维普资讯 http://www.cqvip.com 第22卷第2期 2 0 0 7年6月 青岛大学学报(工程技术版) JOURNAL OF QINGDAO UNIVERSITY(E&T) VolI 22 No.2 Jun.2 0 0 7 文章编号:lOO6—9798(2007)02—0044—05 一种高效的群签名方案 程相国 ,海进科 (青岛大学a.信息工程学院;b.数学学院,山东青岛266071) 摘要:给出一种新的群签名方案的构造方法,把这种方法应用于RSA签名方案,得到一 种短的群签名方案。同现有的其它同类签名方案相比较,新方案具有签名长度短、群成员 的撤销和加入方便、群签名的生成和验证快速等特点。安全分析表明,新方案满足一个群 签名方案所应具有的所有安全性要求。 关键词:群签名;RSA;短签名;匿名性 中图分类号:TP309 文献标识码:A 群签名是由Chaum和Heyst ̄ 在1991年首先提出的,它是一种可撤销匿名性的数字签名技术。在群 签名方案中,群体中的每个成员都可以代表群体进行匿名签名,验证者只能验证签名是否来自群体,而不能 确知参与签名的具体成员,群签名的这种性质被称为匿名性;在必要的时候,群主管可以打开签名来确定签 名者的身份,签名人不能否认自己的签名,群签名的这种性质被称为可跟踪性。群签名的匿名性可为合法用 户提供匿名保护,可跟踪性又能使群主管对群成员的行为进行跟踪,对群成员的行为进行合理限制。群签名 的上述性质使它在管理、政治、军事和经济等领域有着广泛的应用,许多安全业务需要群签名,以电子现金为 例,一方面要求它和普通现金一样具有匿名性;另一方面,为防止利用电子现金进行洗钱等不法行为,需要对 它进行跟踪。群签名可分为两类:静态群签名和动态群签名。在静态群签名方案中,群成员的人数是固定 的,无法实现群成员的撤销和再加入;而在动态群签名方案中,能够实现群成员的撤销和再加入。显然后者 更为实用。一个好的动态群签名方案应该满足以下几个要求:群公钥和群签名的长度应该是个常数,不应当 随着群成员的增加而增大;签名的产生和验证应该尽可能的快;群签名的长度应该尽可能的短;应该尽可能 快地实现群成员的撤销和再加入。许多实际应用需要群签名方案满足上述性质,而在带宽受限的环境中,短 的群签名又十分重要。自从Chaum和Heyst首次给出群签名以来,许多群签名方案被相继推出。早期的群 签名方案 其群公钥和群签名的长度随着群成员的增加而增大,这些方案虽然可证明安全,但显然是不实 用的。另外还有一些群签名方案 ],虽然群公钥和群签名的长度不再随着群成员的增加而变化,但因为签 名的生成和验证算法比较繁琐或者群成员的撤销和再加入比较困难,仍然是不实用的。目前两个比较实用 的群签名方案 。’¨],因为签名长度太大而不能应用于带宽受限的环境中。Boneh等 以双线性对为工具, 首次构造出签名长度为1 533 bits(192 bytes)的群签名方案,但是因为计算双线性对的复杂性,该方案目前 还谈不上实用。本文以经典RSA为基础方案,通过引入两个群主管,推出一种新的群签名方案,该方案具有 签名长度短、签名的生成和验证快速简单、群成员的撤销和再加入方便易行等诸多优点。 1 群签名的定义和安全性要求 1.1群签名的定义 一个群签名方案由群主管和用户两方参与并包含以下几个算法: 收稿日期:2007一O1—18;修回日期:2007一O4—1O 基金项目:国家自然科学基金资助(1o471085) 作者简介:程相国(1969一)男,讲师,博士,研究方向为信息安全和密码学。 维普资讯 http://www.cqvip.com 第2期 程相国,等:一种高效的群签名方案 45 1) 群系统的建立(G—Setup) 是由群主管运行的一个概率多项式时间(PPT)算法。其输入为安全系 数k,输出为系统参数、群公钥及相对应的群私钥。 2) 群成员的加入(GJoin) 是由群主管和用户之间运行的一个交互性协议。交互协议完成后,该用 户便成为一个合法的群成员并得到其群成员私钥。 3)群签名的产生(G—Sign)是由签名者运行的一个PPT算法。其输入为待签消息、系统参数、群公 钥和签名者的私钥,输出为群签名。 4)群签名的验证(G—Verify)是由验证者运行的一个确定性算法。输入为被签名的消息、系统参数、 群公钥和群签名,输出为“True”或“False”。 5)群签名的打开(G—Open) 只能由群主管运行的一个确定性算法。输入为被签名的消息、系统参 数、群公钥、群私钥和群签名,输出为参与签名的群成员的身份。 1.2安全性要求 Ateniese等L10]指出一个安全的群签名方案应该满足以下几个要求: 1) 正确性3) 匿名性5)无关联性不可行的。 一个合法的群成员按照G—Sign算法产生的群签名一定能够通过G—Verify算法。 给定一个群签名,除群主管之外,任何人确定签名者的身份在计算上是不可行的。 在不打开群签名的前提下,确定两个不同的签名是否是同一个群成员所签在计算上是 包括群主管在内的任何人都不能以其它群成员的名义产生一个有效的群签名。 2) 不可伪造性 只有合法的群成员才能代表群体产生有效的群签名。 4) 可跟踪性 群主管(也只有群主管)在必要的时候可以打开一个群签名,以确定签名人的身份。 6) 防陷害性7)抗联合攻击 即使一些群成员勾结在一起,也不能产生有效的不能被群主管跟踪的群签名。 