20、代理签名与格基身份识别方案的安全分析

代理签名与格基身份识别方案的安全分析

1. 代理签名方案的安全问题

1.1 ZSL 方案的密钥注册攻击

在 ZSL 方案中，委托者通过计算 $\sigma_d = s_dH(w)$（其中 $s_d \in Z_q$ 是委托者的私钥，$H$ 是到素数阶双线性群 $G$ 的哈希函数），并将 $\sigma_d$ 发送给代理。代理收到 $\sigma_d$ 后，计算自己对授权书的签名 $\sigma_p = s_pH(w)$（$s_p \in Z_q$ 是代理的私钥），并设置代理私钥 $psk = \sigma_d + \sigma_p = (s_d + s_p)H(w)$。然后使用 Hess 的基于身份的签名方案创建代理签名，验证者通过将委托者和代理的公钥相加构造主公钥来验证代理签名。

然而，如果不使用注册密钥模型，该方案是不安全的。攻击者可以选择恶意代理的公钥 $pk = s_aP - pk^ $（$pk^ = s^ P$ 是挑战用户的公钥），然后对于任何授权书 $w$，计算 $s_aH(w) = (s_a - s^ + s^ )H(w) = \sigma^ + \sigma_a$，从而构造出在未获得挑战用户授权的情况下创建代理签名所需的私钥。

1.2 BPW 方案的代理密钥暴露攻击

在 Boldyreva、Palacio 和 Warinschi 分析的三重 Schnorr 代理签名方案中，如果代理密钥暴露，攻击者可以恢复用户的私钥。关键在于代理密钥包含值 $t = G(0||pk_d||pk_p||w, Y) \cdot sk_p + s \mod q$（$G$ 是哈