对一种高效群签名方案的安全性分析.doc

第4期鲁荣波等：对一种高效群签名方案的安全性分析11对一种高效群签名方案的安全性分析鲁荣波1,2，宣恒农3，何大可2(1. 吉首大学 数学与计算机科学系, 湖南 吉首 416000;2. 西南交通大学 信息安全与国家计算网格实验室, 四川 成都 610031; 3. 南京财经大学 信息工程学院，江苏 南京 210003)摘 要：分析了张健红等人提出的高效群签名方案的安全性缺陷，撤销中心不能够打开一个有效的群签名，因此，群签名是不可跟踪的；其次，给出了对该群签名的一种联合攻击，群管理员和撤销中心合谋后可以任意产生有效的群签名并把它强加给任一群成员。分析结果表明，该群签名方案是不安全的。关键词：密码学；群签名；安全性分析；联合攻击中图分类号：TP309 文献标识码：A 文章编号：1000-436X(2007)04-0009-04Cryptanalysis of an efficient group signature schemenLU Rong-bo1,2, XUAN Heng-nong3, HE Da-ke2(1. Dept. of Math. and Computer Science, Jishou University, Jishou 416000,China;2. Laboratory of Information Security and National Computing Gird, Southwest Jiaotong University, Chengdu 610031,China;3. School of Information Engineering,Nanjing Uuniversity of Finance & Economics, Nanjing 210003,China)Abstract: The security flaws of the group signature proposed by Zhang Jianhong and etc. was analyzed. It pointed out that the group signature was not untraceable for the revocation center could not open a valid group signature. A coalition attack that the manager and the revocation center could conspire to generate valid group signatures and impose them on an arbitrary member of the group was presented. The security analysis show that the scheme is insecure.Key words: cryptography ; group signature; cryptanalysis; coalition attack1 引言收稿日期：2006-05-30；修回日期：2007-02-15基金项目：国家自然科学基金资助项目(60503005)；江苏省自然科学基金资助项目(BK2004119)Foundation Items: The National Natural Science Foundation of China (60503005); The Natural Science Foundation of Jiangsu Province (BK2004119)群签名最早是Chaum和Heyst在1991年提出来的1。群成员允许任何群成员代表群进行匿名地签名，如发生争执，群管理员可以（或者借助一个第三方）揭示签名者的身份。由于群签名很好地为签名者（群成员）提供隐私保护，群签名在不同的领域越来越得到广泛地应用，如电子货币、电子选举、电子拍卖等，目前，人们已经提出了若干不同类型的群签名方案，这些方案中的相当一部分都在标准的密码学假设之下得到了安全性证明。但是，这些方案的群公钥/群签名的长度大都与群体中成员的个数呈线性关系，因此只能应用于较小的群体。直到1997年，J CAMENISHJ和M STADLER在文献2中提出了第一个效率相对较高且适用于大群体的群签名方案（简称为CS97方案）。该方案是第一个群公钥长度、群签名长度与群成员个数无关的群签名方案。其另一个优点是当有新成员加入群体时，无需改公钥。然而，CS97方案在抵抗联合攻击方面是有弱点的。G ATENIESE等人在文献3中指出，CS97方案的成员证书形式并不安全，如果有3个群成员串通就可以成功地发动联合攻击。因此建议将CS97方案的成员证书形式修改，GATENIESE等人在文献4中又进一步指出，在CS97方案的成员证书修改形式中，必须是随机选取的。特别是，如果以为底的离散对数是已知的，则3个串通的群成员仍然有可能成功地发动联合攻击。1998年JCAMENISH和M MICHELS在文献5中提出了一个更为高效的群签名方案（简称为CM98方案）。该方案的安全性建立在强RSA假设以及Diffie-Hellman判定问题假设之上，而且其抵抗联合攻击的安全性已经在强RSA的假设下得到了证明。2000年，G ATENIESE等人提出了一个新的群签名方案（简称为ACJT方案）6。在安全性方面，ACJT方案的成员加入协议关于新成员所选取的秘密值满足统计上的零知识，且已得到证明可以抵抗自适应的攻击者所发动的联合攻击。ACJT方案是目前较为理想的方案。一般而言，一个安全有效的群签名需要满足以下安全性需求：1) 可验证性：利用公开的信息，一个合法的群成员按照签名算法产生的群签名一定能够通过验证算法。2) 不可伪造性：非群成员要产生一个通过验证算法的群签名在计算上是不可能的。3) 匿名性：给定对任意消息的一个群签名，除了群管理员外，决定该签名是由哪个群成员产生在计算上是不可能的。4) 不可否认性：群管理员总能确定合法签名者的身份。并且群管理员还能向其他实体(比如法官)证明: 给定的文档是由哪个成员签署的,同时不会泄露此成员以前或将来可能签署的消息的匿名性。 5) 可追踪性：一个正确的签名可以被群管理员揭开签字者的身份。6) 抗联合勾结性：任何多个群成员勾结或与群管理员勾结都不能伪造其他群成员的签名。7) 不可关联性：除群管理员外的任何人不能判定2个不同的签名是否由同一个成员所为。 