(高清版)GB∕T 38647.2-2020 信息技術(shù) 安全技術(shù) 匿名數(shù)字簽名 第2部分：采用群組公鑰的機(jī)制

信息技術(shù)安全技術(shù)匿名數(shù)字簽名第2部分：采用群組公鑰的機(jī)制國家市場監(jiān)督管理總局國家標(biāo)準(zhǔn)化管理委員會(huì)GB/T38647.2—2020 I Ⅱ 1 2 36具有連接能力的機(jī)制 46.1概述 46.2機(jī)制1 46.3機(jī)制2 8 6.5機(jī)制4 7具有打開功能的機(jī)制 7.1概述 7.2機(jī)制5 228具有打開和連接功能的機(jī)制 8.1概述 8.2機(jī)制7 248.3機(jī)制8 附錄A(規(guī)范性附錄)對象標(biāo)識符 附錄B(規(guī)范性附錄)密碼雜湊函數(shù) 附錄C(資料性附錄)采用群組公鑰的匿名簽名機(jī)制的安全指南 附錄D(資料性附錄)撤銷機(jī)制的比較 附錄E(資料性附錄)數(shù)值實(shí)例 附錄F(資料性附錄)機(jī)制5的正確性證明 I本部分為GB/T38647的第2部分?！駝h除了ISO/IEC18031和ISO/IEC18032;●用修改采用國際標(biāo)準(zhǔn)的GB/T38647.1代替了ISO/IEC20008-1。 ⅡⅢ1b)生成簽名的過程；GB/T34953.2—2018信息技術(shù)安全技術(shù)匿名實(shí)體鑒別第2部分：基于群組公鑰簽名的機(jī)GB/T38647.1信息技術(shù)安全技術(shù)匿名數(shù)字簽名第1部分：總則(GB/T38647.1—2020,ISO/IEC10118(所有部分)信息技術(shù)安全技術(shù)雜湊函數(shù)(Informationtechnology—Securitytechniques—Hash-functISO/IEC15946-1信息技術(shù)安全技術(shù)基于橢圓曲線的密碼技術(shù)第1部分：通用要求(Infor-mationtechnology—SecuriISO/IEC15946-5信息技術(shù)安全技術(shù)基于橢圓曲線的密碼技術(shù)第5部分：橢圓曲線生成(Informationtechnology—Securitytechniques—2Zp:[0,p-1]中整數(shù)的集圓曲線E上的點(diǎn)Q,其中Q=[n]P=P+P+…+P,是n個(gè)P的總和3名機(jī)制中，簽名方的角色分割為帶有限計(jì)算和存儲(chǔ)能力的主4——抗碰撞密碼雜湊函數(shù)應(yīng)采用GB/T32905中規(guī)定的函數(shù)；6.2機(jī)制1——lp,k,lx,l,lg,lx,e:——a,ao,g,h,b,C?,D,C?,d',d?,d?,t',t?,t?,A,f,T?,T?,T?,T?,d?,d?,ds,t?,t—x',α,β:[0,2≠-1]——W?,W?,w?:[0,224p—1]內(nèi)的整——c,c,c',c,c",c”:長度為k比特的整數(shù)；——r:長度為(2l,+1)比特的整數(shù)；——r?:長度為[e·(lx+2l,+k+1——r?,rs:長度為[e·(2l,+k)]比特的整數(shù)；——sg,s10:[-22p+le+k——H:輸出k比特消息摘要的密碼雜湊函數(shù)；5b)選擇RSA模塊滿足n=pq,且p=2p'+1,q=2q′+1,這里p,q,p',q′都是素?cái)?shù)并且p'和q′c)選擇二次剩余模n的群組的隨機(jī)數(shù)a執(zhí)行以下步驟：1)在Zn*內(nèi)滿足gcd(g+1,n)=1和gcd(g-1,n)=1;d)在QR(n)內(nèi)選擇區(qū)別于a的隨機(jī)數(shù)ao。群組公鑰(n,a,ao,g,h,b),群組成員發(fā)布過程需要在主簽名方和發(fā)布方之間建立一個(gè)安全的鑒別通信信道，如何建立該a)群組成員選取隨機(jī)整數(shù)x'∈[0,21≠-1]。b)群組成員選取隨機(jī)整數(shù)i∈[0,2n—1]。c)群組成員計(jì)算C?=g'h?(modn)。d)群組成員通過以下步驟產(chǎn)生一個(gè)在基g和h下C?的(x',r)知識證明U:1)群組成員選取隨機(jī)整數(shù)t?∈[0,2(x+k)-1];3)群組成員計(jì)算D=g'1h12,D=g1h'2(modn);4)群組成員計(jì)算c=H(gllh||C?|D);5)群組成員計(jì)算s?=t?—cx';f)群組成員發(fā)布方從群組成員接收到C?和U。群組成員發(fā)布方驗(yàn)證是否存在(C?Ip)=1h)群組成員發(fā)布方驗(yàn)證知識證明U:1)群組成員發(fā)布方計(jì)算D′=g?1h32C??(modn);2)群組成員發(fā)布方計(jì)算c=H(gllh||C?ⅡD′);3)群組成員發(fā)布方驗(yàn)證c=c,8?∈[-24x+k,2tIx+k]-1],并且s?∈[-22p+k+1,2=(2p+k+1)-1]。6o)群組成員計(jì)算v=(ax'+β)|21≠。1)群組成員發(fā)布方選取隨機(jī)整數(shù)r'∈[0,2#(lx+k)-1];2)群組成員計(jì)算d'=a(modn);3)群組成員計(jì)算c′=H(allgllC?Ild′);1)群組成員選取隨機(jī)整數(shù)r?∈[0,2Elx+k]-1];5)群組成員計(jì)算d?=g(g')2h'3(modn),其中l(wèi)=2×;6)群組成員計(jì)算c=H(allgllh|C?C?ld?lld?);7)群組成員計(jì)算s?=r?-c(x-21≠);9)群組成員計(jì)算s?=r?—car;1)群組成員發(fā)布方計(jì)算so=s'-c'21×;2)群組成員發(fā)布方計(jì)算t'=C?'a*0(modn);3)群組成員發(fā)布方計(jì)算c"=H(allglC?t);1)群組成員發(fā)布方計(jì)算t?=(C?/a1)*a1(modn),其中L=2≠;2)群組成員發(fā)布方計(jì)算t?=(C?“g?)'g*(g1)2h33(modn),其中l(wèi)=2×;3)群組成員發(fā)布方計(jì)算c"=H(allgllh||C?lC?lt?