群签名:修订间差异
删除的内容 添加的内容
小 完善格式 标签:2017版源代码编辑 |
从法语条目搬运内容 |
||
| 第1行: | 第1行: | ||
'''群签名方案'''是一种允许 |
'''群签名方案'''是一种类似于数字签名的密码原语,其目的在于允许用户代表群[[数字签名|签名]]消息,并在该群内保持匿名。也就是说,看到签名的人可以用公钥验证该消息是由该群成员发送的,但不知道是哪一个。同时,用户不能滥用这种匿名行为,因为群管理员可以通过使用秘密信息(密钥)来消除(恶意)用户的匿名性。例如,大公司里的雇员可以使用群签名方案对消息进行签名,其中验证者知道消息是由他们公司里的雇员签名的就足够了,不需要知道是由哪个特定雇员签名的;该方案的另一个应用:通过识别卡(keycard)认证进入受限区域,在受限区域中不适合跟踪单个成员的移动,但必须确保只有该群的成员才能进入。 |
||
群签名方案的关键是“群管理员”,它负责添加群成员,并能够在发生争议时揭示签名者身份。在一些系统中,添加成员和撤销签名匿名性的责任被分开,并分别赋予给群管理员和撤销管理员。虽然学术界已经提出了许多群签名方案,但所有方案都应该满足 |
群签名方案的关键是“群管理员”,它负责添加群成员,并能够在发生争议时揭示签名者身份。在一些系统中,添加成员和撤销签名匿名性的责任被分开,并分别赋予给群管理员和撤销管理员。虽然学术界已经提出了许多群签名方案,但所有方案都应该满足基本的安全性要求<ref>{{Cite journal|title=A practical and provably secure coalition-resistant group signature scheme|last=Ateniese|first=Giuseppe|last2=Camenisch|first2=Jan|date=2000|journal=LNCS|volume=1880|pages=255–270|last3=Joye|first3=Marc|last4=[[Gene Tsudik]]}}</ref> |
||
{| class="wikitable" |
|||
|+'''群签名方案安全性要求''' |
|||
!特性 || 内容 |
|||
|- |
|||
| ⚫ | |||
|- |
|||
| ⚫ | |||
|- |
|||
| ⚫ | |||
|- |
|||
| ⚫ | |||
|- |
|||
| ⚫ | |||
|- |
|||
| ⚫ | |||
|- |
|||
| ⚫ | |||
|- |
|||
| ⚫ | |||
|- |
|||
|} |
|||
== |
== 历史 == |
||
1991年,Chaum 和 Heyst首次提出群签名的概念<ref>{{Cite journal|title=Convertible group signatures|url=https://link.springer.com/chapter/10.1007/BFb0034857|last=Kim|first=Seung Joo|last2=Park|first2=Sung Jun|date=1996-11-03|journal=Advances in Cryptology — ASIACRYPT '96|publisher=Springer, Berlin, Heidelberg|doi=10.1007/BFb0034857|series=Lecture Notes in Computer Science|pages=311–321|language=en|isbn=9783540618720|last3=Won|first3=Dong Ho}}</ref>。从这一刻起,许多协议被引入,并在这个模型上加入了类似于数字签名的非伪造性的概念,当然也包括更具体的概念,如废除<ref>{{Cite journal|title=Some Open Issues and New Directions in Group Signatures|url=https://link.springer.com/chapter/10.1007/3-540-48390-X_15|last=Ateniese|first=Giuseppe|last2=Tsudik|first2=Gene|date=1999-02-22|journal=Financial Cryptography|publisher=Springer, Berlin, Heidelberg|doi=10.1007/3-540-48390-X_15|series=Lecture Notes in Computer Science|pages=196–211|language=en|isbn=354048390X}}</ref>。直到Bellare,Micciancio和Warinschi才提出了一个更精确的正式模型,这个模型如今被用于群签名方案的工程实现<ref>{{Cite web|url=https://cseweb.ucsd.edu/~mihir/papers/gs.html|title=https://cseweb.ucsd.edu/~mihir/papers/gs.html|accessdate=2018-05-20|work=cseweb.ucsd.edu}}</ref> |
|||
== 定义 == |
|||
群签名方案实现一般由下列四个可行的算法组成:初始化,签名,验证和打开。 |
|||
# '''初始化过程''':系统参数选取,输入安全参数''λ''和''N'',返回公钥''gpk''和私钥''gsk''以及私钥对<math>\mathsf{gsk}[d]</math>,对应于用户''d''的私钥和打开密钥''ok''。 |
|||
# '''签名过程''': 输入密钥<math>\mathsf{gsk}[d]</math>和消息''m'',返回签名''σ''。 |
|||
# '''验证过程''': 以公钥''gpk''和消息''m'',签名''σ''作为输入,以布尔值返回验证结果 |
|||
# '''打开过程''': 以打开密钥 ''ok'',消息''m'',签名 ''σ''作为输入,返回用户身份''d''或者错误结果''错误''。 |
|||
真实的消息签名的验证将返回true,如下所示: |
|||
<center><math>\forall m, (gpk, gsk) \gets Init(\lambda, N) : \mathsf{Verif}\left( gpk, m, \mathsf{Sign}(\mathsf{gsk}[d], m) \right) = \mathsf{true} </math></center> |
|||
== 安全性要求<ref>{{Cite book|title=现代密码学概论|last=潘|first=森杉|last2=仲|first2=红|publisher=清华大学出版社|year=2017|isbn=9787302461470|location=北京|pages=160}}</ref> == |
