收藏 分享(赏)
下载资源 加入VIP,免费下载

通用可组合安全的门限签名协议.doc

上传人:11xg27ws 文档编号:7218222 上传时间:2019-05-10 格式:DOC 页数:7 大小:789KB
下载 相关 举报
通用可组合安全的门限签名协议.doc_第1页
第1页 / 共7页
通用可组合安全的门限签名协议.doc_第2页
第2页 / 共7页
通用可组合安全的门限签名协议.doc_第3页
第3页 / 共7页
通用可组合安全的门限签名协议.doc_第4页
第4页 / 共7页
通用可组合安全的门限签名协议.doc_第5页
第5页 / 共7页
点击查看更多>>
资源描述

1、2009 年 6 月 Journal on Communications June 2009第 30 卷第 6 期 通 信 学 报 Vol.30 No.6通用可组合安全的门限签名协议洪璇 1,陈克非 2,3,李 强 2(1. 上海师范大学 计算机科学与技术系,上海 200234;2. 上海交通大学 密码与信息安全实验室,上海 200240;3. 现代通信国家重点实验室,四川 成都 610041)摘 要:门限签名协议使得签名团体中任何 t 个参与者合作可以生成某个消息的有效签名;而少于 t 个参与者就无法得到该消息的合法签名。目前关于门限签名协议的安全性研究只是专注于单一协议执行时的安全性,针对

2、这点,引入通用可组合框架。利用该框架的通用可组合性可以模块化地设计与分析门限签名协议。首先定义了门限签名协议在通用可组合框架下的安全模型,并证明其等价于门限签名协议标准概念下的安全模型,然后以前摄门限签名协议为例描述如何应用这个安全模型。提出的门限签名协议和前摄性门限签名协议不仅满足可证明安全性,还具有通用可组合安全性。关键词:门限签名协议;UC 框架;UC 安全;前摄门限签名协议中图分类号:TP309.2 文献标识码:A 文章编号:1000-436X(2009)06-0001-06Universal composable threshold signatureHONG Xuan1, CHEN

3、 Ke-fei2,3, LI Qiang2(1.Department of Computer Science and Technology, Shanghai Normal University, Shanghai 200234, China;2.Cryptography and Information Security Lab, Shanghai 200240, China;3. National Laboratory of Modern Communication, Chengdu 610041, China)Abstract: Threshold signature allowed an

4、y subset of t parties generating a signature, but that disallowed the creation of a valid signature if fewer than t parties participate in the protocol. Since the security of threshold signature was only considered in a single instance before, the universal composability framework was introduced. Th

5、e framework with its security preserving composition property allowed for modular design and analysis of the threshold signature. The defined ideal functionality of threshold signature is proved equals to the standard security notion of threshold signature. Furthermore, how to applying the ideal fun

6、ctionality is described. The proposed threshold signature protocol and proactive threshold signature protocol are not only provably secure, but also universally composable.Key words: threshold signature; UC framework; UC security; proactive threshold signature1 引言在现代密码协议研究中,门限密码体制是目前比较受关注的方向。一个(t,n)

7、门限签名协议允许签名团体中任何 t 个或多于 t 个参与者合作生成某个消息的有效签名;而少于 t 个参与者就无法完成收稿日期:2008-06-02;修回日期:2009-03-17基金项目:国家自然科学基金资助项目(90704004) ;国家重点基础研究发展计划(“973”计划)基金资助项目(2007CB311201) ;现代通信国家重点实验室基金资助项目(9140C1103020803)Foundation Items: The National Natural Science Foundation of China (90704004); The National Basic Researc

8、h Program of China (973 Program)(2007CB311201); The National Laboratory of Modern Communication (9140C1103020803)2 通 信 学 报 第 30 卷该消息的合法签名。任何一个验证者可以利用签名团体的公钥验证签名的正确性。门限签名体制中每个签名者都保留一份签名密钥,可以用于生成签名的一个 “碎 片 ”。 在 收 集 到 足 够 的 “碎 片 ”后 , 就 可 以 按 指 定 的 方 式 联 合 生 成 这 个 消 息 的 门 限签 名 。 Desmedt1首 次 介 绍 了 门 限 密

