專利名稱:一個(gè)具有前向安全的門限數(shù)字簽名方法與系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于信息安全技術(shù)領(lǐng)域,涉及對(duì)數(shù)字信息進(jìn)行簽名問(wèn)題����,更確切地說(shuō)是涉及一種 能夠增加敵手竊取簽名密鑰難度并且能夠減輕簽名密鑰泄露影響的數(shù)字簽名方法與系統(tǒng)�。
背景技術(shù):
前向安全簽名的概念在1997年由Anderson引入,解決了通常數(shù)字簽名的一些缺陷一 旦秘密密鑰丟失(或被竊取)�,以前由這個(gè)密鑰生成的所有簽名都變得無(wú)效。為了減少這樣的 損失����,Anderson提出把密鑰的有效期分成時(shí)段,在每個(gè)時(shí)段的最后�����,簽名者以一個(gè)單向的模 式從當(dāng)前時(shí)段的秘密密鑰得到一個(gè)新的下一個(gè)時(shí)段秘密密鑰���,并且安全的刪除不再使用的秘 密密鑰�����。而在整個(gè)密鑰的生命周期里公鑰不變���,這個(gè)方法確保了泄露密鑰的時(shí)段以前的所有 簽名的有效性�。在最近這些年�����,具備前向安全的數(shù)字簽名方案得到研究和發(fā)展�����。Bellare和 Miiie通過(guò)對(duì)通常簽名方案安全定義的擴(kuò)展�����,給出了前向安全正式的定義��,同時(shí)提出了兩個(gè)方 案 一個(gè)是在普通簽名基礎(chǔ)上使用樹(shù)型結(jié)構(gòu)的證書鏈構(gòu)造的方案另一個(gè)是修改通常的簽名 方案(Fiat-Sham簽名方案)��。2001年�����,Abdalla和Miner給出一個(gè)前向安全的門限數(shù)字簽名�����, 但是該方案的簽名密鑰和驗(yàn)證密鑰都比較長(zhǎng)。
我們這里要研究的前向安全的門限簽名方案應(yīng)用門限機(jī)制對(duì)消息進(jìn)行簽名�����,即將簽名密 鑰分割成多份��,分別有多人保管��,須由一定數(shù)目的簽名子密鑰擁有者聯(lián)合才能夠產(chǎn)生一個(gè)有 效的簽名�����,該簽名等同于由簽名密鑰直接產(chǎn)生并可使用對(duì)應(yīng)的公開(kāi)密鑰驗(yàn)證其有效性���。方案 還采用密鑰進(jìn)化機(jī)制,把整個(gè)周期(一般是聲明的公鑰有效期)分成更小的一個(gè)個(gè)時(shí)段���,在 整個(gè)周期內(nèi)���,公鑰是固定不變的,而私鑰是隨時(shí)段不斷進(jìn)化��。
一個(gè)標(biāo)準(zhǔn)的數(shù)字簽名包括密鑰生成協(xié)議����、簽名協(xié)議和簽名驗(yàn)證算法�,而在前向安全的數(shù) 字簽名方案中���,還包括一個(gè)密鑰進(jìn)化協(xié)議�,這個(gè)協(xié)議是用來(lái)說(shuō)明在整個(gè)周期中�,密鑰是怎樣 進(jìn)化的。另外���, 一個(gè)不可忽視的問(wèn)題是在門限簽名系統(tǒng)中�,成員簽名子密鑰會(huì)出現(xiàn)損壞或丟 失����,當(dāng)子密鑰損失數(shù)目超過(guò)一定值后,整個(gè)系統(tǒng)將不可用�����,另外針對(duì)某具體應(yīng)用�,可能會(huì)有 向系統(tǒng)中加入新成員的應(yīng)用需求,因此一個(gè)完善的前向安全的門限簽名方案還應(yīng)該包括一個(gè) 成員加入?yún)f(xié)議�����。
一個(gè)4(/,^^^, )前向安全的門限數(shù)字簽名是指該方案最多可以在/個(gè)參與者被攻陷后,
仍能保證其簽名密鑰的安全性�����,^:的工作過(guò)程如下在密鑰生成階段�����,分發(fā)者生成公��、私鑰并將私鑰分割后^'發(fā)給《個(gè)參與者���。
