签名介绍

群签名、环签名、盲签名、门限签名、代理签名和双重签名等

介绍

传统签名

  • RSA签名:基于大整数难分解问题
  • ElGamal签名:基于离散对数问题
  • Schnorr签名:基于有限域上的离散对数问题
  • DSA:基于离散对数问题
  • ECDSA签名:基于椭圆曲线上的离散对数问题

特殊签名的大致理解:

  • 群签名:有一个类似管理员的角色,给所有人签名(是有中心的)
  • 环签名:不是所有人都签名,只有部分人签名,但具体不知道是谁,具有匿名性【是去中心化的】
  • 盲签名:签名者不知道签名内容
  • 门限签名:需要多个人的子密钥一起完成签名
  • 代理签名:将密钥授权给第三方,由第三方完成签名
  • 双重签名:在签名者和验证者之间有一个中间人,进行验证授权

群签名

介绍

1991 年,Chaum 和 Heyst 给出了群签名的概念,基本思想是一群人中的任意一个人可生成一群签名,外界可验证其合法性,即此签名的确为群中的某人生成,但不能确定到底是谁签的【隐私保护】,当在发生争议时,可由具有特权的群管理员“打开”争议的签名,找出真正的签名者【可追踪】。

由于群签名具有隐私保护和可追踪的特性,可广泛应用电子商务、电子货币、可信计算、网络取证、电子选举等领域。

群签名方案构建分为ROM模型标准模型

  • ROM模型:将hash函数看作是一个理想化的随机Oracl(现实中不存在)构造签名,安全性不充分;
  • 标准模型:是相对比于ROM模型,不将hash函数看作是一个理想化的随机Oracl,更加接近现实,因此构建出的安全方案具有更高的安全性;

群签名应具有以下性质:

  • 正确性:合法签名者生成的签名可以被验证通过;
  • 不可伪造性:只有群成员才能进行签名;
  • 匿名性:给定一个合法群签名,只有管理员才能识别出真正的签名者;
  • 不可链接性:判断两个群签名是否由一个成员签发的,在计算上是不可行的;
  • 防陷害性:管理员或任意成员都不代表该成员生成签名;
  • 可追踪性:管理员总能够打开一个合法的群签名,并找出真正的签名者
  • 抵抗合谋攻击:任意一些群成员合谋(包括管理员)也不能生成一个合法的群签名,使得管理员可以打开,但其他群成员打不开的情况

方案

群签名方案的成员主要包括群管理员和若干群成员,一个完备的群签名方案由以下算法组成:

  • 系统建立:
    • 输入安全参数,群管理员生成一个群公钥GPK(用于群签名验证)、一群私钥GSK(用于生成成员证书和打开签名);
  • 成员加入:
    • 对于动态的群签名,新用户与管理员之间交互,完成后新用户加入群并获得成员证书和一个私钥(用于群签名的生成),管理员获得相关的追踪信息,用于打开签名,从而完成追踪;
    • 对于静态的群签名:管理员直接生成成员证书,并秘密传送给新用户,过程没有交互,缺点是管理员可能会冒充成员进行签名;
  • 签名:群中任意成员利用自己的成员证书和私钥生成消息的群签名;
  • 验证:任何人获得GPK和一个(消息,签名)对,可验证此签名是否合法,且对于合法的签名,不知道具体的签名者是谁;
  • 打开:对于合法的群签名,管理员能打开并找出实际的签名者,管理员会给出证据,说明该签名的确是某成员签的,同时不会破坏此成员未来的签名能力;
  • 撤销【部分支持】:管理员可以撤销某成员的签名权利,之后此用户就不能生成合法的群签名了;

原理

待补充

环签名

最初由Rivest和Tauman提出,根据群签名而提出,与群签名的区别是:环签名方案允许签名者在一组成员中保持匿名、环签名中不需要群管理员,没有群成员预设机制,没有更改和删除群机制。签名者直接指定任意环,然后在不经过其他成员许可或协助的情况下进行签名,如果要生成有效的环签名,签名者需要知道其私钥和其他成员的公钥。

