强指定验证者代理签名的密码学分析及改进

张妮，奚雪峰，吴俊

（苏州科技学院电子与信息工程学院，江苏苏州215009）

强指定验证者代理签名的密码学分析及改进

张妮，奚雪峰，吴俊

（苏州科技学院电子与信息工程学院，江苏苏州215009）

对文献[12]提出的一个强指定验证者代理签名方案进行了安全性分析，指出该方案存在安全缺陷，不诚实的代理签名人能够恢复出原始签名人的私钥，从而能伪造原始签名人的签名或授权。在原方案的基础上提出了一个改进的强指定验证者代理签名方案，并对新方案的安全性和有效性进行了分析。结果表明：新方案满足可验证性和不可伪造性。

强指定验证者；代理签名；不可伪造性

代理签名（Proxy Signatures）的概念是在1996年由文献[1]首先提出的，代理签名是指原始签名人可将其签名权力委托给代理签名人，代理签名人就可以代替原始签名人行使签名权，在电子商务、移动通信等领域有很好的应用，受到国内外密码研究者的关注，文献[2-8]相继提出了一些代理签名方案。在这些代理签名方案中，任何能得到原始签名人和代理签名人公钥的人都能对签名消息的有效性进行验证，然而，当签名的消息是一些比较敏感的信息时，原始签名人希望只有他指定的验证者才能验证签名的有效性，防止这些敏感信息被泄露。文献[9]首次提出了能指定验证者的签名方案。结合代理签名的概念，文献[10-14]提出了一些能指定验证者的代理签名方案。这种代理签名方案中代理签名人不能追踪其签名的消息，签名的消息内容只有签名者和其指定的验证者能查看，且只有被指定的验证者才能验证签名的有效性。然而，经过对文献[12]提出的强指定验证者代理签名方案（以下简称X-W方案）安全性分析，发现该方案存在安全缺陷，不诚实的代理签名人能够恢复出原始代理签名人的私钥，从而能伪造原始签名人的签名或授权，做原始签名人所能做的一切事情。文中针对X-W方案的安全缺陷，提出了新的能指定验证人的代理签名方案，解决原方案存在的安全漏洞。

1 X-W方案

1.1 系统设置

私钥生成中心PKG选取椭圆曲线上阶为q的加法循环群G1，其生成元是p，椭圆曲线上阶为q的乘法循环群G2，并随机选择s∈Zq*作为系统主密钥，计算Ppub=sP作为系统公钥，令H1：G1×｛0，｝1*→Zq*， H2：，为密码学单向哈希函数，PKG公开系统的参数为params={G1，G2，e，q，P， Ppub，H1，H2，H3}。

1.2 秘密钥的提取

原始签名者A，代理签名者B，指定验证者C分别向私钥生成中心PKG提交自己的身份IDA、IDP、IDC，则其公钥分别为QIDA=H2（IDA），QIDP=H2（IDP），QIDC=H2（IDC）。PKG验证其身份，若身份相符，分别计算A、B、C的私钥SIDA=sQIDA，SIDP=sQIDP，SIDA=sQIDC，并通过安全信道分别发给A、B、C。

1.3 方案的过程

（1）原始签名者A用他的私钥对授权信息mw（包括代理签名者的身份ID、签名授权的有效期限、需要签名的信息范围）进行签名，A随机选取k∈Zq*计算R=kp，V=H3（mw，QIDP，R），Sw=VSIDA然后将签名对（mw，R，Sw）通过安全信道返回给B。

（2）B接收到A的签名之后，计算V=H3（mw，QIDP，R），并验证e（Sw，P）=e（VQIDP，Ppub）的有效性。代理签名者B计算代理密钥对为Spw=Sw+SIDP，Qpw=VQIDP+QIDP，其中Spw，Qpw分别是B的私钥，公钥。

（3）B计算r=e（QIDc，Spw），则生成的签名为δ=H1（mp，r），然后将此签名发给C。

（4）C接收到签名之后，通过验证δ=H1（mp，e（VQIDP，SIDc））是否成立时，若等式成立，则接受此签名。否则，拒绝签名。

（5）C选择消息m模拟指定验证者的代理签名生成另一个签名，通过计算r′=e（Qpw，SIDc），则生成的签名为δ′=H1（mp，r′）。显然，δ′=H1（m，e（Qpw，SIDc）），验证通过。

2 X-W方案的安全性分析

2.1 安全性分析

在原方案中，原始签名人A先计算了V=H3（mw，QIDP，R）和其签名之后，将（mw，R，Sw）发送给代理签名人B。代理签名人B获得了mw和R，由于QIDP、H3是公开的，代理签名人B首先计算出V=（mw，QIDP，R）（注：H3：｛0，｝1*→Zq*，所以V∈Zq*），然后计算出H3（mw，QIDP，R）的逆H3（mw，QIDP，R）-1∈Zq*。最后，代理签名人B从原始签名人A发给他的签名（mw，R，Sw）中提取出Sw∈G1后，就能计算出H3（mw，QIDP，R）-1Sw=SIDA

