;
(2)计算;
(3)计算;
(4)验证是否成立。若等式成立,则接受签名;否则拒绝签名。
四、结语
本文介绍了基于离散对数问题的密钥隔离和数字水印技术的数字签名体制的基本思想,利用z次多项式,将密钥分为用户密钥和系统密钥,签名时由用户密钥完成,密钥更新时由用户密钥和系统密钥合作完成。在数字签名过程中,通过密钥分离克服了可信中心在用户不同意的情况下单独解密签名用户的文件和攻击者获得某个时期的密钥及公钥解密数字签名的缺陷。同时使用了数字水印技术来处理数字签名,数字签名的安全性得到了进一步增强了。计算简单,安全性能高,实用性强,具有广泛的应用前景。
参考文献:
[1]关振胜:《电子签名法》与数字签名的技术实现[J].电子商务,2006.1:36-43
[2]M Bellare,S miner. A forward-secure digital signature scheme[C].In:Advances in Cryptology-Crypto’99,volume 1666 of Lecture Notes of Computer Seience,1999:431-448
[3]R Anderson.Two remarks on public key cryptology[C].In:Fourth Annual Conference on Computer and Communications Security,ACM,1997
设计个性签名篇7
[关键词] 门限ECC 电子商务安全 加密签名
一、引言
计算机通信技术的蓬勃发展推动电子商务的日益发展,电子商务将成为人类信息世界的核心,也是网络应用的发展方向,与此同时,信息安全问题也日益突出,安全问题是当前电子商务的最大障碍,如何堵住网络的安全漏洞和消除安全隐患已成为人们关注的焦点,有效保障电子商务信息安全也成为推动电子商务发展的关键问题之一。
二、电子商务安全关键技术
当前电子商务普遍存在着假冒、篡改信息、窃取信息、恶意破坏等多种安全隐患,为此,电子商务安全交易中主要保证以下四个方面:信息保密性、交易者身份的确定性、不可否认性、不可修改性。保证电子商务安全的关键技术是密码技术。密码学为解决电子商务信息安全问题提供了许多有用的技术,它可用来对信息提供保密性,对身份进行认证,保证数据的完整性和不可否认性。广泛应用的核心技术有:
1.信息加密算法,如DES、RSA、ECC、MDS等,主要用来保护在公开通信信道上传输的敏感信息,以防被非法窃取。
2.数字签名技术,用来对网上传输的信息进行签名,保证数据的完整性和交易的不可否认性。数字签名技术具有可信性、不可伪造性和不可重用性,签名的文件不可更改,且数字签名是不可抵赖的。
3.身份认证技术,安全的身份认证方式采用公钥密码体制来进行身份识别。
ECC与RSA、DSA算法相比,其抗攻击性具有绝对的优势,如160位ECC与1024位RSA、DSA有相同的安全强度。而210位ECC则是与2048比特RSA、DSA具有相同的安全强度。虽然在RSA中可以通过选取较小的公钥(可以小到3)的方法提高公钥处理速度,使其在加密和签名验证速度上与ECC有可比性,但在私钥的处理速度上(解密和签名),ECC远比RSA、DSA快得多。通过对三类公钥密码体制的对比,ECC是当今最有发展前景的一种公钥密码体制。
三、椭圆曲线密码系统ECC密码安全体制
椭圆曲线密码系统(Elliptic Curve Cryptosystem,ECC)是建立在椭圆曲线离散对数问题上的密码系统,是1985年由Koblitz(美国华盛顿大学)和Miller(IBM公司)两人分别提出的,是基于有限域上椭圆曲线的离散对数计算困难性。近年来,ECC被广泛应用于商用密码领域,如ANSI(American National Standards Institute)、IEEE、ISO、NIST(National Institute of Standards Technology)。
椭圆曲线密码体制ECC首先定义椭圆曲线:
设K是一个域:K可以是实数域、复数域或有限域。定义在有限域K上的一条椭圆曲线E是满足Weierstrass方程的解的集合:
其中:及一个无穷远点O组成。这个点可以看成是位于y轴上的无穷远处,且曲线上的每个点都是非奇异(或光滑)的。
在此基础上,确定椭圆曲线运算规则:设E(K)表示有限域K上椭圆曲线解的集合,以及一个无穷远点O。椭圆曲线E上的两个点相加的群运算规则可以通过“正切于弦”加法运算及这个无穷远点来定义。
“正切与弦”操作可以看作获取椭圆曲线上两点之和的几何方法。该方法在E(R)域上最容易描述。注意到与椭圆曲线相交任何直线都有一个精确的第3个点。
椭圆曲线上的点加运算类似于有限域上的两个元素相乘。因此,椭圆曲线上的点与有限域上的整数的倍乘(点积)相当于上元素的幂运算。
给定一条有限域Z,上的椭圆曲线E及两个点寻找一个整数x,使得P=Bx,如果这样的数存在,这就是椭圆曲线离散对数。