9、码 体 制 的 概 念 。而 第 一 个 基 于 RSA 密 码 体 制 的 门 限 签 名 协 议 是 由Boyd2和 Frankel3分 别 提 出 的 。 此 后 几 年 , 大 家 不断 提 出 各 种 门 限 签 名 协 议 , 然 后 又 不 断 进 行 分 析 、改 进 28。 现在一般认为最有效的 RSA 门限签名方案之一就是 Shoup 在 2000 年提出的门限签名方案5。在随机预言机模型下,已证明该协议的安全性等价于 RSA 困难问题的安全性。其后,大量的文章研究基于该协议的改进,但是基本思路并没有太大变化 7。基于门限签名还有各种应用,如代理门限签名协议 8、前摄门限签

10、名协议 6等,这些协议都可以由门限签名协议变形得到,但是其安全性证明则需要重新证明,这使得协议的设计证明存在许多冗余工作。为了能更好地利用已有工作成果,作者希望采用通用可组合框架( UC, universal composability framework)9来设计协议。本文定义了门限签名协议的 UC 框架,并证明该框架下的安全模型等价于门限签名协议标准概念的安全性,即强壮性和不可伪造性。相比于Almansa6等人在 2006 年欧密会上提出的门限签名理想功能 FThSign066,F ThSign 不管在协议定义方面还是安全性证明方面都有一些改进。然后将说明如何利用这个安全模型进一步设计“高

11、层的”协议。只要先设计好有安全部件 FThSign 的混合协议,并证明其安全性,然后用 UC 安全的 Shoup 方案直接替代 FThSign 插入到协议 中即可。这样构造的协议可以根据 UC 定理直接推导出其安全性。对于 UC 框架的介绍将在第 2 节中详细介绍。在第 3 节中,将定义 UC 框架下的门限签名协议安全模型,并证明其与标准概念下安全性的等价。在第 4 节中,将说明如何利用这个安全模型进一步设计“高层的”协议。第 5 节是结束语。2 UC 框架的基本知识近几年来,对于密码协议的安全性分析工作已取得了巨大的进展。以前甚至现在的绝大多数协议分析时都需要先确立正确的模型,实际上一个完整

12、的模型要考虑的状态和情况非常多,难以考虑周全。于是为了简化起见,许多协议的设计都是简单地考虑单一协议的执行情况。当一个协议应用到其他环境中时,安全性就需要重新定义。从而产生了定义的指数爆炸性增长,对上层协议的安全性证明带来了无法估量的难度。因此有必要采用一种新的技术来分析和设计协议,UC 框架正是适用于这样一个要求的设计分析密码协议的框架。UC 框架最初是由 Ran Canetti9,10提出的。它的最优秀的性质就是一种模块化设计思想:可以单独设计协议。只要协议满足了 UC 安全,就能保证其与其他协议并行运行时的安全。协议设计者可以按照如下步骤来构造更为复杂的协议。1) 设计一个“高层的”协议

13、能安全地解决某个复杂任务,假设其中用到的子任务是物理安全的;2) 设计满足 UC 安全的协议能解决子任务;3) 通过将 UC 安全的子协议插入到 “高层的”协议中来获得一个完整的协议。UC 安全框架的核心由 3 个模型:现实模型、理想模型以及混合模型搭建而成,它的主要证明和技术手段是“仿真” 。现实模型描述了协议 执行的实际情况,它是由一些交互的运行协议的图灵机(简称 ITM)集合(表示协议参与者) ,外加上一个表示攻击者的 ITM 构成。理想模型则描述了协议执行的理想情况,此模型可以通过定义理想功能(ideal functionality) F 得到所需要的安全任务。混合模型则是以现实模型和

