安全增強的基于RSA可驗證門限簽名方案

1、平安增強的基于RSA可驗證門限簽名方案摘要本文提出一種驗證功能完善、平安性更高的門限RSA簽名方案。該門限簽名方案利用有理數域上的插值公式，Shair機密共享方案以及改進的門限RSA簽名方案等理論，解決了在中對元素求逆和代數構造擴張的問題以及共享效勞器合謀的問題。關鍵詞門限密碼體制，門限簽名，RSA算法，門限RSA簽名方案1引言門限簽名是門限密碼學的主要研究內容之一，最初由Desedt和Frankel等人引進的，并基于ElGaal密碼方案建立了第一個(t，n)門限密碼體制。在(t，n)門限簽名方案中，n個成員共享群體的簽名密鑰，使得任何不少于t個成員的子集可以代表群體產生簽名，而任何少于t個成

2、員的子集那么不能產生簽名。門限簽名方案的根本假設是：在系統(tǒng)生命周期中，至少有(t-1)個非老實成員。由于RSA算法滿足構成門限密碼體制的同態(tài)性要求，并且在A中被廣泛使用，所以這里選擇基于RSA的門限簽名方案。但是對于RSA密碼系統(tǒng)，情況要復雜一些。首先剩余環(huán)不是域，其中的元素未必都可逆，于是不能利用一般的機密共享方法共享簽名密鑰d；其次，為了保護RSA模數N的因子分解，不能讓參與簽名的成員知道，因此給在上建立機密共享方案和建立門限簽名方案都帶來了困難。另外一個需要解決的問題是由于采用Shair機密共享方案共享簽名私鑰，任意t個或更多個成員共享的密鑰就是簽名私鑰，所以他們合謀可以恢復出機密密鑰，

3、從而假冒系統(tǒng)生成有效的群簽名。這些問題都是我們在設計門限簽名方案時應該考慮的。本文以基于有理數域上插值公式的Shair的機密共享方案為根底，將改進的門限RSA簽名體制、兩方共享與(t，n)門限方案相結合，提出了一個需要可信任中心的平安性增強的基于門限RSA簽名方案。利用由hash函數建立的特殊形式的RSA簽名體制，很好解決了在中對元素求逆和代數構造擴張的問題，為實現帶來了方便。同時在簽名過程中對分發(fā)的子密鑰、部分簽名以及簽名都進展了驗證，保證子密鑰和簽名的正確性；保證在簽名過程中不會被敵人入侵和欺詐，同時也防止了共享效勞器合謀的危險。因此是一個平安性更高的門限簽名方案。2門限機密共享方案分析通

4、過前面的分析我們知道門限機密共享方案是構成門限簽名方案的基?，F有的許多門限簽名方案采用的是ITT工程中的方案，采用隨機和的拆分方法，也就是將機密密鑰d按多種(t，t)共享方案分割，每種分割稱為一種結合，每種結合含有t份子密鑰，這t份子密鑰分別存儲在n個效勞器中的t個不同共享效勞器上，不同的子密鑰結合對應不同的t個共享效勞器組合。這種方案具有方法簡單，運算效率高的特點，但是它的子密鑰分發(fā)和管理都比較困難。它需要客戶機或是組合者指定共享效勞器而不具有任意性，對于客戶機的要求很高，實現起來比較困難。本文采用有理數域上的插值公式和經典的Shair(t，n)機密共享方案作為構造門限簽名方案的理論基矗這是

5、因為Shair門限體制具有以下特點：(1)增加新的子密鑰不用改變已有的子密鑰。在參與者P1，P2，Pn中成員總數不超過q的條件下可以增加新的成員而不用重新撤銷以前分發(fā)的子密鑰。當系統(tǒng)需要增加共享效勞器時，我們只需要對新增加的效勞器分發(fā)新的子密鑰，而不需要將已經分發(fā)的子密鑰一起交換掉，這樣可以減少系統(tǒng)的工作，進步系統(tǒng)效率。(2)可以通過選用常數項不變的另一t-1次新的多項式，將某個成員的子密鑰作廢。當某個共享效勞器被攻破時，需要作廢它的子密鑰，我們可以采用這種方法。(3)組合者可以任意選擇共享效勞器的子密鑰進展密鑰恢復而不需要指定它們。這是我們選擇Shair(t，n)機密共享方案的一個重要原因。

