以橢圓曲線密碼學改良之多人授權予多人的代理簽章法
8
0
0
全文
(2) [2-5, 7-19]。其中在(t, n)門檻代理簽章法中. p; w 為代理憑證; M 則為所要簽署的文件。. [12][13][20],原始簽章者可以授權給一個包含. 而在這個方法中包含三個不同的階段,分別是. n 人的代理簽章群體,只有當 n 個被授權的代. 代理憑證產生階段(proxy certificate generation. 理簽章者中任 t 人以上合作才可以產生出合法. phase) 、 多 重 代 理 多 重 簽 章 產 生 階 段. 的代理簽章。而在 2000 年由 Hwang、Shi 等. (multi-proxy multi-signature generation phase). 人 所 提 出 [3] 多 重 代 理 簽 章 ( multi-proxy. 以及多重代理多重簽章驗證階段(multi-proxy. signature)則是門檻代理簽章法的一種特例(t. multi-signature verification phase)。茲將每一階. = n)。. 段分別說明如下:. 2001 年,Hwang、Chen 等人提出一個植. A、代理憑證產生階段. 基於離散對數難題(discrete logarithm problem). 1.. 的多人授權予多人的代理簽章法(multi-proxy. 每 一 個 原 始 簽 章 者 Ui 選 擇 一 個 亂 數 kui∈Zq*,計算. multi-signature)[6],由原始簽章群體中的所 有人,合作授權給一個代理簽章群體,而只有. Kui = gkui mod p. 代理簽章群體中的所有人共同合作,才能產生. (2.1). ,並將 Kui 廣播給群組中其餘成員(包括原. 出合法的代理簽章。. 始簽章者與代理簽章者),其中 i∈{1, 2, …,. 但在 2002 年時,由 Sun 等人所提出的文. n}。. 章中[1],指出了 Hwang-Chen 的方法有安全上 的漏洞,也就是說偽造者可對任意文件,偽造. 每 一 個 代 理 簽 章 者 Pj 選 擇 一 個 亂 數. 出通過驗證式的簽章。因此我們修正原文中有. kpj∈Zq*,計算. 問 題的 簽章式 ,並 以橢圓 曲線 數位簽 章 法. Kpj = gkpj mod p. (elliptic curve digital signature algorithm 簡稱. (2.2). 為 ECDSA)[7][21][22]應用於此多人授權予多. ,並將 Kpj 廣播給群組中其餘成員,而 j∈{1,. 人的代理簽章法。如此可以有效的降低金鑰的. 2, …, m}。. 長度,以及減少廣播訊息時所需的頻寬,來提. 2.. 高系統的運作效率。. 群組中每一個成員計算 n. K =(. 二、 Hwang-Chen 的新多人授權予多 人的代理簽章法[6]. ∏ i=1. 3.. m. Kui) (. ∏ K )mod p pj. (2.3). j =1. 群組中每一個成員計算. 在本節中,我們將簡述 Hwang-Chen 的多. vt = ( h(w)xtyt + ktK ) mod q. 重代理人的多重簽章方法。在此系統中的參與. (2.4). 者共有三類:n 個原始簽章者(以下簡稱 U1,. ,其中 t ∈{ u1, …, un, p1, …, pm},並將 vt. U2, …, Un)、m 個代理簽章者(以下簡稱 P1,. 廣播給群組中其餘成員。. P2, …, Pm)及多重代理簽章合成者(以下簡稱. 4.. C)。接著介紹本系統的參數:p, q 為兩個大質. 群組中每一個成員以(2.5)驗證所得到的 vt。. 數且 q|p-1; g∈Zp 為序是 q 的生成子; h(⋅). gvt ≡ (yt)yth(w)(Kt)K. 為一公開的單向赫序函數; xi 為參與者的秘 xi. 密金鑰而 yi 為對應之公開金鑰且 yi = g mod 2. mod p. (2.5).