14、理想模型作为基础的。所谓混合模型,因为该模型将现实模型和理想模型进行了一些混合,现实模型中协议 可以访问理想模型的某些理想功能。建立起这 3 个模型之间的桥梁就是“仿真” ,将现实模型的安全规约到理想模型的安全。如果协议 A 和协议 B 完成同样的功能,那么协议 A 至少和协议 B 一样安全。如果攻击者攻击现实模型下协议 ,不比攻击理想模型下的 F 获得更大的影响或更多的信息,那么 至少是和 F 一样安全的。为了更好地描述仿真的结果,需要引入环境机 Z的概念。环境机 Z 同样是一个 ITM,它代表协议运行的整个外部环境(包括其他并行的协议等) 。环境机 Z 提供给协议所有输入,并可以读取协议所

15、有的输出。用 REAL,A,Z(k,z)表示现实模型下环境第 6 期 洪璇等:通用可组合安全的门限签名协议 3机 Z 的输出,而 IDEALF,S,Z(k,z)则表示理想模型下环境机 Z 的输出,其中 k 是安全参数,z 是环境机Z 的输入。因此,以上关于“仿真”的说法形式化地表述为:如果对于现实模型中的任何实际攻击者 A,都存在一个理想模型中的仿真攻击者 S,在任何输入下,现实模型中运行 A 和协议 的环境机 Z 的输出,与理想模型中运行 S 和理想功能 F 的环境机 Z 的输出是不可区分的,那么 至少是和 F 一样安全的。下面是仿真的形式化定义和 UC 定理。1) 协议 安全仿真协议 :如

16、果对于任何实际攻击者 A,都存在一个仿真攻击者 S,使得等式REAL,S,Z(k,z) REAL,A,Z(k,z)成立,那么称协议 安全仿真了协议 。2) 协议 安全实现理想功能 F:如果对于任何实际攻击者 A,都存在一个理想攻击者 S,使得等式 IDEALF,S,Z(k,z) REAL,A,Z(k,z)成立,那么称协议 安全实现了理想功能 F。3) UC 定理:如果协议 安全实现了理想功能F,且 和 F 都是 的子程序,则组合后的协议/F 安全仿真了协议 。其中, 是 F-混合模型下混合协议, /F 则表示把 中对 F 的调用都用 替代后的协议。3 UC 安全的门限签名协议3.1 门限签名理

17、想功能 FThSign在这一节,定义门限签名理想功能 FThSign,已经描述了理想模型下如何得到所需的门限签名任务。在 2006 年的欧密会上,Almansa 等人提出了一个满足 UC 安全的前摄门限签名理想功能 6,但是在他们定义的功能 FThSign06 中有以下弱点。首先,F ThSign06 把签名者集合认为是一个诚实的整体,所以用一个诚实的“用户”替换整个签名者集合。虽然这样的处理使得 FThSign06 的描述变得简单,但是同时也使得 FThSign06 无法让每个签名人都得到他们的部分签名,也无法描述单个被攻破用户这些细节行为。其次,F ThSign06 中签名密钥和验证密钥是

18、由攻击者提供,这样就限制了协议的灵活性。因为在协议执行过程中,应该允许签名密钥和验证密钥根据前面的执行结果变化。而且攻击者还能知道参与者何时签名消息,何时验证签名。最重要一点,Almansa 等人并没有证明FThSign06 与标 准 概 念 下 安 全 性 的 等 价 , 只 是 证 明 了若 是 不 可 伪 造 的 , 则 安 全 实 现 了 FThSign06,而 且 其 证 明 中 也 没 有 包 含 门 限 签 名 的 强 壮 性 。 安全 实 现 了 FThSign06 的 门 限 签 名 协 议 仍 然 不 能 容 忍活 跃 的 攻 击 者 。门限签名理想功能 FThSign 与

19、 FThSign06 相比:首先,细分了各个基本模块,这样有助于描述协议的细节行为;其次,F ThSign 中的攻击者提供子签名函数 PS,子签名验证函数 PV,子签名联合函数 C和门限签名函数 V。F ThSign 是运行存储在本地的算法计算结果,所以攻击者也不知道何时签名者签名消息,何时用户验证何消息。门 限 签 名 理 想 功 能 FThSign 如 下 所 述 , 基 本 想法 如 下 。密钥生成。接收到签名者 S 的输入(KeyGen,sid)后,验证 sid=(S,sid),如果不成立,忽略该请求。否则,把(KeyGen,sid )交给攻 击 者 ,在 接 收 到 攻 击 者 的

