關(guān)于指定驗證者簽名的研究.pdf

1、指定驗證者簽名，是指被指定的驗證者能夠驗證簽名是簽名者的合法簽名，然而他不可能讓其他任何人相信這是簽名者的合法簽名，因為被指定的驗證者自己也能產(chǎn)生合法的簽名。即使知道了簽名者和被指定的驗證者的私鑰，也無法斷定簽名是誰產(chǎn)生的。也就是說，它通過犧牲簽名的不可否認性完美地解決了“保密”和“真實”發(fā)生沖突的問題。 強指定驗證者簽名是一種特殊的指定驗證者簽名，在該協(xié)議中，由于在驗證簽名過程中要用上被指定的驗證者的私鑰，所以只有被指定的驗證

2、者才有能力驗證簽名。 然而05年Lipmaa等人指出：為了滿足指定驗證者簽名的本意，任何方案的設(shè)計必須滿足不可授權(quán)性。簡單地說，就是對消息m簽名是用簽名者(或者被指定的驗證者)的私鑰sk<,S>(sk<,D>)，而不是使用函數(shù)f(sk<,S>，pk<,D>)(f(sk<,D>，pk<,s>))對消息進行簽名。他們提出的授權(quán)攻擊攻破了所有的強指定驗證者簽名方案a最近，Susilo等人證明：對強指定驗證者簽名而言Lipmaa等人發(fā)現(xiàn)

3、的不可授權(quán)的概念太強，而將沒有滿足要求的強指定驗證者簽名方案。因此他們對強指定驗證者簽名重新構(gòu)造了新的術(shù)語“弱不可授權(quán)性”。 本文在對指定驗證者簽名的研究中，主要做了如下一些工作： 首先，本文指出Lipmaa等人不可偽造性證明存在漏洞，重新證明了該方案的安全性，并把授權(quán)攻擊的概念推廣到環(huán)簽名上。Lipmaa等人雖然提出了安全的指定驗證者簽名模型和方案，但是他們的不可偽造性證明中由于區(qū)分器構(gòu)造的不合理，導(dǎo)致其證明是不正確的

4、；本文在不可程序化隨機預(yù)言機模型下重新給出不可偽造性定理的證明。Lipmaa等人提出的簽名權(quán)的授權(quán)攻擊不僅對(強)指定驗證者簽名方案有效，而且對某些環(huán)簽名方案也是有效的，如Bendery等人的用戶環(huán)簽名方案，因此用該方法成功攻擊了Bendery等人的2-用戶環(huán)簽名方案。 其次，本文建立了強指定驗證者簽名的新的安全模型，并證明Susilo等人的論點是不正確的。本文形式化定義了在授權(quán)情況下簽名者身份的保密性——簽名者身份的強保密性。

5、在該概念里，要求在考慮泄露任何部分信息的攻擊下(除了參與者的私鑰)，方案也滿足簽名者身份的保密性。然后證明該概念與共享密鑰的授權(quán)和強指定驗證者簽名的概念都是一致的、相容的。相反，Susilo等人定義的弱不可授權(quán)性卻是冗余的，使指定驗證者簽名與強指定驗證者簽名從概念上產(chǎn)生矛盾。因為Lipmaa等人的不可授權(quán)并未考慮到強指定驗證者簽名方案，而Susilo等人假想只存在唯一的方式構(gòu)造強指定驗證者簽名(使用共享密鑰)，同時忽略了所有強指定驗證者

6、簽名都是指定驗證者簽名的事實，所以激于Jakobsson等人定義的強指定驗證者簽名的原始概念，本文提出了正確的強指定驗證者簽名的模型，并證明存在滿足該模型的方案。隨后，本文構(gòu)造出安全的強指定驗證者簽名方案。首先構(gòu)造基于雙線性對的基礎(chǔ)簽名方案，它是Boneh等人短簽名方案的變型。然后證明了在隨機預(yù)言機模型下，假設(shè)RCDH問題是難問題的情況下該方案是不可偽造的。隨后證明了Boneh等人的環(huán)簽名方案當參與者只有2個時是指定驗證者簽名方案，并在

7、此基礎(chǔ)上構(gòu)造了強指定驗證者簽名方案。同時證明了該方案是安全的強指定驗證者簽名方案。而本文的基礎(chǔ)簽名方案還可以構(gòu)造安全可證明的盲簽名方案。 最后，提出弱指定驗證者簽名的概念，并給出安全模型和構(gòu)造出安全的方案。(強)指定驗證者簽名是在犧牲簽名的不可否認特性的情況下，解決了“保密性”和“真實性”發(fā)生沖突的問題。然而在實際應(yīng)用中，由于參與雙方身份的差異決定了簽名需要不可否認特性。因此本文提出弱指定驗證者簽名的概念，即在保留簽名的不可否認