(3) 其中 t ∈{ u1, …, un, p1, …, pm}。 5.. 驗證個別代理簽章(rj, sj)之合法性,若都合 法則計算. 若 vt 驗證無誤,則代理簽章者計算. m. ∑v +∑ v. V=. S=. m. n. ui. i=1. mod q. pj. (2.6). ,並將(w, (K, V), M, (R, S))傳送給驗證者。 C、多重代理多重簽章驗證階段 1.. 每一個代理簽章者 Pi 選擇一個亂數 ti∈Zq* 計算. g. V. 驗證 w 及(K, V)之合法性 K. ≡K [. n. ∏. yui. yui. i=1. ri = gti mod p. (2.7). 2.. V. R [. i∈{1, 2, …, m}。. ypj h(w). ]. mod p (2.14). m. ∏y. ypj R. ]. pj. mod p. (2.15). 三、Sun 等人的攻擊方式[1]. 算個別的代理簽章(rj, sj). 在 2002 年時,Sun 等人針對 Hwang-Chen. m. ∏r. mod p. i. 的新多人授權予多人的代理簽章法,提出一個. (2.8). i=1. 偽造簽章的方式。而這也說明了 Hwang-Chen 的方法存在安全上的漏洞,在本節中我們將簡. 及 -1. sj = (Vtj + xpj ypjR)h(M) mod q. 述 Sun 等人偽造的方式。. (2.9). 偽造者利用先前取得的合法簽章(w, (K,. ,最後將(w, (K,V), M, (rj, sj))送交 C,而 i,. V), M, (R, S)),再以下面的方法計算出對任意. j∈{1, 2, …, m}。. 文件 M’的偽造簽章(w, (K, V), M’, (R, S’))。. C以 K. g ≡K [. 以偽造者想要取代 M 的文件 M’計算出 S’ n. m. ∏ (y ) ∏ (y yui. ui. ypj. pj. i=1. h(w). )]. -1. mod p (2.10). S’ = h(M) *h(M’) *S mod q. ( 3.1). j =1. ,而偽造的簽章(w, (K, V), M’, (R, S’))可通過. 驗證憑證(K, V)之合法性。 4.. pj. j =1. 當每個代理簽章者 Pj 收到所有的 ri 後,計. V. ∏y. 驗證 M 及(R, S)之合法性. gh(M)*S ≡. 3.. m. j =1. 並將 ri 廣播給其它的代理簽章者,. R=. (2.13). j=1. B、多重代理多重簽章產生階段. 2.. mod q. j. j=1. 其中 t ∈{ u1, …, un, p1, …, pm}。. 1.. ∑s. 驗證式:. C 計算. gh(M’)*S’ ≡. gh(M’)*h(M)*h(M’). -1. *S. m. R=. ∏r. j. mod p. ≡ gh(M)*S. (2.11). j=1. ≡. 並以. V. R [. m. ∏y. pj. j =1. s. gh(M)* j ≡. V. (rj) (ypj). R*ypj. mod p. (2.12) 3. ypj R. ] mod p. (3.2).
