（计算机软件与理论专业论文）数字签名及其前向安全特性的研究.pdf

i j j 东大学硕十学何论文 捅姜 计算机技术和通信技术促使了互联网络的迅速发展，基于网络的信息服务、 应用服务在短时间内迅速发展，充分利用网络通信功能极大的提高了信息资源的 利用率。但是互联网络本身却并不是安全的场所，暴力攻击、黑客入侵、病毒、 非法窃取信息等网络攻击层出不穷，这些对于基于网络的应用服务都是严峻的挑 战，信息的安全性更是直接影响到基于网络的应用服务的实现。密码学是研究信 息安全的学科，采用信息加密，数字签名、身份鉴别、密钥交换等方式保障网络 通信中信息的安全性、密码体制由算法和密钥组成，根据k e r c k h o f 假设密码，密 。 码体制的算法总是要公开的，于是密码体制的安全性就完全依赖于密钥的安全性 密钥丢失对于一个密码体制的安全性来说是致命的，因为整个体制立刻变的不再 安全，损失无法估计。解决密钥泄露的直接方法是提高密钥的安全性。秘密共享 方案、门限签名方案、p r o a c t i v e 密码体制都是直接加强对密钥的保护来提高密 钥的安全性，秘密共享方案使用分布式的存储实现私钥的安全存储，门限签名方 案可以认为是使用分布式计算来加强私钥安全性，p r o a c t i v e 密码体制则是同频 繁的更换公私钥来降低私钥泄露的机会。但是这些解决方案中还存在一些不足的 地方，比如新的解决方案中带来新的问题，如门限中的共谋攻击：方案的实现的 费用较高。和能够获得的安全性能相比不能令人满意：这几个方案中如果私钥泄 露，损失和普通方案相同，不能降低损失。此外，还有一些其他的解决方式，比 如设计安全性更高的硬件存储设备等。解决密钥泄露的另一种技术是前向安全密 码体制，本文主要对具有前向安全特性的签名体制进行研究。前向安全的目标是 降低密钥泄露所带来的损失，实现的方式是采用“私钥演化”使敌人不能从所获 得的私钥计算出之前所使用的私钥，这样敌人就无法伪造更多的签名，减少了由 私钥泄露所带来的损失。前向安全签名体制改变了普通签名体制的原有模式，引 入公钥的“生存周期”的概念，并将整个“生存周期”划分为多个时问段，公钥 生存在整个“生存周期”有效且保持不变，而在不同的时间段里使用不同的私钥， 每个阶段之间的私钥保持单向性，即从某个阶段的私钥计算前一阶段的私钥是不 可行的。这样在某阶段泄露密钥以后，由于计算前一阶段的密钥是困难的，敌人 无法伪造之前阶段的签名，减少了私钥泄露所引起的损失。 论文较为全面的总结了国内外前向安全特性数字签名方案，对部分方案进行 i j i 东大学硕十学付论文 了分析。首先，文章介绍了几个基本的数字签名方案及基于双线性映射的数字签 名方案。接着，对前向安全数字签名方案进行了总结和分析，包括基于r s a 体制、 基于e l a g m a l 体制、基于黑箱操作、基于双线性映射的前向安全数字签名方案。 其中主要对最后一种进行重点分析，提出了两个新型方案，并进行了安全性分析 及效率的比较。文章还讨论了近几年前向安全特性数字签名方案的最新研究成 果：k e y i n s u l a t e d 数字签名方案、i n t r u s i o n r e s i l i e n t 数字签名方案，介绍了 其典型方案，并讨论了它们的不足之处。然后，研究了前向安全数字签名方案在 其它特性数字签名方案之中的应用，有前向安全代理签名方案和前向安全群签名 方案。文章指出国内部分对a c j t 0 0 方案的攻击是错误的，进一步巩固了其及基于 a c j t 0 0 的前向安全群签名的安全性，并给出了一个新型的前向安全代理签名方 案。文章在开始给出了基于双线性映射的s o k 签名方案的安全性，它是我们新型 前向安全签名方案及新型静向安全代理签名方案的基础，它在基于双线性映射签 名方案的研究中起着重要作用。 关键字：网络信息安全数字签名前向安全代理签名群签名双线性映射 椭圆曲线密钥演化k e y i n s u l a t e d 模型i n t r u s i o n r e s i l i e n t 模型 u 山东大学硕十学付论文 a b s t r a c t w i t ht h ea d v a n c eo fc o m p u t e rt e c h n i q u ea n dt h ec o m m u n i c a t i o nt e c h n i q u e , t h e d e v e l o p m e n to fi n t e r a c ti si m p e l l e dq u i c k l y b a s e do nn e t w o r k ，t h em e s s a g es e r v i c e a n da p p l i c a t i o ns e r v i c ed e v e l o p e ds w i f t l y t h ei