盲签名

1982年Chaum首次提出了盲签名的概念,在盲签名中,用户可以获得签名者的签名,而签名人却不知道所签消息的内容。保证了签名方案的匿名性和不可追踪性,当(消息,签名)被公开后,签名者也无法获知消息和签名过程间的关系。1992年,Okamoyo提出了一种基于大数分解和离散对数的盲签名方案,基于Schnorr和Guillon的协议,Pintcheval和Stern提出了一种可证明安全的盲签名方案,2009年,Overbeck提出了首个基于编码的盲签名方案。

盲签名可广泛应用于各种匿名性场合,比如电子支付、电子投票等。

电子投票应用

下面介绍一个基于RSA盲签名的电子选举系统

  • 电子选举

选举委员会发布选举人名单,投票人在选票上标记自己的意向候选人;为使得选票有效,该选票需要经过选举委员会的签名确认,既要得到选举委员会对选票的签名,又不能泄漏选票内容,此时使用盲签名可以完成该功能。

image-20230508230510845
  • 密钥生成:\(N=pq\)\(PK=(e,N),SK=(d)\)

  • 投票人盲化数据

部分盲签名

在盲签名中签名人完全不知道最终签名的任何消息,将在电子现金系统中造成数据库无限增长的问题,为了解决该问题,1996年,Abe等提出了部分盲签名的概念。

部分盲签名允许签名人在签名中嵌入与用户事先协商好的公共信息,且这些公共信息不能被移除或非法修改。在电子现金系统中,银行可将有效期、面值等信息嵌到其发行的电子钱币中,这样银行就能避免维持开销无限增长的数据库的困境。如果将公共信息设为同样值,则部分盲签名就可以转换为完全盲签名,因此部分盲签名可以看作是盲签名的一种形式。

方案

  • 建立

选择阶为\(q\)的循环群\(G_1\)\(G_2\),定义双线性对\(e:G_1 * G_1\to G_2\);任意选择群\(G_1\)的生成元\(P\);定义两个哈希函数\(H_1:\left \{0,1 \right\}^*\to G_1\)\(H_2:\left \{0,1 \right\}\to Z_q\),系统参数为\(params=(G_1,G_2,e,q,P,H_1,H_2)\)

  • 密钥生成

签名人任意选择\(x\in Z_q\),计算\(P_{pub}=xP\),其中签名人的公钥为\(P_{pub}\),私钥为\(x\)

  • 签名发布

假设\(c\)为实现协商好的公共信息,\(m\)是要签名的消息,则签名者和用户的交互如下:

  1. 盲化:用户随机选择\(r\in Z_q\),计算\(U=rH_1(m,c)\),并将\(U\)发送给签名人;
  2. 签名:签名人计算\(V=(H_2(c)+x)^{-1}U\),并将\(V\)发送给用户;
  3. 解盲:用户计算\(S=r^{-1}V\),并输出部分盲签名\((S,m,c)\)
  • 验签

检查等式\(e(H_2(c)P+P_{\operatorname{pub}},S)=e(P,H_1(m,c))\)是否成立,若成立,则接收该签名,否则拒绝该签名。

门限签名

若一个群体有\(n\)个人,那么至少需要\(p\)个人签名才视为有效签名。通常采用共享密钥的方式来实现门限签名,即将密钥分割,例如分成\(m\)份,则其中必须有大于\(p\)份的子密钥都被选则并且组合到一起,才有可能重现密钥。这种数字签名在密钥托管中广泛应用。

代理签名

密钥所有者可以将签名权利授予第三方,获得签名权利的第三方可以进行数字签名,

双重签名

1983年,Itakura等提出多重签名方案,该方案原理是多个签名者对同一份文件进行签名操作。

同态签名

2001年,Rivest提出同态签名,是指在没有签名私钥的情况下,允许任何实体对已认证的数据进行同态运算操作生成新数据,并得到新数据的有效签名。同态签名根据同态运算函数分类,可以分为线性同态签名、多项式函数同态签名和全同态签名。

参考

  1. 数字签名技术综述-杨雪菲
  2. 群签名综述-程小刚
  3. 部分盲签名综述-李明祥
  4. 同态签名研究综述-吴华麟
posted @ 2023-05-09 13:54  PamShao  阅读(369)  评论(0编辑  收藏  举报