(4) 四、我們的改進方法. 每 一 個 代 理 簽 章 者 Pj 選 擇 一 個 亂 數 kpj∈Zq*,並計算. 在本節中我們將修改原先簽章式中不安. Kpj = kpj ×G. 全的部分(2.9)(2.15),並以橢圓曲線數位簽章 法(ECDSA),應用於此多重代理人的多重簽章. (4.2). ,並廣播給群組中其餘成員,其中 i∈{1,. 方法。參與者仍然有三類:n 個原始簽章者(以. 2, …, n}, j∈{1, 2, …, m}。. 下簡稱 U1, U2, …, Un)、m 個代理簽章者(以下 簡稱 P1, P2, …, Pm)及簽章合成者(以下簡稱. 2.. 群組中每一個成員計算. C)。而在這個方法中也是三個不同的階段,分. m. n. K = (Kx, Ky) =. 別是代理憑證產生階段、多重代理多重簽章產. ∑K. ui. +. i=1. 生階段以及多重代理多重簽章驗證階段。玆將. ∑K. 每一階段分別說明如下。. κ = (Kx ⊕ Ky) mod q. 首先介紹本系統的參數:. (If κ = 0 then κ = Kx mod q). 1. E : 為在有限體 Zp 之下的橢圓曲線方程. 3.. 4. × : 定義於 E(Zp)上的乘法運算,如 d×G =. vui = h(w)*xui + kui*κ. mod q. (4.5). vpj = h(w)*xpj + kpj*κ. mod q. (4.6). 並 廣 播 給 群 組 中 其 餘 成 員 , 其 中 i∈{1,. G + G + … + G 共 d 個 G。. 2 , …, n}, j∈{1, 2, …, m}。. 5. ⊕ : 互斥運算(exclusive-or operation)。. 4.. 群組中每一個成員以. 6. h(⋅) : 公開的單向赫序函數(如 SHA-1)。 7. xi : 參與者的秘密金鑰而 Yi 為對應之公. vui×G (h(w)×Yui) + (κ×Kui). (4.7). vpj×G (h(w)×Ypj) + (κ×Kpj). (4.8). 或. 開金鑰且 Yi = xi ×G。 8. w : 代理憑證。. 驗證所得到的 vui , vpj ,其中 i∈{1, 2, …, n},. 9. M : 欲簽署之文件。. j∈{1, 2, …, m}。. A、代理憑證產生階段. 5.. 若 vui, vpj 驗證無誤,則每一個代理簽章者 計算. 每 一 個 原 始 簽 章 者 Ui 選 擇 一 個 亂 數 kui∈Zq*,計算 Kui = kui×G. (4.4). 或. 3. * : 定義於 Zq*上的乘法運算。. 1.. (4.3). 群組中每一個成員計算. 式。 2. G : 在 E(Zp)上序為 q 的生成點。. pj. j=1. m. n. ν=(. ∑ i=1. (4.1). vui) + (. ∑v ) pj. mod q (4.9). j=1. B、多重代理多重簽章產生階段. ,並將 Kui 廣播給群組中其餘成員(包括原 始簽章者與代理簽章者)。. 1. 4. 每 一 個 代 理 簽 章 者 Pj 選 擇 一 個 亂 數.
(5) rj∈Zq* ,計算. C、多重代理多重簽章驗證階段. Rj = rj×G. 1.. (4.10). 以下式驗證 w 及(K, ν)之合法性,而 κ 的 計算方式同(4.4). 並將 Rj 廣播給其他的代理簽章者,其中. n. ν ×G h(w)×(. j∈{1, 2, …, m}。. ∑. m. Yui +. i=1. 2.. 每個代理簽章者 Pi 收到所有的 Rj 後,計. 2.. pj. j=1. 以下式驗證 M 及(R, ŝ)之合法性,而 ŕ 的 計算方式同(4.12). 算個別代理簽章(Ri, si). m. m. R = (Rx, Ry) =. ∑ Y ) + (κ×K) (4.17). ∑R. ŝ ×G (ŕ ×R) + (h(M)×(. (4.11). j. ∑ Y )). (4.18). j. j=1. j=1. ŕ = (Rx ⊕ Ry ⊕ ν) mod q. 五、正確性分析. (If ŕ = 0 then ŕ = (Rx ⊕ ν) mod q). (4.12) 在本單元中我們針對上一單元中出現的. 及. 驗證式,說明合法產生的參數必定可以滿足相 si = ri* ŕ + xi*h(M) mod q. (4.13). 關的驗證式。而以下將一一推導各相關之驗證 式。. 再將(w, (K, ν), M, (Ri, si))送交 C,其中 i, j∈{1, 2, …, m}。 3.. (1) vui , vpj 之驗證式(4.7), (4.8). C 以下式驗證憑證(K, ν)之合法性。 