n f o r m a t i o nr e s o u r c em e s s a g es e r v i c e u t i l i z a t i o nr a t i os u f i c i e n t l yu t i l i z e dt h en e t w o rkc o m m u n i c a t i o ns e r v i c ee x t r e m e l y g r e a tr a i s eo fc a p a c i t y y e tt h ei n t e r a c ti ni t s e l fy e ti sn o tas e c u r i t ya r e aa ta l l ，a n dt h e f o r c e a t a c k 、h a c k e ri n t r u d e s 、v i r u sa n di l l e g a l l yg r a b s ，s om u c hn e t w o r ka t t a c k se m e r g e i na ne n d l e s ss t r e a m ，a n dt h e s ea r es e r v e dc h a l l e n g ew h ow h o l l j li ss e 、，e l - e a st ot h e a p p l i c a t i o n sb a s e d i n go nt h en e t w o r k ，a n ds e c u r eq u a l i t yo fm e s s a g es t i l lm o r ei s d i r e c t l ya f f e c i n gt ob a s e do nn e t w o r ka p p l i c a t i o ns e r v i c er e a l i z a t i o n t h ec r y p t o l o g yi s t h eb r a n c ho fl e a r n i n gt or e s e a r c hi n f o r m a ti o ns e c u r i t y ，a n da d o p t st b e m e a n ss u c h a st h em e s s a g ee n c i p h e r ，f i g u r es i g n a t u r ea n di d e n t i t ya nt h o r i t ya n dk e ye x c h a n g e a n d o nt o s a f e g r a r ds e c u r eq u a l i t y o f m e s s a g e i nt h e n e t w o r k c o m m u n i c a t i o n c r y p t o s y s t e ms c h e m ei sc o m p r i s e do fa l g o r i t h ma n dk e y a c c o r d i n g t ok e r c k h op r i n c i p l e ，t h ea lg o r i t h mi sp u b l i s h e dt op u b l i c s ot h es e c u r i t yo f c r y p t o s y s t e ms c h e m ef u l l yd e p e n d so nt h es e c u r i t yo fk e y k e ye x p o s u r ei sf a t a lt oa c r y p t o s y s t e mst h e m ea n dt h ed a m g ei su n a b l et oe s t i m a t e d o ne s o l u d o nt o t h e k e y - e x p o s u r ep r o b l e mi st oi m p r o v et h es e c u r i t yo f t h es e c r e tk e y ，f o re x a m p l es e c r e t s h a r i n gs c h e m e 、t h r e s h o l dc r y p t o s y s t e m 、p r o a c f i v e s ee r e ts h a r i n gs c h e m e s e c r e t s h a r i n gs c h e m e u s e sd i s t r i b u t e ds t o r a g et op r o t e c ts e c r e tk e y t h re s h o l dc r y p