椭圆曲线离散对数问题是构造椭圆曲线密码体制的数学基础。由前面给出的公式可以看出,椭圆曲线密码体制的基本运算主要是由大数的点加、点积、平方乘余判断、明文消息编码为椭圆曲线上的点、模乘、模逆等运算组成。
四、基于ECC的电子商务数字加密签名方案
数字签名是实现电子商务交易安全的核心之一,在实现身份认证、数据完整性、不可抵赖性等功能方面都具有重要应用。尤其在密钥分配、电子银行、电子证券、电子商务和电子政务等许多领域有重要应用价值。数字签名就是用私有密钥进行加密,而认证就是利用公开密钥可以进行正确的解密。数字签名实际上是使用了公钥密码算法变换所需传输的信息,与传统的手工签字与印章有根本不同。手工签字是模拟的,因人而异,不同的人,其签字是不同的;数字签名是针对计算机处理的数据。即0和1的比特数据串,因消息而异的,同一个人,对不同的消息,其签字结果是不同的。
借鉴椭圆曲线签名体制和门限椭圆曲线密码体制,本论文提出如下基于门限椭圆曲线的加密签名方案,将接收者的密钥在若干个接收者中共享,使只有达到门限值数量的接收者联合才能解密接收到的消息。该方案分为三个阶段:参数初始化阶段、加密签名阶段、解密验证阶段。它是由一个密钥分配中心,一个发送者Alice和n个接收者来实现的。设是n接收者的集合。
1.参数初始化阶段:设p>3是一个大素数,E是密钥中心在上选取的一条安全的椭圆曲线,并保证在该椭圆曲线上的离散对数问题是难解的。是椭圆曲线上的一个点,由a生成的循环群记为,且a的阶为素数q(q足够大)。设Alice的私钥是,公钥是。令接收者的身份标识,是不等于零的正整数。设的私钥是,公钥是。利用Shamir(t,n)门限方案将P的私钥在n个接收者中共享,使得至少t个接收者联合才能解密出消息。最后,密钥分配中心通过安全信道发送给,并将销毁。
2.加密签名阶段:
(1)选择一个随机数k,,并计算,。
(2)如果r=O则回到步骤(1)。
(3)计算,如果s=O则回到步骤(1)。
(4)对消息m的加密签名为,最后Alice将发送给接收者。
3.解密验证阶段:当方案解密时,接收者P收到密文后,P中的任意t个接收者能够对密文进行解密。设联合进行解密,认证和解密算法描述如下:
(1)检查r,要求,并计算,。
(2)如果X=O表示签名无效;否则,并且B中各成员计算,由这t个接收者联合恢复出群体密钥的影子。
(3)计算,验证如果相等,则表示签名有效;否则表示签名无效。
基于门限椭圆曲线的加密签名方案具有较强的安全性,在发送端接收者组P由签名消息及无法获得Alice的私钥,因为k是未知的,欲从及a中求得k等价于求解ECDLP问题。同理,攻击者即使监听到也无法获得Alice的私钥及k;在接收端,接收者无法进行合谋攻击,任意t-1或少于t-1个解密者无法重构t-1次多项式f(x),也就不能合谋得到接收者组p中各成员的私钥及组的私钥。
五、结束语
为了保证电子商务信息安全顺利实现,在电子商务中使用了各种信息安全技术,如加密技术、密钥管理技术、数字签名等来满足信息安全的所有目标。论文对ECDSA方案进行改进,提出了一种门限椭圆曲线加密签名方案,该方案在对消息进行加密的过程中,同时实现数字签名,大大提高了原有方案单独加密和单独签名的效率和安全性。
参考文献:
[1]Koblitz N. Elliptic Curve Cryprosystems. Mathematics of Computation, 1987,48:203~209
[2]IEEE P 1363:Standard of Public-Key Cryptography, Working Draft,1998~08
[3]杨波:现代密码学,北京:清华大学出版社,2003
[4]戴元军杨成:基于椭圆曲线密码体制的(t,n)门限签密方案,计算机应用研究.2004,21(9):142~146
设计个性签名篇8
Abstract: The cryptosystem of elliptic curve is one of the hotspots of cryptography research. As the most important digital cryptosystem, digital signature system is a one-way irreversible public key system, and it has gradually replaced the status of RSA in the process of resource processing, also it has a vital role in e-commerce and cybersecurity communications. In this paper, through the analysis of elliptic curve cryptography and digital signature, it gives some suggestions for improvement and optimization.