在每一個(gè)時(shí)間段的開(kāi)始時(shí)刻��,由《個(gè)參與者中的/^個(gè)沒(méi)被攻陷的參與者執(zhí)行密鑰進(jìn)化 協(xié)議,協(xié)議執(zhí)行后���,這個(gè)時(shí)段的私鑰將改變���,并且每一個(gè)參與者,無(wú)論是否參與密鑰進(jìn)化協(xié) 議��,都會(huì)得到這個(gè)時(shí)段屬于自己的新的子密鑰����。
要對(duì)一個(gè)消息m進(jìn)行簽名�,需&個(gè)參與者共同執(zhí)行簽名協(xié)議����,進(jìn)而生成一個(gè)使用當(dāng)前 時(shí)段簽名密鑰簽署的消息簽名。這個(gè)簽名中將包括本時(shí)段的序號(hào)并可以由公鑰驗(yàn)證通過(guò)��。
當(dāng)有新成員要加入系統(tǒng)時(shí)��,需要&個(gè)參與者共同執(zhí)行成員加入?yún)f(xié)議���,為新加入成員生成 一個(gè)這一時(shí)段屬于他的簽名子密鑰���。該過(guò)程不泄露任何原有成員的秘密信息,并且新成員加 入后���,與原有成員擁有相同的地位�。
驗(yàn)證過(guò)程同普通數(shù)字簽名驗(yàn)證過(guò)程相同�����。任何持有公鑰的一方都可以執(zhí)行該過(guò)程,驗(yàn)證 結(jié)果將是"接受"或"拒絕"�����,以告知驗(yàn)證者被驗(yàn)證的簽名是否有效����。我們假設(shè)前向安全的門 限數(shù)字簽名方案產(chǎn)生的簽名形式是-,tog、其中_/為產(chǎn)生該簽名的時(shí)段序號(hào)�����,對(duì)于一個(gè)前向 安全的門限簽名方案����,李時(shí)段/,即使敵手攻陷Z個(gè)以上參與者�����,他也不能成功偽造一個(gè)簽名 </《塔>滿足1^^/^附�����,<_/, 昭>)=1并且_/</����。這里,venj50是簽名驗(yàn)證算法��,也就是說(shuō)����,敵手即 使在第/時(shí)段獲得簽名密鑰,他也不能偽造出/時(shí)段之前的有效簽名�����。前向安全的方案都要求 使用者刪除前一時(shí)段使用的密鑰��,并將這一步驟作為密鑰進(jìn)化協(xié)議的一部分�����,這很關(guān)鍵�,否 則,敵手攻陷系統(tǒng)后將根據(jù)以前時(shí)段的子秘密信息獲得以前時(shí)段的簽名密鑰來(lái)生成以前時(shí)段 的有效簽名�。
在我們的發(fā)明中,應(yīng)用了下面的數(shù)論知識(shí)
設(shè)&和/是兩個(gè)安全參數(shù)��,A^p2^3(mod4)是兩個(gè)大素?cái)?shù)����。^=^; 2是一個(gè)A:位的整數(shù)(即 W是一個(gè)Blum整數(shù))����。為了簡(jiǎn)化計(jì)算��,我們可以合理地假設(shè)A^2^1�,并且I ZN* I ^卞2+l 》2"1。記2是模W的二次剩余集合�。由數(shù)論中的定理可知I 2 I》2k—3,并且對(duì)于集合2中 任意元素義��,x的四個(gè)平方根中有且僅有一個(gè)屬于g�����,因此�,平方在0上是一個(gè)置換。從現(xiàn)在 起�����,當(dāng)我們說(shuō):c的平方根時(shí)����,我們是指屬于Q的那個(gè)平方根。
令^/eg��,定義i^(Z)-z2modW�����, F, = (7Z2 mod W ����。對(duì)于/位二進(jìn)制串cr =…cr,,
定義f; :g — 2為巧(z) = (…(/^(�����、(z)))…)=z2'〃ff modw����。(注意這里的tr并非
通常意義上的C/的o"次冪,o"在這里是一個(gè)二進(jìn)制串��,而非代表一個(gè)整數(shù))因?yàn)槠椒绞窃赒 上的置換����,而f/e0,故&在Q上也是一個(gè)置換。在知道u和n的前提下�����,i^(z)可以快速計(jì)算,同時(shí)�,如果知道a和a,則對(duì)于給定 的Y���,可以快速計(jì)算出Z二i^—'(y)����。(通過(guò)計(jì)算5 = ^2, modAr��, Z = y2—' S^modAT可得���。
