跳转到内容

群签名

维基百科,自由的百科全书

群签名方案是一种类似于数字签名的密码原语,其目的在于允许用户代表群签名消息,并在该群内保持匿名。也就是说,看到签名的人可以用公钥验证该消息是由该群成员发送的,但不知道是哪一个。同时,用户不能滥用这种匿名行为,因为群管理员可以通过使用秘密信息(密钥)来消除(恶意)用户的匿名性。例如,大公司里的雇员可以使用群签名方案对消息进行签名,其中验证者知道消息是由他们公司里的雇员签名的就足够了,不需要知道是由哪个特定雇员签名的;该方案的另一个应用:通过识别卡(keycard)认证进入受限区域,在受限区域中不适合跟踪单个成员的移动,但必须确保只有该群的成员才能进入。

群签名方案的关键是“群管理员”,它负责添加群成员,并能够在发生争议时揭示签名者身份。在一些系统中,添加成员和撤销签名匿名性的责任被分开,并分别赋予给群管理员和撤销管理员。虽然学术界已经提出了许多群签名方案,但所有方案都应该满足基本的安全性要求[1]

历史

[编辑]

1991年,Chaum 和 Heyst首次提出群签名的概念[2]。从那时起,越来越多的协议被引入,并在这个模型上加入了类似于数字签名的非伪造性的概念,当然也包括更具体的概念,如废除[3]。直到Bellare,Micciancio和Warinschi才提出了一个更精确的正式模型,这个模型如今被用于群签名方案的工程实现[4]

定义

[编辑]

群签名方案实现一般由下列四个可行的算法组成:初始化,签名,验证和打开。

  1. 初始化过程:系统参数选取,输入安全参数λN,返回公钥gpk和私钥gsk以及私钥对,对应于用户d的私钥和打开密钥ok
  2. 签名过程: 输入密钥和消息m,返回签名σ
  3. 验证过程: 以公钥gpk和消息m,签名σ作为输入,以布尔值返回验证结果
  4. 打开过程: 以打开密钥 ok,消息m,签名 σ作为输入,返回用户身份d或者错误结果错误

真实的消息签名的验证将返回true,如下所示:

安全性要求[5]

[编辑]
  • 完整性: 群成员的有效签名始终验证正确,无效签名则始终验证失败。
  • 不可伪造性: 只有群成员才能创建有效的群签名。
  • 匿名性: 给定一个群签名后,如果没有群管理员的密钥,则无法确定签名者的身份,至少在计算上是不可行的。
  • 可跟踪性: 给定任何有效的签名,群管理员应该能够确定签名者的身份。 (这也暗示了只有群管理员才能破坏其匿名性) 
  • 不关联性: 给定两个消息及其签名,我们无法判断签名是否来自同一签名者。
  • 无框架: 即使所有其他群成员相互串通(包括和管理员串通),他们也不能为非群成员伪造签名。
  • 不可伪造的跟踪验证: 撤销管理员不能错误地指责签名者创建了他本没有创建的签名。
  • 抗合谋攻击: 即使所有群成员相互串通,他们也不能产生一个合法的不能被跟踪的群签名。

最新研究

[编辑]

目前最新的群签名方案技术包括:ACJT 2000[6]、BBS04[7]和BS04(在CCS中)。(非完整列表)

Boneh,Boyen和Shacham于2004年发表的 短群签名 描述了一种基于双线性映射的新型群签名方案。[7] 该方案中的签名大约是标准RSA签名的大小(约200字节)。其安全性在随机预言机中得到证明,并依赖于强Diffie-Hellman假设(SDH) 和一个在双线性群(bilinear groups)中的新假设:Decision Linear assumption英语Decision Linear assumption (DLin)。

Bellare, Micciancio 和Warinschi给出了针对可证明安全性英语Provable_security的更加正式的定义[8]

参考文献

[编辑]
  1. ^ Ateniese, Giuseppe; Camenisch, Jan; Joye, Marc; Gene Tsudik. A practical and provably secure coalition-resistant group signature scheme. LNCS. 2000, 1880: 255–270. 
  2. ^ Kim, Seung Joo; Park, Sung Jun; Won, Dong Ho. Convertible group signatures. Advances in Cryptology — ASIACRYPT '96. Lecture Notes in Computer Science (Springer, Berlin, Heidelberg). 1996-11-03: 311–321 [2018-05-20]. ISBN 9783540618720. doi:10.1007/BFb0034857. (原始内容存档于2018-05-20) (英语). 
  3. ^ Ateniese, Giuseppe; Tsudik, Gene. Some Open Issues and New Directions in Group Signatures. Financial Cryptography. Lecture Notes in Computer Science (Springer, Berlin, Heidelberg). 1999-02-22: 196–211 [2018-05-20]. ISBN 354048390X. doi:10.1007/3-540-48390-X_15. (原始内容存档于2018-05-21) (英语). 
  4. ^ https://cseweb.ucsd.edu/~mihir/papers/gs.html. cseweb.ucsd.edu. [2018-05-20]. (原始内容存档于2017-12-19). 
  5. ^ 潘, 森杉; 仲, 红. 现代密码学概论. 北京: 清华大学出版社. 2017: 160. ISBN 9787302461470. 
  6. ^ Ateniese, Giuseppe; Camenisch, Jan; Joye, Marc; Tsudik, Gene. A Practical and Provably Secure Coalition-Resistant Group Signature Scheme (PDF). Advances in Cryptology - CRYPTO 2000. Lecture Notes in Computer Science. 2000, 1880: 225–270 [24 June 2012]. (原始内容存档 (PDF)于2013-05-13). 
  7. ^ 7.0 7.1 Boneh, Dan; Boyen, Xavier; Shacham, Hovav. Short Group Signatures (PDF). Advances in Cryptology - CRYPTO 2004 (Springer). 2004: 227–242 [24 June 2012]. ISSN 0302-9743. (原始内容存档 (PDF)于2012-07-17). 
  8. ^ Bellare, Mihir; Micciancio, Daniele; Warinschi, Bogdan. Foundations of Group Signatures: Formal Definition, Simplified Requirements and a Construction Based on General Assumptions. Advances in Cryptology - Eurocrypt 2003. Lecture Notes in Computer Science (Warsaw, Poland: Springer). May 2003, 2656: 614–629 [2018-05-20]. (原始内容存档于2013-09-14). 

扩展阅读

[编辑]