Ⅱt?);4)群組成員發(fā)布方驗(yàn)證c"=c,s1屬于[-2x+,2=(x+b)-1],s2屬于[-21x+k,2(x+k)-1]并7cc)群組成員驗(yàn)證A?=aoa*(mode)群組成員計(jì)算T?=Ab"1(modn);f)群組成員計(jì)算T?=g"1h2(modn);h)群組成員計(jì)算T?=f*(modn);p)群組成員計(jì)算d?=T?'/(a2b?)(modt)群組成員計(jì)算ds=fr2(modn);8a)驗(yàn)證方計(jì)算f=(Hr(bsn))2(modn);b)驗(yàn)證方計(jì)算t?=ao*T?-d'/(a*2-db°)(modn),其中L′=2E,L=21×;c)驗(yàn)證方計(jì)算t?=T?*1-d/(g??h310)(modn),其中I′=2E;d)驗(yàn)證方計(jì)算t?=T?fgh(modn);e)驗(yàn)證方計(jì)算t?=T?‘g*-d'h*(modn),其中I′=2E;f)驗(yàn)證方計(jì)算t?=T?*f*2-d(modn),其中L=21≠;g)驗(yàn)證方計(jì)算c'=H(allh)如果c′=c,s1在[-20+k,24e+k]-1],s2在[-2×+k,2t(Ix+k)-1],s3在[-22p+k,2t(2p+k)-1],i)否則返回0(不正確)。有兩個(gè)使用同一個(gè)連接基bsn計(jì)算的合法的簽名o=(c,81,82,8g,84,8s,89,s10,T?,T?,T?,T?)和o′=(c',s1',s2',s?',s4′,s?',sg',s10',T?',T?',T?',T?),該連接過程執(zhí)行下列步驟：如果T?=T?',輸出1(已連接),否則輸出0(未連接)。該機(jī)制撤銷過程的細(xì)節(jié)參見參考文獻(xiàn)[10]。在該機(jī)制中支持兩個(gè)類型的撤銷(私鑰撤銷和驗(yàn)證方——如果群組成員的簽名密鑰(A,e,x)被損壞，群組成員發(fā)布方或者驗(yàn)證方把x放進(jìn)該類型撤銷列表RL中；——給定一個(gè)使用連接基bsn計(jì)算的合法的簽名o=(c,S1,S2,83,84,8?,Sg,s10,T?,T?,一個(gè)該類型的撤銷列表RL,驗(yàn)證方可以按照如下方式檢查該簽名的撤銷：對于每一個(gè)x'∈RL,驗(yàn)證T?≠(Hr(bsn))2x(modn)。如果驗(yàn)證失敗，輸出0(已撤銷);否則輸出1(有效)?！绻珊灻麜r(shí)使用連接基bsn,則驗(yàn)證方可以創(chuàng)建他自己的對應(yīng)于bsn的撤銷列表RL。如果驗(yàn)證方想要將簽名σ=(c,81,82,S3,S4,s?,sg,s10,T?,T?,T?,T?)的簽名方放進(jìn)黑名單，需要把T?放入該類型的撤銷名單RL中?！o定一個(gè)使用連接基bsn計(jì)算的合法的簽名σ=(c,S?,S2,S3,S4,85,Sg,s10,T?,T?,T?,T?)和6.3機(jī)制2——lm,ly,l,l',l,l,ln,l,,l,,lr,l。:9—t,t?,rj:長度為(2l,+l,+ln+1)比特的整數(shù)；——t?:長度為(l,+ln)比特的整數(shù)；—ro,r?:長度為(l;+l,+ln)比特的整數(shù)；——r。.長度為(1.+L,+2l,+ln+——r,:長度為(1,+2l,+ln)比特的整數(shù)；—v',w:長度為(1,+l,)比特的整數(shù)；和群成員之間的交互協(xié)議來產(chǎn)生唯一的群組成員簽名。在群組成員發(fā)布過程重新放置撤銷的群組成員私鑰。c)選取RSA模塊n=pg使得p=2p'+1,q=2q'+e)在[1,p'·q']中選取隨機(jī)整數(shù)xo,xi,x?,x,xn,x;f)計(jì)算g=(g′)*mi)選取長度為Lr比特的素?cái)?shù)r,使得I-1是p的倍數(shù)并且(T-1)/p不是p的倍數(shù)；j)選取隨機(jī)數(shù)γ,其乘法階?！傅恼麛?shù)為p;k)輸出如下：群組公共參數(shù)=(l,,l,,l.,I',l。,ls,lg,l,,l,,lr,L,H,Hr),群組公鑰=(n,g',g,h,S,Z,R。,R?,y,r,p),群組成員發(fā)布密鑰=(p',q)。a)主簽名方和群組成員發(fā)布方之間協(xié)商一個(gè)連接基bsn?;b)輔助簽名方計(jì)算J?=(Hr(1|bsnj))F-1/PmodI并發(fā)送J?給主簽名方；c)主簽名方驗(yàn)證(J?)=1(modF);d)主簽名方選擇隨機(jī)數(shù)f∈[0,p-1]或從它的密鑰種子值導(dǎo)出f;e)主簽名方計(jì)算f?=f/2r;g)主簽名方隨機(jī)選取一個(gè)長度為(l,+lp)比特的整數(shù)v';h)主簽名方計(jì)算U=(R?fo·R?A·S)modn;j)主簽名方發(fā)送U和K,給輔助簽名方，然后輔助簽名方能k)主簽名方隨機(jī)選取兩個(gè)長度為(l,+l,+ln)比特的整數(shù)r?,r?;1)主簽名方隨機(jī)選取一個(gè)長度(ln+2l,+ln)比特的整數(shù)r′;m)主簽名方計(jì)算U′=(R?r0·R?r1·So′)modn;n)主簽名方計(jì)算ry=r?+r?·2x;o)主簽名方計(jì)算K?′=(J?)modT;p)簽名方發(fā)送U'和K?給輔助簽名方；q)群組成員發(fā)布方選取隨機(jī)數(shù)n?∈{0,1}"并發(fā)送n1給輔助簽名方；r)輔助簽名方計(jì)算ch=H(n||R。||R?SU||K,ⅡU'||t)主簽名方選取隨機(jī)數(shù)nr∈{0,1}?;u)主簽名方計(jì)算c=H(chlnr);v)主簽名方計(jì)算s,′=r,'+c·v',so=r?+c·fo,s?=r?+c·f?;w)主簽名方發(fā)送(c,nr,80,81,s。)x)輔助簽名方發(fā)送(c,nr,8o,81,s,)aa)群組成員發(fā)布方計(jì)算U′=(U-e·R?*°·R?*1·So′)modn;bb)群組成員發(fā)布方計(jì)算t=so+s?·2f;dd)群組成員發(fā)布方驗(yàn)證c=H(H(n||R。|ⅡR?