格上的完全动态前向安全群签名
仅文字部分
目录
摘要
- 随机预言机模型下可证明安全
- 用户密钥长度与群成员数量无关
前向安全群签名( FSGS )保证了在当前时间段签名密钥泄露的情况下,在过去时间段的签名的不可伪造性。众所周知,传统的FSGS方案大多依赖于数论假设,无法抵抗量子攻击。因此,我们结合Ling提出的改进的FSGS方案,提出了一个高效的基于格的完全动态(即用户可以灵活地加入或退出群组)前向安全群签名( DFSGS )。基于一个高效的零知识证明,我们构造了有助于隐私保护的承诺值和对明文的知识证明。我们的DFSGS方案在随机预言机模型下依靠SIS和LWE被证明是匿名和前向安全可追踪的。此外,我们的DFSGS方案的群公钥长度和签名长度都得到了改进,用户私钥长度与数量无关。
介绍
群签名
- 定义及发展
随着信息化的快速发展,在电子商务和电子政务的大环境下,普通的数字签名已经不能同时满足安全认证协议中认证和隐私保护的要求。随后,人们开始在普通数字签名的基础上,研究和构造其他能够满足某些特殊要求或性质的签名方案。群签名由Chaum和Van Heyst ( 1991 )于1991年正式提出。传统的群签名方案通常需要满足两个性质:匿名性和可追踪性。匿名性是指合法用户对代表整个群体的消息进行签名,验证者在验证签名有效性时不知道签名者的身份。可追溯性是指当签名有争议时,群管理员能够通过追踪秘密密钥发现签名者的身份。随后Bellare等( 2003 )提出了完全匿名性和完全可追踪性的更强安全性。
我们知道,最初的群签名是静态的,即一旦群系统建立,新用户就不能加入群。如果需要添加新的用户,群系统必须重新初始化群公钥并签署密钥。同时,群组系统在实际应用中往往需要频繁地添加新用户。因此,静态群签名不适合实际应用。同时,静态的群签名方案无法撤销群成员。在群签名方案中,实现群成员的撤销是一个难题。群管理器不能禁止被撤销的群成员继续使用他的密钥签名。因此,需要有有效的验证算法和群成员撤销机制,使得未被撤销的成员产生的签名能够通过验证算法,而被撤销的成员产生的签名不能通过验证算法。目前,群的撤销方法签名主要包括以下内容:( 1 )更新所有密钥;( 2 )基于动态累加器( DA )(卡梅尼施和Lysyanskaya 2002 ; Nguyen 2005);( 3 )本地验证者撤销( VLR )模型( Boneh和Shacham 2004);( 4 )基于( Libert等. 2012a , b)的广播加密( BE );( 5 )基于时间段的授权更新方案( Song 2001 )。在这些方法中,VLR受到了广泛的关注。VLR是指撤销消息只发送给签名验证者,签名验证者在本地检查签名的有效性,当某个用户被撤销时不与签名者联系。此后,许多研究者对动态群签名(即支持加入和撤销机制)进行了深入的研究。另一方面,大多数同时考虑功能和安全性的群签名方案在群成员加入和撤销时存在效率低下的问题。因此,基于传统困难性假设的群签名研究致力于构建一个兼顾有用性和安全性的高效群签名。同时,群签名的特性使其适用于匿名电子投票、电子货币、可信计算等多种隐私保护场景。
研究现状
- 最近的快速发展,本文的工作是有意义的
以往的群签名大多依赖于大整数分解和离散对数等传统困难假设。1994年,Shor ( 1994 )提出了一种将传统密码方案的安全性置于危险境地的量子算法。Ajtai ( 1996 )开创性地证明了格问题在平均情形下的难度与1996年最坏情形下的难度相同。这一进展为基于格的密码系统的设计奠定了理论基础。随着量子计算的发展,传统的基于数论假设的群签名( Ateniese等2000 ; Bellare et al . 2003 ; Boneh和Shacham 2004 ; Boneh等2004 ; Kiayias et al.2004 ; Bellare等2005 ; Kiayias和Yung 2006 ; Boyen和Waters 2006 ; Groth 2006 ; Boyen和Waters 2007 ; Groth 2007)已经无法抵抗量子攻击。基于格的密码体制由于其简单的结构和抗量子计算攻击的安全性,逐渐成为后量子密码时代的研究热点。
