1引言
在现代密码协议研究中,门限密码体制是目前比较受关注的方向。一个(t,n)门限签名协议允许签名团体中任何t个或多于t个参与者合作生成某个消息的有效签名;而少于t个参与者就无法完成该消息的合法签名。任何一个验证者可以利用签名团体的公钥验证签名的正确性。门限签名体制中每个签名者都保留一份签名密钥,可以用于生成签名的一个“碎片”。在收集到足够的“碎片”后,就可以按指定的方式联合生成这个消息的门限签名。Desmedt[1]首次介绍了门限密码体制的概念。而第一个基于RSA密码体制的门限签名协议是由Boyd[2]和Frankel[3]分别提出的。此后几年,大家不断提出各种门限签名协议,然后又不断进行分析、改进[2~8]。现在一般认为最有效的RSA门限签名方案之一就是Shoup在2000年提出的门限签名方案[5]。在随机预言机模型下,已证明该协议的安全性等价于RSA困难问题的安全性。其后,大量的文章研究基于该协议的改进,但是基本思路并没有太大变化[7]。
基于门限签名还有各种应用,如代理门限签名协议[8]、前摄门限签名协议[6]等,这些协议都可以由门限签名协议变形得到,但是其安全性证明则需要重新证明,这使得协议的设计证明存在许多冗余工作。为了能更好地利用已有工作成果,作者希望采用通用可组合框架(UC,universalcomposabilityframework)[9]来设计协议。
本文定义了门限签名协议的UC框架,并证明该框架下的安全模型等价于门限签名协议标准概念的安全性,即强壮性和不可伪造性。相比于Almansa[6]等人在2006年欧密会上提出的门限签名理想功能FThSign06[6],FThSign不管在协议定义方面还是安全性证明方面都有一些改进。然后将说明如何利用这个安全模型进一步设计“高层的”协议。只要先设计好有安全部件FThSign的混合协议π,并证明其安全性,然后用UC安全的Shoup方案直接替代FThSign插入到协议π中即可。这样构造的协议可以根据UC定理直接推导出其安全性。
对于UC框架的介绍将在第2节中详细介绍。在第3节中,将定义UC框架下的门限签名协议安全模型,并证明其与标准概念下安全性的等价。在第4节中,将说明如何利用这个安全模型进一步设计“高层的”协议。第5节是结束语。
2UC框架的基本知识
近几年来,对于密码协议的安全性分析工作已取得了巨大的进展。以前甚至现在的绝大多数协议分析时都需要先确立正确的模型,实际上一个完整的模型要考虑的状态和情况非常多,难以考虑周全。于是为了简化起见,许多协议的设计都是简单地考虑单一协议的执行情况。当一个协议应用到其他环境中时,安全性就需要重新定义。从而产生了定义的指数爆炸性增长,对上层协议的安全性证明带来了无法估量的难度。因此有必要采用一种新的技术来分析和设计协议,UC框架正是适用于这样一个要求的设计分析密码协议的框架。
UC框架最初是由RanCanetti[9,10]提出的。它的最优秀的性质就是一种模块化设计思想:可以单独设计协议。只要协议满足了UC安全,就能保证其与其他协议并行运行时的安全。协议设计者可以按照如下步骤来构造更为复杂的协议。
1)设计一个“高层的”协议能安全地解决某个复杂任务,假设其中用到的子任务是物理安全的;
2)设计满足UC安全的协议能解决子任务;
3)通过将UC安全的子协议插入到“高层的”协议中来获得一个完整的协议。
UC安全框架的核心由3个模型:现实模型、理想模型以及混合模型搭建而成,它的主要证明和技术手段是“仿真”。现实模型描述了协议π执行的实际情况,它是由一些交互的运行协议的图灵机(简称ITM)集合(表示协议参与者),外加上一个表示攻击者的ITM构成。理想模型则描述了协议执行的理想情况,此模型可以通过定义理想功能(idealfunctionality)F得到所需要的安全任务。混合模型则是以现实模型和理想模型作为基础的。所谓混合模型,因为该模型将现实模型和理想模型进行了一些混合,现实模型中协议π可以访问理想模型的某些理想功能。