t o s y s t e m e n h a i l c e st h es e c u r i t yo fs e c r e tk e yw i t hd i s t r i b u t e dc o m p u t a t i o n a n dp r o a c t i v es e c r e t s h a r i n gs c h e m eu p d a t e sk e yf r e q u e n t l y t h e r ea r es o m ep r o b l e mi nt h e r es o l u t i o n s ，f o r e x a m p l e ，n e wd i f f i c u l t yw a s i nt h es o l u t i o n ，t h ec o s to f i m p l e m e n t a t i o ni sh i g h o n c e s e c r e tk e yw a sl o s tt h ed a m a g e ss t i l lc a nn o tb ea v o i d e d t h e r ea r ea l s os om e o t h e r w a y sw i t hh a r d w a r e a n o th e rw a y i sf o r w a r d - s e c u r es c h e m e ，w h i c hw ew i l ld i s c u s si n t h i s p a p e r t o r e d u c et h ed a m a g ec a u s e db y k e y - e x p o s u r e i st h e g o a lo f f o r w a r d s c e n i cs c h e m e t h es c h e m em a k ee n e m yd i s a b l et of o r g es i g n a t u r eb ef o r e ， t h e nt h ed a m a g ew a sr e d u c e d f o r w a r d s e c u r es i g n a t u r es c h e m em o d i f i e dp r i m a r y m o d e li nc o l n m o ns i g n a t u r es c h e m e t h en o t i o n “l i f ec y c l e ”w a si n t r od u c e di n t on c w s c h e m ea n di ti sd i v i d e di n t os e v e r a lp e r i o d s 啊1 cp u b l i ck e yi sk e p tu n c h a n g e di n ”l i f e i l l 山尔大学硕十学付论文 c y c l e ”, w h i l et h es e c r e tk e y w a sc h a n g e di ne v e r yp e r i o d ，1 r i l es c h e m ec o m p u t en e x t s e c r e tk e yw i t ha no n e w a yf u n c t io n ，w h i c hm e a n st h a ti ti sd i f i c u l tt og e tp r e v i o u s s e c r e tk e yw i t ht h a to fa n yp e r i o d s ot h ee n e m yc a l ln o tf o r g et h es i g n a t u r eb e f o r ea n d t h ed a m a g ew a sr e d u c e d t l l i sp a p e ri n t r o d u c e sm o s to ft h ei m p o r t a n ts t u d yi nf o r w a r d s e c u r ep r o p e r t y s i g n a t u r es c h e m e si na n da b o a r d , a n da n a l y s i ss o m eo ft h e m f i r s t l y ，t h i sp a p e r i n t r o d u c e s s o m eb a s i cs i g n a t u r es c h e m e sa n ds i g n a t u r es c h e m e sb a s e do nt h eb i l i n e a r m a