Gordon等( 2010 )在Asiacrypt 2010中提出了第一个基于格的GS。之后陆续提出了一些方案,提高了效率。其中很多( Laguillaumie等2013 ; Ling et al . 2015 ; Nguyen et al . 2015年)旨在使密钥和签名更小,从与组成员数量的线性关系变为对数关系,并且那么独立于群体成员的数量。由于用户需要灵活地加入群组,群管理员在发现非法用户的不良行为时有权撤销,因此群签名应该支持群组用户加入和撤销机制的动态性。2016年,Libert et al . ( 2016 )构建了具有加入机制的GS,但不支持组用户的动态撤销。第一个完全动态的格点GS由Ling等人提出。( 2017 )基于Merkle哈希树。但在撤销用户时需要更新Merkle哈希树,计算较为复杂耗时。Ling等( 2018 )于2018年提出了一种支持本地验证者撤销的基于格的GS方案。但它不支持组用户的动态加入。
有时密钥泄露是不可避免的,但是利用前向安全技术可以减少密钥泄露带来的损失。为了保证签名密钥泄露后签名的安全性,Song ( 2001 )提出了第一个FSGS方案。Ling等( 2019 )构建了第一个基于格子的FSGS方案。但该方案是静态群签名,通过盆景树的层次结构和节点选择算法更新时间段的密钥。2020年,Kansal et al . ( 2020 )提出了第一个基于格的动态前向安全GS方案。其中包括基于汉明重量的节点选择算法的更新算法。但是,成员证书和密钥都需要更新,公钥和签名的长度需要进一步优化。
据我们所知,很少有基于格的GS方案同时实现了动态安全性和前向安全性,并且在RO模型下是可证明安全的。
本文工作
- 动态、前向安全、高效(密钥长度有提升)
- 可在车联网中应用
- 车联网中车辆隐私保护
- 实现车辆间匿名通信
针对现有部分工作动态灵活性不足、效率低下的问题,本文提出了一种高效的完全动态前向安全格上群签名方案,主要贡献如下。
- 我们的DFSGS方案在实现前向安全性的同时实现了动态性,保证了密钥泄露后的安全性。与其他动态群签名方案相比,我们的DFSGS方案在支持前向安全性的同时,公钥( O ( 2 · d + · L )) )和秘钥( O ( · d3 )) )的长度增加不多,其中L和d分别与群成员数量和时间周期对数相关。此外,密钥长度与组成员的数量无关。
- 由于结合了Yang等人关于线性方程组知识的高效零知识论证. ( 2019 )使得方案的可靠性误差达到1 / poly,可以显著减少协议的重复次数。从而减少了签名的长度,提高了协议的验证效率。与第一个基于格的动态FSGS方案( Kansal et al . 2020年)相比,我们的DFSGS方案的群公钥和签名长度有了很大的提高。
- 我们的方案支持通过本地验证者撤销撤销成员。用户的撤销令牌会在其密钥更新时发生改变,撤销列表中的令牌也会随之更新。如果群成员需要恢复用户的合法身份,只需将其撤销令牌从撤销列表中移除即可。这也意味着用户可以在t1时间段内被撤销,并在t2( t2 > t1)时间段内重新获得合法权限,而不需要重置公钥和私钥。
在车联网中的应用:随着车联网的不断发展,隐私保护变得越来越重要。DFSGS可以实现车辆网络中车辆的隐私保护,群签名的动态性保证了车辆的动态加入和撤销。车联网的系统模型主要包括:可信中心( TA )、固定在路边的路侧单元( RSU )和装载在车辆上的车载单元( OBU )。TA具有足够的通信、计算和存储能力,并与RSU交互。它负责车辆用户的注册和撤销,并在检测到任何异常行为时充当追踪管理器。路侧单元作为组管理者,负责管理由车辆用户组成的组。OBUs作为车辆用户来代表组内成员。在OBU加入群组阶段,OBU将自己的身份信息提交给群组管理员,群组管理员通过后向车辆颁发证书和密钥进行认证。在合作阶段,车辆成员使用自己的私钥对自己的信息进行签名,并使用感应式传感器将其发送给附近的车辆单元,实现与车辆的合作驾驶。在消息验证阶段,接收信息的其他车辆根据撤销列表判断车辆是否被撤销,然后在不知道消息发送者真实身份的情况下检查消息的有效性,从而实现车辆间的匿名通信。当车辆成员发布导致交通事故或纠纷的虚假消息时,溯源管理器使用追踪密钥打开消息的签名并追究相应车辆成员的责任。之后,相应的车辆成员将被加入到撤销名单中,并受到相应时间段的处罚。在等待处罚期限届满后,集团管理者可以考虑将其从撤销名单中删除,重新设置为合法成员(图1 )。
预备知识
符号
- 克罗内克积
整篇文章中,| | a | |表示向量a的l2 -范数,| | b | |∞表示向量b的l∞-范数。令( a | | b )表示两个向量的水平拼接,( A | B )表示两个矩阵A∈Rn × m1和B∈Rn × m2的拼接. [ N ]表示整数集{ 1,..,N } .
