電子模糊簽章

國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

15

圖 3-3 電子盲簽章

3.2.2 電子模糊簽章

模糊簽章(oblivious signature)是電子簽章的一種類型，是由 L. Chen[5]在 1994 年所 提出的。在[5]中，L. Chen 將模糊簽章分為兩種類型，第一種是利用 n 把金鑰（keys）

來實作模糊簽章，第二種是利用 n 個訊息（messages）來實作模糊簽章。

第一種類型的協議(protocol)類似於群簽章(group signature)[4]的實作，其參與者有 n 個簽章者 Signer S1, S2, …, Sn (或是一個簽章者擁有 n 把不同的 key)與接受者 Recipient R。群簽章與第一種類型的模糊簽章不同的地方在於群簽章中的簽章者是匿 名的，接受者 R 無法得知文件是由簽章者的哪一把 key 所簽章的；而此類型的模糊簽 章則是接受者 R 可以知道文件是由簽章者的哪一把 key 簽章的。下面介紹此類型的模 糊簽章有三點特色：

一、由 R 從 n 把 key 中挑選其中一把 key 來對 message 簽章，因此 R 可得到這個 簽章。

二、所有可能的簽章者即使是此 key 的擁有者，也無法找出是哪一把 key 對

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

16

message 作簽章。

三、如果需要，R 可以公開他所得到的簽章，但不透露是由哪一把 key 所生成的 簽章。

第二種 protocol 包含了簽章者 Signer S 和接受者 Recipient R。這類型的模糊簽章 適合用在網路交易或是網路電子投票上，如何應用在網路電子投票上在之後的章節會 提到。這類型的模糊簽章有三點特色：

一、接受者 R 只能選擇 n 個 messages 中的其中一個 message 得到簽章。

二、簽章者 S 無法得知 R 得到哪個 message 的簽章。

三、如果需要，R 可以公開他所得到的簽章，但不透露是對哪個 message 所生成 的簽章。

2008 年，R. Tso 等學者認為先前的方法沒有很清楚的顯示出模糊簽章正規化的概 念，而且方法的架構對於通訊和計算方面缺乏效率，因此 R. Tso 等學者發表了一篇 1-out-of-n oblivious signatures[18]來改善這些問題，與先前的方法相比較更有效率。

1-out-of-n oblivious signatures scheme with n messages 中有三個參與者：

一、接受者 Recipient R：R 可以從 n 個 messages 中選取任何一個 message 讓簽章 者 S 進行簽章。

二、模糊簽章者 Signer S：S 可以對 R 所選的 message 簽章，但他不能得知是 n 個 messages 中的哪一個，只能確定 R 所選的 message 確實在 n 個 messages 中的其中一個。

三、驗證者 Verifier V：V 可以驗證 R 所得到的簽章的正確性而不需要任何的隱 藏資訊輔助。

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

17

在 R. Tso 等人的方法中包含了四個步驟，分別為 System Setting、Key Generation、

Signature Generation、Signature Verification：

一、System Setting：

1. p, ：兩個很大的質數，q q|(p1)。 2. g,h：屬於Z 有相同的序(order) q 。 ^*_p

3. H:{0,1}^* Z_q^*：是單向雜湊函數(one way hash function)。

二、Key Generation：

簽章者 S 選擇一亂數xZ_q^*並計算yg^xmodp， x 是 S 的私鑰而 y 則公開 為 S 的公鑰。

三、Signature Generation：

假設接受者 R 想要得到簽章者 S 對m_l {m₁,...,m_n}做的模糊簽章 ： 1. 接受者 R 選擇一個亂數rZ_q^*，計算c g^rh^lmodp，然後將 c 與 n 個

messagesm ,...,₁ m_n一起傳給簽章者 S，m_l{m₁,...,m_n}。 2. i1,...,n，S 選擇一亂數k_i _R Z^*_q，然後計算：

 K_i g^ki modp

 e_i H(m_i,K_ic/(gh)ⁱmodp)

 s_i k_i xe_imodq

S 將(e_i,s_i),1in傳送給 R。

‧

四、Signature Verification：

最後任何驗證者 V 都可以去驗證此簽章 ，假如下列式子成立的話：

圖 3-4 1-out-of-n oblivious signature

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

19

完整的模糊簽章包括了三個參與者：一個簽章者(a signer S)，一個接受者(a recipient R)及一個認證者(a verifier V)。模糊簽章的特性就是接受者可以在 L 個訊息中 選擇一個訊息給簽章者簽名，而簽章者不知道 L 個簽章中何者為接受者所需要的，只 能確定接受者所選的訊息確實在 L 個訊息中的其中一個。因此，使用這個方法可以保 障使用者的隱私而又能保護簽名者不會簽到任何他不願意簽署的文件(註：盲簽章不具 保護簽名者的功能)。

模糊簽章除了可以應用在電子投票外，也可利用於其他方面如線上公平遊戲 (on-line fair game) 。為了使讀者了解模糊簽章概念，以下以一個 Fair Game 的例子來 做說明：

圖 3-5 模糊簽章應用於 Fair Game

這是一個網路猜拳的遊戲，首先 Player 從剪刀、石頭、布中選擇其一(例如選擇”

布”)，將所選擇的參數經過計算(c)使得 Dealer 無法得知 Player 所選為何。Dealer 確認 Player 身分後利用 c 對訊息做模糊簽章後回傳給 Player，Player 透過計算得到”布”的簽 章。最後 Player 與 Dealer 比較得知最後輸贏。以上為一種模糊簽章的應用。

‧

下將介紹一種基於身分的認證方法 Schnorr Identification Scheme。

3.3.1 Schnorr Identification Scheme

Schnorr Identification Scheme 是 1991 年由 C.P. Schnorr[15]所發表的一個基於離散 對數問題的認證方法。這個方法需要一個可信賴的機構，Trusted Authority (TA)， 來 選 擇 系 統 所 需 要 的 參 數 ， 其 參 數 如 下 ： p, q是 兩 個 很 大 的 質 數 ， 其 中q p1,

在文檔中 基於模糊簽章之電子投票系統 - 政大學術集成 (頁 25-30)