20、输 出 (Algorithms,sid,PS,PV,C,V)后 ,其 中 PS、 PV、 C、 V 是 多 项 式 时 间 算 法 , 再把(VerificationAlgorithms, sid,PV,V)输出给 S。子签名生成。接收到 S 的输入(ThSign, sid,m)后,计算 =PS(m)并验证 PV(m,)=1。如果等式成立,把消息(ThSignature,sid,m ,)输出给 S 并记录(m,PV);否则,输出 error 给 S 并停止。子签名验证。接收到参与者 V 的输入(ThVerify, sid,m,PV)后,把 (ThVerified,sid,m,f)输出给 V,其

21、中 f 按下面的规则计算:若 PV=PV,存在记录(m,PV)且 PV(m,)=1,令 f=1。确保了若 PV是注册的公钥, 是合法的子签名,则一定通过验证。若 PV=PV,不存在记录(m, , PV),令 f=0。确保了若 PV 是注册的公钥, 不是合法的子签名,即这是个成功的伪造子签名,则一定不通过验证。若 PVPV,令 f=1。确保了如果是被攻破的用户,则他提供的子签名一定通过验证。子签名联合。接收到参与者 C 的输入(Combine,sid,m,1,PV1, t,PVt)后,若对于每个 i都存在记录(m, i,PVi),则计算 =C( 1,t),并验证 PV(m,)=1。 如 果 等

22、式 成 立 , 把(Combine,m,V)输 出 给 C 并 记 录 (m,V); 否 则 输4 通 信 学 报 第 30 卷出 error 给 C 并 停 止 。门限签名验证。接收到参与者 V 的输入(Verify,sid,m,V),把(Verified,sid,m ,g)输出给V,其中 g 按照下面的规则计算。若 V=V,存在记录( m,V),且 V(m,)=1,令g=1。确保了若 V是注册的公钥, 是合法的门限签名,则一定通过验证。若 V=V,不存在记录( m,V),令 g=0。确保了若 V是注册的公钥, 不是合法的门限签名,即这是个成功的伪造门限签名,则一定不通过验证若 VV,令 g

23、=0。确保了就算是被攻破的用户,他也不能注册一个用户集合的门限签名。简单来说,门限签名理想功能 FThSign 提供一个“注册机” ,使得签名者 S 能注册子签名和门限签名。任何提供了正确验证密钥的用户能检验子签名或门限签名是否已经被注册。它有 5 类输入,这些输入对应 5 个基本模块:密钥生成、子签名生成、子签名验证、子签名联合、门限签名验证。3.2 与标准概念下安全性的等价Almansa 等人定义的 FThSign06 并没有证明与标准概念下安全性的等价,他只是证明了等价的充分性,即证明了若协议 是不可伪造的,则协议 安全实现了 FThSign06。而且,他证明时所采用的也是签名方案的安全

24、性,并没有包含门限签名中的重要性质强壮性。本文对于标准概念的安全的定义采用 Shoup 的定义:一个安全的门限签名协议 是指这个签名协议具有强壮性和不可伪造性。定理 1 门限签名协议 是强壮的和不可伪造的,当且仅当, 安全实现了门限功能 FThSign。证明 首先证充分性,即需要证明若 安全实现了 FThSign,则 是强壮的和不合伪造的。假设 不具有 强 壮 性 或 不 具 有 不 可 伪 造 性 , 就 能 构 造环 境 机 Z 和 实 际 攻 击 者 A, 对 于 任 何 理 想 攻 击 者S, Z 都 能 分 辨 它 是 与 A 和 交 互 , 还 是 与 S 和FThSign 交 互

25、 。1) 假设 不具有伪造性,即存在 的一个成功的伪造者 B。Z 一开始就激活 B,并输出从签名者 S 得到的子签名验证函数 PV。一旦 S 请求签名消息 m,Z 用输入 (Thsign,sid,m)激活 S,并把 S 输出发给 B。当 B 产生伪造的子签名(m ,PV)时,Z执行如下:若消息 m 之前已经签过, Z 输出 0 并停止;否则 Z 用输入(ThVerify, sid,m,PV)激活验证者 V,Z 的输出是验证结果。很明显,当 Z 与 A和 交互时,因为 B 能伪造一个子签名,所以 Z能以不可忽略的概率输出 1。但是,当 Z 与 S 和FThSign 交互时,Z 不可能输出 1。2