這些計(jì)算可以先分別計(jì)算mod^和modA的結(jié)果�,然后用中國(guó)剩余定理合并�����。)然而����,如果 不知道U的平方根,那么F���。'是難于計(jì)算的�����。下面我們給出證明
引理給定yeg和兩個(gè)不同的等長(zhǎng)的串tr和T��, Z1= iV�、y)�, Z2= i^1(7),能夠計(jì)算出Fe^ 且 一三f/modW
證明如果|<7|=|7:|=1,(無(wú)損于一般性地)�,令<7=0, r=l,則Fo(Zi)-^(Z2)-;r,則&2三C/Z22 mod見(jiàn)于是得到r= & /Z2 mod AT�����。在歸納證明中��,令ff和f為兩個(gè)長(zhǎng)w+l位的串���,<7���,和r,
為其對(duì)應(yīng)的前加位��。如果F。,(Z,)^i^(Z2),則歸納假設(shè)完成���,否則(t和t最后一位應(yīng)該是不同 的��,于是(不失一般性)�,假設(shè)ff最后一位為O�, T最后一位為l,則F"F�����。d)h^^�,(Z2)), 同上可以得證����。根據(jù)上面提到的單向函數(shù)可以構(gòu)造下面的數(shù)字簽名方案。本文提出的前向安全的門限簽 名方案就是以該方案為基礎(chǔ)���,加入門限機(jī)制和前向安全機(jī)制得到的��。
簽名者生成大模數(shù)W和一個(gè)隨機(jī)數(shù)SEg���, S作為簽名密鑰����,需安全保管��。計(jì)算u-(^v1 并公開(kāi)(AT,i;)作為公鑰�����。H()為一個(gè)輸出位數(shù)為/的哈希函數(shù)���。
要對(duì)消息M簽名時(shí),首先生成隨機(jī)數(shù)/ eg���,計(jì)算p^�, o-風(fēng)igw)�, Z^^/(7)^f modAf。輸出(Z, o)作為消息M的簽名��。
驗(yàn)證者驗(yàn)證簽名時(shí)��,首先驗(yàn)證Z^OmodW,而后計(jì)算y=F����。(Z)=Z2't/CTmodW�,最后檢 驗(yàn)0=//(/州是否成立��,成立則證明該簽名是A/的合法簽名���。'
該數(shù)字簽名算法是一個(gè)經(jīng)典算法��,其正確性和安全性已經(jīng)由許多前輩學(xué)者證明過(guò)并經(jīng)歷 了長(zhǎng)時(shí)間的實(shí)踐檢驗(yàn)�����。
發(fā)明內(nèi)容
本發(fā)明的目的是設(shè)計(jì)一種數(shù)字簽名方法與簽名系統(tǒng)���,該簽名方法具有門限機(jī)制與子秘密 更新機(jī)制。門限機(jī)制增強(qiáng)了簽名密鑰的安全性�����,并可以起到權(quán)利分散的作用�����;子秘密更新機(jī) 制實(shí)現(xiàn)了簽名密鑰的前向安全��,即即使敵手獲得當(dāng)前時(shí)間段的簽名密鑰,敵手也不能夠通過(guò)該密鑰偽造出一個(gè)屬于前一時(shí)間段的合法簽名�,保護(hù)了以前的簽名的有效性,降低了密鑰 泄露的損失����。另外,該簽名方法還擁有成員加入機(jī)制�����,加強(qiáng)了方案的安全性和適用范圍����。
方法的特點(diǎn)
1. 本簽名方法是一個(gè)(t,2t+l��,2t+l,t+l�,n)的簽名方案,其中n^3t+l�,
2. 密鑰長(zhǎng)度短簽名密鑰(私鑰)與驗(yàn)證密鑰(公鑰)的長(zhǎng)度是常數(shù),與總時(shí)段數(shù)無(wú)關(guān)��, 并且與其他不具前向安全性的簽名方案的密鑰長(zhǎng)度相當(dāng)�����。
3. 在門限數(shù)字簽名方案中加入前向安全機(jī)制的方法具有不額外增加計(jì)算量的特點(diǎn),即該 前向安全門限簽名方案與普通門限數(shù)字簽名方案具有相同的效率����。
4. 完善的成員加入機(jī)制,使系統(tǒng)更安全更靈活����。
本發(fā)明的技術(shù)方案是這樣的 .