ⅡS||U|K,U′Kee)群組成員發(fā)布方隨機(jī)選取長度為(l,-1)比特的v*;ff)群組成員發(fā)布方隨機(jī)從[2<-1,2*-1+2-1]中選取一個(gè)素?cái)?shù)e;gg)群組成員發(fā)布方計(jì)算v"=vhh)群組成員發(fā)布方計(jì)算A=(Z·U-1·s-°")1/epp)輔助簽名方計(jì)算A'=(A′·(Z·Ug)主簽名方計(jì)算K=(J)modT;j)主簽名方計(jì)算T,'=(R?r0·R?r1·Sw)modn;x)主簽名方發(fā)送(c,nr,S。,so,s1)給輔助簽名方；aa)輔助簽名方輸出群組簽名σ=(J,K,T,c,nr,s。,so,81,s)。6.3.4驗(yàn)證過程輸入消息m、連接基bsn、隨機(jī)數(shù)ny∈{0,1}H、簽名(J,K,T,c,nr,S/,8o,s1,s)以及群組公鑰(n,g',g,h,S,Z,R?,R?,y,I,p),驗(yàn)證a)驗(yàn)證(J)=1modT和(K)=1modT;b)驗(yàn)證s。和s?是長度不超過(ly+l,+ln+1)f)計(jì)算T′=(Z-e·T1·R??·R?1·S°′)modn;i)如果J是由連接基bsn導(dǎo)出的，驗(yàn)證J=(Hr(1||bsn))F-D/emodT;j)撤銷檢查過程是可選的；k)如果以上任意的一個(gè)驗(yàn)證失敗，輸出0(無效),否則輸出1(有效)。6.3.5連接過程給定兩個(gè)簽名σ=(J,K,T,c,nr,s。',so,81,se)和σ′=(J',K',T',c′,nr',s',so′,s?',s),該連接過程執(zhí)行下列步驟：如果J=J'和K=K',輸出1(已連接),否則輸出0(未連接)。6.3.6撤銷過程該機(jī)制撤銷過程的細(xì)節(jié)參見參考文獻(xiàn)[10]。在該機(jī)制中支持兩個(gè)類型的撤銷(私鑰撤銷和驗(yàn)證方黑名單撤銷)。私鑰撤銷既可以是全局撤銷也可以是本地撤銷。驗(yàn)證方黑名單撤銷屬于本地撤銷。私鑰撤銷：——如果群組成員的簽名密鑰(fo,f?,A,e,v)被損壞，群組成員發(fā)布方或者驗(yàn)證方計(jì)算f=fo+f?·2,并把f放進(jìn)該類型撤銷列表RL中；——給定簽名σ=(J,K,T,c,nr,Sv',5o,81,s)和一個(gè)該類型的撤銷列表，驗(yàn)證方可以檢查該簽名的撤銷如下：對于每一個(gè)f'∈RL,驗(yàn)證K≠(J)modT。如果驗(yàn)證失敗，輸出0(已撤銷),否則輸出1(有效)。驗(yàn)證方黑名單撤銷：——如果生成簽名時(shí)使用連接基bsn,并且驗(yàn)證方可以創(chuàng)建他自己的對應(yīng)于bsn的撤銷列表RL。如果一個(gè)驗(yàn)證方想要將簽名σ=(J,K,T,c,nr,s,',so,s1,s)的簽名方放進(jìn)黑名單，則需要把K放入該類型的撤銷名單RL中。——給定簽名σ=(J,K,T,c,nr,s。',so,si,s)和一個(gè)該類型的撤銷列表RL,驗(yàn)證方可以檢查該否則輸出1(有效)。6.4機(jī)制3——Q?,Q?,A,F,R,J,K,J',K',T,R?,R?,,R?:G?中的元素；—y,f,f',x,r,c,cn,a,b,rj,rz,ra,r6,sy,sz,8a,s,u,——n?,ny,nr:長度為t比特的整數(shù)；——H?:輸出元素在Z,內(nèi)的密碼雜湊函數(shù)；——H?:輸出元素在G?內(nèi)的密碼雜湊函數(shù)。a)選取一個(gè)大素?cái)?shù)階為p的非對稱的雙線性群組對(G?,G?)并且滿足一個(gè)雙線性函數(shù)e:G?×b)選取G?的生成元P?。c)選取G?的生成元P?。d)選取兩個(gè)密碼雜湊函數(shù)H?:{0,1}*→Zp和H?:{0,1}*→G?。如何去構(gòu)建該密碼雜湊函數(shù)的示例在附錄B中給出。e)選取G?中的隨機(jī)元素Q?,Q?。f)在Zp*內(nèi)選取隨機(jī)整數(shù)y并計(jì)算W=[y]P?。g)計(jì)算T?=e(P?,P?),T?=e(Q?,P?),T?=e(Q?,P?)群組公共參數(shù)=(G?,G?,Gr,p,e,P?,P?,H?,H?),群組公鑰=(Q?,Q?,W,T?,T?,T?,T?),群組成員發(fā)布密鑰=y。群組成員發(fā)布過程需要在主簽名方和發(fā)布方之間建立一個(gè)安全的鑒別通信信道，如何建立該a)從Zp*中選取兩個(gè)隨機(jī)數(shù)f,x或者從密鑰種子值導(dǎo)出；b)計(jì)算A=[1/(x+y)](P?+[f]Q?);e)簽名方計(jì)算F=[f]Q?和R=[r]Q?;f)簽名方計(jì)算c=H?(pllP?|P?lQj)群組成員發(fā)布方驗(yàn)證c=H?(pllP?ⅡP?lQ?lQ?WF|Rb)計(jì)算K=[f]J;f)計(jì)算R?=[ry]J;g)計(jì)算R?=e(A,P?)-r·T?h)計(jì)算c=H?(H?(pP?ⅡP?IlQ?lQ?||WJ|i)計(jì)算sy=(r,+c·)modp,sz=(r?+c·x)modp;j)計(jì)算sa=(ra+c·a)modp,s,=(r,+c·b)modp;i)輔助簽名方從Z,*中隨機(jī)選取三個(gè)整數(shù)rz,ra,rs;p)主簽名方計(jì)算發(fā)送(c,nr,sy)r)輔助的簽名方輸出匿名數(shù)字簽名σ=(J,K,H?(pllP?lP?IQ?lQ?IlWⅡJKⅡTllR?IR?IInv)。輸入消息m、連接基bsn、簽名(J,K,T,c,sj,Sx,saa)驗(yàn)證J,K,T是G?中的元素；b)驗(yàn)證sy,Sx,Sa,s,是Z,中的整數(shù)；d)計(jì)算R?=[sy]J-[c]K;f)驗(yàn)證c=H?(H?(pP?|P?IlQ?lQ?||WJ|K||T|R?|R?)|m);g)撤銷檢查過程(可選);h)如果以上的任意一種驗(yàn)證失敗，輸如果J=J'且K=K',輸出1(連接),否則輸出0(非連接)。名單撤銷和簽名撤銷)。私鑰撤銷和簽名撤銷既可以是一個(gè)全局撤銷也可以是一個(gè)本地撤銷。