40、环签密方案的安全性分析与新方案设计

环签密方案的安全性分析与新方案设计

1. 现有环签密方案的攻击分析

在环签密方案的研究中，一些已有的方案被发现存在安全漏洞。

1.1 AASC 方案的安全性问题

攻击者 A 知道私钥 $D_E$ 时，可在预言机查询的第二阶段区分 $C^ $ 是 $m_0$ 还是 $m_1$ 的签密。具体步骤如下：
- 形成新组 $U’ = {U’ 1, …, U’ {\eta}}$，其中 $U’_E \in U’$ 且 $U’ \neq U^ $。
- 对于 $i = 1$ 到 $\eta$，$i \neq E$，选择 $a_i \in_R Z^ _q$，计算 $U’_i = a_iP$ 和 $h’_i = H_3(c^ , U’, U’ i)$。
- 对于 $i = E$，选择 $a_E \in_R Z^ q$，计算 $U’_E = a_EQ_E - \sum {\eta}^{i = 1, i \neq E}(U’_i + h’_iQ_i)$。
- 计算 $h’_E = H_3(c^ , U’, U’_E)$ 和 $\sigma’ = (h’_E + a_E)D_E$。
- 此时，$C’ = (U’, c^ , R^ , U’_1, …, U’ {\eta}, \sigma’)$ 是关于相同消息 $m_{\delta}$ 的有效环签密，且与 $C^ $ 不同。A 可合法查询 $C’$ 的解签密，从而正确判断 $C^ $ 是 $m_0$ 还是 $m_1$ 的签密。这种区