河南科技大学数学与统计学院，河南 洛阳

收稿日期：2021年5月8日；录用日期：2021年5月28日；发布日期：2021年6月9日

摘要

为了实现群内成员的签名的公开性同时保证签名对群外用户的匿名性，本文提出了一种改进的群签名方案。该方案在椭圆曲线数字签名算法的安全性和高效性基础上，在群内引入两个主体对群进行管理和简化签名过程。算法安全性分析表明，该方案具有不可伪造性、抗密钥泄露、防数据篡改、防陷害性和不可抵赖性。算法效率分析表明，本方案与传统的椭圆曲线数字签名算法相比大大简化了运算复杂度，提高了算法的效率。相较于肖帅等人的方案，总体效率基本相同，但却能在验证方式相同情况下，根据对象所有的公钥类型不同，同时对两类对象实现效果不同的签名。

关键词

椭圆曲线，数字签名，求逆运算，匿名性

An Improved Group Signature Scheme for Elliptic Curves

Zhongbao Qiu, Xinyi Meng, Dandan Gong, Peichao Wei, Yongqing Huang, Ping Zhang^*

School of Mathematics and Statistics, Henan University of Science and Technology, Luoyang Henan

Received: May 8^th, 2021; accepted: May 28^th, 2021; published: Jun. 9^th, 2021

ABSTRACT

In order to realize the openness of group members’ signatures and ensure anonymity of signatures to users outside the group, an improved group signature scheme is proposed in this paper. Based on the security and efficiency of elliptic curve digital signature algorithm, two agents are introduced to manage the group and simplify the signature process. The algorithm security analysis shows that the scheme is unforgeable, anti-key leakage, anti data tampering, anti framing and non repudiation. The efficiency analysis shows that compared with the traditional elliptic curve digital signature algorithm, this scheme greatly simplifies the computational complexity and improves the efficiency of the algorithm. Compared with scheme of Xiao Shuai, the overall efficiency is basically the same, but under the same verification mode, according to the different public key types of the objects, the two kinds of objects can be signed with different effects.

Keywords:Elliptic Curve, Digital Signature, Inversion Operation, Anonymity

Copyright © 2021 by author(s) and Hans Publishers Inc.

This work is licensed under the Creative Commons Attribution International License (CC BY 4.0).

http://creativecommons.org/licenses/by/4.0/

1. 引言

1985年Victor Miller [1] 和Neal Koblitz [2] 分别提出了椭圆曲线公钥密码体制(Elliptic Curve Cryptography, ECC)，该体制的安全性是基于椭圆曲线离散对数求解的困难性。相比于其他密码体制，ECC具有计算量小，存储消耗低等优点，椭圆曲线密码体制现已成为一种信息安全标准。基于椭圆曲线密码体制Johnson等人在2001年提出了椭圆曲线数字签名算法(Elliptic Curve Digital Signature, ECDSA)，2005年Brown [3]，给出了ECDSA方案的不可伪造性证明。后来又有多种改进方案被相继提出。

2008年，潘晓君 [4] 提出了一种新的无模逆的签名算法。2009年，侯爱琴等人 [5] 给出了一种高效的数字签名方案，该方案对Hash值的Hamming重量进行签名，提高了运算效率。2011年，陈亮 [6] 等人对椭圆数字签名算法进一步优化与设计，新型的ECDSA签名方案在签名、验证过程中不仅避免了模逆运算，而且减少了点乘运算。同年，许德武等人 [7] 将ELGamal签名方案与椭圆曲线体制的安全性相结合，使用代数运算代替椭圆曲线上的数乘运算，进一步提高系统的安全性。2014年，王国才等人 [8] 提出了一种高效的分级群签名方案，该方案通过对椭圆曲线群签名方案进行改进，在签名算法与验证上避免了模逆和模乘运算，具有较强的实用性。2015年，白永祥 [9] 基于椭圆曲线密码系统的优势设计了一种群签名方案，并且使用杂凑函数SHA-3提高了签名的安全性。2019年，陈亚茹等人 [10] 提出了一种改进方案，该方案结合Hamming距离，通过两次点乘运算和一次求逆运算提高了数字签名的计算效率。2020年，肖帅等人 [11] 设计出一种较为高效的方案，但该方案并未给出形式化的安全性证明。同年，张平等人 [12] 针对椭圆曲线数字签名方案中通过替换消息伪造签名的问题给出了一种解决方案，其安全性较经典方案有所提高。

