实用的前向安全性群签名方案.doc

前向安全的群签名 ------By Song 前向安全性：当群公钥保持不变，一个群成员的群签名密钥evolves over time使得当前时间段的群签名密钥泄露不能使攻击者伪造过去时间段的群签名。前向安全性对于减少密钥泄露引起的损害是非常重要的，并且特别的是，对群签名是非常可取的（desirable）因为签名密钥泄露的危害随着群规模大小的增加而增加。 我们拓展前向安全的群签名方案提供群成员撤销问题的解决方法（不需要re-key所有其他群成员）。我们提供第一个解决方法，该方法支持回溯公开的撤销和后向无关性以及签名长度独立于撤销成员数量。 在先前的群签名方案，一个群成员签名密钥的暴露不仅仅需要改变群公钥和签名密钥，而且使所有先前得到的群签名失效，因为GM不能分辨一个签名是产生自攻击者所获得群签名之后还是被攻击者获得群签名之前的合法群成员。 前向安全的群签名如何减少群签名密钥泄露的损害。攻击者在时间段j破坏一个群成员的系统，得到该成员的群签名密钥SKj。因为单向性（one-way），攻击者不能计算相应的先前时间段的群签名密钥。假设用户B得到一个时间段j之前文件m的群签名。B希望能使用签署过的文件m在相当长的时间（长到过了时间段j后）。当发现SKj已经被泄露，群公钥被撤销。如果群签名方案不具有前向安全性，显然，B在文件m上获得的群签名就会变得无效并且B需要得到一个新的在文件m的签名。但是，当群签名被构建成前向安全的方案，攻击者不能计算关于先前时间段的群签名密钥，因此群只能撤销在任何时间段j后面的群公钥。如此任何关于时间段j之前的正确的签名仍可接受。因为在B获得在签名的t,s,tj。如此在m的签名t,s仍然是正确的签名并且B不需要获得一个新的在m的签名。 我们扩展由Ateniese等人提出的群签名方案，采用两种不同的方法构建两个不同的前向安全的群签名方案。第一个方案利用[6]中的技术而第二个方案采用一个新的技术[24]实现前向安全性。另外，我们指出前向安全性群签名方案确保其他想要的安全特性在一个很小的额外开销。例如，当新成员C加入，具有前向安全性的群签名方案，我们能限制新成员产生签名只在将来的时间段有效而不是在加入时间段之前没有额外的开销。更一般的，我们支持时限的群成员身份特性在一个额外的开销，也就是群成员值被允许在限定的时间段里代表群，签名。 公开撤销特性：攻击者在时间段i窃取了A的群签名密钥。A的群签名密钥的泄露在时间段j被发现。GM撤消了A的群签名密钥在时间段j。所以没有人能在时间段j之后使用A的群签名密钥来产生正确的签名。这就叫做：公共撤销性。 回溯公开撤销性：因为攻击者本来会在时间段i之后的任何时间，代表群使用A的群签名密钥签署文件，使用其他成员的签名密钥签署的签名应该仍旧保持有效、匿名和无关性。回溯公开撤销性包含公开撤销性，反之不然。 后向无关性:在时间段i之前，使用A的群签名密钥产生的签名仍该保持有效，匿名和无关性，因为这些签名是A产生的，而不是攻击者。 我们扩展的群签名方案提出支持回溯公开撤销性和后向无关性的前向安全的群签名方案，并且签名长度独立于撤销成员数量。 弱前向安全性：假设一组群签名密钥ф={ki，ti}1≤i≤L，ki，ti表示成员i在时间段ti的群签名密钥，并且t=min（t1，…，tL）。我们称Ω（ф）是ф的弱跨距（weak-span），Ω（ф）表示该组群签名密钥{ki，wi}1≤i≤L，t≤wi≤T。我们认为如果攻击者给定一组群签名密钥ф不能产生一个在Ω（ф）中正确的群签名密钥，那么群签名方案满足弱前向安全性。 强前向安全性：给定一组群签名密钥ф={ki，ti}1≤i≤L，ki，ti表示成员i在时间段ti的群签名密钥，我们称ψ（ф）是ф的跨度（span），ψ（ф）代表该组群签名{ki，wi}1≤u≤L，ti≤wi≤T。然后，如果攻击者给定一组群签名密钥ф，不能产生一个在ψ（ф）里的正确的群签名，我们说，该群签名方案满足强前向安全性。 时限的成员身份：GM能限制一个成员的群成员身份通过签发给他群成员密钥，该密钥只能在某些时间段产生正确的群签名。 回溯公开撤销性：在时间段i，GM能从时间段j开始撤销一个群签名密钥，使得任何使用这个群签名密钥在时间段j之后产生的签名变得无效。而且，所有在时间段j之前使用这个群签名密钥产生的签名应该对任何除了GM的人仍保持匿名性和无关性。 3. 预备知识 我们的方案依靠强RSA假设和DDH假设。 让n=pq成为RSA-Like模数并让G成为Zn*的循环子群。SRSA假设是：给定n和z∈G，难以找到v∈G和e∈Z＞1，使得z≡ve（mod n）。 DDH假设是：给定g，gx，gy和gz，难以确定gxygz（是否相等）。 我们使用现有的零知