整個(gè)方案包括五個(gè)部分密鑰生成協(xié)議、密鑰進(jìn)化協(xié)議�����、簽名協(xié)議����、簽名驗(yàn)證算法、新 成員加入?yún)f(xié)議���。另外���,方案中應(yīng)用到一些關(guān)于秘密共享以及安全多方計(jì)算的知識(shí),我們將這 些知識(shí)作為基礎(chǔ)模塊應(yīng)用在我們的方案中���。下面我們首先介紹基于這些基礎(chǔ)知識(shí)協(xié)議模塊����, 然后給出我們發(fā)明的前向安全的門限數(shù)字簽名方案的完整描述。
一�、Shamir秘密共享方案(Shamir-SS)
1979年,Shamir提出秘密共享的思想���,并給出了一個(gè)有限域上的秘密共享方案��。具體方 案如下設(shè)GF(《)是一有限域��,其中9是一大素?cái)?shù)����,滿足《2" + l����,秘密fl��。是在GF(g)^0)上
均勻選取的一個(gè)隨機(jī)數(shù)�����,�;t-l個(gè)系數(shù)A,^,…aH的選取也滿足AeKGF。)U(^�。在GF(《)上構(gòu)
造一個(gè)f次多項(xiàng)式/0) = 00十a(chǎn),;c + a2A:2 +' 《。
"個(gè)參與者記為尸,���,A…尸n ���,"分配到的子密鑰為/(i)。如果任意什l個(gè)參與者 A,…,i^ (is/, </2 《")要想得到秘密�。q,可使用{(';,/(~))|/ = 1����,2,.〃 + 1}構(gòu)造如
下的線性方程組<formula>formula see original document page 8</formula>因?yàn)?1《/Sf + 1)均不相同,所以可由Lagrange插值公式構(gòu)造如下的多項(xiàng)式 /") = W》n)^: (mod《)
_/=1 ,=1 l!廣1,)
從而可得秘密 =/(0)���。
由上面知識(shí)我們構(gòu)造下面的秘密共享算法-
Shamir-SS算法
算法參數(shù)Z, s�, "�, f
1. 執(zhí)行者在集合Z中選擇《個(gè)隨機(jī)數(shù)a,,^,…,^作為系數(shù)���,以秘密s作為常數(shù)項(xiàng)構(gòu)造f次 多項(xiàng)式/(x)-s + ajjc + fl,2十…a,;
2. 執(zhí)行者為多項(xiàng)式賦值���,得到關(guān)于秘密s的子秘密^ = = /(2),…,�����、=/( )�。
算法說(shuō)明Shamir-SS實(shí)現(xiàn)將秘密s利用Shamir秘密共享方案分割成n份���,得到子秘密 ^&�,…A并且其中的什l份聯(lián)合可以恢復(fù)出共享秘密s��。
二���、安全多方計(jì)算
在我們的協(xié)議的子秘密更新的部分中����,需要解決參與者聯(lián)合計(jì)算生成原共享秘密平方的 子秘密的問(wèn)題����,這個(gè)問(wèn)題可歸類于計(jì)算生成兩個(gè)共享秘密的乘積的子秘密的問(wèn)題,艮P:假設(shè) "個(gè)參與者�����,通過(guò)f次多項(xiàng)式/;(Jc)和力(:c)共享秘密a和/ '即厶(O)-a�����,力(0) = / ?��,F(xiàn)在���,
參與者要聯(lián)合計(jì)算獲得o^的子秘密。對(duì)于這個(gè)問(wèn)題�,有下面的解決方案。
令^所擁有的關(guān)于"����、/ 的子秘密記為、�����,厶(x)與力(x)的乘積為
A W+ — + 7Vc + "/9 = _Mx)��,對(duì)于B"2"1�����,有/^(!) = / (0力(0����,所以可 以寫成
爿=
力,-這里矩陣^-( )是(2f + l)x(2f + l)的范德蒙矩陣����, =i"��。顯然����,是可逆矩陣,設(shè) 」的逆矩陣為vT1, v^的第一行記為(;ij…A,+,),當(dāng)Z確定的情況下���,^…Aw為確定的常 數(shù)����,W-A/^(l) +…+ A,""(2, + l)�。如果給定、次多項(xiàng)式A(jc)�,…,Ux)滿足
<formula>formula see original document page 10</formula>),定義<formula>formula see original document page 10</formula>
則有z/(o卜;ij^(i)+…+ ;i^y^(2"i—a/ ���。因此����,如果每一個(gè)參與者用一個(gè)多項(xiàng)式
A,.(x)共享他的子秘密��,那么/f(;c)就是可以將a^秘密共享的那個(gè)《次多項(xiàng)式��。
根據(jù)上面的知識(shí)��,我們?cè)O(shè)計(jì)了下面的Mult-SS協(xié)議
Mult-SS協(xié)議
參與者S的輸入厶(!')和的值
1. 參與者選取一個(gè)隨機(jī)f次多項(xiàng)式A,.(x)����,滿足&(0) = ,用各個(gè)參與者對(duì)應(yīng)的公 鑰加密屬于他們的值&0)得到五^/A,.C/)) ���, 1+ 1并以廣播的形式將這些加密后 的子秘密公布出去�����。
2. 每一個(gè)參與者^(guò)接收i m^C/))解密出/jiC/)�����,然后計(jì)算屬于他的c^的子秘密
,=1
協(xié)議說(shuō)明協(xié)議利用安全多方計(jì)算實(shí)現(xiàn)共享兩個(gè)共享秘密乘積���,參與者利用該協(xié)議可以 利用自己當(dāng)前擁有的兩個(gè)共享秘密a和/ 的子秘密厶(0和//0得到屬于他的""的子秘密。
三、聯(lián)合生成并秘密共享隨機(jī)數(shù)(Joint-Shamir-RSS) .