驗(yàn)證方——如果群組成員的簽名密鑰(f,A,x)被損壞，群組成員發(fā)布方或者驗(yàn)證方把f放進(jìn)該類型撤銷——給定簽名σ=(J,K,T,c,n,Sj,Sx,8a,sp)和一個(gè)該類型的撤銷列表，驗(yàn)證方可以對于每一個(gè)f'∈RL,驗(yàn)證是否滿足K≠[f']J。如果驗(yàn)證失敗，輸出0(已撤銷),否則輸出1(有效)?！绻珊灻麜r(shí)使用連接基bsn,并且驗(yàn)證方可以創(chuàng)建他自己的對應(yīng)于bsn的撤銷列表RL。如果一個(gè)驗(yàn)證方想要將簽名σ=(J,K,T,K放入該類型的撤銷名單RL中?！o定簽名σ=(J,K,T,c,nr,Sj,Sx,sa,sn)和該類型的撤銷列表RL,驗(yàn)證方可以對于每一個(gè)K'∈RL,驗(yàn)證K≠K'。如果驗(yàn)證失敗，輸出0(已撤銷);否則輸出1(有效)?！绻航M成員發(fā)布方或驗(yàn)證方確定簽名σ=(J,K,T,c,nr,8f,Sx,Sa,s?)是由惡意的簽名方銷列表RL中?！獮榱藞?zhí)行撤銷檢查，簽名方需要使用零知識證明去證明他之前沒有創(chuàng)建RL內(nèi)的任何(J',a)簽名方從Zp中選取隨機(jī)整數(shù)u;c)簽名方計(jì)算T=[u]K'+[v]J'。如果T=OE,證明已撤銷；d)簽名方從Zp*中選取隨機(jī)整數(shù)r,,ro;e)簽名方計(jì)算R?=[r,]K+[r,]J和R?=[r,]K′+[r,]J';f)簽名方計(jì)算c=H?(pllP?J||KⅡJ'||K'|T|R?||R?llm);g)簽名方計(jì)算sm=(r,+c·u)modp和s,=(r,+c·v)modp;i)驗(yàn)證方驗(yàn)證T∈G?并且sm,s,∈Zp;j)驗(yàn)證方驗(yàn)證T≠OE;k)驗(yàn)證方計(jì)算R?=[s.]K+[s,]J、R?=[s,]K'1)驗(yàn)證方驗(yàn)證c=H?(pllP?ⅡJ|KⅡJ'||K'|ⅡT||R?|R?Ilm);6.5機(jī)制4——Q?,U',A,B,C,D,R,S,T,W,J,K,R?,R?,C':G?—x,y,f,u,v,w,v',l,c,r,h,s,x',β:Z—nj,ny,nr:長度為t比特的整數(shù)；——H?:輸出元素在G?內(nèi)的密碼雜湊函數(shù)；——H?,H?,H?:輸出元素在Z,內(nèi)的密碼雜湊函數(shù)。c)選取G?的生成元P?。g)計(jì)算X=[x]P?和Y=[y]P?。e)主簽名方從Z,選取u并計(jì)算U=[u]P?。j)群組成員發(fā)布方計(jì)算v′=H?(P?ⅡQ?|U′|X||Y|n?)。輸入群組公鑰(X,Y),群組成員簽名密鑰(f,A,B,a)主簽名方擁有群組成員私鑰f,同時(shí)輔助簽名方擁有(A,B,C,D);b)如果bsn=⊥,從G?中選取隨機(jī)元素J,計(jì)算J=H?(bsn);c)輔助簽名方從Z,中選取隨機(jī)整數(shù)l;d)輔助簽名方計(jì)算R=[1]A,S=[1]B,T=[1]C和W=[1]D;e)輔助簽名方計(jì)算c=H?(R||S|TⅡW|ny);g)主簽名方計(jì)算K=[f]J;i)主簽名方Z,中選取隨機(jī)整數(shù)r;j)主簽名方計(jì)算R?=[r]J和R?=[r]S;k)主簽名方計(jì)算h=H?(cllml|J||K||bsn||R?|R?|nr);1)主簽名方計(jì)算s=(r+h·f)modp;n)輔助簽名方輸出該匿名簽名σ=(R,S,T,W,J,K,h,s,ny,nr)。輸入消息m、連接基bsn、隨機(jī)數(shù)ny∈{0,1}'、簽名(R,S,T,W,J,a)如果bsn≠⊥,驗(yàn)證J=H?(bsn);b)驗(yàn)證e(R,Y)=e(S,P?)和e(R+W,X)=e(T,P?);c)計(jì)算R?=[s]J-[h]K;d)計(jì)算R?=[s]s-[h]W;e)驗(yàn)證h=H?(H?(R||S||T||W|nv)||mllJ||K||bsn||R?ⅡR?|lnr);h)如果以上的任意一項(xiàng)驗(yàn)證失敗，輸給定兩個(gè)簽名σ=(R,S,T,W,J,K,h,s,ny,nr)和σ'=(R',S',T',W',J',K',h',s',nv',nr),如果J=J′且K=K',輸出1(連接),否則輸出0(非連接)。該機(jī)制撤銷過程的細(xì)節(jié)參見參考文獻(xiàn)[10],在該機(jī)制中支持四個(gè)類型名單撤銷、簽名撤銷和證書更新),前三個(gè)撤銷同6.4.6,證書更新撤銷過程2)成員更新它的證書如(A,B,C′)。7.2機(jī)制5群組成員發(fā)布方建立過程由群組成員發(fā)布方執(zhí)行下列a)選取一個(gè)RSA模塊n=pip?使得p?=2p?'+1,p?=2p?'+1,其中pi',p?',pi,p?都是素?cái)?shù)群組公鑰(gpk):(n,ao,a1,a?,b,w),a)選取一個(gè)滿足DDH假設(shè)并且階為q的一個(gè)群組G;b)隨機(jī)選取一個(gè)群組G的生成元g;d)計(jì)算Y?=[y?]g,Y?=[y?]g;群組成員發(fā)布過程在群組成員發(fā)布方(簡稱發(fā)布方)和用戶之間U,執(zhí)行下列步驟：a)用戶U?隨機(jī)選取x'∈A,d)發(fā)布方隨機(jī)選取隨機(jī)數(shù)x;"∈A并發(fā)送給用戶U;。e)用戶U,驗(yàn)證x,"∈A。f)用戶U;計(jì)算x;=(x;'+x;")mod2*和(A,',h;)=(a?modn,[x;]g),用戶U?將它與正確h)發(fā)布方選取一個(gè)素?cái)?shù)e;'∈{0,1}K,其中e,=2Ke-1+e;'也是素?cái)?shù)。i)發(fā)布方計(jì)算A;=(a?A;)1/eimodn和B,=b1/e′modn。j)發(fā)布方存儲(chǔ)(i,(A;,e;',B,h;))到成員列表LIST。k)發(fā)布方發(fā)送(A,,e;',B?)給用戶U。m)用戶U;驗(yàn)證aoa?=A;°和b=B??modn。n)用戶U?存儲(chǔ)(A,ei',B,h;)作為它的群組成員證書并且x;作為它的群組成員私鑰。U?