26、) 假设 不具有强壮性。存在 的某个被攻破的签名者 S能参与门限签名的生成。环境机 Z用输入(ThSign,sid,m)激活 S,因为他是被攻击者控制,所有的签名都能通过子消息的验证。然后S用伪造的签名(m, ,PV)参与子签名的联合。从这里可以看出,当 Z 与 A 和 交互时,因为 S能参与联合签名的生成过程,所以 Z 能以某个不可忽略的概率输出 1。但是,当 Z 与 S 和 FThSign 交互时,FThSign 并没有记录被攻破的用户 S的记录( m,),Z是不可能输出 1 的。接下来证充分性。即需要证明若 是强壮的和不可伪造的,则 安全实现 FThSign。同样采用反证法。假设 不能安

27、全实现 FThSign,是存在 Z 能分辨它是与 D(dummy adversary,完全按照 Z 的指令运行)和 交互,还是与 S 和 FThSign 交互。即使 具有强壮性,仍然能构造一个攻击者 B 伪造签名。B 可以调用环境机 Z,当 Z 用输入(KeyGen,sid,m)激活参与者 S 时,B 把 V 传输给Z。当 Z 用输入(ThSign,sid,m) 激活 S 时,B 通过他的子签名生成算法计算出 m 的子签名 。当 Z 用输入(ThVerify, sid,m,PV)激活参与者 P 时,B 首先检查( m,)是否是伪造的子签名,若是伪造的,则 B 输出 (m,)并停止,否则继续模拟

28、。当 Z 用输入(Combine,sid,m, 1,PV1, t,PVt)激活联合者 C 时,挑战者 B 用子签名联合算法计算出 m 的签名并交给 Z。当 Z 用输入(Verify,sid,m,V)激活参与者 P 时,B 首先检查(m,)是否是伪造的门限签名,若是伪造的,则 B输出( m,)并停止。接下来分析 B 成功的概率。首先用事件 X 代表 B 成功伪造了一个子签名或门限签名。很显然,只要事件 X 不发生,则 Z 不能分辨它是与运行 D 的协议 交互,还是与运行 S 的理想功能 FThSign 交互。但是已经假设 Z 能以一个不可忽略的概率分辨它是与运行 D 的协议 交互,还是与运行 S

29、 的理想功能 FThSign 交互。那么很显然事件 X 发生的概率也是不可忽略的。第 6 期 洪璇等:通用可组合安全的门限签名协议 54 实现理想功能 FThSign4.1 UC 安全的门限签名协议已经证明如果 Shoup 方案中散列函数 H()是一个随机预言机,则 Shoup 方案是一个安全的门限签名方案(即不可伪造的和强壮的) 。该方案的安全性基于标准 RSA 签名方案的安全性。用 Shoup 方案来实现门限理想功能 FThSign。首先把它转变成如下的协议 。密钥生成。接收到输入(KeyGen,sid ),验证sid=(S,sid),如果不成立,则忽略该请求。否则,签名者 S 调用 De

30、aler 以得到他的密钥 SKi,和公钥VKi。输出(VerificationAlgorithm, sid,VKi,e)。Dealer 的执行如下:随机选择 2 个大素数p,q,其中 p=2p+1, q=2q+1,令 N=pq, M=pq。选择 RSA 指数 e,并计算 d,使得 ed1 mod M。选择 Zm 上的 t 维多项式函数 aixi,()tfx和验证密钥 VK=v,计算 Ski=f(i) mod M, VKi=vski mod M。子签名生成。接收到输入(ThSign, sid,m)后,令 x=H(m),签名者 S 计算他的子签名 i=x2SKi mod N,并计算这个子签名的证明