在門限數(shù)字簽名方案中��,要涉及參與者聯(lián)合生成并秘密共享隨機(jī)數(shù)的問(wèn)題�����,這個(gè)問(wèn)題可 以用下面的方法解決��。每一個(gè)參與者S選取一個(gè)隨機(jī)數(shù)并將它作為秘密�,用Shamir秘密共享
方案,計(jì)算屬于每一個(gè)參與者的子秘密&(1>�,&(2) — ,用各個(gè)參與者對(duì)應(yīng)的公鑰加密屬于他們的子秘密得到^^(《"),丑;^Cs";)…���,并以廣播的形式將這些加密后的子秘密公布出去�����。 這樣�����,聯(lián)合生成的隨機(jī)數(shù)就是各個(gè)參與者選取的隨機(jī)數(shù)之和��,而每一個(gè)參與者/^掌握的對(duì)應(yīng) 的子秘密為s卩)
Joint-Shamir-RSS協(xié)議
1. 參與者/)選取一個(gè)隨機(jī)數(shù)s,.作為秘密�,并選取f個(gè)隨機(jī)數(shù) ,fl^…,"f,作為系數(shù)構(gòu)造f次 多項(xiàng)式,(X) = + + <3,.2jc2 + -;
2. 參與者S計(jì)算屬于每一個(gè)參與者的子秘密S尸���,SP,…,S"����,用各個(gè)參與者對(duì)應(yīng)的公鑰
加密屬于他們的子秘密得到^^CS"),E&CS^),并以廣播的形式將這些 加密后的子秘密公布出去����。
3. 每一個(gè)參與者巧解密所有接收到的五^.os^)得《力��,而參與者p;.掌握的對(duì)應(yīng)的聯(lián)合生
成的隨機(jī)數(shù)的子秘密為《力+《"
協(xié)議說(shuō)明協(xié)議通過(guò)每一個(gè)參與者選取一個(gè)隨機(jī)數(shù)并執(zhí)行一個(gè)類似于Shamir-SS協(xié)議的 過(guò)程��,使所有參與者共同生成一個(gè)隨機(jī)數(shù)�,而每個(gè)參與者掌握這個(gè)隨機(jī)數(shù)對(duì)應(yīng)的子秘密。
下面我給出FST-SIG數(shù)字簽名方案的完整描述���,其中所有計(jì)算都是modW的����。
Protocol FST-S1GL keygen (k, T)
1. 分發(fā)者挑選兩個(gè)隨機(jī)的大素?cái)?shù);7和^并且滿足pEg三3(mod4)�, p,《需要保密����;
2. 分發(fā)者計(jì)算iV����,使A^/^;
3. 分發(fā)者在Z^中隨機(jī)選取So并計(jì)算U����, C7-(sf^)-i;
4. 分發(fā)者利用Shamir-SS,在&上計(jì)算5b的子秘密"",Sf ���,…���,"";
5. 令S《=("���,0,^)(產(chǎn)l,2����,…����,ra) , F《-(AT,r����,")�����;
6. 分發(fā)者通過(guò)保密的信道將a:^發(fā)送給第p個(gè)參與者并發(fā)布簽名驗(yàn)證密鑰尸^ ����。
Protocol FST-SIGLsign (m����, j)1. 參與者利用Joint-Shamir-RSS共同生成隨機(jī)數(shù)及(/ e ZJ �����,每個(gè)參與者擁有/ 的子秘
2. 參與者根據(jù)/ (^利用Mult-SS計(jì)算y�,使y^及2^'"、
3. 每一個(gè)參與者/ 計(jì)算ff^Z/(y��,r,/n);
4. 利用Mult-SS參與者聯(lián)合計(jì)算Z =及S/;
5. 公布消息m的簽名< ,(Z�,o") > 。 Algor她m FST-SIGLverify (叫PIQ sign)
假設(shè)PK是(iV��, f/, 7); sign是< y���,(Z��,cr) > ; ifZ三O(modiV)
return(0); .