的群輸入群組公鑰gpk=(n,ao,a1,a?,b,w)、群組成員證書(A;,e;',B,h;)、群組成員私鑰x;、由驗(yàn)證方認(rèn)可的群組成員打開方公鑰opk=(q,g,Y?,Y?)以及未簽消息M∈{0,1}*,簽名過程由簽名方U;執(zhí)a)選取pe∈Z,并計(jì)算E=(E?,E?,E?)=([pE]g,h;+[pE]Y?,h;+[pE]Y?)。b)隨機(jī)選取pm∈{0,1}Ka/2并計(jì)算Acom=A;a?2mmodn和s=e;pm,其中e;=2Ke-1+e;'。c)隨機(jī)選取p,∈{0,1}K"/2并計(jì)算Bcom=B;wmodn和t=e,'p,。e)計(jì)算VcomCphe=(Vcom(pbeo,VcomCipberl,Vcom(ple2)=([μE]g,[μ,]g+[μE]Y?,[μr]g+[μE]Y?)。f)計(jì)算VcomMPK=a?"*a?"Acommodn。g)計(jì)算VcomRey=w"Bcom-”'modn。h)計(jì)算c=H(K,|K,ⅡK.|K|K.ⅡK,Ilgpkllopk|i)計(jì)算t,=cx,+μa,t,=cs+μ,,t,=ct+μ,,t=ce;'+μ/,Te=cpr+μpmodq。k)輸出σ=(E,Acom,BcoM,c,Tx,T,,t,,t,,te)作為對消息M的簽名。b)計(jì)算t.=t+c·2K-1,V'comCipher=(V'ComCphero,V'comCpherl,V'ComCipher2)=([re]g-[c]E。,[r,]g+[rE]Y?-[c]E?,[t,]g+[re]Y?-[c]E?),V'comMPk=a?*a??a?AcommoV'comRev=b*w?Bcom?modn;a)計(jì)算S?=E?-[y?]E?和S?=E?-[y?]E。。驗(yàn)證S?=S?并且設(shè)置h=S?;b)在成員列表LIST內(nèi)搜索h并輸出對應(yīng)的用戶ID;a)計(jì)算b1=b1/modn;b)更新群組公鑰gpk為(n,ao,ab)計(jì)算B,'=B,"b?modn并用(A,,e',B,',h)替換mpk;。c)隨機(jī)選取G?的生成元P?,Q?,R?。d)隨機(jī)選取G?的生成元P?。e)隨機(jī)選取G?的生成元P?。h)計(jì)算X=[x]P?,S=[s]P?g)簽名方隨機(jī)選擇f'和u'并計(jì)k)簽名方計(jì)算r=fc'+f'modp和q=uc'+u'modp。n)群組成員發(fā)布方從Z,中選擇隨機(jī)整數(shù)y和v。o)群組成員發(fā)布方計(jì)算A=[1/(x+y)](P?-U-[v]R?)。p)群組成員發(fā)布方將(A,y)作為簽名方的群組成員憑證并發(fā)送給簽名方。q)簽名方計(jì)算z=u+v,并將(A,y)作為群組成員憑證。r)簽名方驗(yàn)證e(A,X+[y]P?)·e([f]Q?,P?)·e([z]R?,P?)=e(P?,P?)。t)簽名方的群組成員簽名密鑰為(f,A,y,z)。b)簽名方從Z,中隨機(jī)選取g和h;c)簽名方計(jì)算B=A+[h]R?,Z=[f+g]P?,V=[g]S和W=[g]T;d)簽名方從Z,中隨機(jī)選取a,b,j,n和o;f)簽名方計(jì)算c=H(pllP?|P?lP?ⅡXⅡS||TⅡQ?ⅡR?ⅡB|ZⅡV|W||YV′||W′Ⅱg)簽名方計(jì)算f′=cf+amodp,y'=cy+bmodp,z′=c(z-hy)+jmodp,h′=—ch+nmodp和g′=cg+omodp;h)簽名方輸出群組簽名σ=(B,Z,V,W,c,f',y',z',h',g′)。輸入消息m、簽名σ=(B,Z,V,W,c,f',y',z',h',g′)以及群組公鑰(P?,Q?,R?,P?,P?,X,S,a)計(jì)算Y=e(Q?,P?)·e(B,[y']P?+[c]X)·e(R?,P?)·e(R?,X)·e(P?,P?)*,Z′=[f'+g']P?-[c]Z,V′=[g']s-[c]V和W′=[g]T-[c]b)驗(yàn)證c=H(pllP?ⅡP?ⅡP?IⅡXⅡS|T|Q?R?ⅡB|ZⅡV|WⅡYⅡV'l|W'l|Z'llm)c)如果以上驗(yàn)證失敗，輸出0(有效),否則輸出1(無效)。給定簽名σ=(B,Z,V,W,c,f',y',z',h',g'),打開過程執(zhí)行下列步驟：b)計(jì)算W=Z-[1/s]V;c)輸出W。a)群組成員發(fā)布方收到一個(gè)已撤銷的簽名方群組成員證書(A,y);b)群組成員發(fā)布方計(jì)算Q?=[1/(x+y)]Q?,P?=[1/(x+y)]P?和R?=[1/(x+y)]R?;c)群組成員發(fā)布方發(fā)送(y,Q?,P?,R?)給每一個(gè)簽名方；[z]R?)并設(shè)它的群組簽名密鑰為(f,A',y,z);e)每一個(gè)簽名方設(shè)置群組公鑰為(P?,Q?,R?,P?,Pg,X,S,T)。8具有打開和連接功能的機(jī)制8.1概述從群組簽名中驗(yàn)證簽名方的身份。還有一個(gè)實(shí)體稱為群組簽名連接方，它可以確定兩個(gè)簽名是否一個(gè)群組成員創(chuàng)建。機(jī)制8用于GB/T34953.2—2018中的匿名實(shí)體鑒別機(jī)制。8.2機(jī)制7——Q,Q?,Q?,U,W,D,V,A,Z,W,Q?',Q?',U',W',D',?,D?,D?,D?,R?,R?,R?,Wopn,Vpen,Y?.,Y2.,,X1.,X2.,Si,,S2.;,S?.,,S4.,,Ss,;:G?中的元素；——L?,L?,L?,L?,LA,L?',L?',L?',L?':Gr中的元素；—η,ξ,0,x,y,z,rip,Cm,8ip,α,Y,r。,rz,ry,ry,c,S。,8y,Sy+sy,Coen·Sopen,x?,x2,x;,0;:Z,中——H,:輸出元素在Z,*內(nèi)的密碼雜湊函數(shù)。過程和撤銷過程。證據(jù)評估過程用來驗(yàn)證打開過程產(chǎn)生的綁定證據(jù)的合法性群組公鑰gpk和它對應(yīng)的群組成員發(fā)布密鑰gmik,群組成員打開密鑰gmok和群組簽名連接密鑰gslk。產(chǎn)生群組公共參數(shù)過程如下：a)產(chǎn)生三個(gè)階為p的素?cái)?shù)群組G?,G?,Gr和一個(gè)雙線性映射e:G?×G?→Gr。