论文笔记:Identity-based strong designated verifier signature schemes: Attacks and new construction

强指定验证人签名方案可以使签名者说服指定验证人，使指定验证人无法将签名转让给第三方，甚至没有第三方可以验证指定验证人签名的有效性

基于id的指定验证者签名

Zhang-Mao scheme

Setup:
$e:G_1\times G_1\to G_2$, order $q$, 任意生成元$P$； H 1 : { 0 , 1 } ∗ → G 1 H_1:\{0,1\}^*\rightarrow G_1 H1​:{0,1}∗→G1​； H 2 : { 0 , 1 } ∗ × G 1 × G 1 → G 1 H_2:\{0,1\}^*\times G_1\times G_1\rightarrow G_1 H2​:{0,1}∗×G1​×G1​→G1​
msk:$s\in Z_q^{\ast }$,mpk:$P_{pub}=sP$

KeyExtract:
$S_{ID}=s{H}_1(ID),Q_{ID}=H_1(ID)$

Sgin$(Q_{I{D}_A},Q_{I{D}_B},M,r_1,r_2\in Z_q^{\ast })\to (U_1,U_2,V)$给指定验证方$I{D}_B$

Verify$((U_1,U_2,V),M)$
$H=H_2(M,U_1,U_2)$
验证
$e(U_1,V)=e(U_2,H)e(S_{I{D}_B},Q_{I{D}_A})$

============
$e(U_1,V)=e(r_1{Q}_{I{D}_B},r_{2}H)e(r_1{Q}_{I{D}_B},r_1^{-1}{S}_{I{D}_A})=e(U_2,H)e(S_{I{D}_B},Q_{I{D}_A})$

============
Transcript simulation:
指定的验证者Bob随机选择两个数字$r_1^{\prime },r_2^{\prime }$并计算

生成的$(U_1^{\prime },U_2^{\prime },V^{\prime })$也满足验证

Lal-Verma scheme

Setup和Key generation与Zhang-Mao 相同，除了 H 2 : { 0 , 1 } ∗ × G 2 → G 1 H_2:\{0,1\}^*\times G_2\rightarrow G_1 H2​:{0,1}∗×G2​→G1​
Proxy key generation:
原签名方Alice生成签名：

• random $r_1,r_2,r_3\in Z_q^{\ast }$，授权凭证$W$
• $U_1=r_1{Q}_{I{D}_B},U_2=r_2{Q}_{I{D}_A},U_3=r_3{U}_1$
• $V=r_{3}H+r_1^{-1}{S}_{I{D}_A},H=H_2(M,W,e(r_2{Q}_{I{D}_B},S_{I{D}_A}))$
• $\sigma =(M,W,U_1,U_2,U_3,V)$发给代理签名方Bob
  代理方Bob:
• $H=H_2(M,W,e(U_2,S_{I{D}_B}))$.
• 查验$e(U_1,V)=e(U_3,H)e(S_{I{D}_B},Q_{I{D}_A})$
• 计算proxy secret key $S_{IDP}=V+S_{I{D}_B}$

Proxy signature generation:
Bob:

• random $t_1,t_2,t_3\in Z_q^{\ast }$
• $X_1=t_1{Q}_{I{D}_C},X_2=t_2{S}_{IDP},X_3=t_3{X}_1$
• $X=t_3{H}^1+t_1^{-1}{S}_{IDP},H^1=H_2(M,W,e(t_2{Q}_{I{D}_C},S_{IDP}))$
• 代理签名$(M,W,X_1,X_2,X_3,X,V)$发给指定接收方Cindy

Proxy signature verification:
Cindy:

• 检查消息$M$是否确认到授权$W$
• 检查是否分别将Alice和Bob指定为授权$W$中的原始签名者和代理签名者
• 计算$H^1=H_2(M,W,e(X_2,Q_{I{D}_C}))$
• 查验$e(X_1,X)=e(X_3,H^1)e(S_{I{D}_C},Q_{I{D}_B})e(Q_{I{D}_C},V)$

针对两个方案的攻击

Zhang-Mao scheme：声称他们的方案是一个强指定验证者签名，甚至没有第三方可以验证指定验证者签名的有效性，因为在验证方程中需要指定验证者的私钥。这几个性质实际上并不满足

• 假设$(U_1,U_2,V)$是消息$M$的签名，任何拦截了$(U_1,U_2,V)$签名的人可以根据验证方程计算$e(S_{I{D}_B},Q_{I{D}_A})$：$e(U_1,V)=e(U_2,H)e(S_{I{D}_B},Q_{I{D}_A})$
• 在这之后，如果攻击者又拦截了消息$M^{\ast }$的签名$(U_1^{\ast },U_2^{\ast },V^{\ast })$，可以通过$e(U_1^{\ast },V^{\ast })=e(U_2^{\ast },H^{\ast })e(S_{I{D}_B},Q_{I{D}_A})$验证签名。即攻击者无需指定验证者的私钥就能验证签名

Lal-Verma scheme：类似地，攻击者也可以很容易地拦截获取$e(S_{I{D}_C},Q_{I{D}_B})$根据验证方程：$e(X_1,X)=e(X_3,H^1)e(S_{I{D}_C},Q_{I{D}_B})e(Q_{I{D}_C},V)$，当再次拦截到签名，也可以直接验证$e(X_1^{\ast },X^{\ast })=e(X_3^{\ast },H^{1\ast })e(S_{I{D}_C},Q_{I{D}_B})e(Q_{I{D}_C},V^{\ast })$

新方案

基于身份的指定验证者签名方案

Setup和Key generation与Zhang-Mao 相同，除了 H 2 : { 0 , 1 } ∗ × G 2 → G 1 H_2:\{0,1\}^*\times G_2\rightarrow G_1 H2​:{0,1}∗×G2​→G1​（和Lal-Verma相同）
Sign$(M,Q_{I{D}_A},Q_{I{D}_C})\to (U,\sigma )$

• random $r\in Z_q^{\ast }$
• $U=r{Q}_{I{D}_A}$
• $\sigma =H_2(M,e(r{Q}_{I{D}_C},S_{I{D}_A}))$发给Cindy

Verify
查验：$\sigma =H_2(M,e(U,S_{I{D}_C}))$
Signature simulation:
Cindy选择随机数$r^{\prime }\in Z_q^{\ast }$并计算：

• $U^{\prime }=r^{\prime }{Q}_{I{D}_A}$
• ${\sigma }^{\prime }=H_2(M,e(U^{\prime },S_{I{D}_C}))$
  生成的签名也是可验证的。

这个签名结构简单所以后面就不赘述了…仅作为对指定验证者签名的初步了解