Chaum等人 [13] 提出群签名的概念，2020年苏吟雪 [14] 等人提出了一种基于SM2的双方共同签名协议,该协议为了进一步保护用户信息安全，协议要求签名所用私钥的一部分存储在服务器中，虽然增加了服务器认证用户的机会，但是完成签名的步骤增加了，使签名的效率有所降低。本文沿用文献 [11] 的椭圆曲线数字签名算法，重点将双方共同签名协议拓展到多方，实现一种特殊类型的群签名方案。方案中群成员因内部消息不再具有匿名性，所以无需签名打开算法，其匿名性体现在对外的签名验证上。

2. 预备知识

2.1. 椭圆曲线离散对数问题

对于有限域F_p (要求p为一个大素数)，定义在F_p上的椭圆曲线E为： $y^2=x^3+ax+b\left(\text{mod}p\right)$ 且 $4a^3+27b^2\ne 0\left(modp\right)$。椭圆曲线离散对数的问题就是：若已知G，Q两点，寻找一个小于p的整数d使得 $Q=dG$ 是困难的，即无法在多项式时间内完成。

2.2. ECDSA方案描述

2.2.1. 参数选择

设ECC的参数为 $T=\left(p,a,b,G,n\right)$，其中p为一个很大的素数，F_p是一个有限域，G是F_p上的n阶基点，n为一个素数。S为签名者，其公私钥对为 $\left(Q_s,d_s\right)$，V为验证者。 $H:{\left\{0,1\right\}}^{\ast }\to {\left\{0,1\right\}}^{n*}$ 是一种安全Hash算法。

2.2.2. 签名算法

1) S随机选择一个整数 $k\left(1\le k\le n-1\right)$。

2) 计算 $kG=\left(x_1,y_1\right)$ 和 $r=x_1\mathrm{mod}n$ ；若 $r=0$，则返回步骤1。

3) 计算需要签名的消息m的哈希值e， $e=H\left(m\right)$。

4) 计算 $s=k^{-1}\left(e+d_{s}r\right)\mathrm{mod}n$，若 $s=0$ 没，则返回步骤1。

5) 输出签名 $\sigma =\left(s,r\right)$。

2.2.3. 验证算法

1) 验证s，r是否为区间 $\left[1,n-1\right]$ 内的整数，若验证失败，则拒绝签名。

2) 计算签名消息m的哈希值e， $e=H\left(m\right)$。

3) 计算 $u_1=e{s}^{-1}\left(\mathrm{mod}n\right)$，$u_2=r{s}^{-1}\left(\mathrm{mod}n\right)$。

4) 计算 $R=u_{1}G+u_{2}Q=\left(x_1,y_1\right)$，若 $R=0$，则验证失败，拒绝签名。

5) 计算 $v=x_1\mathrm{mod}n$，若 $v=r$，则接受签名，否则拒绝签名。

3. 本文方案

设椭圆曲线的参数为 $T=\left(p,a,b,G,n\right)$，具体过程如下：

3.1. 用户密钥产生算法Ukge

1) 用户 $U_i\left(i=1，2,\cdots ,m\right)$ 随机选取一个整数 $d_i$，$1＜d_i\le n-1$ 作为私钥。

2) $U_i$ 计算 $Q_i=d_i\cdot G$ 作为公钥。

3) 输出公私钥对 $\left(Q_i,d_i\right)$。

3.2. 群密钥产生算法Gkge

在准备阶段，每个群成员公开自己的公钥 $Q_i\left(i=1,2,\cdots ,m\right)$，群中心计算 $Q=Q_1+Q_2+\cdots +Q_m$ 作为群公钥，那么 $d=d_1+d_2+\cdots +d_m\left(\mathrm{mod}n\right)$ 就成为群私钥，但群内任何一位成员都不知道d的具体数值。