关键词: E圆曲线密码体制;数学签名;门限体制
Key words: elliptic curve cryptosystem;mathematical signature;threshold system
中图分类号:TN918.1 文献标识码:A 文章编号:1006-4311(2017)22-0204-02
0 引言
作为密码学的核心,公钥密码在信息安全中担负着密钥协商、数字签名、消息认证等重要角色。目前信息安全领域的核心体制是基于椭圆曲线的椭圆曲线密码体制,简称ECC,它是一类以椭圆曲线的数学理论为核心公钥密码体制。这种体制是在1985年由Neal Koblitz和Victor Miller分别独立提出的,进而一步一步发展为椭圆曲线在密码学。随着其不断完善和成熟,应用十分广泛。这是因为和其他公钥密码体制相比较而言,这类新的椭圆曲线密码体制的最大优点是短密钥和计算效率高。而其安全的主要依据是建立在由其定义的某类椭圆曲线点群上的离散对数问题求解的困难性的基础之上,这些椭圆曲线上离散对数的求解问题的难易程度要远远大于经典的离散对数问题。
随着密码学的发展和需要,数字签名方案体系随之而出并成为密码学的一个新的分支,特别是现在已经成为当今网络信息安全中的核心技术之一。它在身份认证、数据完整性评价、不可否认性和匿名性验证等信息安全应用领域中都有着重要的应用。它要求签名者用自己的私钥对给定的消息进行签名,而同时验证者需要利用签名者预先给定的公钥并结合消息来检验他的签名是否有效。因此数字签名方案成为开展电子商务信息安全的重要保障,并在实现客户身份认证、重要机密数据完整性和系统不可抵御性等领域都有重要的应用前景。
本文的目的在于通过对已有的椭圆曲线密码体制及数字签名方案的研究分析,进而从构造可验证性、盲性、不可伪造性的一种新型的可验证的门限盲签名方案入手,给出这种签名体系改进和进一步优化的几点建议,以供设计者甄别。
1 椭圆曲线数字签名方案设计
在ISO7498―2标准中,数字签名方案的定义是附加在数据单元上的一些数据,或者是对一些数据单元所作的密码新变换,这种数据和变换允许数据单元的接收者利用并用以确认数据单元的来源和数据单元的完整性,进而保护数据安全,以防止被人(例如接收者)进行伪造。
在上述的数字签名方案中,要求加密变换使用的密钥和解密变换使用的密钥必须是完全相同的一串密钥,而这个公共的密钥必须以某种非常安全的方式告诉解密的一方。这就是所谓的公钥密码体制。它使用的密钥被人们分解为一对,即就是一把公钥密码和一把私钥密码。要求私钥安全保密就可以了,公钥密码是可以公开的,也可以将其发到因特网等公开地方供别人查询和下载使用。
1.1 基于椭圆曲线的数字签名方案
数字签名的过程如图1所示。
1.2 椭圆曲线数字签名算法(ECDSA)
研究者开始只是使用椭圆曲线算法对数字签名算法进行模拟实验。直到1999年,ECDSA才被ANSI确定为一种新的数字签名标准ANSI X9.62-1998,这是由于基于椭圆曲线离散对数问题的数字签名算法要远远难于经典的离散对数问题,而且基于椭圆曲线的密码系统的单位比特强度也是要远远高于经典离散对数系统的,因此,其安全性更高、更可靠。
避免求k逆的签名过程如图2所示。
2 基于椭圆曲线的新型门限签名方案
一种签名方案如果能够实现其秘密共享效果就可以发展为一种新的门限签名方案,也就是说,如果人们不能简单地把秘密共享方案和签名方案结合起来则其就是门限签名方案。因为若要根据秘密共享方案分割密钥的话,等到用时再将其合成,则这种方法固然是不可取的。因此,一个科学的门限签名方案是每一个成员需要对消息使用自己的子密钥签名从而得到部分签名,而签名机构每次即就是使用N个部分签名也无法获得整个签名的任何真实信息,并且由已知的部分签名不能获得密钥和子密钥的任何相关信息。