p s t h ep a p e ro f f e r st h ef o r w a r d - s e c u r es i g n a t u r es c h e m e s ，i n c l u d i n gt h es c h e m e s b a s e do nr s as c h e m e , e l a g m a ls c h e m e b l a c kb o xa n db i l i n e a rm a p s w ep a ym o r e a t t a i n t i o nt ot h el a s to n e ，a n do f f e rt w on e ws c h e m e s ，a n a y l y s i st h e i rs e c u r i t ya n d f e a s i b i l i t y t h i sp a p e ra l s oi n t r o d u c ea n da n a y l y s i st h es i g n a t u r es c h e m e sw i t h f o r w a r d - s e c u r e p r o p e r t y ：k e y - i r m u l a t e d s i g n a t u r es i g n a t u r e s c h e m ea n d i n t r u s i o n - r e s i l i e n ts i g n a t u r es c h e m e t h e n ，t h ep a p e ri n t r o d u c e s t h ea p p l i c a t i o no f f o r w a r d - s e c u r i t yi no t h e rs i g n a t u r es c h e m e s ，i n c l u d i n gf o r w a r d - s e c u r ep r o x ys i g n a t u r e s c h e m e sa n df o r w a r d - s e c u r eg r o u ps i g n a t u r es c h e m e s w ea n a l y s i st h ea c j t 0 0 s i g n a t u r es c h e m e s a n do f f e ran e wf o r w a r d s e c u r ep r o x ys i g n a t u r es c h e m e a tt h e s a n l et i m e , w eg i v et h es e c u r i t yp r o o f o f s o ks i g n a t u r es c h e m eb a s e do nb i l i n e a rm a p s , w h i c hm a k eai m p o r t a n tr o l ei no u rs t u d yi ns i g n a t u r es c h e m e sb a s e do nb i l i n e a r m a p s k e y w o r d s ：n e t w o r ki n f o r m a t i o ns e c u r i t y , d i g i t a ls i g n a t u r e , f o r w a r ds e c u r i t y , p r o x y s i g n a t u r e ，g r o u ps i g n a t u r e ，b i l i n e a rm a p s , e c c ，k e ye v o l u t i o n , k e y - i n s u l a t e dm o d e l ， i n t r u s i o n - r e s i l i a n tm o d e l 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立进 行研究所取得的成果。除文中已经注明引用的内容外，本论文不包含任何 其他个人或集体已经发表或撰写过的科研成果。对本文的研究作出重要贡 献的个人和集体，均已在文中以明确方式标明。本声明的法律责任由本人 承担。 论文作者签名：垄! j 煎盘 目 r4 期：塑! ! ! 关于学位论文使用授权的声明 本人完全了解山东大学有关保留、使用学位论文的规定，同意学校保 留或向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅 和借阅；本人授权山东大学可以将本学位论文的全部或部分内容编入有关 数据库进行检索，可以采用影印、缩印或其他复制手段保存论文和汇编本 学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名： 山东大学硕十学何论文 i i 第1 章引言 1 1 背景介绍 随着电子计算机和互联网络的迅速发展，极大的提高了信息资源的利用率， 给人们的生活和工作带来极大的便利。