一種動態群簽名方案的安全性分析

群簽名是數字簽名的一種，由chaum和van heyst於2023年提出［1］。群簽名的任何乙個成員均可以代表該群進行簽名，即簽名者可以利用群簽名機制向驗證者證明他屬於此群體而又不會暴露他/她的身份。當爭議發生時，簽名者的身份可以通過群管理員公開。

由於擁有這些特殊的性質，群簽名的應用範圍非常廣泛，如在電子現金、電子投票、電子拍賣等電子商務應用方面。

設計可以刪除群成員的方案一直是群簽名研究的難點。而目前提出的刪除群成員方案主要有兩種：①每一次群成員的刪除都需要改變群公鑰的引數或群成員的引數，即相當於為每一位群成員頒發新的成員證書［2］；②應用證書刪除鍊錶對群成員進行刪除［3］。

1 動態群簽名方案的定義

動態群簽名方案［4］是包含以下六個協議或演算法的數字簽名方案：

(1)建立演算法(setup)。通過輸入乙個隨機數能夠產生群的公開金鑰y和群管理員的秘密金鑰s。

(2)註冊協議(join)。使得某使用者可註冊成為乙個新的群成員。輸出為乙個群成員的身份證書以及乙個只有群成員知道的秘密金鑰。

(3)刪除協議(delete)。群管理員與成員之間的乙個協議，使得乙個群成員的簽名能力被撤銷。

(4)簽名演算法(sign)。當輸入乙個訊息m與某個群成員的身份證書和秘密金鑰後，輸出對訊息m的簽名。

(5)驗證演算法(verify)。當輸入乙個訊息m和訊息的簽名以及群的公開金鑰y後，輸出關於這個簽名是否有效的確定性演算法。

(6)開啟演算法(open)。當輸入訊息m和它的簽名以及群管理員的秘密金鑰s後，輸出簽名者的身份。

乙個好的動態群簽名也必須滿足下面一般群簽名應滿足的安全特性：

(1)不可偽造性。只有群成員能夠代表群進行簽名。

(2)匿名性。給定乙個群簽名，除群管理員外，任何人想識別簽名者的身份都是計算困難的。

(3)不關聯性。除群管理員之外，判斷兩個不同的群簽名是否是由同乙個群成員提交的是乙個計算困難的問題。

(4)不可替代性。任何乙個群成員與群管理員都不能代表其他的群成員進行簽名。

(5)可跟蹤性。群管理員能夠開啟乙個有效的群簽名，以揭示簽名者的身份。任何簽名者都不能阻礙乙個有效的群簽名的開啟。

(6)抗聯合攻擊性。任何群成員的聯合子集都不能生成乙個不能被跟蹤的有效群簽名。

乙個好的動態群簽名除了滿足一般群簽名應滿足的安全特性外還必須滿足：

(1)乙個群成員一旦被刪除後，他就無法再生成有效的群簽名。

(2)被刪除的群成員以前所提交的群簽名仍具有匿名性與不關聯性，當然其他未被刪除的群成員所作的簽名也是匿名和不相關聯的。

2 hz05動態群簽名

何業鋒等人於2023年提出的動態群簽名方案［4］屬於證書更新類動態群簽名方案。本文將介紹這個簽名方案，並對它進行安全分析。

2.1 系統引數建立

群管理員計算下面的值。

2.2 群成員加入協議

為加入群，alice按如下步驟計算她的成員證書：

2.3 簽名演算法

為了代表群對訊息m進行簽名，alice進行如下計算：

2.4 簽名的驗證

簽名的接收者可以根據驗證知識簽名v1與v2的正確性來判斷此群簽名的有效性。如果v1與v2有效則簽名(a,b,c,v1,v2)有效。

2.5 簽名的開啟

2.6 群成員刪除演算法

3 hz05方案的安全性分析

這裡主要說明，hz05動態群簽名方案無法抵抗廣義聯合攻擊。在此，筆者將廣義聯合攻擊定義為任何兩個或以上的實體相互勾結即可構造出乙個非法的，可能損害群體利益的有效簽名。在hz05動態群簽名方案中，只要被刪除者如bob和群中未被刪除的成員如alice勾結即可繼續代表群進行有效的群簽名，而管理者也無法找出究竟是誰將秘密洩露給bob的。

因為hz05的成員身份的確定完全由成員證書表示，有成員證書即可代表該群進行簽名，所以bob只需要得到新的成員證書即可繼續他的群成員身份。

即可以不通過群管理員而得到乙個t′時刻後bob的新群證書vt′b， bob可使用此證書在t′時刻之後繼續生成有效的群簽名。而且即使簽名因為被群管理員解開而暴露出簽名者為bob，群管理員也無法提供任何證據表明bob在t′時刻已經被清理出群，他在t′時刻之後提供的簽名檔案不具備代表該群的法律效應；也無法確認究竟哪一位（或多位）群成員是bob的合謀者。由此證明了hz05不可抵抗廣義聯合攻擊。

在現實中，如果出現如上述例子的廣義聯合攻擊，那麼很有可能是這樣的情況：alice和bob同在group公司任職，並且有權利用group公司的名義簽署檔案。有一天，bob因為某些原因離開了group公司（很有可能是被炒了魷魚），然而他和alice依然保持著秘密的聯絡。

某次因為某些原因，在alice的幫助下，離職的bob利用group公司的名義簽署了一項損害group公司利益的檔案。group公司的管理者發覺以後，既沒有辦法給出證據證明此份簽署檔案時bob已經離職，因此檔案無效，也沒有辦法找出究竟是誰和bob合夥坑害了公司。

群簽名和現實應用聯絡得十分緊密。由以上例子可以看出，具有抵抗本文所提出的廣義聯合攻擊的性質對動態群簽名來說十分必要。筆者建議將本文第1章中動態群簽名方案的安全性必須滿足的一般群簽名的安全性外，還必須滿足的兩條性質中的第一條修改為：

乙個群成員一旦被刪除後，他就無法再生成有效的群簽名，即使與其他群成員勾結也無法再生成有效的群簽名。

4 結束語

群簽名對於電子商務等的發展具有重要意義。允許群簽名具備刪除老成員的能力具有現實意義，並且是群簽名方案今後的發展趨勢。本文對何業鋒等人的動態群簽名方案進行了安全性分析，並給出了一種攻擊方法，證明了hz05方案無法抵抗廣義的聯合攻擊，並據此對動態群簽名的安全性要求提出了一項修改建議。

一種動態群簽名方案的安全性分析

一種格值的模糊動態描述邏輯

安全是一種責任

安全是一種責任

一種動態群簽名方案的安全性分析

一種格值的模糊動態描述邏輯

安全是一種責任

安全是一種責任

相關推薦