2.2 对X-W方案算法的攻击

假设B*是一个不诚实恶意的代理签名人，他可以随意改变授权证书W的内容，滥用签名权，通过以下步骤伪造一个原始签名人A无法否认的有效代理签名：（1）原始签名者A对授权信息mw进行签名。A计算一个短签名Sw=VSIDA，然后将（mw，R，Sw）发送给B*；（2）B*验证e（Sw，P）=e（VQIDA

，Ppub）是否成立，若成立B*计算：H3（mw，QIDP，R）-1∈Zq*，进而计算出；（3）B*随意产生授权信息，进而计算出代理签名密钥Spw=Sw+SIDP。

接下来，不诚实恶意的代理签名人B*利用代理密钥Spw，执行代理签名算法计算出对任意消息m′的代理签名δ=H1（m′，r）。由于

签名δ=H1（m′，r）可以通过验证者的验证。

由此可见，原始签名者A把代理授权参数（mw、QIDP、Sw）秘密传递给代理签名者，不诚实的代理签名者B*可以随意更改代理授权信息mw的内容，在任何时候对任何非法信息进行代理签名，而接受者通过验证将认为该签名有效，这严重侵害了原始签名人的利益。

3 改进的方案

为了克服上述的安全缺陷，原始签名者A在生成代理密钥时，应严格保护自己的私钥。笔者在尊重原方案的基础上，对原方案作了改进。其中系统设置和密钥的提取同原方案。具体过程如下：

（1）原始签名者A用他的私钥对授权信息mw（包括代理签名者的身份ID、签名授权的有效期限、需要签名的信息范围）进行签名，A随机选取k∈Zq*计算然后将签名对（mw，R，Sw）通过安全信道返回给B；（2）B接收到A的签名之后，计算，并验证的有效性。即计算

若签名有效，代理签名者B计算出代理秘钥Spw=Sw+SIDP和公钥Qpw=VQIDA＋QIDP+R，否则，终止代理过程；（3）代理签名者B计算r=e（QIDc，Sw），则生成的最终签名为δ=H1（m，r），然后将此签名发给指定验证者C；（4）指定验证者C接收到代理签名之后，验证δ=H1（m，e（Qpw，SIDc））是否成立，若成立，则接受此签名，否则拒绝；（5）指定验证者C选择消息m模拟指定验证者的代理签名生成另一个签名，通过计算r′=e（Qpw，SIDc），生成签名δ′=H1（m，r′）。

4 改进后方案的安全性分析

4.1 正确性

只需验证r是否等于e（SIDc，Qpw），如果相等，则有δ=H1（m，e（Qpw，SIDc））=H1（m，r），说明签名是正确。验证过程如下因此，δ＝H1（m，e（QIDc，Spw））=H1（m，e（Qpw，SIDc））=H1（m，r）。代理签名者B生成的签名δ=H1（m，r）总能被指定验证者C接受。改进后的代理签名方案是正确的。

4.2 安全性

4.2.1 可验证性对于消息m，必须通过计算δ=H1（m，e（Qpw，SIDc））来验证签名的正确性，验证过程除了指定验证者C的私钥SIDc其他参数都是公开的，指定验证者C通过验证等式e（QIPC，Spw）=e（Qpw，SIDc），从而验证签名的有效性。而且从授权信息mw中可以获知原始签名人A对所签的消息是认可的。

4.2.2 不可为造性除了PKG指定验证者C之外，任何人都不可能对消息m伪造一个有效的签名。攻击者想要得到代理签名的私有密钥Spw=Sw+SIDP，必须获得SIDP，他需要知道s。s被PKG秘密保存，通过Ppub=sP得到s相当于求解离散对数问题DLP。普通攻击者不知道原始签者A的私有密钥和代理签名者B的私有密钥SIDP，无法计算出Sw，更不能计算出代理密钥Spw，因此，也就无法伪造代理签名。原始签名者A不知道代理签名者B的私有密钥SIDP，无法计算代理密钥Spw，也无法伪造消息m的代理签名。代理签名者B不知道原始签名者A的私有密钥（k，SIDA），想从等式中解出k相当于求椭圆曲线的离散对数问题，因此，他无法计算出Sw，也就无法伪造原始签名者A的授权。因此，只有代理签名者B才能产生有效的代理签名，原始签名者A和没有被指定为代理签名人的任何第三方，都不能产生，更不能伪造一个有效的代理签名。

4.2.3 不可否认性代理签名者B生成代理签名密钥Spw，密钥Spw中有代理签名者B的私钥SIDP，除了B，其他任何人都无法得到B的私钥SIDP，因此，一旦代理签名者B完成了对消息的有效签名后，他就不能否认自己的签名。

