陷门承诺、陷门hash函数及其应用研究

《陷门承诺、陷门hash函数及其应用研究》由会员上传分享，免费在线阅读，更多相关内容在学术论文-天天文库。

陷门承诺、陷f-]hash函数及其应用研究摘要每个消息计算相应的陷f]hash和签名，计算和存储开销仍过大。本文利用无密钥泄露的陷f]hash函数，提出了一个新颖有效的在线／离线门限签名方案，由于陷f]hash值可以重复使用，从而大大降低了计算和存储复杂度。3．为了提高聚合签名的响应速度，本文提出在线／离线聚合签名的新概念。然而，如果直接利用密钥泄露的陷f-]hashi函数构造在线／离线聚合签名方案，仍然存在计算和通信开销过大的问题。本文利用无密钥泄露的陷f]hash函数，构造了一类有效的在线／离线聚合签名方案，从而在突发性的聚合签名需求中有较好的应用。4．最后，我们讨论了陷门承诺在无收据电子投票／电子拍卖中的应用，指出一类采用密钥泄露的陷门承诺构造的电子投票和电子拍卖方案并不满足其声称的无收据性。同时，我们提出指定验证者可链接环签名的新概念，利用陷门承诺构造了一个具体的方案，并基于此签名构造了一个新的无收据电子投票方案。关键词：陷门承诺、陷f]hash函数、变色龙hash函数、基于ID的陷门承诺、非延展、无密钥泄露、在线／离线签名、电子商务·II． 陷门承诺、陷f-]hash函数及其应用研究AbstractTitle：Major：Name：TrapdoorCommitment，TrapdoorHashandTheirApplicationsComputerSoftwareandTheoryChunhui、VUSupervisor：ProfessorDongyangLONGandAssociateProfessorXiaofengCHENAbstractCommitmentisanimportantcryptographicprimitive，itprovidestwobasicproper-tiesashidingandbinding．Commitmentmakesupanimportantbuildingblockformanyschemesandapplicationsinmoderncryptography,suchaszero-knowledgeproof，digitalsignature，identification，E-voting，E-auctionandSOon．Acommitmentschemecanbedividedintotwophasesascommitmentphaseandopeningphase．Afterthesendercoin-mittingtoamessage，themessagekeepshidinguntilheopensit，SOthereceivercangetnothingfromthecommitment．Ontheotherhand，thesendercannotbreakthebindingpropertyintheopeningphase，thatis，hecannotchangehismessagecommittedprevi—ously．Trapdoorcommitmentisacommitmentschemewithspecialproperties，thatis，onewiththetrapdoorkeycanopenhiscommitmentindifferentways，inotherwords，giventhetrapdoorkey,thistrapdoorcommitmentdonotsatisfythebindingpropertyastraditionalcommitmentschemes．Trapdoorhashisanotioncloselyrelatedtotrapdoorcommitment．Itcomputesahashvalueforsomegiveninformation，anddifferentopeningsintrapdoorcommitmentcorrespondingtocollisionsintrapdoorhash．ThisthesisinvolvesoursystematicresearchinID—basedtrapdoorcommitment，thenon-malleabilityofcom-mitment，thekey-exposureproblemoftrapdoorhash，andtheapplicationsoftrapdoorhashandtrapdoorcommitmentindigitalsignaturesandE-Commerce(suchasE-votingandE-auction)．Ourcontributionsinclude：1．Basedontheresearchofsecuritydefinition，securitymodelandadversarymodelintrapdoorcommitments，wedefineanewnotionnamedID—basednon-malleableIII 陷门承诺、陷f-]hash函数及其应用研究Abstracttrapdoorcommitmentandproposetwoefficientschemes．ThedefinitionofID—basedtrapdoorcommitmentinpreviousworksisforonespecificIDonly,whichcannotsatisfytherequirementofID·basedcryptsystem，SOwemodifythisdefinition．