群體簽章的系統模型與特性

組成群體簽章系統的基本元件一共有五個[2]。除此之外，[15]中再加入 了金鑰更新程序 (Key update procedure) [16]與廢止程序 (Revoke procedure)。

本文所提的群體簽章系統還加入了層級初始程序 (Hierarchy initialization)，所

(Probabilistic procedure) (System parameter)

„

鑰更新程序算出此成員在時段 k+1、k+2…… 時的身份憑證並公佈在 CRL，其中 為此遭廢止的使用者在參與程序時，群體管理者所指定時限 的最末合法時段，若無設定則

d d

d =系統生存時間τ 。再發出訊息指示系統剩 餘成員進入下一時段，剩餘成員也在進入下一時段時更新自己持有的簽名金 鑰和金鑰更新元件。

„ 解章程序：給定一個群體簽章、相對於此簽章的訊息、此簽章所屬 群體的公開金鑰、解章者的私密金鑰。若此解章者具有合法之解章權限，則 此程序可輸出簽名者的身份。

群體簽章的安全性，都是由它所需要符合的特性，加上實際狀況發展而 來 的 。 一 般 的 群 體 簽 章 需 要 滿 足 下 列 七 項 特 性 [2][15] ， 包 括 正 確 性 (Correctness)、不可偽造性 (Unforgeability)、匿名性 (Anonymity)、無連結性 (Unlinkability)、脫罪性 (Exculpability)、可追蹤性 (Traceability)、聯合抵抗性 (Coalition-Resistance)。另外還有在[15][23]中所定義的有追溯效力的公開廢止 性 (Retroactive public revocability) 和 向 後 式 無 連 結 性 (Backward unlinkability)。接下來我們定義一個安全的動態群體簽章系統。

定義2.

„ 正確性：一個由合法的群體成員經過簽章程序所造出來的簽章，必 須能通過驗證程序。

不可偽造性：只有合法的群體成員能夠以群體的身份代表群體簽 章。

匿名性：給定針對某訊息的合法簽章，除了群體管理者外，任何人 要在多項式時間內算出此簽章真正的簽名者身份是很困難的。

無連結性：除了群體管理者外，任何人要在多項式時間內判別兩份

„

„

„

正確的簽章是否由相同的簽章者所簽出是非常困難的。

„ 脫罪性：任何群體中的合法成員，包括群體管理者，都不能以其他 合法成員的身份去作簽名。有一相近的性質為不可誣陷性 (Non-framing)，其 意義為一個群體成員不會被迫對自己未簽過的簽章負責，即一個非本身所簽 的章不會被解章程序判定為自己所簽。

„ 聯合抵抗性：可分為兩種，弱的聯合抵抗性為在群體中，若一群有 惡意的人，其中成員所持有最早的金鑰更新元件為在時段 的金鑰更新元 件，則他們無法造出一個時間早於 的合法簽章，使得群體管理者無法透 過解章程序追蹤到這群人中任何一人。因為在本篇論文中，加上了使用者有 合法期限的設定，所以在弱的聯合抵抗性方面，除了滿足以上的敘述外，還 希望這些惡意成員也無法造出一個時間晚於 的合法簽章能滿足上述的 條件，其中 為這些惡意成員所被指定的合法時限中最大者。強的聯合 抵抗性為在群體中，任何一群有惡意的人，皆無法合作簽出一份任何時間的 合法群體簽章，使得群體管理者無法透過解章程序追蹤到這群人中任何一 人。

kmin

kmin

dmax

dmax

„ 可追蹤性：可根據上方聯合抵抗性的定義分為兩種：弱的可追蹤性 為在上方定義弱的聯合抵抗性之下，群體管理者一定可以解開一個合法的群 體簽章，得到真正簽章者的身份。強的可追蹤性為在上方定義強的聯合抵抗 性之下，群體管理者一定可以解開一個合法的群體簽章，得到真正簽章者的 身份。

„ 有追溯效力的公開廢止性：在時段 時，群體管理者可以將成員在 時段 時，成員用來簽章的簽章金鑰中的成員憑證公佈，使得任何在時段 之後(包括 )，此成員用廢止後的成員憑證簽出來的章都是不合法的。

k

l l

l

„ 向後式無連結性：若廢止時間在 ，則在時段 之前的簽章仍然保 持匿名性和無連結性。

l l