4.3 效率分析

有关符号的定义参照X-W方案（|p|=1 024 bits，|q|= 160 bits）。经分析，改进方案只在验证阶段增加了1|p|=1 024 bits，而代理密钥生成和代理签名的计算复杂度与X-W方案一致。因此，改进方案的签名长度为|p|+|q|，而文献[15]的签名是（rp，c，s，t），其中，c，s，t∈Zq*，rp∈Zq*，签名长度为3|q|+|p|。改进方案虽然比X-W方案的签名长度长，但仍比文献[15]方案的签名长度短，且安全性得到了提高。分析结果见表1。

表1 不同方案的性能比较

5 结语

针对文献[12]提出的基于身份的强指定验证者代理签名方案进行了安全性分析，通过对该方案的攻击，发现一个不诚实恶意的代理签名人可以伪造一个原始签名人无法否认的有效代理签名，可以在任何时候对任何非法信息进行代理签名，该签名能通过接受者的验证，侵害了原始签名人的利益。为了克服上述的安全缺陷，在尊重原方案的基础上，对原方案做了改进，代理签名人可以代表原始签名人对消息进行签名，只有指定的验证者能验证代理签名的有效性，保证了消息的可认证性和数据的完整性。经分析表明，改进方案能具有签名的可验证性和不可伪造性，且效率也较高。

[1]Mambo M，Usuda K，Okamoto E.Proxy signatures：delegation of the power to sign messages[J].IEICE Transactions on Fundamentals of Electronics，Communications and Computer Sciences，1996，E79-A（9）：1338-1354.

[2]Du Hongzhen，Wen Qiaoyan.Efficient certificateless designated verifier signatures and proxy signatures[J].Chinese Journal of Electronics，2009，18（1）：95-100.

[3]陈海滨，杨晓元，梁中银，等.一种无证书的前项安全代理签名方案[J].计算机工程，2010，36（2）：156-157，160.

[4]余磊.一种基于格的代理签名方案[J].计算机工程，2013，39（10）：123-126.

[5]YANG Changhai.Analysis and improvement of two certificateless proxy signature schemes[J].Computer Engineering and Applications，2011，47（15）：101-103.

[6]张建中，魏春艳.一种新的无证书代理签名方案[J].计算机工程，2010，36（10）：168-169.

[7]申军伟，杨晓元，梁中银，等.一种新的无证书代理签名方案的分析与改进[J].计算机工程与应用，2010，46（8）：96-98.

[8]崔涛，刘培玉，王珍，等.前向安全的指定验证者（t，n）门限代理签名方案[J].小型微型计算机系，2014，35（5）：1055-1060.

[9]Jacobson M，Sako K，Impagliazzo K R.Designated verifier proofs and their applications[C]//Proc of EUROCRYPT’96.[S.l.]：Springer-Verlag，1996：143-154.

[10]Dai Jiazhu，Yang Xiaohu，Dong Jinxiang.Designated receiver proxy signature scheme for electron commerce[C]//Proc of IEEE International Conference on Systems，Man and Cinematic.[S.l.]：IEEE Press，2003：384-389.

[11]Wang Guilin.Designated verifier proxy signatures for ecommerce[C]//Proc of IEEE International Conference on Multimedia and Expo Piscataway，USA：IEEE Press，2004.

[12]向新银，王晓峰，王尚平，等.新的基于身份的强指定验证者代理签名方案[J].计算机工程与应用，2007，43（1）：130-131.

[13]梁景玲，高德智，张云，等.一种具有指定验证者的高效代理签名方案[J].计算机工程，2012，38（7）：105-106.

[14]崔涛，刘培玉.前向安全的指定验证者代理签名方案[J].计算机工程，2013，39（4）：177-179.

[15]Wang G.Designated-verifier proxy signature schemes[C]//Security and Privacy in the Age of Ubiquitous Computing（IFIP/SBC 2005），2005：409-423.

Cryptanalysis and improvement of strongly designated verifier proxy signature scheme

ZHANG Ni，XI Xuefeng，WU Jun
（School of Electronic&Information Engineering，SUST，Suzhou 215009，China）

Through security analysis of strongly designated verifier proxy scheme proposed by Xiang et al，we found that their scheme had security leaks.The proxy signer can recover the original signer's private key and forge the signing capabilities of the original signer.On the basis of their scheme，we proposed an improved strongly designated verifier proxy signature scheme and analyzed its security and efficiency.The result shows that this improved scheme can satisfy the verifiability and unforgeability.

strongly designated verifier；proxy signature；unforgeability

TP309

A

1672－0687（2015）03－0056－04

责任编辑：艾淑艳

2014－11－03

苏州科技学院院科研基金资助项目（341111607）

张妮（1977-），女，陕西渭南人，讲师，硕士，研究方向：信息安全与密码学。