建立起这3个模型之间的桥梁就是“仿真”,将现实模型的安全规约到理想模型的安全。如果协议A和协议B完成同样的功能,那么协议A至少和协议B一样安全。如果攻击者攻击现实模型下协议π,不比攻击理想模型下的F获得更大的影响或更多的信息,那么π至少是和F一样安全的。为了更好地描述仿真的结果,需要引入环境机Z的概念。环境机Z同样是一个ITM,它代表协议运行的整个外部环境(包括其他并行的协议等)。环境机Z提供给协议所有输入,并可以读取协议所有的输出。用REALπ,A,Z(k,z)表示现实模型下环境机Z的输出,而IDEALF,S,Z(k,z)则表示理想模型下环境机Z的输出,其中k是安全参数,z是环境机Z的输入。
因此,以上关于“仿真”的说法形式化地表述为:如果对于现实模型中的任何实际攻击者A,都存在一个理想模型中的仿真攻击者S,在任何输入下,现实模型中运行A和协议π的环境机Z的输出,与理想模型中运行S和理想功能F的环境机Z的输出是不可区分的,那么π至少是和F一样安全的。下面是仿真的形式化定义和UC定理。
1)协议π安全仿真协议ф:如果对于任何实际攻击者A,都存在一个仿真攻击者S,使得等式REALф,S,Z(k,z)≈REALπ,A,Z(k,z)成立,那么称协议π安全仿真了协议ф。
2)协议π安全实现理想功能F:如果对于任何实际攻击者A,都存在一个理想攻击者S,使得等式IDEALF,S,Z(k,z)≈REALπ,A,Z(k,z)成立,那么称协议π安全实现了理想功能F。
3)UC定理:如果协议ρ安全实现了理想功能F,且ρ和F都是π的子程序,则组合后的协议πρ/F安全仿真了协议π。其中,π是F-混合模型下混合协议,πρ/F则表示把π中对F的调用都用ρ替代后的协议。
3UC安全的门限签名协议
3.1门限签名理想功能FThSign
在这一节,定义门限签名理想功能FThSign,已经描述了理想模型下如何得到所需的门限签名任务。在2006年的欧密会上,Almansa等人提出了一个满足UC安全的前摄门限签名理想功能[6],但是在他们定义的功能FThSign06中有以下弱点。
首先,FThSign06把签名者集合认为是一个诚实的整体,所以用一个诚实的“用户”替换整个签名者集合。虽然这样的处理使得FThSign06的描述变得简单,但是同时也使得FThSign06无法让每个签名人都得到他们的部分签名,也无法描述单个被攻破用户这些细节行为。
其次,FThSign06中签名密钥和验证密钥是由攻击者提供,这样就限制了协议的灵活性。因为在协议执行过程中,应该允许签名密钥和验证密钥根据前面的执行结果变化。而且攻击者还能知道参与者何时签名消息,何时验证签名。
最重要一点,Almansa等人并没有证明FThSign06与标准概念下安全性的等价,只是证明了若π是不可伪造的,则π安全实现了FThSign06,而且其证明中也没有包含门限签名的强壮性。安全实现了FThSign06的门限签名协议仍然不能容忍活跃的攻击者。
门限签名理想功能FThSign与FThSign06相比:首先,细分了各个基本模块,这样有助于描述协议的细节行为;其次,FThSign中的攻击者提供子签名函数PS,子签名验证函数PV,子签名联合函数C和门限签名函数V。FThSign是运行存储在本地的算法计算结果,所以攻击者也不知道何时签名者签名消息,何时用户验证何消息。
门限签名理想功能FThSign如下所述,基本想法如下。
密钥生成。接收到签名者S的输入(KeyGen,sid)后,验证sid=(S,sid’),如果不成立,忽略该请求。否则,把(KeyGen,sid)交给攻击者,在接收到攻击者的输出(Algorithms,sid,PS,PV,C,V)后,其中PS、PV、C、V是多项式时间算法,再把(VerificationAlgorithms,sid,PV,V)输出给S。