else , =Z2'(T+'-i>C/ffmodW;
if o" = i/(/�����,:r'�,;w)
thenretum(l); else retura(0);
Protocal FST-SlGLupdate(j)
1. 如果J^:r,則返回空串��;否則��,執(zhí)行
2. 參與者根據(jù)各自的子秘密利用Mult-SS���,計(jì)算S,,的2f次方&的子秘密《W;
3. 每個(gè)參與者p刪除Sg; Protocal FST-SIGLjion(j��,n+l>
1.每一個(gè)參與者6����,/e0…")在Zg上選取一個(gè)隨機(jī)Z次多項(xiàng)式《(:c),滿足《("+ 1) = 0��。
12(可以這樣選取在Z,上選取隨機(jī)數(shù)然后計(jì)算《�。=-l^1...<>《(H + l)、m0dW �����。)
2. 每個(gè)參與者s使用其他參與者s的公鑰加密w) (_/ e 0…"),y * o得到
,�。(《,楊并廣播。
3. 每個(gè)參與者《計(jì)算sf+5^^^(1')并將《)保密傳送給尸計(jì)i ��。
4. 新加入者《+,獲得所有的sf用拉格朗日插值法恢復(fù)出屬于他的子秘密""+1),進(jìn)而獲
得簽名子密鑰s《"+1> = (w,r,,s)"+1>)���。
下面分別對(duì)上述協(xié)議�����、算法進(jìn)行說(shuō)明
Protocol FST-SKlkeygen(k,T)是密鑰生成協(xié)議����,由可信的分發(fā)者執(zhí)行。分發(fā)者選擇好密 鑰后�����,用我們上面提到過(guò)的Shamir秘密共享方案將秘密密鑰共享生成子密鑰 Si^w =(^���,7\0��,15^)并通過(guò)安全信道傳送給每一個(gè)參與者�����。這里下標(biāo)0代表該應(yīng)用密鑰的時(shí)
段序號(hào)���,上標(biāo)(p)表示該密鑰為參與者Pp擁有����。我們需要強(qiáng)調(diào)一點(diǎn)是在簽名方案中應(yīng)用 Shamir秘密共享時(shí)�,我們的計(jì)算是在Zw上的,這里Zw顯然不是域����,但是,我們?nèi)匀豢梢宰C
明系統(tǒng)是可以正確運(yùn)行的�����。首先�����,我們要求所有參與者的數(shù)目/J要小于系統(tǒng)參與/7�,9��,其次
我們要求分發(fā)者分配給參與者g的子秘密為/(0�����。這樣�,所有用于重構(gòu)秘密的子秘密將都不 含有因子p或g�。這樣,在秘密恢復(fù)時(shí)���,我們構(gòu)造的G + l)x(f + l)范德蒙矩陣中的所有元素都 不含有因子p或《�����,這樣���,因?yàn)榫仃嚨男辛惺綖閇X^^a(�、-、)modW��,因此可以保證行列
式值是與W互素的�����。因此,在上面提出的兩個(gè)前提下��,在Z^上的Shamir秘密共享方案仍然 是正確的����。
Protocol FST-SIGsign(m,j)是簽名協(xié)議�,該協(xié)議需要2f+l個(gè)參與者參與完成。在基礎(chǔ)的
數(shù)字簽名算法中�,隨機(jī)數(shù)/ 應(yīng)該是取自于z;;,而在這里,為了加入門限機(jī)制��,隨機(jī)數(shù)需要由 多方共同選取的�,這樣w是z^中的一個(gè)隨機(jī)數(shù)。但是��, 一個(gè)數(shù)屬于z^但不屬于z;;的概率是
十分小的�,大約是1+1,是一個(gè)可以忽略的小概率��。所以我們可以認(rèn)為由這個(gè)簽名協(xié)議生成的簽名仍然是有效的����。
Algorithm FST-SIGverifyw (叫PK sign)是簽名驗(yàn)證算法,與普通數(shù)字簽名方案的驗(yàn)證算 法相同,該算法由任何擁有對(duì)應(yīng)公鑰的一方執(zhí)行���。
Protocol FST-SIGupdate(j)是密鑰進(jìn)化協(xié)議����。在每個(gè)時(shí)段的開(kāi)始�����,由2z + l個(gè)參與者參與����, 執(zhí)行密鑰進(jìn)化協(xié)議,完成密鑰進(jìn)化���,獲得該時(shí)段所使用的簽名密鑰��。在時(shí)段乂的開(kāi)始時(shí)刻����, 成功進(jìn)行上次密鑰進(jìn)化的參與者擁有y-l時(shí)段簽名密鑰5^,,的子密鑰5^g ��,利用Mult-SS���,
參與者可計(jì)算的2'次方&的子秘密S",然后立即刪除,此時(shí)
就"-(iv����,r�����,y���,《力)����。要強(qiáng)調(diào)的是�,除了參與密鑰進(jìn)化計(jì)算的2"i個(gè)參與者外,當(dāng)前所有的