2新的群签名方案及其安全性分析 Bellare等[9]给出了动态群签名的标准安全模型,并给出了第一个在标准安全模型下可证明安全的群签 名方案。在方案的构造过程中,他们首次引入两个群主管,一个主管负责群成员的加入和群成员密钥的分 发,称之为Issuer;而另一个主管只是负责群签名的跟踪,称之为Opener。受上述思想的启发,本文给出一 种新的群签名方案的构造方法,并以RSA为基础方案构造一种新的群签名方案。 2.1新的群签名方案 新的群签名方案的构造过程描述如下: 2.1.1 GSetup ——对给定的安全系数k,Issuer选取两个合适的k—bit的素数P。和q。,令 。一P。・q。, ( 。)一( 。一1) (q1—1)。Issuer随机选取e1< ( 1)并计算d1,使gcd(e1, ( 1))一1,d1・e1三1(modq ̄(n1));同理,Opener 选取两个合适的k—bit的素数P2和q2,使 2一 2・q2< 1,令 ( 2)一( 2—1)(q2—1),随机选取e2< ( 2) 并计算d2,使ged(e2, ( 2))一1,d2・e2三1(modq ̄(n2))。d1和d2分别是Issuer和Opener的私钥,公开参 数为e1,e2, 1, 2,H1,H2;其中,H1和H2:{0,1} 一Z ,是两个密码Hash函数。 2.1.2 GJoin 要成为群成员,用户L, 首先必须向Issuer提出加入申请。接到u 的申请后,Issuer随机选取d E (当i:i ̄j时,d ≠ )并计算d。 一 。一 (modq ̄(n。)),通过安全信道分别发送d 和( 。,U )给用户u 和 ,.Opener。U 成为群成员,d 即为其群成员私钥,( 2.1.3 GSign —,.U )被Opener储存在群成员列表中,以备后用。 对给定的消息mE{0,1} ,用户U 必须与Opener按如下方式合作才能产生一个群签名: 1) U 随机选取 ∈zi,计算M—Hz( II ),h:=Ma 。(rood 。)和h 一H。( :II )并发送(M,h ,h ) 及其身份U 给0pener。 维普资讯 http://www.cqvip.com 46 青岛大学学报(工程技术版) 第22卷 2) 接收到(M,h:,^。)后,Opener首先在其储存列表中检查 是否存在,如果不存在,则U,不是合法 的群成员,拒绝提供帮助;如果存在,Opener计算r :M (rood雄。)并检查等式(r ・^ ) (mod ・)一M是 否成立,如果不成立,则要求u 重签;如果成立,Opener进一步计算s,一(hi・h'i) z(rood z)和 一s (rood 1),储存(u ,^ )并发送( .)给u,。 3)接收到( )后,【, 首先检查等式h ・h :s (mod )是否成立,如果不成立,则要求Opener重 签,如果成立,【,,计算 一s “ (rood 。)和 一 .・O"o,,(rood 。)。(^ , )即为用户 给出的对消息 的群 签名。 2.1。4 GVerify ..接收到消息优的签名(jfL , ),验证者计算t,一 t(rood n )和hl一^ ・ (rood ),如果h 一H。( ll优), 则接收签名;否则,拒绝签名的接收。 2.1.5 GOpen —要打开对消息m的群签名(^,, ),Opener只需计算t 一 (rood 。)和h:一^ ・ (rood ),然后根 据储存列表中^ 所对应的群成员的身份即能找到签名人【,,。 2.2安全性分析 本节讨论上述群签名方案的安全性,讨论结果表明,新方案满足群签名方案的所有安全性要求。 2.2.1 正确性 假设(^ , )是群成员u 给出的对消息仇的一个群签名,通过群签名的产生过程可知 d 一O"u・ (rood 1)一s ・s 。 (rood 1)一s l(rood 1) 其中,S 一(^ ・^ ) z(rood ),h 一H ( ll ) (orod 。),h —H。(^,l】 ), 是 ,在群签名的产生过程中 所选取的随机数。验证人验证签名时需要计算t 一 t(rood 。)和 hO.h.- ・£;z(rood ),注意到 t,一 l(rood,21)一(s 1) l(rood 1)一S{ ^ 一^- ・£ z(rood 2):^ ・siz(rood 2)一^ ・(^,・^:) z z(mod 2)一^ 所以,h,一H (hl lI优):H (^;lI优)。 2.2.2不可伪造性 为证明方案的不可伪造性,应当考虑到以下两个情形: 情形1 没有Opener的合作,即使是合法的群成员也不能产生有效签名。 情形2一个外部攻击者无论如何也不能产生一个有效的签名。 情形1的证明。群成员【, 对消息 的签名(^ , )实质上是两个签名的复合:S,一(^ ・h ,) z(rood ) 是Opener给出的对“消息”h ・h (mod 1)的RsA签名,而 一O"u.・ .(rood 1)是由Opener和【,。合作产 生的对“消息”5 的(2,2)门限RSA签名,其中, —s (rood n1)和dr ̄一s (rood 1)分别是Opener和Ui给 出的部分签名。既然经典RSA签名和门限RSA签名都是不可伪造的,我们所给出的群签名也是不可伪造 的。 情形2的证明。下面的讨论表明,如果一个外部攻击者(有时也称之为攻击算法)F能够攻击群签名,那 么利用F便能构造出攻击RSA的有效算法F 。 