3.3. 成员加入算法Join

若用户A想成为群中的一个成员，首先A要向管理员提出申请，获得管理员授权后，A运行Ukge算法，获得公私钥对 $\left(Q_A,d_A\right)$。然后用户A和管理员进行交互(在安全通道上进行)，用户A向管理员发送自己的公钥信息，然后接收管理员所发送的群基本信息(包括群内成员，各个成员的公钥等)。A和管理员交互之后，管理员将A的公钥在群内公开，之后A便成为一名合法的群成员。群中心更新群的公钥为 $Q^{\prime }=Q+Q_A$。此时，群的私钥变为 $d^{\prime }=d+d_A\left(\mathrm{mod}n\right)$。从成员加入算法过程可以得出：当加入新成员时并不需要改变其他群成员的公私钥信息，只需重新计算群公钥Q即可。

3.4. 群签名生成算法Gsig

假设用户U₁的公私钥对为 $\left(Q_1,d_1\right)$，签名过程如下：

1) U₁随机选取两个整数 $\alpha ,\beta$，其中 $1\le \alpha$，$\beta \le n-1$。

2) 计算 $k=\left(\alpha d_1+\beta \right)\mathrm{mod}n$ ；若 $k=0$，则返回步骤1。

3) 计算 $kG=\left(x_1,y_1\right)$ 和 $r=x_1\mathrm{mod}n$ ；若 $r=0$，则返回步骤1。

4) 计算需要签名的消息m的哈希值 $e$，$e=H\left(m\right)$。

5) 计算 $s=\left(\beta +d_{1}er\right)\mathrm{mod}n$，若 $s=0$，则返回步骤1。

6) 计算 $\left(\alpha -er\right)\cdot Q^{~}+kG=\left(x_2,y_2\right)$ (这里 $Q^{~}$ 是除去U₁后剩余群成员的公钥之和， $Q^{~}$ 是不需要多次计算的，只需计算一次后储存起来，之后直接使用即可)。

7) 计算 $r\text{'}=x_2\mathrm{mod}n$ ；若 $r^{\prime }=0$，则返回步骤1。

8) 输出签名 $\sigma =\left(s,\alpha ,r,r^{\prime }\right)$。

注意到该算法的6~8步是针对于群成员对外的签名生成过程，若不考虑 $r^{\prime }=0$ 的情况(可能性很小)，则可以将6~8步交由群中心完成，若签名不对外发放，则6~8步可以直接跳过，输出签名 $\left(s,\alpha ,r\right)$ 即可。

3.5. 验证算法GVer

根据验证对象使用公钥类型的不同可以分为两类：群内成员的验证和群外成员的验证。

3.5.1. 群内部成员的验证

对于群内部成员B₁来说，B₁拥有U₁的公钥，验证U₁的签名时只需要 $\left(s,\alpha ,r\right)$ 即可，验证步骤如下：

验证 $s,\alpha ,r$ 是否为区间 $\left[1,n-1\right]$ 内的整数，若验证失败，则拒绝签名。

1) 计算消息 $m$ 的哈希值 $e$，$e=H\left(m\right)$。

2) 计算 $u=er$。

3) 计算 $sG+\left(\alpha -u\right)Q_1=\left(x_3,y_3\right)$。

4) 计算 $v=x_3\mathrm{mod}n$。

5) 验证 $v$ 和 $r$ 的关系，若 $v=r$，则接受签名，否则拒绝签名。

正确性分析如下：

若 $s,\alpha ,r$ 是A₁对消息A₁的签名信息，则：

$\left(x_3,y_3\right)=sG+\left(\alpha -u\right)Q_1=\left(\beta +d_{1}er\right)G+\left(\alpha -er\right)d_{1}G=\left(\alpha d_1+\beta \right)G=kG=\left(x_1,y_1\right)$