尤其是互联网的不断普及，使得网络通信 已经逐渐成为人们生活中日益重要的通信手段，但是随之而来的是信息安全的问 题。密码学是研究信息安全的重要学科，主要针对数据加密、数字签名、身份认 证、密钥交换等安全解决方案进行研究，保障计算机尤其是网络传输中的数据安 全性。密码体制的设计和研究都是在k e r c k h o f 的假设前提下进行的。一般情况下， 密码体制由密码算法和密钥组成，k e r c k h o f 假设要求密码体制的研究不能以敌人 不清楚密码算法为前提，在这样的假设前提下密码算法的安全性完全依赖于密钥 的安全性。密钥的安全是整个密码体制安全的前提，密钥一旦泄露将直接破坏密 码体制的安全性，损失也将是无法估计的。很多的研究者在进行者密钥安全存储 的研究工作，提高密钥的安全性，降低风险。前向安全的提出从另一个角度来解 决密钥泄露的问题，密钥泄露所产生的后果不仅仅是敌人会伪造签名，更重要的 是影响到原来合法的签名的合法性，这样将导致整个体制所有的签名都不再可 靠。前向安全签名体制把目光转移到如何降低密钥泄露后的损失这3 方面，前向 安全签名体制改变了普通签名体制的原有模式，引入公钥的“生存周期”的概念， 并将整个“生存周期”划分为多个时间段，公钥生存在整个“生存周期”有效且 保持不变，而在不同的时间段里使用不同的私钥每个阶段之间的私钥保持单向 性，即从某个阶段的私钥计算前一阶段的私钥是不可行的。这样在某阶段泄露密 钥以后，山于计算前一阶段的密钥是困难的，敌人无法伪造之前阶段的签名，减 少了由私钥泄露所引起的损失设计前向安全签名体制的主要工作是设计私钥演 化体制，私钥进行单向的演化，保证了之前阶段里的签名的可靠性，目前私钥演 化的主要方式有模平方、伪随机数函数。配合私钥演化函数，再选择适合的签名 方案，形成完整的前向安全签名体制。 1 2 本文成果 本文对前向安全签名体制的概念和定义进行详细描述，较为全面的分类介绍 山东大宁研十学付论文 并分析了典型的前向安全特性签名体制及具有f ； 向安全特性的密钥演化体制和 特性数字签名体制，同时讨论了几个方案的优缺点。文章给出了一个新型前向安 全数字签名方案和一个前向安全代理签名方案，分析了a c j t 2 0 0 0 及相关群签名方 案。文章还给出了s o k 签名方案的安全性证明，它是我们的新型前向安全及前向 安全代理签名方案的基础，同时在今后的密码学研究工作中具有重要意义。 1 3 本文组织 本文首先介绍了数字签名的基本概念( 第2 部分) 及前向安全数字签名的基 本模型( 第3 部分) ，。重点分析主要的几类前向安全签名体制的优点及缺陷。同 时在第三部分介绍的具有前向安全特性的密钥演化体制及几个典型的方案和分 析。然后，对两种特性数字签名一群签名( 第4 部分) 、代理签名( 第5 部分) 及其前向安全特性进行了介绍和分析。文章给出了s o k 签名方案的安全性证明 ( 2 3 3 节) 、一个新型前向安全数字签名方案( 3 3 节) 和一个前向安全代理签 名方案( 5 4 节) ，分析了a c j t 2 0 0 0 及相关群签名方案( 4 2 节) 。 2 山东大学硕十学付论文 s e ! ! 曼| ! ! e ! ! ! ! ! ! ! 自e ! ! ! ! 目皇! 目! e 皇! ! ! l ! ! i i i 一墨 2 1 基本概念 第2 章数字签名基本概念 目前有许多种技术保证信息的安全不受侵犯，例如加密技术、访问控制技术、 认证技术以及安全审计技术等，但这些技术大多数是用来预防用的，信息一旦被 攻破，我们不能保证信息的完整性。为此，出现了一种用来保证信息完整性的安 全技术数字签名技术。数字签名技术是实现交易安全的核心技术之一，它的 实现基础就是加密技术。 数字签名是以电子形式签名一个消息的方法一签名的消息可以在计算机网络 中传送。在数字签名中，签名不再是传统意义上的签名，而是通过某种特定算法 将签名连接到消息上。同样，对签名的验证，也不再是把传统签名于真实签名进 行比较，而是利用公开的已知的验证算法进行验证。数字签名必须保证以下几点： 接收者能够核实发送者对报文的签名；发送者事后不能抵赖对报文的签名；接收 者不能伪造对报文的签名。 实现数字签名有很多方法，目前采用较多的是非对称加密技术和对称加密技 术。虽然这两种技术实施步骤不尽相同，但大体的工作程序是一样的。用户首 ， 先可以下载或者购买数字签名软件，然后安装在个人电脑上。在产生密钥对后， 软件自动向外界传送公开密钥由于公共密钥的存储需要，所以需要建立一个鉴 定中心( c a ) 完成个人信息及其密钥的确定工作。