假設(shè)群組是乘b)選取B?<G?和Q?,Q?,Q,U-G?。c)選取一個(gè)密碼密碼雜湊函數(shù)Hp:{0,1}*→Zp,其中H,(M)是消息M∈{0,1}'的散列碼。b)計(jì)算W=[η]U,D=[5]U,B?=[0]B?,V=[5]B?;c)計(jì)算L?=e(W,B?),L?=e(W,Bo),L?=e(Q?,B?)和L?=e(Q?,B?);a)選取隨機(jī)群組成員私鑰sk=b)選取rn<Zp*并計(jì)算W=[r?p]W;d)計(jì)算s=rp+cmz(modp);f)發(fā)送(Join_Request,ID2)檢查是否滿足cp=H,(IDⅡW|ZⅡ[s?p]W-[c?p]Z)。c)檢查LIST[i]=(ID,·,·,·,·,·,·)中的ID是否包含在成員列表LIST=(LIST[1],2)計(jì)算A=[1/(0+x)](Q?-[y]Q?-Z)(=[1/(0+x)](3)增加LIST[n+1]=(ID,[y]Q,A,x,y,upk[i]=Z(=[z]W),T?p)2)計(jì)算A=[1/(θ+x)](Q?-[y]Q?-Z)(=[1/(0+x)](Q?-[y]Q?-[3)用新的LIST[i]=(ID,[y]Q,A,x,y,upk[i]=Z,Tu)代替之前的LIST[i]。鑰usk=(k,x,y,z,A)和一個(gè)已更新的群組成員簽名密鑰uska=(λ,x,y,z,?),其中?已經(jīng)是第λ次RI的注冊c)計(jì)算D?=[a]U',D?=?+[a]W',D?=[y]Q+[a]D';e)選取r,rx,ry,r,<Zp;g)計(jì)算R?=e(D?,B?)*e(W',B?)-ree(W',B?)-re(Q?',B?)>;i)計(jì)算c=H,(M|λ||D?ⅡD?ⅡD?IⅡRj)計(jì)算sa=ra+ca(modp),sx=r,+cx(modp),sy=ry+cγ(modp),sy=r,+cy(modp);a)調(diào)用gpk,(p,RL)更新撤銷的gpk,并獲取gpk。=(Q?',Q?',U',W',D',(L?',L?',L?',L?));b)計(jì)算R?=[s.]U′-[c]D?;c)計(jì)算R?=e(D?,B?)*e(W′,B?)?e(W′,B?)-*ve(Q?',B?)(e(D?,B?)/e(Q?',B?))°;d)計(jì)算R?=[s,]Q+[sa]D′-[c]D?;e)檢查等式c=H,(MⅡpllD?Ⅱ8.2.5打開過程群組成員打開過程輸入簽名σ=(p,D?,D?,D?,c,Sa,Sa,Sy,s,)和群組成員打開密鑰gmok=(η,5),a)計(jì)算[y]Q=D?-[∈b)從成員列表LIST找到對應(yīng)i的LIST[i]=(ID,[y]Q,A,x,y,upk[i]=Z(=[z]W),·)。c)如果沒有相匹配的i,輸出(i=0,*)。否則，執(zhí)行如下過程：2)計(jì)算Kpen=[η]D?,Wopn=[r]U,Vopn=[r]D?,Copn=H,(σllgllKopenlWopenIIVopen)3)輸出一個(gè)綁定證據(jù)(i,t=(Kopn,Copen,Sopen),upk[i]=Z,Y?.;=[y;]Q?,Y?,=[y;]B?,X1.;=[x;]Q,X2,=[x;]B4)如果使用該綁定證據(jù)的證據(jù)評估過程輸出為1,輸出用戶ID對應(yīng)為i。8.2.6證據(jù)評估過程證據(jù)評估過程輸入群組公鑰gpk、簽名σ=(p,D?,D?,D?,c,sa,Sx,sy,sy)、綁定證據(jù)(i,t=a)調(diào)用gpk,(p,RL)更新撤銷的gpk,并獲取gpkp=(Q?',Q?',U',W',D',(L?',L?',L?',L?));b)如果i=0,那么輸出上(失敗)。否則，檢查是否下列等式成立：Copen=H,(ollgllKopnll[sopen]U-[copen]WIⅡ[sopen]D?-[c等式成立，則輸出1(有效);否則輸出0(無效)。8.2.7連接過程群組簽名連接過程輸入兩個(gè)簽名σ和o',群組簽名連接密鑰gslk=(B?,V=[E]B?),則執(zhí)行過程如下：a)計(jì)算LI?=e(D?,B?)e(D?,V)-1和LI?=e(D?',b)如果LI?=LI?,則輸出1(連接),否則輸出0(非連接)。8.2.8撤銷過程RI是撤銷指數(shù)列表，它包含目前已撤銷群組成員的所有指數(shù)。無論何時(shí)密鑰被撤銷，RI都能馬上將它更新進(jìn)去。RL是一個(gè)包含目前已撤銷群組成員隱私信息的列表。假設(shè)RL總是更新到最新的撤銷指數(shù)RI。任何人都可以公開的使用RL和RI。列表RI和RL的初始設(shè)置為空。該撤銷過程是一個(gè)全局撤銷。它執(zhí)行三個(gè)子過程：產(chǎn)生RL(由發(fā)布方執(zhí)行)、更新gpk(由任意一方執(zhí)行)和更新usk(由合法簽名方或群組成員執(zhí)行)。a)假設(shè)RI={j?,…,ja}已給定，讓LIST[i]=(ID,[y;]Q,A,xi,y;,·,·)在成員列表LIST中。定義vA=(0—x,?)(0—x;?)…(θ—x;)(modp);b)對于每一個(gè)j∈RI,執(zhí)行如下動(dòng)作：1)計(jì)算S?,;=[1/o;]Qc)公開RL={(S1,j,S2.;,S?,,S?,,Ss,j,x;)lj∈RI={j?,…,ja}}。jp}};3)計(jì)算L?′=e(W′,B?),L?=e(W′,Bo),L?=e(Q?',B?)和L?′=e(Q?',B?);4)輸出一個(gè)更新的群組公鑰gpkp=(Q?',Q?',U',W',D',(L?',L?',L',L?))。更新usk:a)輸入usk=(k,x,y,z,A);b)計(jì)算gpkx,通過使用(gpk,(-1,RL))更新gpk;d)計(jì)算?=[(-1)2-*/πa-k]A+(II,≤RI(w,a)[(-1)A-*-iπ;-1/πa-k](S,+[-y]S?,+[-x]——x',e?,e2,C?,8?,t?,c?,a',0,f,f',x,y,c,v,w,e,e',s,a,u,r,r',c+,e+,e*,t,t+:Z,b)選取G?中的隨機(jī)生成元P?。c)選取G?中的隨機(jī)生成元P?。d)選取兩個(gè)密碼雜湊函數(shù)H:{0,1}*→G?