Page 291 - 《软件学报》2021年第11期

P. 291

王利朋等:应用区块链的多接收者多消息签密方案 3617

2
(1) 如果〈ID s ,U s ,ν s 〉∈L pk 且ν s =0,则挑战者ℑ 执行 UnSignCrypt 算法,并返回结果给敌手 .
І
(2) 如果〈ID s ,U s ,ν s 〉∈L pk 且ν s =1,则挑战者ℑ 需要执行如下步骤:首先对 ID 执行私钥生成询问,获取 γ 信
i R
i R
息,对 ID s 执行公钥生成询问,并获取〈ID s ,U s ,ν s 〉信息,查询 H 1 获得 ID〈 i R ,U i R ,h 〉∈ L 1 , ID〈 s ,U h 〉 ∈ L ,
s
i R
,
1
1
s
1
然后计算得到 X ′ = i R A γ ′ s i R ,K′ J R i = H 3 (ID i R , X ′ i R ) ,计算得到 m′ ||η′ i R c′ = i R K′⊕ i R .如果执行校验等式η′ i R P =
A h ′ s 1 i R + U + s P h 成立,则返回信息 m′给敌手 ;否则,挑战者ℑ 退出游戏.
s
2
1
І
pub
(3) 如果〈ID s ,U s ,ν s 〉∉L pk ,则说明公钥被替换,此时以 ID 和 ID s 为索引,搜索 H 1 ,L pk 和 L sk ,分别得到 ID〈 , ′
U
,
i R s s
′
, ′
ν 〉〈 i R ,U′ i R ,h 〉 ∈ L 〈 s ,U h 〉 ∈ L 和 γ i R 信息,计算得到 X ′ = A γ i R ,K′ J R i = H 3 (ID i R , X ′ i R ) ,计算得
i R
s
, ID
, ID
1
1
s
1
s
i R
ID
1
s
到 m′ ||η′ c′= K′ ⊕ .若执行校验等式η′ P = A h ′ i R + U ′ + P h 成立,则并返回明文信息 m′给敌手 ;
s
2
i R i R i R i R s 1 s pub 1 І
否则密文信息无效,游戏退出.
• 伪造阶段
经过有限次上述询问后,敌手伪造 ID s 关于消息 M={m 1 ,m 1 ,…,m ρ }和接收者 ID = {ID ,ID ,...,ID } 的
2
І R 1 R R 2 R ρ
i R
*
伪造签名.随机选择α ∈ Z ,并计算得到 A s =α s P.对于接收者 ID (1≤ ≤ ) ρ 以及发送者 ID s ,计算 h = H (ID ,
i
s p i R 1 1 i R
*
U ) ,随机选择α ∈ Z ,计算得到 A s =α s P,然后计算:
i R s p
X = α (Ph + i R U ),K = H (ID , X ),η = γ + α h i R ,c = (m ||η ) ⊕ K .
s pub 1 i R i R 3 i R i R i R s s 1 i R κ i R i R
2
s
若敌手伪造成功,则挑战者ℑ以 ID s 为索引查询 L pk 获得 ID〈 ,U′ ,ν 〉 ,计算 h = H (ID ,U′ .若ν s =1,则挑战
)
І s s s 1 1 s s
* s −
者ℑ 输出 a = (S h ) (α − 1 u S * ) 作为 DL 问题的解,其中, S = α γ − 1 ;若ν s =0,挑战者ℑ 终止模拟,未解答 DL 问题.
*
1 s s s s
ς
令事件 P 表示签名询问过程中挑战者ℑ 没有终止游戏,即 Pr(P)=(1−δ) ,则挑战者ℑ 询问阶段不终止的概率
ς
ς
为(1−δ) ,伪造阶段不终止的概率为δ,则游戏未终止的概率至少为(1−δ) δ.由于 δ = 1 ,当ς足够大的时候,
ς + 1
(1 δ− ) → ς 1 ,故游戏不终止的概率至少为 1 .
e e(ς + 1)
2
综上所述,若ℑ 在整个游戏过程中没有终止,且敌手以不可忽略的优势ε在多项式时间内赢得相关游戏,
І
ε
u ()k > 解决 DL 问题. □
则ℑ能以优势 Adv
e(ς + 1)
1
2
定理 8. 本方案具有攻击方式为 2 下的选择消息攻击下的不可伪造性,即在随机预言机模型下,敌手以
2
2
不可忽略的优势ε赢得定义 4 中的游戏.如果在游戏中,敌手最多进行ς次签名查询,则挑战者ℑ 能以不可忽略
2
ε
u ()k >
的优势 Adv 2 解决 DL 问题(其中,e 为自然对数的底数).
e(ς + 1)
证明:证明过程同定理 7 类似,这里不再赘述. □
5.3 密钥托管安全性
在本方案中,KGC 负责系统主密钥托管,用户将身份信息 ID 发送至 KGC 中各个 KS i ,KS i 基于 ID 和子秘密
s i 计算得到 w i 并发送至用户.每隔一定周期,KS i 会重新选择一个 t−1 阶多项式 f i (x).设定敌手连续两个周期ε和
ε
ε
ε+1 攻破了 t 个服务器并成功从中搜集了 t 份 s i ,即{ , ,..., ,ss ε 2 s s υ ε + + 1 1 ,...,s ε t + 1 } ,其中,υ<t.KS i 在ε+1 时刻更新其子秘
υ
1
n
ε +
ε
密 s ε i 1 = s + i ∑ f ξ ()i .对于周期ε的系统主密钥 s 和周期ε+1 的系统主密钥 s ε+1 ,根据拉格朗日插值可知:
ξ = 1
t j t j
∑ s ∏ ε ξ = s ε , ∑ s ξ ε 1 ∏ = s ε + + 1 .
ξ 1 1≤≤ t j ξ − ξ = = 1 1≤≤ t j ξ −
j
j
∈
j ξ ≠ , j I j ξ ∈ ≠ , j I
由定理 4 可知,执行子秘密更新后,系统主密钥不变.则可以得到:

286 287 288 289 290 291 292 293 294 295 296