对于矩阵
且g = ( 1 2 ... 2^{⌊log q⌉-1}),定义
,其中G为n次m的矩阵,m = n ·⌊log q⌉。
格
我们的DFSGS方案的安全性证明依赖于下面定义的格困难问题( SIS问题和LWE问题)。
- SIS
- LWE
- 陷门生成算法
- 原像抽样函数
- 格基代理算法-扩展控制
- 格基代理算法-随机控制
盆景树签名方案和节点选择算法
- 分级陷门函数
- 节点选择算法
盆景树:盆景树也可以称之为一个陷门功能的层次结构。在基于格的盆景树实例化中,由格构建的根节点可以生成一个维度更大的新格子,作为下一级的分支节点及其基。从根到枝的生长包括无陷门的无向生长和用陷门控制生长。控制增长还需要扩展控制和随机化控制。延拓控制将
的基TA延拓到
的基TA′,维度更大且不增加范数。随机化控制保证了TA和TA′相互独立。
盆景树在签名方案中应用广泛。盆景树签名方案(cash等。2010年)给出如下。
节点选择算法:对于每个用户,都有一个二叉树,表示时间段的组成。每个叶子节点代表每个密钥的时间段。假设最大寿命被划分为T = 2^d,d∈Z +的离散周期。这些时间段用一棵与叶子节点相关联的二叉树表示,其中时间段t∈{ 0,1,2,. . .,T-1 },二叉树在深度k处的每个节点与长度为k - 1的二进制数z相关联。在( Boyen等2006)之后,对于k∈[ 1 , d + 1]和t∈[ 0 , T-1],我们定义节点的深度为k的第二个同胞( k , t)。
从深度1到d + 1,我们从0开始依次编号,从左到右以二进制递增1。对于目标叶子节点t,可以计算出从叶子节点到根节点的路径节点。对于从深度1到深度d的每个路径节点,如果其存在右邻居,则将sibling( k , t)设置为其对应的编号,设置sibling( k , t) =⊥,否则。最后,令sibling( d + 1 , t) = Bin ( t ),生成由{ sibling( k , t) }组成的节点集Nodes ( t→T-1 )。然后通过节点集生成当前时间段之后的所有路径节点(图2 )。
零知识证明
基本协议
在一个具有二次约束的高效零知识论证( ZKAoK ) ( Yang等2019)中,它具有标准的正确性和正确性误差1 / poly,远小于stern-type协议的正确性误差2 / 3。
定义m,n,l和θ分别为正整数,q为素数,C为挑战空间.定义矩阵A∈Zn × m q,向量x∈Zqn,y∈Zqm,M表示为l个3元组的集合,每个3元组包含[ 1 , n]范围内的3个整数。关系式R如下:
以下是对基本ZKAoK协议的描述。首先,验证者收到证明者发送的向量t = A · r。然后证明者计算z = α · x + r给验证者,其中α∈C由验证者采样。最后,验证者判断是否满足条件A · z = α · y + t。对于证人上二次约束的证明,可以转化为证明二次多项式在α上是线性的。此外,同态承诺方案被用来隐藏证人信息。
基本协议可以通过Fiat - Shamir变换转化为非交互的零知识论元知识( NIZKAoK ),并通过重复达到可忽略的可靠性误差。通过拒绝采样技术避免重复协议导致的完备性误差增加。协议的具体构造和安全性证明直接沿用Yang等人的方法。( 2019 )依赖于SIS和LWE假设,这里省略细节。
- ZKAoK
- 对承诺值的改进
- “Our zero‑knowledge AoK of committed values”
比特分解
- 对明文的零知识改进
- “Our zero‑knowledge AoK of plaintext”
分解
动态前向安全群签名
定义
一个完整的DFSGS方案由八个算法( GSetup , GKgen ,〈GUJoin , GIssue〉, GSign , GRevoke , Key Update , GVerify , GOpen)组成,描述如下:
GSetup(
) → pp . On input , 该算法输出公共参数pp。
Gkgen ( pp )→( ( msk , mpk),( tsk , tpk) )。在输入pp上,群管理器GM生成群管理器的密钥对( msk , mpk),追踪管理器TM生成追踪管理员的追踪密钥对( tsk , tpk)。GM初始化注册表reg、撤销列表RL和令牌列表TL。定义群公钥gpk = ( pp , mpk , tpk)。
〈GUJoin( tokensk , t)→( cert , uskt [ i ]),GIssue( gpk , msk , t)→reg〉。交互协议由GM和用户执行。新用户i首先在时间段t生成撤销令牌。如果协议成功结束,GM生成用户的密钥uskt [ i ]和用于标识id和撤销令牌tokeni,t的证书,并将uskt [ i ]和组成员证书cert = ( certindex , certtoken , id , tokeni , t)发送给组用户。最后,GM更新注册表reg。
