覃海艳,蔡光兴
(湖北工业大学 理学院,湖北 武汉 430068)
盲签名的概念由D.Chaum 最先提出[1,2],它要求签字者对其所签消息是盲的.代理签名由Mambo、Usuda和Okamoto最先提出[3],它指当某个签名人因某种原因不能签名时,将签名权委托给他人(代理人)替自己行使签名权.在2000年,LIN和JAN结合代理签名和盲签名各自的特点最先提出了代理盲签名.多重代理盲签名是代理盲签名的延伸,被授权的代理签名者代替多个签名者进行签名,它应该满足不可链接性,盲性以及不可伪造性等安全性要求,不可伪造性指只有被授权的代理签名者才能产生有效的代理签名,其他任何人不能伪造签名.不可链接性指签名结果产生以后,代理签名者不能将签名结果和签名信息联系起来.盲性是盲签名一个重要特性.文献[4]指出文献[5]中方案不具有不可伪造性和不可链接性,但没有给出一个改进的方案.本文受文献[6]的启发,提出一个新的多重代理盲签名方案,该方案能够满足不可伪造性和不可链接性.
文献[5]方案中,签名(e*,y*)产生后,代理签名者B根据自己保留的信息(w1i,xi,ei,yi)计算出w2′=y*-yi(modp),w3′=ei-e*(modq),并检验e'*=e*是否成立.对所有的i,若成立,则具有不可链接性,但是文献[5]方案该等式并不是对所有的i成立.
B检验gsi=yiH(mw,ri)riyB(modp),若成立,B接受(ri,si,mw).
(iii)B收到e′后,计算s′=w1-e′·sk(modq),并将s′传给C;
(iv)C收到s′后验证gs′αe′(modp)=x是否成立,若成立,计算s=w4·s′+w2(modq),(e*,s)为对消息m的代理盲签名.
xw4gw2α-e*+w3w4αe*=xw4gw2αw3w4(modp)=x*.
由上面的证明和条件(i)(ii)易知A不能否认对B的授权,B也不能否认对C的代理盲签名.
由子密钥验证阶段和签名验证阶段易知均使用Ai和B的公钥yB,因此很容易区分原始签名人和代理签名人.
在子密钥产生阶段,原始签名人在授权书中明确了代理权限,代理期限等,因此防止了代理签名人的滥用.
若原始签名人A想收回B的代理签名权,只需宣布α不再有效,B生成的代理签名便会随之失效.
本文针对文献[4]提出的方案[5]不具有不可伪造性和不可链接性等问题,对原方案进行了改进,克服了原有的不安全,不诚实的原始签名人不能伪造签名,代理签名人也不能追踪签名,这使得改进后的方案更加安全.
[1] Chaum D.Blind Signature for Untraceable Payments[C]//Proc. of Crypto’82.New York, USA:Plenum Press,1983:199-203.
[2] 王育民,张彤,黄继武.信息隐藏—理论与技术[M].北京:清华大学出版社,2006:139-144.
[3] Mambo M, Usuda K,Okamoto K.Proxy Signature: Delegation of the Prower to Sign Message[J]. IEICE Trans on Fundam,1996,79(9):1 338-1 353.
[4] 王国瞻,亢保元,成林.多重代理盲签名分析[J].计算机工程,2010,36(8):130-131.
[5] Lu Rongxing, Cao zhenfu, Zhou Yuan. Proxy Blind Multi-signature Scheme without a Secure Channel [J].Applied Mathematics and Cumputation,2005,164(1):179-187.
[6] 毛卫霞,李志霞,柳烨.一个新的多代理盲签名方案[J].计算机工程与应用,2010,46(12):82-84.