8) 抗陷害攻击：群中没有任何子集(包含群管理员) 能代表群中其他成员签署消息。即群中任何子集都不能“陷害”不属于该子集的其他成员。9) 防止滥用性：群成员不能使用群成员证书进行除合法的群签名外的任何活动，如果发生误用甚至滥用，安全有效的群签名必须具备追究群成员责任的能力。文献7基于RSA签名给出了一种群签名方案，其特点在于通过撤销中心的参与，群管理员不能根据群签名辨认出群成员的真实身份，同时又具备在必要时通过撤销中心打开群签名来揭示群成员身份等性质。对该方案进行了安全性分析，分析表明，该方案存在安全缺陷：因为文中给出的群签名打开方程是个恒等式,使得撤销中心无法确认打开群签名，因此群签名是不可跟踪的；并且该方案不能抵抗联合攻击，管理中心和原始签名人合谋后可以任意产生有效的群签名，并利用身份确认方程把它强加给任一群成员。一旦发生争执，群成员却无法开脱。2 文献7方案介绍2.1 参数的选择系统包括群管理员GM，群成员（下面以群成员Bob为例），撤销中心RC。撤销中心选择5个大素数，满足 ，计算，随机选择整数，满足，计算满足=1，是欧拉Totient函数； 表示知识签名，RC公开，的阶为,为无碰撞的散列函数，为撤销中心的身份。群管理员GM选择大素数且和含有大素数因子，计算随机选择整数，满足，计算，满足=1；群管理员的私钥为，公钥为公开，表示群管理员的身份。2.2 群成员的加入1) Bob：随机选择并计算其身份以及知识签名 并把传给GM。 2) GM：随机选择，计算：并通过秘密信道发送给Bob，发送给RC。3) Bob验证：， 4) RC验证：，计算： ，发送给Bob。同时自己保存.5) Bob验证：，若成立，存储成员资格证书。2.3 群签名的产生Bob随机选择，计算：，,得到群签名2.4 群签名的验证验证者收到群签名，计算：，验证：是否成立，如成立，群签名有效。2.5 群签名的打开撤销中心RC保存每个群成员的个人信息，对一个群签名，RC通过以下计算来揭示签名者的真实身份1) 计算：，2) 检验是否满足等式： ，如果满足，则就是真实签名者。3 方案性能分析对文献7方案的分析表明：该方案的群签名是不可跟踪的，并且不能抵抗联合攻击。3.1 群签名是不可跟踪的文中给出的群签名打开方程式是错误的，事实上，给定一个群签名，对任意一个群成员及其相应的，其中，为其群成员证书，为其身份，为撤销中心的身份。因为 所以= （）上面计算过程并没有涉及到签名中提供的3个数值的具体特征，因而是个恒等式，即给定一个群签名,对任意的都有：=，从而该方程不能确认群成员的身份，因此该群签名是不可跟踪的。撤销中心可以把一个有效的群签名强加给任一群成员,使其无法开脱。3.2 伪造群签名文中给出的群签名并不能抵抗联合攻击，群管理员和撤销中心可以联合起来生成验证有效的群签名，且该群签名是不可跟踪的。文献7虽然假设了群管理员GM和撤销中心RC是不能勾结的，但从安全和技术的角度，应该努力避免这种安全缺陷的存在,并且在实际应用中，这种勾结肯定是存在的。设计一个安全的密码系统必须能够应对最强的攻击，具体的攻击过程如下随机选取，和，令，RC计算：GM计算：，则是一个合理的群签名。对以上由不诚实的GM和RC联合伪造的群签名进行验证时，验证者按照通常的验证方程，首先计算：=显然有=成立，验证者接受为一个有效的群签名。由2.1节知道，该群签名是不可跟踪的。更进一步，由于该群签名是不可跟踪的，群管理员GM和撤销中心RC联合起来伪造某个群成员Bob的群签名，并且可以成功地在群签名的打开阶段向公众证明该伪造的群签名是由Bob产生的，宣称群成员Bob滥用签名，从而达到陷害Bob的目的。攻击过程如下： 群管理员GM和撤销中心RC伪造Bob的群签名，计算过程同上面。 在群签名的打开过程中，RC出示，并且执行识别过程：计算：，由2.1节的分析知道： 。成功使公众相信伪造的群签名是合法群成员Bob产生的有效群签名，Bob无法开脱。4 结束语本文分析了文献7中提出的一个高效群签名方案,证明了该方案中的群签名打开方程是个恒等式，因此群签名是不可跟踪的；同时群管理员和撤销中心合谋后可任意伪造群签名，并把它强加给任一群成员，使其无法开脱。该方案是不安全的。参考文献：1CHAUM D, HEYST V E. Group signaturesA. Proceedings of EUROCRYPT91, Lecture Notes in Computer Science C. Springer- Verlag, 1991. 257-2651.2CAMENISHJ J, STADLER M. Efficient group signatures for large groupsA. Proceedings of CRYPTO97, Lecture Notes in Computer ScienceC. Springer-Verlag, 1997. 410-4241. 3ATENIESE G, TSUDIK G. Some open issues and direction in group signatureA. Advances in Financial Cryptologys 99C. Springer- Verlag, 1999. 225-237.4ATENIESE G, JOYE M, TSUDIS G. On the difficulty of coalition-resistant group signature schemesA. the Second Workshop on Security in Communication Network(SCN99)C. Springer-Verlag, 1999. 16-17.5CAMENISH J, MICHELS M. A Group Signature Scheme Based on RSA-VariantR.Technical Report Rs-98-27 BRICS, University of Aarhus, 1998.6ATENIESE G, CAMENSH J, JOYE M, et al. A practical and provably secure coalition-resistant group signature schemeA. Advances in Cryptology-Cryptos 2000C. Springer-Verlag, 2000. 255-270.7张健红, 伍前红, 邹建成等. 一种高效的群签名J. 电子学报, 2005, 33(6):1113-1115.Z