沒(méi)有被敵手阻斷攻陷的參與者(包括在前一時(shí)段被阻斷��,現(xiàn)在恢復(fù)的參與者)都可以從這2/ + 1
個(gè)參與者獲得足夠信息�,計(jì)算出屬于自己這一時(shí)段的子秘密。
ProtocalFST-SIGjion(j���,n+l)是新成員加入?yún)f(xié)議�����。該協(xié)議可以在任何時(shí)刻添加入新成員����,例 如在y時(shí)段時(shí),首先當(dāng)前成員之間先依據(jù)申請(qǐng)加入成員的序列號(hào)"+ l共同生成一個(gè)《次多項(xiàng)
式��,可以記為A.(x)滿足《.(《 +1) = 0 ���,而后當(dāng)前每個(gè)成員A分別計(jì)算Sf' = S�����, + ~(/)并將Sf
保密傳送給尸 +1�����,新加入成員尸"可以更加接受到得Sf'恢復(fù)出一個(gè)多項(xiàng)式���,帶入M + 1即可得
,繼而得到屬于自己y時(shí)段的子密鑰汰)"")二 (iv�����,r�,y,""+1>)���。
具體實(shí)施例方式
在我們前向安全的門限數(shù)字簽名系統(tǒng)中���,所有的參與方包括n個(gè)簽名服務(wù)器(即方案中
的參與者)用A表示lS/Sw��,他們都位于一個(gè)廣播網(wǎng)絡(luò)上��,并且他們兩兩之間存在可進(jìn)行
保密通信的安全信道��,這樣的信道可以在廣播信道上使用加密技術(shù)實(shí)現(xiàn)���,使用的加密算法應(yīng) 該是前向安全的公鑰加密算法。另外系統(tǒng)還包括一個(gè)可信的分發(fā)者���,簽名服務(wù)器與分發(fā)者之 間可以進(jìn)行廣播通信也可以進(jìn)行點(diǎn)對(duì)點(diǎn)的加密通信�����。其中任意一臺(tái)簽名服務(wù)器都可以接受簽 名請(qǐng)求�,發(fā)起并組織一次簽名����,并最后將生成的簽名發(fā)送給簽名請(qǐng)求者��。最后我們要求系統(tǒng) 具有同歩性��,他們?cè)趨f(xié)議的某一階段可以同步地發(fā)送他們的信息���。
本發(fā)明的發(fā)明內(nèi)容部分對(duì)實(shí)施己經(jīng)做出了詳細(xì)說(shuō)明,在此不再重復(fù)描述���。但需要說(shuō)明的
是針對(duì)不同的應(yīng)用需求����,不同的安全性等級(jí)要求���,可以采用不同規(guī)模的參數(shù)W�, /等���。因
此本發(fā)明可以具有很多種具體的實(shí)施方式���。
權(quán)利要求
1、一種數(shù)字簽名方法與簽名系統(tǒng)�����,該簽名方法具有門限機(jī)制、子秘密更新機(jī)制以及成員加入機(jī)制�。其特征是,以Shamir-SS協(xié)議�����、Mult-SS協(xié)議��、Joint-Shamir-RSS協(xié)議為基礎(chǔ)模塊�����,設(shè)計(jì)出的前向安全的門限簽名方案(FST-SIG簽名方案)��。整個(gè)數(shù)字簽名方案包括五個(gè)部分密鑰生成協(xié)議��、密鑰進(jìn)化協(xié)議�、簽名協(xié)議����、簽名驗(yàn)證算法、新成員加入?yún)f(xié)議���。方案中涉及到的協(xié)議及算法的核心內(nèi)容如下Protocol FST-SIG.keygen(k��,T)//密鑰生成協(xié)議(1). 分發(fā)者挑選兩個(gè)隨機(jī)的大素?cái)?shù)p和q�����,并且滿足p≡q≡3(mod4)��,p����,q需要保密;(2). 分發(fā)者計(jì)算N�,使N=pq;(3). 分發(fā)者在ZN*中隨機(jī)選取S0并計(jì)算U�,(4). 分發(fā)者利用Shamir-SS,在Zn上計(jì)算S0的子秘密(5). 令(ρ=1�,2,…�����,n)�,PK=(N,T�,U);(6). 分發(fā)者通過(guò)保密的信道將發(fā)送給第ρ個(gè)參與者并發(fā)布簽名驗(yàn)證密鑰PK���。Protocol FST-SIG.sign(m�,j)//簽名協(xié)議(1). 參與者利用Joint-Shamir-RSS共同生成隨機(jī)數(shù)R(R∈ZN),每個(gè)參與者擁有R的子秘密R(ρ)����;(2). 參與者根據(jù)R(ρ)利用Mult-SS計(jì)算Y,使Y=R2l(T+1-j)���;(3). 每一個(gè)參與者ρ計(jì)算σ=H(j����,Y��,m)���;(4). 利用Mult-SS參與者聯(lián)合計(jì)算(5). 公布消息m的簽名<j,(Z���,σ)>�。