6、當共享效勞器完成部分簽名后組合者biner可以在n個效勞器中任意選擇t個進展最后的組合，而不需要去指定由某些效勞器的部分簽名構成最后的簽名。這里我們給出這樣一個假設：任意t個共享組件所構成的信息與n個共享組件所構成的信息應該是完全等價的。在此根底上給出本文的基于RSA門限簽名方案。3基于RSA門限簽名方案設計3.1密鑰初始化定義5-1可信任中心A(Adinistratr)指將簽名私鑰分給n個機密共享者的組件?？尚湃伟岛薃一定能確保機密信息不會被泄漏，并且在執(zhí)行完密鑰的分發(fā)后將簽名私鑰和其它信息一起銷毀。(1)假設可信任中心A選擇好RSA模數N，公鑰e和私鑰d以及，使得。其中，模數N為兩個平安

7、大素數p，q的乘積。(2)取定一個固定的正整數k及值域包含于(指中最高兩個比特為0的數構成的集合)的適當的hash函數h(如D5)，H由得到，由于對N的分解是困難的，所以H()是強無碰撞的、單向的函數。(3)d1為隨機數，如今可信任中心A欲將d2分發(fā)給n個共享效勞器ShareServeri，將d1發(fā)給密鑰效勞器K。這里簽名私鑰d由d1和d2組成，各共享效勞器共享私鑰d2。3.2子密鑰的生成與驗證可信任中心A按如下步驟將簽名密鑰d2分發(fā)給n個共享效勞器ShareServeri。(1)A隨機選取多項式使f(0)=a0=d2，計算下式：其中g是可信任中心A隨機選取的信息樣本。A將d2i機密地發(fā)送給S

8、hareServeri，而將N，n，e，h公開，將所有的g，i，yi播送給各ShareServeri，p，q不再使用將其銷毀。(2)各共享效勞器ShareServeri(i1，2，n)收到可信任中心A發(fā)送來的子密鑰d2i后，利用已播送的公開信息驗證子密鑰d2i的正確性，方法如下：每個共享效勞器ShareServeri判斷下面的式子是否成立：由于(5-4)式是所有共享效勞器都收到的，因此方案中任何的組件都可以驗證，故稱為公開驗證部分；式(5-5)由每個共享效勞器自己驗證，故稱為機密驗證部分。對于ShareServeri來說，機密驗證就是用自己的子密鑰d2i和收到的g計算yi并與從可信中心A發(fā)送的

9、yi比較是否一致來判斷d2i的正確性。公開驗證的正確性說明如下：當公開驗證和機密驗證中有一個不成立就認為驗證失敗，ShareServeri宣布可信任中心A發(fā)放的子密鑰是錯誤的，于是可信任中心A被認為是不合格的，協(xié)議至此中止?？尚湃沃行腁將重新選擇N和密鑰對(d，e)重復上面的步驟發(fā)放新的密鑰，否那么可信任中心A分發(fā)密鑰成功，可以進展下面步驟。這時可信任中心A銷毀所分發(fā)的密鑰，以防止密鑰泄露。3.3部分簽名的生成與驗證首先密鑰效勞器K利用密鑰d1對消息的hash函數值進展簽名。然后各共享效勞器ShareServeri利用自己的子密鑰d2i對消息的摘要進展簽名，如下所示并播送其部分簽名：共享效勞器

10、ShareServeri生成對消息的部分簽名后，本文借助交互驗證協(xié)議來驗證ShareServeri的部分簽名是否正確。在交互驗證協(xié)議中可以由任何一方來驗證部分簽名的正確性，這里為了方便后面系統(tǒng)設計故規(guī)定共享效勞器ShareServeri的部分簽名是由ShareServeri1來驗證。假設協(xié)議成功，那么ShareServeri1確信ShareServeri的部分簽名S2i是正確的；否那么S2i是不正確的。方法如下：(1)ShareServeri1任意選取a，bR1，N，計算出并將R發(fā)送給ShareServeri；(2)ShareServeri收到R后，計算出并將發(fā)送給ShareServeri1；

11、(3)ShareServeri1收到后，根據下式是否成立來判斷S2i是否為ShareServeri之部分簽名；下面我們來說明協(xié)議的平安性，假設N為兩個平安素數p，q之積。假設非老實驗證者P不能攻破RSA系統(tǒng)，那么上述驗證RSA部分簽名的交互式協(xié)議滿足以下性質：(1)完備性假設P，ShareServeri都是老實的，那么ShareServeri總是承受P的證明。(2)合理性非老實證明者P使ShareServeri承受不正確部分簽名的成功率是可忽略的。(3)零知識性非老實驗證者除了能知道部分簽名是正確外，不能獲得其他任何信息。因此由這樣的交互式協(xié)議驗證為正確的部分簽名根本可以認為是正確的。轉貼于論