鉴定中心是一个政府参与管理 一的第三方成员，以便保证信息的安全和集中管理。用户在获取公开密钥时，首先 向鉴定中心请求数字确认，鉴定中心确认用户身份后，发出数字确认，同时鉴定 中心向数据库发送确认信息。然后用户使用私有密钥对所传信息签名，保证信息 的完整性，真实性，也使发送方无法否认信息的发送，之后发向接收方；接收方 接收到信息后，使用公开密钥确认数字签名，进入数据库检查用户确认信息的状 况和可信度；最后数据库向接收方返回用户确认状态信息。不过，在使用这种技 术时，签名者必须注意保护好私有密钥，因为它是公开密钥体系安全的重要基础。 如果密钥丢失，应该立即报告鉴定中心取消认证，将其列入确认取消列表之中。 其次，鉴定中心必须能够迅速确认用户的身份及其密钥的关系一旦接收到用户 山东大学硕十学伊论文 请求，鉴定中心要立即认证信息的安全性并返回信息。建立于公饵体制基础上的 数字签名是国内外研究人员的一个研究热点。数字签名已经从最初的普通电子签 名发展到了多用途、多领域的特殊签名，其中包括：前向安全的数字签名、门限 签名、群签名、盲签名、代理签名、不可否认签名、具有消息恢复功能的签名等。 每一种签名有其相应的应用领域。美国于1 9 9 4 年公布了基于有限域上离散对数 问题的数字签名标准( d d s ) ，并于2 0 0 0 年通过了数字签名法案。欧洲等其他国 家也正在制定自己的数字签名标准和数字签名法案。数字签名具有了法律效力， 从而为网络社会中的电子商务、电子政务的发展打下基础，也进一步促迸了数字 签名自身的发展。 公钥数字签名方案可划分为下面四个算法：建立，密钥产生，签名和验证， 下面具体说明： 建立：这是个概率多项式时间算法，需要输入一个安全参数以并且返回系 统参数( p a t - a m s ) 。参数中包括有限消息空间和有限签名空间 ，和都 由安全参数k 定义。 密钥产生( ) ：是一个概率多项式时间算法，输入为参数( p a r a m s ) ，并且返 回两个密钥；一个是验证密钥，一个是签名密钥。我们记为 ， 其中岛岛c ez ：。 问题：判定cr a o d 口是否等于8 6m o d 口。如果等于，那么输出y e s ，否则输出 1 1 0 计算c o d i f f i e h e l l m a n 难题： 实例：已知 ，其中马b z 。 问题：输出g a b 岛 当日= 岛并且g l = g ：，这些难题分别约化为基础的d d h 和c d h 难题。如果存 在个有效的算法可以解决判定c o - d r 难题，并且没有多项式时间( 在lg l 内) 的算法能解决计算c o d h 难题，那么我们就称，群匠，历是一个c o g d h 群。密 码学的双线性配对映射的存在保证了c o g d h 群的存在。 j 丘群6 上的选择目标的c d h 难题 令口： 驴是一个阶为素数g 的乘法群。令z 是一个z 中的随机元素，j ，= 矿。 令腻为一个哈希函数集【 o ，1 ) 哼钟 中的一个随机实例。给定输入( 儡晶塌，y ) ， 敌人a 可以访问目标预言器乃可以返回群g 中的随机元素乃，和帮忙者预言 器( ) 。令毋和珊分别是a 对目标预言器和帮助者预言器的问询次数。敌人攻 击选择目标的c d h 难题的优势函数a d v 器一“( 栅可以定义为：a 输出集合矿的概 率，p 是由( ( n ，) ，( 正) ，( ) ) j 个数对组成，这里 对所有的j ( 1 j 1 ) ，存在五( 1 s 口r ) 使得v j = z ：，所有的n 都是不同 的且跏 q r , j 。 选择目标的c d h 假设：对每一个多项式时间的概率算法彳( 其输出为0 或1 ) 。 a d v 品伽( 册可以忽略。 2 3 2b l $ 签名方案 下面介绍b o n e h 等人的基于双线性映射的短签名方案，记为b l s 方案 1 1 系统初始化： 设g 。和g ：分别是阶为q 的加法循环群和乘法循环群，p 为g ，的生成元 定义t t a s h 函数日：1 0 ，q - 斗g l 2 ) 密钥产生： i o 山东大学硕十学伊论文 ( 】) 私钥：选乏上的随机数善 ( 2 ) 公钥：( g 。，g 2 ，q ，p ，q ，h ) ，这里q = x p 3 ) 签名产生： 设消息为m o l ，日( 肘) g i ，v = x h ( m ) 即为m 的签名 4 ) 签名验证： 。 