|||
| ⚫ | |||
| ⚫ | |||
| ⚫ | |||
| ⚫ | |||
| ⚫ | |||
| ⚫ | |||
| ⚫ | |||
| ⚫ | |||
== 最新研究 == |
|||
''ACJT 2000'',<ref name=ACJT2000> |
''ACJT 2000'',<ref name=ACJT2000> |
||
{{cite journal| title=A Practical and Provably Secure Coalition-Resistant Group Signature Scheme| first1 = Giuseppe | last1 = Ateniese | first2 = Jan | last2 = Camenisch | first3 = Marc | last3 = Joye | first4 = Gene | last4 = Tsudik | journal=Advances in Cryptology - CRYPTO 2000 | year=2000 | volume=1880 | series=Lecture Notes in Computer Science | pages=225–270 | url=http://www.zurich.ibm.com/security/publications/2000/ACJT2000.pdf | accessdate=24 June 2012 |
{{cite journal| title=A Practical and Provably Secure Coalition-Resistant Group Signature Scheme| first1 = Giuseppe | last1 = Ateniese | first2 = Jan | last2 = Camenisch | first3 = Marc | last3 = Joye | first4 = Gene | last4 = Tsudik | journal=Advances in Cryptology - CRYPTO 2000 | year=2000 | volume=1880 | series=Lecture Notes in Computer Science | pages=225–270 | url=http://www.zurich.ibm.com/security/publications/2000/ACJT2000.pdf | accessdate=24 June 2012 |
||
| 第47行: | 第49行: | ||
* {{Cite journal|title=Identity Escrow|url=http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.21.6420|last=Kilian|first=Joe|last2=Petrank|first2=Erez|authorlink2=Erez Petrank|year=1998|series=Lecture Notes in Computer Science|volume=1462|pages=169–185}} |
* {{Cite journal|title=Identity Escrow|url=http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.21.6420|last=Kilian|first=Joe|last2=Petrank|first2=Erez|authorlink2=Erez Petrank|year=1998|series=Lecture Notes in Computer Science|volume=1462|pages=169–185}} |
||
{{Portal|密码学}} |
|||
[[Category:公钥密码学]] |
[[Category:公钥密码学]] |
||
2018年5月20日 (日) 07:20的版本
群签名方案是一种类似于数字签名的密码原语,其目的在于允许用户代表群签名消息,并在该群内保持匿名。也就是说,看到签名的人可以用公钥验证该消息是由该群成员发送的,但不知道是哪一个。同时,用户不能滥用这种匿名行为,因为群管理员可以通过使用秘密信息(密钥)来消除(恶意)用户的匿名性。例如,大公司里的雇员可以使用群签名方案对消息进行签名,其中验证者知道消息是由他们公司里的雇员签名的就足够了,不需要知道是由哪个特定雇员签名的;该方案的另一个应用:通过识别卡(keycard)认证进入受限区域,在受限区域中不适合跟踪单个成员的移动,但必须确保只有该群的成员才能进入。
群签名方案的关键是“群管理员”,它负责添加群成员,并能够在发生争议时揭示签名者身份。在一些系统中,添加成员和撤销签名匿名性的责任被分开,并分别赋予给群管理员和撤销管理员。虽然学术界已经提出了许多群签名方案,但所有方案都应该满足基本的安全性要求[1]
历史
1991年,Chaum 和 Heyst首次提出群签名的概念[2]。从这一刻起,许多协议被引入,并在这个模型上加入了类似于数字签名的非伪造性的概念,当然也包括更具体的概念,如废除[3]。直到Bellare,Micciancio和Warinschi才提出了一个更精确的正式模型,这个模型如今被用于群签名方案的工程实现[4]
定义
群签名方案实现一般由下列四个可行的算法组成:初始化,签名,验证和打开。
- 初始化过程:系统参数选取,输入安全参数λ和N,返回公钥gpk和私钥gsk以及私钥对,对应于用户d的私钥和打开密钥ok。
- 签名过程: 输入密钥和消息m,返回签名σ。
- 验证过程: 以公钥gpk和消息m,签名σ作为输入,以布尔值返回验证结果
- 打开过程: 以打开密钥 ok,消息m,签名 σ作为输入,返回用户身份d或者错误结果错误。
![{\displaystyle {\mathsf {gsk}}[d]}](https://wikimedia.org/api/rest_v1/media/math/render/svg/bd3ebdadc07e7fb19f03c95bae0c0b593fdcdc58)
真实的消息签名的验证将返回true,如下所示:
![{\displaystyle \forall m,(gpk,gsk)\gets Init(\lambda ,N):{\mathsf {Verif}}\left(gpk,m,{\mathsf {Sign}}({\mathsf {gsk}}[d],m)\right)={\mathsf {true}}}](https://wikimedia.org/api/rest_v1/media/math/render/svg/78dc9e501f4e8ccef5551e73c42f703e8bb4b112)
安全性要求[5]
- 完整性: 群成员的有效签名始终验证正确,无效签名则始终验证失败。
- 不可伪造性: 只有群成员才能创建有效的群签名。