m. n. ν×G h(w)×(. ∑. vui ×G = (h(w)*xui + kui*κ)×G. Yui +. i=1. ∑ Y )+(κ×K) (4.14). = (h(w)*xui)×G + (kui*κ)×G. pj. j=1. = h(w)×Yui + κ×Kui. 而 κ 的計算方式同(4.4)。. (5.1). 而 vpj×G = h(w)×Ypj + κ×Kpj (同理可得) 4.. 若(K, ν)通過驗證,則 C 計算 R 及 ŕ,而計 算方式與(4.11)及(4.12)相同。. (2) (K, ν) 之驗證式(4.14), (4.17). 再以下式驗證每一對個別代理簽章(Ri, si). ν×G. 的合法性,而 i∈{1, 2, …, m}。 si×G (ŕ ×Ri ) + (h(M)×Yi). m. n. =(. ∑. vui +. i=1. (4.15). ∑v. =(. ∑. )×G. m. n. ,若都合法則 C 合成多重代理多重簽章. pj. j=1. vui)×G + (. i=1. ∑v. pj. )×G. j=1. (R, ŝ) m. n. =. m. ŝ=(. ∑ s ) mod q j. (4.16). ∑ (h(w)×Y +κ×K )+ ∑ ( h(w)×Y + κ×K ) ui. ui. i=1. pj. pj. j=1. j=1. m. n. = h(w)×(. ,並將(w, (K, ν), M, (R, ŝ ))傳送給驗證者。. ui. i=1. 5. m. n. ∑ Y + ∑ Y ) + κ×( ∑ K + ∑ K ) pj. j=1. ui. i=1. pj. j=1.
(6) m. n. = h(w)×(. ∑Y. ∑ Y ) +κ×K. ui +. i=1. 在安全分析之前,我們先釐清偽造者的目. (5.2). pj. 標,就是要偽造出新的多重代理多重簽章(w,. j=1. (K, ν), M’, (R’, ŝ’ )),而且能滿足驗證式(6.1)。. (3) (Ri, si)之驗證式(4.15). m. si×G = ( ri* ŕ + xi*h(M))×G. ŝ’×G = (ŕ’×R’) + (h(M’)×(. 因此我們將偽造者可行的偽造方式分析如後。. = ŕ×Ri + h(M)×Yi. (5.3) 由於本系統為不可恢復式的簽章,因此. (4) (R, ŝ)之驗證式(4.18). 偽造者必須先選擇有意義的文件 M’。. m. ∑ s )×G j. 而 由 (6.1) 可 知 , 當 偽 造 者 選 擇 M’ 後 ,. j=1. m. m. =. ∑. (h(M’)×(. (ŕ×Rj + h(M)×Yj). m. ∑. m. Rj) + (h(M)×(. j=1. ∑ Y ))即為橢圓曲線上之一固定點。 j. j=1. j=1. = ŕ×(. (6.1). j. j=1. = ( ri* ŕ)×G + (xi*h(M))×G. ŝ ×G = (. ∑ Y )). ∑ Y )). 因此我們以偽造者對 R 的偽造方式,分為以下. j. j=1. 兩種狀況討論之。. m. = (ŕ×R) + (h(M)×(. ∑ Y )) j. (5.4). Case 1. 偽造者先求α,使得 ŕ’×R’ = α×G. j=1. 則由(6.1)可得. 六、安全性分析 m. ŝ’×G = α×G + (h(M’)×(. 在第四節中我們介紹了另一種實現多重. ∑ Y )). (6.2). j. j=1. 代理人的多重簽章之方式。在此方法中,我們 ⇒ ŝ’×G = Q. 將原先植基於離散對數問題的方法,改植於橢 圓曲線離散對數問題。並修正原來文章中不安. ( Q 為橢圓曲線上的某一點) (6.3). 全的簽章(2.9)與驗證式(2.15),以阻止 Sun 等 由此可知,偽造者必須求解橢圓曲線離. 人的偽造攻擊。由於我們修改的簽章方式,基. 散對數問題,才能求出 ŝ’的值。. 本上是橢圓曲線數位簽章法[7]的一種變形。因 此我們針對偽造者的攻擊模式,提供一個簡略. Case 2. 偽造者先決定出 ŝ’×G,並由此得到 R’。. 的分析,並由此說明修改過後的簽章式是安全 則由(6.1)可得. 的。但在此之前我們先介紹本系統的安全基 礎。. m. (ŕ’×R’) = ŝ’×G + (−h(M’))×(. ∑Y ) j. (6.4). j=1. 定義:. 也就是說,偽造者必須求出 R’,使得 R’. 橢圓曲線離散對數問題(ECDLP). 具有以下的特性。 令 E 為在有限體 Zp 之下的橢圓曲線方程. ((Rx’ ⊕ Ry’ ⊕ ν) mod q)×R’. 式,而 G 為在 E(Zp)上序為 q 的生成點。在給 定 G 及 s×G 的情況下求未知數 s,(其中. m. = ŝ’×G + (−h(M’))×(. s∈Zq*)。. ∑Y ) j. j=1. 6. (6.5).