31、( z,c),其中 r 是随机数,z44242,(,)rr zzciiivxcHvxvx=Skic+r。输出(Thsignature,sid ,m,i)。子签名验证。接收到输入(ThVerify,sid,m,(VKi,z,c)后,验证者 V 验证,如果成立,输4242( )zci ivxvx出(ThVerified,sid,m,1),否则输出(ThVerified,sid,m,0)。子签名联合。接收到输入(Combine,sid, m,1, PV1, t,PVt),并验证这些子签名的正确性后,联合者 C 输出(Combined,sid, m,)。门限签名 按以下方式计算: 。20,10,224

32、odsstxyN可以很容易计算出 a、 b,使 42a+eb=1,则。aby门限签名验证。接收到输入(Verify,sid,m, ,V),验证 y=e mod N。如果成立,输出 (Verified, sid,m,1),否则输出 (Verified,sid,m,0)。与 FThSign 类似,门限签名协议 也分为 5 部分,分别是密钥生成、子签名生成、子签名验证、子签名联合和门限签名验证。因为协议 只是在方案的基础上加上 sid 等通信信息,所以协议 与方案可以相互转换,且同样是不可伪造的和强壮的。根据定理 1,很容易推出协议 具有 UC 安全性。推论 1 由 Shoup 门限签名方案转变的协

33、议 安全实现了门限签名理想功能 FThSign。4.2 基于 FThSign 的应用在这一节中,将介绍如何应用 UC 框架下的门限签名理想函数 FThSign 设计 “高层的”的协议。这很好地体现了 UC 框架的优点:模块化设计思想。其基础就是 UC 定理:单独设计协议。只要协议满足了 UC 安全,那么就能保证其与其他协议并行执行时的安全性。对于门限签名理想功能 FThSign,同样可以利用 UC 定理设计其他的“高层的”协议,如前摄门限签名协议。它可以把门限签名功能作为其子任务,因为 FThSign 假设是物理安全的,所以设计时不需要考虑其门限签名子任务的安全性。然后根据 UC 定理,把安全

34、实现了 FThSign 的协议 插入协议 ,替代协议 中对 FThSign 的访问,最后得到的完整协议 /F 必定安全仿真了协议 。而且,在协议 的具体化过程中,还可以把满足 UC 安全的另一个协议 插入协议 来得到另一个完整协议 /F。也就是说,同一个协议 可以得到具有不同性质的完整协议,而且这 2 个实际协议的安全性都不需要重新证明。这就是模块化设计协议的一个十分吸引人的优点。以前摄门限签名协议为例说明上面的思路。首先定义安全的前摄门限签名混合协议,该协议的设计还需要理想更新功能 FRefresh 的帮助。FRefresh 接收的输入是签名者 S 的消息(Refresh,sid)。验证会话

35、标识 sid 的有效性后,FRefresh 的输出是每个用户更新后的 4 个多项式时间算法 PS、PV、 C、V 。(FThSign, FRefresh)-混合模型下的前摄门限签名协议 PrThSign 具体如下。子签名生成。接收到输入(ThSign, sid,m)后,签名者 Si 首先验证 sid=(Si,sid),如果等式不成立,忽略该请求,否则如下运行。如果是签名 Si 第一次激活,把(KeyGen, sid)输出给 FThSign,并保存 FThSign 的输出(VerificationAlgo- rithms,sid,PV,V)。如果不是 Si 第一次激活,S i 把(ThSign,

36、sid ,m)6 通 信 学 报 第 30 卷输出给 FThSign,S i 能得到 FThSign 的输出(ThSignature, sid,m,)。子签名验证。接收到输入(ThVerify,sid,m, ,PV)后,验证者 V 把(ThVerify,sid ,m,PV)输出给 FThSign,并输出 FThSign 给他的结果(ThVerified,sid,m ,f)。子签名联合。接收到输入(Combine,sid, m,1, PV1, t,PVt)后,参与者 C 再把该消息输出给FThSign,并输出 FThSign 给他的结果(Combined, sid,m,)。门限签名验证。接收到输