截止目前,和门限签名方案研究相关的新的研究方向有:向前安全的门限签名方案、动态门限签名方案和可证安全的门限签名方案。
就向前安全的门限签名方案而言,主要是尽量减少由于可能的密钥泄露而带来的对签名安全的直接影响和相应损失,即就是如果对手已经在窃取了群体当前时段的一些签名密钥的假设下,他也不能伪造此群体这一时段的数字签名,进而保障数字签名的安全性。
而动态门限签名方案主要是基于门限签名的理论基础,但却极大的减少了算法系统对其中诚实成员数量的假设要求,在这个签名方案中,改系统的生命期被设计者分成了若干个不定的时间段,同时要求在每个确定的时间段内非诚实成员要数量少于开始的门限值。在实际问题中,这种签名方案能够解决由签名文件的重要性决定签名者的数目的条件性问题。例如,一个非常重要的文件需要较多的签名者以增强其安全性,而一个普通文件则只需要较少的签名者而已。
最后,可证安全的门限签名方案则主要是解决以往门限签名方案中可能存在的可公开验证性和成员诚实性热点问题,它的密钥生成则只要求成员之间协商完成即可,而不需要由可信中心来协调,解决了以往方案中过分依赖于可信中心和可信中心权力过大核心问题。因此,该方案是健壮的和具有对适应性选择消息攻击是不可伪造的特征。
3 安全性分析与建议
3.1 需进一步增强签名的盲性特征
在整个门限签名方案的设计过程中,要求用户和每个签名者都需要将其事先协商好的公共信息嵌入到已有的签名过程中去,这样就可以首先保证签名的部分性特征,而且一旦用户将盲化因子引入到已有的签名中的话,其他可能的人(这包括签名群体中的每个签名者)想试图求出参数值是困难的,因而,试图由盲消息得到原消息的内容也是十分困y的。这里,可以引入数学中的模型和特殊群的结构设计加以优化,所以增加数字签名方案的盲性设置和进一步优化方案设计都可以增强方案的安全性。
3.2 不断提高签名的不可伪造性
在已有的门限签名方案中,我们假设方案最大能够容忍入侵度为T-1,即就是攻击者至多可勾结T-1个秘密分享者进行攻击。假设若A要假冒B中的某个用户对消息进行部分签名的话,他需要构造出被验证方接受的密钥信息,但是在他不知道中心私钥或B中任何子成员的子密钥的情况下,他要求解参数间的等价问题和求解对应的椭圆曲线的离散对数问题,都是是十分困难的,若我们能够找到数学中的一些特殊结构的椭圆曲线来刻画这一问题,就可以提高算法的安全性。因此,研究者提高中心密钥的不可伪造性及其选取合适的椭圆曲线是提高签名的不可伪造性的有效途径。
4 结论
我们知道,数字签名的目的就是想通过数字方式实现在实际通讯中通信双方的身份验证问题,保证互通消息的真实性和完整性。但是在现代社会的实际问题中若需要多个人同时参与才能生成签名的情况下,则我们发现门限签名是较好的选择。门限签名可以满足很多实际应用的要求,具有广泛的应用前景和市场。
参考文献:
[1]宋震等.密码学[M].中国水利水电出版社,2002:129-135.
[2]Stinso D R 著,冯登国.译.密码学原理与实践[M].电子工业出版社,2003:87-90.
[3]张伟.ECDSA算法实现及其安全性分析[J].信息与电子工程,2003,1(2):26-33.
[4]罗浩,黄双庆,刘金龙,乔秦宝.椭圆曲线签名方案[J].理学版武汉大学学报,2003,49(1):17-23.
[5]Koblitz N. Elliptic curve cryptosystems Mathematics of Computation[M].世界图书出版社,1987:98-109.