(7) ⇒. ((Rx ’ ⊕ Ry’ ⊕ ν) mod q)×R’ = β×G. [3] S.J.Hwang. (6.6). and. Multi-Proxy. 偽造者至少須求解橢圓曲線離散對數問. C.H.Shi,. “A. Signature. Simple Scheme,”. Proceedings of the 10th National Conference. 題,以解出β的值後,才有可能求出 R’. on. 的值。. Information. Security,. Taiwan,. pp.. 134-138, 2000.. 由以上的分析得知,若偽造者具有解出. [4] S.J.Hwang and C.H.Shi, “A Proxy Signature. 橢圓曲線離散對數問題的能力,則多重代理多. Scheme without Using One-Way Hash. 重簽章(w, (K, ν), M, (R, ŝ ))是可以被偽造的。. Functions,”. International. Computer. 但求解橢圓曲線離散對數問題,是大家所共同. Symposium, Chiayi, Taiwan, R.O.C., Dec.. 認知的難題。. 6-8, pp. 60-64, 2000. [5] S.J.Hwang and C.H.Shi, “A New Proxy. 七、結論. Multi-Signature Scheme,” to appear in. 在本文中,我們針對 Hwang-Chen 的多. International Workshop on Cryptology and. 重代理多重簽章法提出改進的方法。而此改進. Network. 方法,除了可以有效的抵抗 Sun 等人的偽造攻. Taipei, Taiwan, pp. 26-28, 2001.. 擊外,更可以有效的降低金鑰的長度,以及減. Security,. [6] S.J.Hwang. 少廣播訊息時所需的頻寬,提高系統運作的效. and. Multi-Proxy. 率。不過,在此方法中每一參與者的計算負擔. Tamkang. C.C.Chen,. University,. “A. Multi-Signature. New. Scheme,”. National Computer Symposium, vol. F,. 仍不小,雖然可透過預先計算(pre-compute)的. Taiwan, pp. 19-26, 2001.. 技巧來降低計算所需的時間,但如何簡化此系 [7] Don B. Johnson and Alfred J. Menezes,. 統,使其更有效率的運作,將是我們未來努力. “Elliptic. 的方向。. Curve. DSA. (ECDSA):. Enhanced. DSA,”. www.certicom.com/research/white.html. 致謝. An ,. 1999. 本研究由經濟部委託(補助)財團法人資. [8] S.Kim,. 訊工業策進會通訊軟體關鍵技術開發五年計. S.Park. and. D.won,. “Proxy. Signatures, revisited,” ICICS’97, Lecture. 畫分包辦理。. Notes in Computer Science, vol.1334, Springer, Berlin, pp. 223-232, 1997.. 九、參考文獻. [9] N.Y.Lee, T.Hwang and C.H. Wang, “On [1] 孫宏民, 謝濱燦, 林宸堂, “Cryptanalysis. Zhang’s Nonrepudiable Proxy Signature. of A New Multi-Proxy Multi-Signature. Schemes,” Third Australasian Conference,. Scheme,” 第十二屆全國資訊安全會議, pp.. ASISP’98, pp. 415-422, 1998.. 151-154, 2002.. [10] M.Mambo,. [2] S.J.Hwang and C.H.Shi, , “The Specifiable Proxy. Signature,”. National. K.Usuda,. and. E.Okamoto,. “Proxy Signatures:Delegation of the Power. Computer. to Sign Message,” IEICE. Transaction. Symposium, vol. 1334, Taiwan, pp. 190-197,. Fundamentals, E79-A, 9, pp. 1338-1354,. 1999.. 1996. 7.