37、入(Verify,sid,m, ,V),验证者 V 把(Verify,sid,m,V)输出给 FThSign,并输出 FThSign 给他的结果(Verified,sid ,m,g)。密钥更新。接收到输入(Refresh,sid)后,S 把(Refresh,sid)输出给 FThSign,并保存 FThSign 提供的结果(Refreshed, sid,PV,V)。PrThSign 分为 5 部分,分别是子签名生成、子签名验证、子签名联合、门限签名验证和更新密钥。每次需要生成和验证子签名、子签名联合、门限签名验证时,协议 PrThSign 都调用功能FThSign,每次更新密钥时,协议 PrT

38、hSign 则调用FRefresh。因为篇幅的限制,协议 PrThSign 的安全性证明略去。根据 UC 定理,用 替代协议 FThSign 后得到的完整协议 /FPrThSign 的安全性很容易推导。5 结束语本文定义了门限签名协议在 UC 框架下的安全模型,并证明该安全模型等价于门限签名协议标准概念下的安全性(即不可伪造性和强壮性) 。如果方案满足了标准概念下的安全性就确保了该方案还具有 UC 安全性。相比于 Almansa 等人在2006 年欧密会上提出的门限签名理想功能FThSign06,本文的 FThSign 不管在协议定义还是安全性证明方面都有一些改进。证明 Shoup 方案是满足

39、 UC 安全的,可以很方便地用来设计其他的“高层的”协议,并以前摄门限签名协议为例描述这种设计思路。但是因为篇幅的限制,对于本文得到的前摄门限签名协议只是一个混合模型下的协议,还需要调用某些理想功能。本文提出了设计门限签名协议的模块化思路,但是还有一些不足,如本文考虑的是静态攻击者,攻击者必须在攻击一开始就选择被攻击的用户身份等。在以后的工作中,将继续研究如何完善门限签名协议的 UC 框架。参考文献:1 DESMEDT Y. Society and group oriented cryptography: a new conceptA. CRYPTO87C. Santa Barbara, CA

40、, USA, 1987. 20-127. 2 BOYD C. Digital multisignaturesA. Cryptography and CodingC. 1989.241-246.3 FRANKEL Y. A practical protocol for large group oriented networksA. EUROCRYPT89C. Houthalen, Belgium, 1989. 56-61.4 RABIN T. A simplified approach to threshold and proactive RSAA. CRYPTO98C. Santa Barba

41、ra, CA, USA, 1998. 89-104.5 SHOUP V. Practical threshold signaturesA. EUROCRYPT 2000C. 第 6 期 洪璇等:通用可组合安全的门限签名协议 7洪璇(1982-),女,江西抚州人,博士,上海师范大学讲师,主要研究方向为密码算法与密码协议的设计与分析。陈克非(1959-),男,陕西西安人,上海交通大学教授、博士生导师、副院长,主要研究方向为密码算法、可证明安全性、隐写分析等。李强(1975-),男,湖南怀化人,上海交通大学博士生、助教,主要研究方向为密码算法及协议、秘密分享、安全多方计算等。Bruges, Belg

42、ium, 2000. 207-220.6 ALMANSA J, DAMGARD I, NIELSEN J. Simplified threshold RSA with adaptive and proactive securityA. EUROCRYPT 2006C. Petersburg, Russia, 2006. 593-611.7 GENNARO R, HALEVI S, KRAWCZYK H, et al. Threshold RSA for dynamic and ad-hoc groupA. EUROCRYPT 2008C. Istanbul, Turkey, 2008. 88-

43、107. 8 HWANG M, LU E. A practical (t, n) threshold proxy signature scheme based on the RSA cryptosystemJ. IEEE Transactions on Knowledge and Data Engineering, 2003, 15(16):1552-1560.9 CANETTI R. Universally composable security: a new paradigm for cryptographic protocolsA. Proceedings of the 42th IEEE Symposium on Foundations of Computer ScienceC. 2001.136.10 CANETTI R. Universally composable signature, certification, and authenticationA. Proceedings of the 17th Computer Security Foundations Workshop (CSFW)C. 2004.219-233.作者简介:

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 企业管理 > 管理学资料

本站链接:文库   一言   我酷   合作

客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报