、H?:{0,1}*→Zp。密碼雜湊函數(shù)的選取見附錄B。e)選取Zp中的隨機(jī)數(shù)x,y。f)計(jì)算X=[x]P?和Y=[y]P?。1)群公共參數(shù)：G?,G?,Gr,i,P?,P?,p,H,H?;b)選取G?中的一個(gè)元素W,計(jì)算Q=[a-1]W和V=[β-1]W;1)群組成員打開方公鑰：opk=(Q,V,W);a)群組成員發(fā)布方選取隨機(jī)數(shù)n,<{0,1}';b)群組成員發(fā)布方發(fā)送n?給主簽名方；c)主簽名方從Z,中隨機(jī)選取一個(gè)群組成員私鑰f,或者由密鑰種子值導(dǎo)出f;d)主簽名方計(jì)算F=[f]P?;e)主簽名方從Z,中選取u并計(jì)算橢圓曲線上的點(diǎn)U=[u]P?,U由(xu,yu)表示；f)主簽名方計(jì)算e=H?(PK||P?F||n?);g)主簽名方計(jì)算v=e+xumodq和w=(1+f)-1·(u-v·f)modq;i)群組成員發(fā)布方計(jì)算t=v+wmodq;j)群組成員發(fā)布方驗(yàn)證是否滿足t≠0,如果t=0即驗(yàn)證失敗，則k)群組成員發(fā)布方計(jì)算(x'u,y'u)=[w]P?+[t]F;1)群組成員發(fā)布方計(jì)算e1=H?(PK|P?|Fn?);m)群組成員發(fā)布方計(jì)算v1=e'+x'umodq;o)群組成員發(fā)布方從Z,中選取隨機(jī)數(shù)r,計(jì)算A=[r]P?,B=[y]A,C=[x]A+[r·xy]F,D=[r·y]F;p)群組成員發(fā)布方從Z,中選取隨機(jī)數(shù)a′并計(jì)算h=r·y;q)群組成員發(fā)布方計(jì)算R?=[a']P?,R?=[a']F;r)群組成員發(fā)布方計(jì)算e*=H?(P?|B||D||F);s)群組成員發(fā)布方計(jì)算c=e*十xr?+xr?modq;t)群組成員發(fā)布方計(jì)算s=(1+h)-1·(u)群組成員發(fā)布方發(fā)送A,B,C,D,c,s給輔助簽名方；v)輔助簽名方驗(yàn)證e(A,Y)=t(B,P?);w)輔助簽名方驗(yàn)證e(C,P?)=t^(A+D,X);bb)輔助簽名方計(jì)算e+=H?(P?ⅡB|D||F),c+=e++xr?++xr?+;cc)輔助簽名方驗(yàn)證是否滿足c=c+;dd)如果不相等即驗(yàn)證失敗，則丟棄此過程；a)主簽名方擁有群組成員私鑰f及參數(shù)F,關(guān)系式為F=[f]P?,同時(shí)輔助簽名方擁有(A,B,b)輔助簽名方從Z,中選取隨機(jī)數(shù)r';c)輔助簽名方計(jì)算A'=[r']A,B'=[r']B,C'=[r']C,D'=[r']D;d)如果bsn≠⊥,計(jì)算J=H(bsn),否則返回失??；e)輔助簽名方發(fā)送J給主簽名方；g)主簽名方發(fā)送F給輔助簽名方；i)輔助簽名方計(jì)算C?=[r.]Q,C?=[rp]V,C?=[ra+rg]W+F;j)主簽名方從Z,中選取隨機(jī)整數(shù)a;k)主簽名方計(jì)算R=[a]J,(xk,yr)<-R;m)主簽名方計(jì)算c?=e?+xpmodq;n)主簽名方計(jì)算s?=(1+f)-1·(a1-c?·f)modq;p)輔助簽名方輸出匿名簽名σ=(A',B',C',D',K,J,C?,C?,C?,c?,81,nv)。b)驗(yàn)證J=H(bsn);c)如果Vf'∈Roguelist且K=[f']J,返回失?。籨)驗(yàn)證i(A',Y)=i(Be)計(jì)算e?=H?(JⅡKⅡbsn||m'llny);f)計(jì)算t?=c?+s?modq;給定一個(gè)簽名o=(A',B',C',D',K,J,C?,C?,C?,c?,81,nv),群組成員打開過程由群組成員打a)計(jì)算F'=C?-([a]C?+[β]C?),驗(yàn)證是否滿足F1=F,其中F=[f]P?;給定針對已簽名消息m'的兩個(gè)簽名σ=(A',B',C',D',K,J,C?,C?,C?,c?,s?,ny)和σ1=(A',B',C',D',K',J',C?',C?',C?',c?',s?',nv'),2)驗(yàn)證是否滿足J=H(bsn);4)驗(yàn)證f(A,Y)=f(B,P?)和i5)計(jì)算e?=H?(J|K||bsn||m'|ln3)如果Vf"∈Roguelist且K′=[f"]J'成立，返回失??；4)驗(yàn)證i(A',Y)=i(B',P?)和i(C',P?)=i(A'+D',X),如果兩個(gè)驗(yàn)證中有其中之一8)否則計(jì)算(xk+,yk+)=[s?]J+[t?]K,c?=e?+xk+;c)如果J=J',K=K',則輸出1(已連接);否則輸出0(未連接)。撤銷、簽名撤銷和證書更新),前三個(gè)撤銷同6.4.6,私鑰撤銷和簽名撤銷既可以是a)群組成員發(fā)布方從Z,中選取隨機(jī)數(shù)x';1)發(fā)布方計(jì)算C-=[0]C,并發(fā)送C-給成員；GBAnonymousSignatureUsiso(1)member-body(2)cn(156)bwips(11235)GB/T38647(38647)GB/T38647.2(2)asnl-module(1)mechanisms-using-group-puFROMDedicatedHashFunctiiso(1)standard(0)hash-functions(10118)part(3)asnOID::=OBJECTIDiso(1)member-body(2)cn(156)bwips(11235)GB/T38GB/T38647.2(AnonymousSignature::=SEQUalgorithmALGORITHM.&.id({ASAlgorithms}),parametersALGORITHM.&.Type({ASAlgorithms}{@algorithm})OPTIONALgbas-gpk-m-3ALGORITHM::={gbas-gpk-m-4ALGORITHM::={gbas-gpk-m-6ALGORITHM::={--CryptographicalgoriEND--CAnonymousSignatureUsingGr則值m;定義為m=21-1x?