几种群签名方案

2301_76956210

已于 2024-03-10 20:50:45 修改

阅读量423

点赞数 18

分类专栏：密码学文章标签：密码学

于 2024-03-10 19:09:27 首次发布

本文链接：https://blog.csdn.net/2301_76956210/article/details/136605110

版权

密码学专栏收录该内容

9 篇文章 0 订阅

订阅专栏

群签名方案的安全性要求：

① 正确性
② 不可伪造性
③ 匿名性
④ 可追踪性
⑤ 不可连接性
⑥ 不可替代性
⑦ 防陷害攻击
⑧ 防联合攻击

一、LC98群签名：

1.Setup():

群管理员执行：

选取两个大素数 p 和 q ，且 $q|p-1$ ；
选择GF(2)中阶为 q 的生成元 g；
随机选择 $x_{_{T}}\ \epsilon \ [1,q-1]$ 为群的主私钥；
计算 $y_{T}=g^{x_{_{T}}}\ mod\ p$ ;
群管理者公钥为 $Y=(p,q,g,y_{_{T}})$

2.Enroll():

群成员 $U_{i}$ 随机选择 $x_{i}\ \epsilon \ [1,q-1]$ ，计算 $y_{i}=g^{x_{i}}\ mod\ p$ ，并发送给群管理员；
群管理员随机选择 $k_{i}\ \epsilon \ [1,q-1]$ , 计算： $r_{i}=g^{-k_{i}}y_{i}^{k_{i}}\ mod\ p$ , $s_{i}=k_{i}-r_{i}x_{_{T}}\ mod\ p$ ，发送 $(r_{i},s_{i})$ 给群成员 $U_{i}$ ；
群成员 $U_{i}$ 验证该等式是否成立： $g^{s_{i}}y_{_{T}}^{r_{i}}r_{i}=y_{i}^{s_{i}}y_{_{T}}^{r_{i}x_{i}}\ mod\ p$ , 若成立，则将 $(r_{i},s_{i})$ 作为自己的的群证书。

3.Sign():

群成员 $U_{i}$ ：

计算 $\alpha_{i}=y_{_{T}}^{r_{i}}g^{s_{i}}\ mod\ p$ ;
随机选择 $t\ \epsilon\ [1,q-1]$ , 计算 $r=\alpha_{i}^{t}\ mod\ p$ ;
由等式 $h(m)=rx_{i}+ts\ mod\ q$ 推导出 $s=t^{-1}[h(m)-rx_{i}]\ mod\ q$
$(r,s)$ 作为群成员对消息 m 的签名。

4.Verify():

接收者：

计算： $\alpha_{i}=y_{_{T}}^{r_{i}}g^{s_{i}}\ mod\ p$ 和 $DH_{i}=\alpha_{i}r_{i}\ mod\ p$
验证该等式是否成立： $\alpha^{h(m)}=r^{s}DH_{i}^{r}\ mod\ p$ ,若成立，则为合法签名

5.Open():

由于群管理者保存了群成员 $U_{i}$ 的身份，证书 $(r_{i},s_{i})$ , 参数 $(y_{i},k_{i})$ ，则可以根据证书判断签名的群成员的身份。

正确性：

Enroll：

$g^{s_{i}}y_{_{T}}^{r_{i}}r_{i}\\=g^{(k_{i}-r_{i}x_{_{T}})}g^{r_{i}x_{_{T}}}g^{-k_{i}}y_{i}^{k_{i}}\\=y_{i}^{k_{i}}\\=g^{x_{i}k_{i}}\\=g^{x_{i}(s_{i}+x_{i}+r_{i})}\\=g^{x_{i}s_{i}}g^{x_{_{T}}r_{i}x_{i}} \\=y_{i}^{s_{i}}y_{_{T}}^{r_{i}x_{i}}\ mod\ p$

Verify:

由于

$\alpha_{i}=y_{_{T}}^{r_{i}}g^{s_{i}}=g^{r_{i}x_{_{_{T}}}+s_{i}}=g^{k_{i}}$ ,且 $\alpha_{i}^{ts}=r^{s}$

则

$\alpha_{i}^{h(m)}\\=\alpha_{i}^{rx_{i}+ts}\\=\alpha_{i}^{ts}\alpha_{i}^{rx_{i}}\\=r^{s}(g^{k_{i}})^{rx_{i}}\\=r^{s}g^{(x_{i}-1+1)rk_{i}}\\=r^{s}g^{(x_{i}-1)rk_{i}}g^{rk_{i}}\\=r^{s}g^{(kx_{i}-k_{i})r}(g^{k_{i}})^{r}\\=r^{s}(g^{-k_{i}}y_{i}^{ki})^{r}(\alpha_{i})^{r}\\=r^{s}(r_{i}^{r})(\alpha_{i})^{r}\\=r^{s}DH_{i}^{r}\ mod\ p$

等式两边成立。