- 匿名性: 给定一个群签名后,如果没有群管理员的密钥,则无法确定签名者的身份,至少在计算上是不可行的。
- 可跟踪性: 给定任何有效的签名,群管理员应该能够确定签名者的身份。 (这也暗示了只有群管理员才能破坏其匿名性)
- 不关联性: 给定两个消息及其签名,我们无法判断签名是否来自同一签名者。
- 没有框架: 即使所有其他群成员相互串通(包括和管理员串通),他们也不能为非群成员伪造签名。
- 不可伪造的跟踪验证: 撤销管理员不能错误地指责签名者创建了他本没有创建的签名。
- 抗合谋攻击: 即使所有群成员相互串通,他们也不能产生一个合法的不能被跟踪的群签名。
最新研究
ACJT 2000,[6] BBS04,[7] 和BS04 (in CCS) 是群签名方案现有技术的一部分. (注: 还有很多技术没有列出)。
Boneh, Boyen and Shacham于2004年发表的 短群签名 描述了一种基于双线性映射的新型群签名方案。[7] 该方案中的签名大约是标准RSA签名的大小(约200字节)。其安全性在随机预言机中得到证明,并依赖于强Diffie-Hellman假设(SDH) 和一个在双线性群(bilinear groups)中的新假设:Decision Linear assumption (DLin)。
Bellare, Micciancio 和Warinschi给出了针对可证明安全性的更加正式的定义[8]。
参考文献
- ^ Ateniese, Giuseppe; Camenisch, Jan; Joye, Marc; Gene Tsudik. A practical and provably secure coalition-resistant group signature scheme. LNCS. 2000, 1880: 255–270.
- ^ Kim, Seung Joo; Park, Sung Jun; Won, Dong Ho. Convertible group signatures. Advances in Cryptology — ASIACRYPT '96. Lecture Notes in Computer Science (Springer, Berlin, Heidelberg). 1996-11-03: 311–321. ISBN 9783540618720. doi:10.1007/BFb0034857 (英语).
- ^ Ateniese, Giuseppe; Tsudik, Gene. Some Open Issues and New Directions in Group Signatures. Financial Cryptography. Lecture Notes in Computer Science (Springer, Berlin, Heidelberg). 1999-02-22: 196–211. ISBN 354048390X. doi:10.1007/3-540-48390-X_15 (英语).
- ^ https://cseweb.ucsd.edu/~mihir/papers/gs.html. cseweb.ucsd.edu. [2018-05-20].
- ^ 潘, 森杉; 仲, 红. 现代密码学概论. 北京: 清华大学出版社. 2017: 160. ISBN 9787302461470.
- ^ Ateniese, Giuseppe; Camenisch, Jan; Joye, Marc; Tsudik, Gene. A Practical and Provably Secure Coalition-Resistant Group Signature Scheme (PDF). Advances in Cryptology - CRYPTO 2000. Lecture Notes in Computer Science. 2000, 1880: 225–270 [24 June 2012].
- ^ 7.0 7.1 Boneh, Dan; Boyen, Xavier; Shacham, Hovav. Short Group Signatures (PDF). Advances in Cryptology - CRYPTO 2004 (Springer). 2004: 227–242 [24 June 2012]. ISSN 0302-9743.
- ^ Bellare, Mihir; Micciancio, Daniele; Warinschi, Bogdan. Foundations of Group Signatures: Formal Definition, Simplified Requirements and a Construction Based on General Assumptions. Advances in Cryptology - Eurocrypt 2003. Lecture Notes in Computer Science (Warsaw, Poland: Springer). May 2003, 2656: 614–629.
外部链接
- Chaum, David; van Heyst, Eugene. Group signatures (PDF). Lecture Notes in Computer Science 547: 257–265. 1991.[永久失效連結]
- Camenisch, Jan; Michels, Markus. A Group Signature Scheme Based on an RSA-Variant (PDF). 1998. ISSN 0909-0878.
- M. Bellare; H. Shi; C. Zhang. Foundations of Group Signatures: The Case of Dynamic Groups. Lecture Notes in Computer Science 3376. Springer-Verlag. 2005.
- Bellare, Mihir; Micciancio, Daniele; Warinschi, Bogdan. Foundations of Group Signatures: Formal Definition, Simplified Requirements and a Construction Based on General Assumptions. Advances in Cryptology - Eurocrypt 2003. Lecture Notes in Computer Science (Warsaw, Poland: Springer). May 2003, 2656: 614–629.
- Kilian, Joe; Petrank, Erez. Identity Escrow. Lecture Notes in Computer Science 1462: 169–185. 1998.