所以有： $v=x_3=x_1=r\mathrm{mod}n$。

3.5.2. 群外部成员的验证

对于群外部成员B₂来说，B₂只有群的公钥，验证步骤如下：

1) 验证 $s,\alpha ,r,r^{\prime }$ 是否为区间 $\left[1,n-1\right]$ 内的整数，若验证失败，则拒绝签名。

2) 计算消息 $m$ 的哈希值 $e$，$e=H\left(m\right)$。

3) 计算 $u=er$。

4) 计算 $sG+\left(\alpha -u\right)Q_1=\left(x_4,y_4\right)$。

5) 计算 $v=x_{4}modn$。

6) 验证 $v$ 和 $r^{\prime }$ 的关系，若 $v=r^{\prime }$，则接受签名，否则拒绝签名。

正确性分析如下：

若 $\left(s,\alpha ,r,r^{\prime }\right)$ 是群对消息m的签名信息，则：

$\begin{array}{c}\left(x_4,y_4\right)=sG+\left(\alpha -u\right)Q_1\\ =\left(\beta +d_{1}er\right)G+\left(\alpha -er\right)\left(d_1+d_2+\cdots +d_m\right)G\\ =kG+\left(\alpha -er\right)\left(d_1+d_2+\cdots +d_m\right)G\\ =kG+\left(\alpha -er\right)\tilde{Q}\\ =\left(x_2,y_2\right)\end{array}$

所以有： $v=x_4=x_2=r^{\prime }modn$。

4. 安全性分析

1) 不可伪造性：

若攻击者能够替换消息，虽然能够计算出替换后消息的哈希值，但会话密钥和签名者的私钥都是未知的，不能够伪造出可以通过验证的签名。

若攻击者能够用随机数 $k^{\prime }$ 来替换k，但接收方验证出来的v和r (或 $r^{\prime }$ )不同，所以可以有效地抵御伪造攻击。

2) 抗密钥泄露：

因为大多数情况下，一旦随机数相同就可以构造出一个二阶的线性方程组解出用户的私钥，从而造成私钥的泄露，所以一般来说对不同的消息使用同一签名方案进行签名时，使用的随机数是不相同的。如果本文方案对不同消息进行签名时都使用相同的随机数，那么就可以根据方程组：

$\{\begin{array}{l}{s}_1=\left(\beta +d_1{e}_1{r}_1\right)\mathrm{mod}n\hfill \\ s_2=\left(\beta +d_1{e}_2{r}_2\right)\mathrm{mod}n\hfill \end{array}$

(其中 $e_1,s_1,e_2,s_2,r_1,r_2$ 是已知的)， $\beta ,d_1$ 是未知的，得出私钥的表达式为

$d_1={\left(r_2-r_1\right)}^{-1}{\left(e_2-e_1\right)}^{-1}{\left(s_2-s_1\right)}^{-1}\mathrm{mod}n$

如果每次签名的随机数不同，想通过上述攻击方法来破解该方案是无法实现的。假设 $\beta$ 随机后，上述方程组就变为

$\{\begin{array}{c}{s}_1=\left({\beta }_1+d_1{e}_1{r}_1\right)\mathrm{mod}n\\ s_2=\left({\beta }_2+d_1{e}_2{r}_2\right)\mathrm{mod}n\end{array}$

未知量为 ${\beta }_1,{\beta }_2,d_1$。未知量的个数就由两个变为三个，根据代数知识，不能求出私钥。根据椭圆曲线离散对数难题，已知方程组：