Algorithm FST-SIG.verify(m���,PK��,sign)//簽名驗(yàn)證算法假設(shè)PK是(N�,U,T)�;sign是<j,(Z�,σ)>;ifZ≡0(modN)return(0)��;else Y′=Z2l(T+1-j)Uσmod N�;if σ==H(j,Y′�,m)then return(1);else return(0)����;Protocal FST-SIG.update(j)//密鑰進(jìn)化協(xié)議(1). 如果j=T,則返回空串����;否則,執(zhí)行(2). 參與者根據(jù)各自的子秘密利用Mult-SS��,計(jì)算Sj-1的2l次方Sj的子秘密(3). 每個(gè)參與者ρ刪除Protocal FST-SIG.jion(j����,n+1)//成員加入?yún)f(xié)議(1). 每一個(gè)參與者Pi�,i∈{1…n}在Zq上選取一個(gè)隨機(jī)t次多項(xiàng)式δi(x)���,滿足δi(n+1)=0�。(可以這樣選取在Zq上選取隨機(jī)數(shù){δij}j∈{1…t}然后計(jì)算δi0=-∑j∈{1…t}δij(n+1)j(modq)�����。)(2). 每個(gè)參與者Pi使用其他參與者Pj的公鑰加密δi(j)(j∈{1…n}��,j≠i)得到{ENCj(δi(j))}并廣播�。(3). 每個(gè)參與者Pi計(jì)算并將保密傳送給Pn+1。(4). 新加入者Pn+1獲得所有的用拉格朗日插值法恢復(fù)出屬于他的子秘密�����,進(jìn)而獲得簽名子密鑰Shamir-SS算法算法參數(shù)Z�,s��,n����,t(1). 執(zhí)行者在集合Z中選擇t個(gè)隨機(jī)數(shù)a1,a2,…�����,at作為系數(shù)��,以秘密s作為常數(shù)項(xiàng)構(gòu)造t次多項(xiàng)式f(x)=s+a1x+a2x2+…atxt�����;(2). 執(zhí)行者為多項(xiàng)式賦值����,得到關(guān)于秘密s的子秘密s1=f(1),s2=f(2)�����,…�����,sn=f(n)�。Mult-SS協(xié)議參與者Pi的輸入fα(i)和fβ(i)的值(1). 參與者選取一個(gè)隨機(jī)t次多項(xiàng)式hi(x),滿足hi(0)=fα(i)fβ(i)�,用各個(gè)參與者對(duì)應(yīng)的公鑰加密屬于他們的值hi(j)得到1≤j≤2t+1并以廣播的形式將這些加密后的子秘密公布出去��。(2). 每一個(gè)參與者Pj接收解密出hi(j)��,然后計(jì)算屬于他的αβ的子秘密Joint-Shamir-RSS協(xié)議(1). 參與者Pi選取一個(gè)隨機(jī)數(shù)si作為秘密����,并選取t個(gè)隨機(jī)數(shù)ai1�,ai2,…����,ait作為系數(shù)構(gòu)造t次多項(xiàng)式fi(x)=si+ai1x+ai2x2+…aitxt;(2). 參與者Pi計(jì)算屬于每一個(gè)參與者的子秘密��,用各個(gè)參與者對(duì)應(yīng)的公鑰加密屬于他們的子秘密得到����,并以廣播的形式將這些加密后的子秘密公布出去;(3). 每一個(gè)參與者Pj解密所有接收到的得���,而參與者Pj掌握的對(duì)應(yīng)的聯(lián)合生成的隨機(jī)數(shù)的子秘密為
全文摘要
本發(fā)明屬于信息安全技術(shù)領(lǐng)域,涉及對(duì)數(shù)字信息進(jìn)行簽名問(wèn)題����,更確切地說(shuō)是涉及一種能夠增加敵手竊取簽名密鑰難度并且能夠減輕簽名密鑰泄露影響的數(shù)字簽名方法與系統(tǒng)。該簽名方法通過(guò)應(yīng)用Shamir秘密共享技術(shù)以及多方安全計(jì)算技術(shù)為一個(gè)經(jīng)典的基礎(chǔ)數(shù)字簽名方法添加了門限機(jī)制與子秘密更新機(jī)制。門限機(jī)制增強(qiáng)了簽名密鑰的安全性����,并可以起到權(quán)利分散的作用;子秘密更新機(jī)制實(shí)現(xiàn)了簽名密鑰的前向安全���,即即使敵手獲得當(dāng)前時(shí)間段的簽名密鑰����,敵手也不能夠通過(guò)該密鑰偽造出一個(gè)屬于前一時(shí)間段的合法簽名��,保護(hù)了以前的簽名的有效性�����,降低了密鑰泄露的損失�。另外,該簽名方法還包括一個(gè)成員加入機(jī)制�����,加強(qiáng)了方案的安全性和適用范圍。
文檔編號(hào)H04L9/32GK101425902SQ20081004653
公開(kāi)日2009年5月6日 申請(qǐng)日期2008年11月12日 優(yōu)先權(quán)日2008年11月12日
發(fā)明者輝 張, 許春香 申請(qǐng)人:電子科技大學(xué)