(8) E.Okamoto,. [19] L.B.Yi and G.Xiao, “Proxy Multi-Signature. “Proxy Signatures for Delegation Signing. Scheme:A New Type of Proxy Signature. Operation,” Proc. 3nd ACM Conference on. Scheme,” Electronic Letters, vol. 36, No. 5,. Computer and Communication Security, pp.. pp. 527-528, 2000.. [11] M.Mambo,. K.Usuda,. and. 48-57, 1996.. [20] K.Zhang, Schemes,”. [12] H.M.Sun, “An Efficient Nonrepudiable. 1997. Proxy. Information. Signature Security. Workshop, Japan, pp. 191-197, 1997.. Threshold Proxy Signature Scheme with Known Signers,” Computer Communication,. [21] William. vol. 22, pp. 717-722, 1999.. Stallings,. Cryptography. and. Network Security Principle and Practice. [13] H.M.Sun, N.Y.Lee and T.hwang, “Threshold Proxy. “Threshold. Signature,”. Proceedings-computers. (third. New. Jersey:. Person. Education International, 2003.. IEE Digital. [22] Menezes, A. Elliptic Curve Public Key. Techniques, vol. 146,No. 5, September, pp.. Cryptosystem. Boston: Kluwer Academic. 259-263, 1999.. Publishers, 1993.. [14] H.M.Sun. and. Time-Stamped. &. edition).. B.J.Chen, Proxy. “Unforgeable. Signatures. with. Traceable Receivers,” Proceedings of the Ninth National Conference on Information Security, Taiwan, pp. 247-253, 1999. [15] H.M.Sun and B.T Hsieh, “Remark on Two Nonrepudiate Proxy Signature Schemes,” Proceedings. of. the. Ninth. National. Conference on Information Security, Taiwan, pp. 241-246, 1999. [16] H.M.Sun, “Design of Time-Stamped proxy Signatures with Traceable Receivers,” IEE Proceedings of Computers and Digital Techniques, vol.147, No. 6. pp. 462-466, 2000. [17] H.M.Sun, “On Proxy (Multi-) Signature Schemes,” 2000 International Computer Symposium, Chiayi, Taiwan, R.O.C., pp. 65-72, 2000. [18] S.M.Yen, C.P.Hung and Y.Y.Lee, “Remarks on Some Proxy Signature Schemes,” 2000 International Computer Symposium, Chiayi, Taiwan, R.O.C., pp. 54-59, 2000. 8.
(9)
相關文件
“Transductive Inference for Text Classification Using Support Vector Machines”, Proceedings of ICML-99, 16 th International Conference on Machine Learning, pp.200-209. Coppin
The roles of school management and technical support staff on implementing information and network security measures... Security
Proceedings of the 19th Annual International ACM SIGIR Conference on Research and Development in Information Retrieval pp.298-306.. Automatic Classification Using Supervised
Hofmann, “Collaborative filtering via Gaussian probabilistic latent semantic analysis”, Proceedings of the 26th Annual International ACM SIGIR Conference on Research and
Proceedings of IEEE Conference on Computer Vision and Pattern Recognition, pp... Annealed
in Proceedings of the 20th International Conference on Very Large Data
Lange, “An Object-Oriented Design Method for Hypermedia Information Systems”, Proceedings of the Twenty-seventh annual Hawaii International Conference on System Sciences, 1994,
Proceedings of the Fifth International Conference on Genetic Algorithms, Morgan kaufmann Publishers, San Mateo, California, pp.110~117, 1996. Horn, J., “Finite Markov Chain Analysis