12、文聯(lián)盟.ll.3.4簽名的生成與驗證假設已有t個部分簽名通過正確性驗證，那么由biner(組合效勞器)可以計算出共享效勞器對消息的門限RSA簽名S。(1)biner將xi(i=1，2，t)看作整數環(huán)Z上的元素，在整數環(huán)Z上計算。(2)各共享效勞器的門限簽名S2的計算公式如下：最后系統(tǒng)的簽名為。(3)接著biner利用公開密鑰e，按下式來驗證門限簽名(，S)的正確性，假設成立那么承受S為的合法簽名。3.5簽名算法這里給出了門限簽名方案的實現算法，其中需要運用java.i.*；java.seurity.*；java.ath.*；javax.rypt.*；javax.rypt.spe.*；java.

13、seurity.spe.*；erfaes.*；java.util.*；erfaes.*等系統(tǒng)提供的類和方法。(1)RSA簽名私鑰生成算法：publilassRSAKeyPairGeneratrkpg=KeyPairGeneratr.getInstane(RSA)；kpg.initialize(1024)；KeyPairkp=kpg.genKeyPair()；PubliKeypbkey=kp.getPubli()；PrivateKeyprkey=kp.getPrivate()；/保存RSA公鑰FileutputStreaf1=neFil

14、eutputStrea(skey_RSA_pub.dat)；bjetutputStreab1=nebjetutputStrea(f1)；b1.ritebjet(pbkey)；/保存RSA私鑰FileutputStreaf2=neFileutputStrea(skey_RSA_priv.dat)；bjetutputStreab2=nebjetutputStrea(f2)；b2.ritebjet(prkey)；(2)子密鑰生成算法：publilassshareRSA/讀取私鑰d及RSA參數FilEinputStreaf=neFilEInputStrea(skey_RSA_priv.dat)；bje

15、tInputStreab=nebjetInputStrea(f)；RSAPrivateKeyprk=(RSAPrivateKey)b.readbjet()；BigIntegerd=prk.getPrivateExpnent()；BigIntegern=prk.getdulus()；bytex=nebyte16；Randd1=neRand()；d1.nextBytes(x)；BigInteger=neBigInteger(x)；BigInteger=.d(n)；BigIntegerd2=d.subtrat()；/保存機密密鑰d1FileutputStreaf1=neFileutputStrea(

16、partkey1_RSA.dat)；bjetutputStreab1=nebjetutputStrea(f1)；b1.ritebjet(d1)；/保存機密密鑰d2FileutputStreaf2=neFileutputStrea(partkey2_RSA.dat)；bjetutputStreab2=nebjetutputStrea(f2)；b2.ritebjet(d2)；然后根據實際選擇的t和n值進展多項式的選擇，以d2作為多項式的a0，計算n個子密鑰分發(fā)給共享效勞器。(3)各共享效勞器用子密鑰進展數字簽名算法：publilasssignature/獲取要簽名的數據存放在data數組FileI

17、nputStreaf=neFileInputStrea(sg.dat)；intnu=f.available()；bytedata=nebytenu；f.read(data)；/獲取私鑰FileInputStreaf1=neFileInputStrea(partkey2i_RSA_priv.dat)；bjetInputStreab=nebjetInputStrea(f1)；RSAPrivateKeyprk=(RSAPrivateKey)b.readbjet()；/數字簽名Signaturesig=Signature.getInstane(D5ithRSA)；sig.initSign(prk)；s

18、ig.update(data)；bytesignature=sig.Sign()；fr(inti=0；idata.length；i+)Syste.ut.println(signaturei+，)；4完畢語本章給出了平安增強的基于RSA可驗證門限簽名方案的全過程，解決了中對元素求逆和代數構造擴張的問題，防止了共享效勞器合謀的威脅。我們可以看到它是更平安可靠的，而且原理也很簡單。利用這個方案我們可以將A簽名私鑰分發(fā)到各個共享效勞器中，通過共享效勞器對用戶申請的公鑰證書信息進展部分簽名，然后由組合效勞器得到最后的公鑰證書，從而保證公鑰證書的平安可靠，同時也不會使系統(tǒng)變得復雜而難以實現。參考文獻1SantisAD，DesedtY，FrankelYetal.Htshareafuntinseurely.In：Preedingsfthe26thASypnTheryfputing.IEEE，1994.522-5332D.Bneh，.Franklin，EffiientgeneratinfsharedRSAkeys，inPreedingsrypt97，4254393DesedtY，FrankelY.Thre