-1+2c)對于從0～(k/h-1)的i,使得T=T||H(m|I2BSc)返回hmodp。e)設(shè)h=H(I2BSP(p,plen)|ⅡI2BSP(mlen,128)|ⅡI2BSP(i,128)g)如果BS2IP(z)<p,輸出BS2IP(z)并停止進(jìn)程；h)由1～i,如果i<232,則回到e),否則返回“Fail”。讓E是在明確給定的素?cái)?shù)域F,上的橢圓曲線。HBS2ECP是一個(gè)密碼函數(shù)，它能把一個(gè)串m雜湊成E上的點(diǎn)它包括下列步驟：b)設(shè)I2ECP為一個(gè)能夠?qū)⒄麛?shù)轉(zhuǎn)換為ISO/IEC15946-1中橢圓曲線上的點(diǎn)的原語；e)由1～i。如果i<22,則回到c),否則返回“Fail”。C.1.1總則sionalDiffie-Hellman)假設(shè)(參考文獻(xiàn)[2]),SDH((Lysyanskaya-Rivest-Sahai-Wolf)假設(shè)(參考文獻(xiàn)[18])和靜態(tài)DH(StaticDH)假設(shè)(參考文獻(xiàn)[8])。機(jī)制1√√√√√√√√√√√√√√√√√√強(qiáng)RSA假設(shè)下列問題很難解決：給定隨機(jī)選取的RSA系數(shù)n和Z,*中的隨機(jī)數(shù)z,存在e>1C.1.3DDH(判定性DH)假設(shè)DDH假設(shè)是假設(shè)下列問題很難解決：給定循環(huán)群G的階為p和三個(gè)元素g",g",z∈G,決定是否SDH假設(shè)下列問題很難解決：給定循環(huán)群G的生成元為g和階為p。給定g,g2,g2,…,g?∈給定循環(huán)群G的生成元為g和階為p,設(shè)g2和g>給定。假設(shè)一個(gè)oracle是用三元(a,a*,a*+y)解答問題s。其中a是G中的隨機(jī)群組元素。設(shè)該oracle被稱為下列問題s?,s2,…,sm。LRSW假設(shè)i靜態(tài)DH假設(shè)假定靜態(tài)DH問題很難解決。設(shè)G是階為p的循環(huán)群。給定g,h∈G滿足h=gx,機(jī)制3、機(jī)制4、機(jī)制6、機(jī)制7、機(jī)制8都是使用雙線性函數(shù)。產(chǎn)生好的雙線性橢圓曲線方法在ISO/IEC15946-5中給出。對于80比特安全強(qiáng)度，160比特MNT曲線在ISO/IEC15946-5的附錄C中C.2或160比特BN曲線在ISO/IEC15946-5的附錄C中C.3中有推薦。對于112比特安全強(qiáng)度，224比特BN曲線在ISO/IEC15946-5的附錄C中C.3中有推薦。對于128比特的安全強(qiáng)度，256比特BN曲機(jī)制6還是使用傳統(tǒng)的橢圓曲線。產(chǎn)生偽隨機(jī)橢圓曲線的方法在ISO/IEC15946-5中給出，該偽隨機(jī)橢圓曲線的一個(gè)示例在ISO/IEC1594——機(jī)制1:對于112比特的安全強(qiáng)度，推薦下列參數(shù)：lp(1024比特),k(160比特),l(160比 機(jī)制2:對于112比特的安全強(qiáng)度，推薦下列參數(shù)：1.(2048比特),l,(104比特),L.(368比特),I'(120比特),l,(2536比特),l(8a)對于80比特的安全強(qiáng)度，選取160比特的雙線性橢圓曲線和選取160比特t和p;b)對于112比特的安全強(qiáng)度，選取224比特的雙線性橢圓曲線和選取224比特t和p;c)對于128比特的安全強(qiáng)度，選取256比特的雙線性橢圓曲線和選取256比特t和p?！獧C(jī)制4:a)對于80比特的安全強(qiáng)度，選取160比特的雙線性橢圓曲線和選取160比特t和p;b)對于112比特的安全強(qiáng)度，選取224比特的雙線性橢圓曲線和選取224比特t和p;c)對于128比特的安全強(qiáng)度，選取256比特的雙線性橢圓曲線和選取256比特t和p。 對于80比特的安全強(qiáng)度，推薦下列參數(shù)：K,(1024比特),K(160比特),K.(160比特),K——機(jī)制6:a)對于80比特的安全強(qiáng)度，選取160比特的G?中的雙線性橢圓曲線，160比特的G?中的雙線性橢圓曲線和選取160比特的p;b)對于112比特的安全強(qiáng)度，選取224比特G?中的雙線性橢圓曲線，224比特的G?中的雙線性橢圓曲線和選取224比特的p;GB/T38647.1介紹了使用群組公鑰的匿名數(shù)字簽名的三種不同的撤銷驗(yàn)證方可以檢查是否給定的簽名是由列表中簽名的簽名方創(chuàng)建的。這樣產(chǎn)生的列表中。表D.1給出全局撤銷和本地撤銷的機(jī)制的歸類?！獭獭獭獭獭趟借€和驗(yàn)證方黑名單撤銷的安全性證明在參考文獻(xiàn)[4]的全文中給出證明。簽名撤銷的安全性證表D.2在匿名簽名機(jī)制中使用的撤銷選項(xiàng)機(jī)制√√√√機(jī)制機(jī)制3√√√√√√√機(jī)制5√√機(jī)制7√機(jī)制8√a)是全局的撤銷或本地的撤銷。b)是否成員證書需要更新。d)是否一個(gè)驗(yàn)證方在撤銷檢查需要執(zhí)行額外的計(jì)e)是否可撤銷群組成員私鑰未知的成員。私鑰撤銷只有在群組成員私鑰已經(jīng)被公布的條件下執(zhí)行。如果群組成員私鑰不是已知的，那么該成員不能夠在私鑰g)是否撤銷列表具體到特定的連接基。在驗(yàn)證方黑名單撤銷，撤銷列表具體到單個(gè)的連接基。如果創(chuàng)建一個(gè)群組簽名使用一個(gè)不同的連接基，那么它不能夠使用撤銷列表撤銷。對于私鑰私鑰簽名全局更新成員證書否否否是否否是否是是是否否是是是私鑰簽名簽名否是否不可用GB/T38647.2—2020(資料性附錄)數(shù)值實(shí)例SHA-256被用做基礎(chǔ)的密碼雜湊函數(shù)。其輸出將被截?cái)嘁员３肿钚〉闹饕膋比特位。Hr是附錄B中B.2的HL函數(shù)。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