假设外部攻击者F除了知道系统的公开参数以外,还可以随意向挑战者C询问以下问题: 1)Hash函数值询问。F可以适当地选择一些消息并从C处得到相关的Hash值。 2) 群签名询问。F可以适当地选择一些消息并从C处得到相应的群签名。假设F第 次所提供的 消息记为优 ,C所提供的相应的群签名记为(矗 ,d,)。 3) 伪造签名的输出。通过上述有限次的询问后,F得到消息 及其伪造签名( , ),其中, 和(万, )在 前面的询问过程中没有出现过。 如果F伪造成功,即( , )能够通过G_Verify算法的验证,那么必有;一 (rood 。), 一 一 ・ z(rood ), 使得 一H。( ,J )。注意到j是对“消息” ・J 的RSA签名,这样通过F便得到对RSA的攻击算法F 。 维普资讯 http://www.cqvip.com 第2期 程相国,等:一种高效的群签名方案 47 既然RSA签名是不可伪造的,所以本文给出的群签名方案也具有不可伪造性,这就证明了情形2。 2.2.3 匿名性 假设(矗, )是群成员【,给出的对消息 的签名。下面的讨论表明,除Opener之外的任何人都不能根据 签名(矗, )确定出签名人u的身份。首先,单独通过h来确定签名人的身份显然是不可能的,而 是两个 RSA签名的复合,一个是在Opener的公钥e:下对“消息”h・h 产生的签名 ,而另一个是在Issuer的公钥 e 下对“消息”s产生的签名 ,注意到这两个签名都不含有【,的身份的任何信息,当然,只是根据 来确定签 名者的身份在计算上是不可能的。 2.2.4可跟踪性 注意到在群签名的产生过程中,Opener在为群成员【,提供签名帮助的同时,也储存了【,的身份及相关 信息,当需要打开一个群签名时,Opener只需根据群签名就能和储存列表中的某些信息联系起来,从而进一 步确定签名人的身份,具体过程请参考前面的G—Open算法。 2.2.5无关联性 如前面所述,群签名(矗, )不含有签名人【,的任何信息,所以,在不打开群签名的前提下,确定两个不同 的签名是否是同一个群成员所签在计算上是不可行的。 2.2.6防陷害性 从群签名的产生过程可知,无论是群成员,还是Issuer和Opener,都不能单独产生有效的群签名。首 先,任何群成员都不能冒充其他群成员产生群签名,这是因为群成员【, 只有在Opener的帮助下才能产生 一个有效的群签名,在提供签名帮助的同时,Opener储存了u 的签名信息并产生与u 相对应的部分签名。 .既然当i=i ̄j时,d ≠ ,Ui不可能以【, 的身份向Opener请求签名帮助。其次,Issuer和Opener也不能分 别冒充群成员产生群签名,这是因为Issuer不知道Opener的私钥d。,而Opener不知道群成员的部分私钥, 他们无法单独产生有效的群签名。但是Issuer和Opener合作就能够冒充任何群成员产生有效的群签名, 这也是本方案的不足之处。 2.2.7抗联合攻击 既然群签名具有不可伪造性,所以即使一些群成员勾结在一起,也不能产生有效的群签名,更不能产生 不能被群主管跟踪的群签名。 3方案的优越性 1) 与其它同类方案相比,本文的群签名方案更为简单和实用,不论是签名算法、验证算法,还是群签名 的打开算法都只是需要几个简单的 中的乘法运算和模运算。 2)群成员的加入和撤销一直是群签名方案中比较棘手的问题,而本文所给出的群签名方案很好地解 决了这两个问题。Opener只需把合法的群成员的身份和Issuer所分配的相对应的部分私钥储存于群成员 列表中,即可以完成群成员的加入;要撤销群成员,Opener只需从群成员列表中把该成员的身份撤销即可。 群成员的加入和撤销可即时完成,而不影响整个系统的运行。 3) 本文所给出的群签名方案中,签名的长度是目前所有同类方案中最短的。Boneh等口 以双线性对 为工具构造出一个短的群签名方案,其签名长度为1 533 bits,但计算双线性对的复杂性限制了该方案的实 用性。在与上述方案同等安全的情形下,本文所给出的方案中签名的长度仅为1 184 bits,而且因为该方案 以RSA为基础方案,其计算速度更快,适用范围更广。 4 结论 群签名因为具有匿名性和可跟踪性而被广泛应用于管理、政治、军事和经济等领域,但因为群签名的长 度太大而不能应用于带宽受限的环境中。另外,群成员的撤销和再加入也一直是群签名方案中两个比较棘 手的问题。本文给出一种新的群签名的构造方法,有效地解决了群成员的撤销和再加入问题,同时把这种方 维普资讯 http://www.cqvip.com 48 青岛大学学报(工程技术版) 第22卷 法应用于RSA,得到一种短的群签名方案,其签名长度是目前所有同类方案中最短的。安全分析表明,新方 案满足一个群签名方案所应具有的所有安全性要求。 