Grevoke( gpk , RLt , TLt , t)→( ( Rlt ) new,( Tlt ) new )。GM负责执行该算法。GM将撤销tokeni,t和tokensk分别添加到撤销列表RLt和token列表TLt中,在t时段将撤销列表和token列表更新为( RLt ) new和( TLt ) new。
Keyupdate( gpk , uskt [ i ] , tokeni , t , RLt , TLt , t + 1)→( uskt + 1 [ i ] , tokeni , t + 1 , RLt + 1 , TLt + 1)。该算法由用户和GM操作,从t时刻到t + 1时刻更新uskt [ i ]、tokeni,t、RLt和TLt。
Gsign( gpk , uskt [ i ] , M , t)→∑。在输入gpk、签名密钥uskt [ i ]和时间段t上,返回∑作为消息M的签名。
Gverify( gpk , RLt , M ,∑, t)→0 / 1。该算法由验证者运行,判断签名者是否被撤销以及签名的有效性,如果签名合法则输出1,否则输出0。
Gopen( gpk , tsk , M ,∑)→Id . TM负责执行该算法。如果签名∑有效,则输出签名者的身份id,否则输出⊥( false )。
安全需求
正确性
验证正确性:合法用户生成的签名必须通过验证算法
开启正确性:有效签名应该被追踪管理器追踪到真实签名者
完全匿名性:任何人不能对挑战消息的签名找到签名者,敌手可以询问任何签名的打开
前向安全可追踪性:即使敌手得到追踪管理器密钥和部分用户密钥,也不能生成合法签名
DFSGS方案的安全性要求正确性、完全匿名性和前向安全可追踪性。正确性包括验证正确性和打开正确性。验证正确性要求合法用户产生的签名必须通过验证算法,而公开正确性要求有效签名必须经过TM追踪才能揭示真实签名者身份。完全匿名性是指任何接收到签名的人都无法识别哪个签名者在被质疑的消息上生成了签名,敌手A可以查询任何签名的开头。前向安全可追踪性要求即使敌手A能够破坏追踪管理器的密钥以及部分用户,A也不能生成可追溯到防腐用户或被破坏用户的合法签名,但该签名是在该用户被破坏之前产生的。
本文的格基动态前向安全群签名
我们的DFSGS方案的核心构造是通过结合盆景树签名和节点选择算法实现基扩展来实现密钥更新以满足前向安全性。通过生成撤销令牌,然后使用本地验证者撤销方法实现撤销功能。最后,根据相关条件构建ZKAoK。
令N为预期的潜在用户数,例如。对于L∈Z +,N = 2L,以及T个最大时间段,例如.对于d∈Z +,T = 2d .我们的DFSGS方案由以下几个算法组成。
安全性分析
正确性
计算验证
完全匿名性
随机预言机玩游戏,不可区分
前向安全可追踪性
效率分析
在表1中,我们从Gpk的长度、Usk的长度、签名GS的长度、前向安全性和支持全动态等方面比较了一些相关的基于格的GS方案。其中,N = 2L为群体成员数量,T = 2d为最大时间段数量。对于其他方案,定义t = ω ( log ),对于我们的方案,定义t′= / log p,表示零知识下证明者和验证者的交互次数,其中p是多项式。
由表1可知,我们的方案在实现完全动态性的同时具有前向安全性。此外,与Kansal et al . ( 2020 ),Gpk和GS的长度得到了改善,Usk的长度与组成员数量没有关系。由于我们的方案结合了高效的ZKAoK和可靠度误差1 / poly,因此对于同样可忽略的可靠度误差,重复协议的次数t′远小于t。同时,协议的验证效率也会显著提高。
总结与展望
本文构造了一个基于格的DFSGS方案,该方案在RO模型下是可证明安全的。与现有方案相比,我们的DFSGS方案允许成员可以随时加入和撤销,实现了前向安全性,并且通过构造高效的零知识证明提高了签名长度。在下一步的工作中,我们将探索设计更高效的基于格的动态前向安全群签名方案,如群公钥和签名的长度与群成员的数量无关,以及标准模型下不含NIZK的DFSGS方案。此外,如果我们修改我们的方案,将会带来签名大小的进一步改进,例如Esgin et al ( 2020 ),Lyubashevsky et al ( 2020 ),Attema et al ( 2020 ) .此外,在进一步的研究中,我们将考虑是否存在另一种从格上设计完全动态前向安全群签名的方法。
357
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