验证者收到消息肼和签名v 后检验下列等式是否成立： ( p ，即= 文易( ) ) ，当且仅当该等式成立时接受签名 一 假设c d h p 是难的，在随机o r a c l e 模型下，该方案已被证明对任意选择明文 攻击是安全的b l s 方案基于e c c ，1 6 0 b i t 的e c c 可以提供与1 0 2 4 b i t 的d s a 或 r s a 相同的安全度在同样的安全性下，它的签名长度只是d s a 签名的一半例 如在1 0 2 4 位安全性下，b l s 方案的长度只有1 0 2 4 6 = 1 7 1 位 2 3 3s o k 签名方案及我们的安全性证明 下面介绍另一个基于双线性映射的签名方案，记为s o k 方案 1 ) 系统初始化： 设6 ：和6 ：分别是阶为口的加法循环群和乘法循环群，尸为t 的随机生成元 定义h a s h 函数h i ： o ，1 ) 哼g i ，z d 为经过认证的身份信息 2 ) 密钥产生： ( 1 ) 选z 上的随机数j ，f f i s h t ( i d ) ，私钥( s ，) ( 2 ) 计算q ；s p ，= 马( ，d ) ，公钥( g ，g 2 ，q ，e ，p ，q ，h q ! ) 3 ) 签名产生： 设消息为m e g 。，选z j 上的随机数，计算墨= + 朋，最= r p 。 ( s 。是) 即为吖的合法签名、 4 ) 签名验证： 验证者收到消息j l f 和签名( s ，是) 后，检验文p ，墨) = 文q ，q 。) 昼( 最，吖) ，当 且仅当该等式成立时接受签名 s o k 方案虽然没有给出选择明文攻击下的安全性，但是目前并没有对此方案 的合法伪造方案我们对方案的安全性进行一下分析 山东大学碗十学何论文 m q n ；m 鼍 安全性证明 已知q 上的离散对数问题难解，即对g l 上的元素0 和q l ，求口2 ：满足 蜴= 础是难解的假设攻击者能够产生s o k 方案对消息m 的有效伪造签名 ( s i ，s ：) ，由 占( 尸，s j ) = 善( q ，q ，d ) ，善( s ；，膨) 得 墨= s o h ( i d ) + r j m = s h ( i d ) + r 2 m ，那么显然m = ( 一吃) 一( s - s o ) l - l f f d ) 如 果成功伪造的攻击者又知道了私钥s ，那么他令i - i ( i o ) = e ，m t g ，就求解出 了a = ( 一r 2 ) 。( s - s 。) ，也就是解决了g 1 上的离散对数问题所以假设不成立 我们再作一个更强的不可伪造性证明：假设v = x h ( m ) 为b l s 的合法签名， 伪造者需要消息m 。使= x n ( m 。) 满足截p ，) = ( y ，h ( m 。) ) 攻击者可以令 s o k 方案中各参数为s = 工，i - i ( 1 1 ) ) = h ( m o ) ，r = k - 工，hm ) = n ( u o ) ，其中 七z ，则s o k 合法签名盯= 艋，( 如) 我们要证明的是如果攻击者不知道s o k 方案私钥s 的值便伪造出有效签名，那么他同样对私钥x 的值与s o k 方案中私钥 s 的值相等的b l s 方案进行伪造如果对s o k 方案存在有效的伪造算法，令伪造 的消息m 7 = p g 1 ，伪造所得的( c r 2 ，r 2 ) 满足a ( p 吒) = 文以日( ”文马，p ) 那么显然，b l s 的伪造签名= 吒一r 2 = x h ( m 。) 也就是说伪造s o k 方案的难 度不低于伪造b l s 方案，因此s o k 方案在随机o r a c l e 模型下可以抵抗选择消息 攻击 1 2 i b 东大学硕十学付论文 第3 章前向安全密码技术 3 1 前向安全数字签名基本概念 前向安全的思想最早由r a n d e r s o n 1 提出。1 9 9 9 年m b e l l a r e 和 s k m i n e 2 给出第一个完整的前向安全的数字签名方案。 在普通的签名系统中，我们使用秘密密钥来对文章进行签名，用公开密钥来 验证签名文件的有效性。因此对于个人的秘密密钥的保护非常重要。直觉上，如 果个人的秘密密钥遭到攻击者的破解，则攻击者可以伪造受害者签名的任何文 件，包括该受害者过去签名的文件。当使用者发现自己的秘密密钥遭到冒用后， 它必须重新注册一已对密钥，并且启动密钥回收的机制，除了将之前的公钥列入 回收列表，必须使用新的秘密密钥重新签名过后方能生效。如果签名的文件数量 太多，则一旦秘密密钥遭破解，要重新签名大量过去的文件成为相当苦恼的事。 在1 9 9 7 年的欧洲密码学会上，r o s sa n d e r s o n 提出了前向安全的数字签名 的概念，说明利用密钥演化的方法，即使当前的秘密密钥遭到破解，仍可以保证 过去所签署文件的安全性。根据r o s sa n d e r s o n 所提出的定义，分为前向安全 和后向安全。当秘密密钥被破解后，仍能保障之前文件安全成为后向安全；能保 障未来安全则称为前向安全。但是在这之后所发表的文章都是使用前向安全一 词，因此，在这里：“前向安全”是保障“之前”的安全1 9 9 9 年m b e l l a r e 和s k m i n ec 2 给出第一个完整的前向安全的数字签名方案其基本思想是：将 整个体制的生存时间划分为若干个时期，每个时期有自己