$\{\begin{array}{c}\left({\alpha }_1-e_1{r}_1\right)\tilde{Q}+k_{1}G=\left(x_{21},y_{21}\right)\\ \left({\alpha }_2-e_2{r}_2\right)\tilde{Q}+k_{2}G=\left(x_{22},y_{22}\right)\end{array}$

也是无法得到 $\tilde{Q}$ 的。所以本文方案在保证随机数不同时，能够防止密钥泄露。

3) 防数据篡改：

在产生签名时需要待签名信息的哈希值参与，数据的完整性得到了保证，一旦信息发生变化，其对应的哈希值也发生变化，从上述签名信息s的计算方式可以看出，一旦待签名信息哈希值e发生变化，群内部和外部成员都无法通过签名验证，从而保证了签名数据不会被篡改。

4) 防陷害性：

由于群内部成员的签名需要各自的私钥参与运算，而用户的私钥是不公开的，因此任何成员都不能以其他成员的名义对群内部进行签名。

5) 不可抵赖性：

接收方可以根据发送方的消息签名 $\sigma =\left(s,\alpha ,r,r^{\prime }\right)$ 来防止发送方的抵赖。

5. 效率分析

从算法过程可以看出，耗时计算主要集中在签名和验证的执行上。由于加法的运算量较小对算法整体的影响不大，暂且忽略不计。设模乘运算的数据规模是n，一次点乘运算的复杂度为 $O\left(n^2\right)$，一次求逆运算复杂度大约是点乘运算的9倍，即 $O\left(9n^2\right)$。根据文献 [11] 一次模乘运算的复杂度为 $O\left(n^{2}lnn\right)$。将本文方案与ECDSA方案和肖帅等人方案的运算量进行对比结果见表1。

表1. 三种方案运算量对比

由表1可知，ECDSA的总运算量为： $N_1=O\left(4n^{2}lnn+21n^2\right)$。

肖帅等人方案的总运算量为： $N_2=O\left(5n^{2}lnn+2n^2\right)$。

本文方案(仅对内签名)的总运算量为： $N_3=O\left(4n^{2}lnn+3n^2\right)$。

本文方案(同时对内外签名)的总运算量为： $N_4=O\left(4n^{2}lnn+4n^2\right)$。

本文方案在对内的签名和验证上总体效率优于ECDSA方案，和肖帅等人的方案效率近似。在签名阶段，本文方案比ECDSA方案多了1次乘法运算，少了1次模逆运算；在验证阶段，本文方案比ECDSA方案少了1次模乘运算，总体上避免了求逆运算，提高了算法的效率。在对外的签名和验证上多了一次点乘运算，但是本文方案给出实现了新的功能，并且可以让群内外验证人员执行相同的验证步骤。总体来说，本文方案加强了算法的安全性，提高了算法的实用性。

6. 结语

本文首先对于ECDSAC密码体制进行分析，发现该方案ECC具有计算量小，处理速度快等优点。又分析了传统群签名在某些需要公开签名的应用场景下管理员需要反复执行签名打开算法的问题。本文提出了一种既能实现群内成员签名的公开性，又保证签名对群外用户匿名性的签名方案。并对该方案进行安全性和效率分析，发现本方案在保证安全性的情况下还具有较高的效率。在一个不需要经常撤销群内成员的环境下具有很强的适用性，能够很好地满足某些群的公开性需求。

基金项目

河南省高等学校重点科研项目(项目编号：20A520012)；河南科技大学大学生研究训练计划(SRTP)项目(项目编号：2020173)。

文章引用

邱中保,孟忻怡,宫丹丹,卫培超,黄永清,张 平. 一种改进的椭圆曲线群签名方案
An Improved Group Signature Scheme for Elliptic Curves[J]. 应用数学进展, 2021, 10(06): 1880-1886. https://doi.org/10.12677/AAM.2021.106197

参考文献