参考文献: Eli Chaum D,Heyst E.Group Signatures Ec]//Proceedings of EUROCRYPT 1991.Berlini Springer-Verlag,1991:257— 265. Ez]Chen L,Pedersen T P.New Group Signature Schemes EC]//Proceedings of EUROCRYPT 1994.Berlin:Springer-Ver— lag,1994:171—181. E33 camenisch J,Stadler M.Efficient and Generalized Group Signatures[c]//Proceedings of EUROCRYPT.1997.Berlin: Springer-Verlag,1997:465—479. [4]Camenisch J,Stadler M.Elflent Group Signature Schemes for Large Groups[c]//Proceedings of CRYPTO 1997.Ber— lin:Springer-Verlag,1997:410—424. E53 Camenisch J,Michels M.A Group Signature Scheme with lmproved Efficiency[c]//Proceedings of ASIACRYPT 1998。LNCS 1514.Berlin:Springer-Verlag,1998:160—174. [6]Camenisch J,Michels M.Separability and Efficiency for Generic Group Signature Schemes[c]//Proceedings of CRYP— TO 1999.Berlin:Springer—Verlag,1999:413—430. [7]Ateniese G,Medeiros B.Efficient Group Signatures without Trapdoors[c]//Proceedings of ASIACRYPT 2003.Ber— lin:Springer-Verlag,2003:246—268. [8]Bellare M,Micciancio D,Warinschi B.Foundations of Group Signatures:Formal Definitions,Simplified Requirements, and A Construction Based on General Assumptions[c]//Proceedings of EUROCRYPT 2003.Berlin:Springer-Verlag, 2003:614—629. E93 Bellare M。Shi H,Zhang C.Foundations of Group Signatures:The Case of Dynamic Groups[c]//Proceedings of CT— RSA 2005.Berlin:Springer-Verlag,2005:136—153. E lO3 Ateniese G,Camenisch J,Joye M,et a1.A Practical and Provably Secure Coalition-Resistant Group Signature Scheme [c]//Proceedings of CRYPTO 2000.Berlin:Springer-Verlag,2000:255—270. El1]Camenisch J,Lysyanskaya A.Dynamic Accumulators and Application to Efficient Revocation of Anonymous Credentials [c]//Proceedings of CRYPTO 2002.Berlin:Springer-Verlag,2002:61—76. ElZ]Boneh D.Boyen x,Shacham H.Short Group Signatures[c]//Proceedings of CRYPTO 2004.Berlin:Springer-Ver— lag,2004:41—55. An Efficient Group Signature Scheme CHENG Xiang—guo ,HAl Jin—ke (a.College of Information Engineering;b.College of Mathematics Science,Qingdao University,Qingdao 266071,China) Abstract:This paper presents a new constructive method to group signatures.Using this method,based on classical RSA signature,we come up with a short group signature scheme.Compared with the previous schemes of this kind,our scheme has the following advantages:short signatures,convenient joining and revocation,and fast generation and verification of group signatures.The security analysis shows that our scheme satisfies all the security requirements of a group signature. Key words:group signature;RSA;short signature;anonymity