Thenweusetheideaofconstructingmulti—trapdoorcommitmentandnon-malleablecom-mitmenttoconstructthefirsttwoefficientID—basednon-malleabletrapdoorcom-mitmentschemesbasedondiscretelogarithm(DL)system，with／withoutrandomoraclerespectively．2．Previouson-line／off-linethresholdsignatureschemesalwayshavethekey-exposureproblem，andwehavetocomputeatrapdoorhashandthecorrespondingsignatureforeverysignedmessage，SOthecomputationandstoragecostarealittlemoreoverload．Weconstructanewefficienton—line／off-linethresholdsignatureschemeusingkey-exposurefreetrapdoorhash，whichreducesthecomputationandstoragecostevidently,becausethetrapdoorhashcanbereusedandtreatedaspublickey．3．Inordertoimprovetheresponseefficiencyofaggregatesignatures，weproposeanewnotionofon-line／off-hneaggregatesignature．However，ifusingkey-exposuretrapdoorhashtoconstructtheschemedirectly,thecomputationandstoragecostarealsooverload．Weconstructanefficientschemeusingkey-exposurefreetrapdoorhash．Soithasimportantapplicationsinaggregatesignatureswithburstytraffic．4．Wediscusstheapplicationsoftrapdoorcommitmentsinconstructingreceipt—freevotingandauctionschemes．Wepointoutthatsometypesofvotingandauc-tionschemesconstructedbykey-exposurefreetrapdoorcommitmentsarenotreallyreceipt．free．Inaddition，weproposeanewnotionoflinkableringsignature‘fordesignatedverifiersandconstructaconcreteschemeusingtrapdoorcommitment，thenweconstructanewreceipt-freevotingschemebasedonthissignature．KeyWords：trapdoorcommitment；trapdoorhash；chameleonhash；ID—basedtrapdoorcommitment；non-malleable；key-exposurefree；on-line／off-linesignature；e-commerceIV． 论文原创性声明本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立进行研究工作所取得的成果。除文中已经注明引用的内容外，本论文不包含任何其他个人或集体已经发表或撰写过的作品成果。对本文的研究作出重要贡献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。学位论文作者签名：焦盔堡日期：型lQ：6：3学位论文使用授权声明本人完全了解中山大学有关保留、使用学位论文的规定，即：学校有权保留学位论文并向国家主管部门或其指定机构送交论文的电子版和纸质版，有权将学位论文用于非赢利目的的少量复制并允许论文进入学校图书馆、院系资料室被查阅，有权将学位论文的内容编入有关数据库进行检索，可以采用复印、缩印或其他方法保存学位论文。学位论文作者签名：伍各晖日期：20lo年6月弓曰导师签名：态鎏黔盯日期：乙p【u年6月；日 陷门承诺、陷f]hash函数及其应用研究第1章引言承诺(commitment)是一个重要的密码原型，它提供隐藏性和绑定性两个基本性质，成为现代密码学许多协议和应用的重要构造元素，如零知识证明、数字签名、身份鉴别、电子投票、电子拍卖等。1．1课题背景直观上看，我们可以把承诺方案描述为一个带锁的铁盒子。在承诺阶段，发送者把消息放进盒子里，锁上之后交给接收者。一方面，接收者不能打开盒子以取得消息；另一方面，发送者也不能改变消息。前一个性质称为隐藏性，后一个性质称为绑定性。在打开阶段中，发送者把盒子的钥匙交给接收者，从而接收者可以打开盒子揭开原始消息。更严格的说，一个承诺方案是两个概率多项式时间的算法(发送方和接收方)之间所进行的一个交互式的协议，它包括两个阶段：1、在承诺阶段，发送方输入消息m和冗余值r，计算对消息m的承诺值C并将C发送给接收方。2、在打开阶段，发送方泄露消息m和冗余值r给接收方，使得接收方相信C确实是对消息m的承诺。根据发送方(接收方)是否具有无限计算能力，承诺方案可以分为无条件绑定(隐藏)和基于计算假设的绑定(隐藏)。一个承诺方案不能同时满足无条件绑定和无条件隐藏。陷门承诺(trapdoorcommitment)是一种特殊的承诺方案，该概念由Brassard等人[1]于1988年首先提出。陷门承诺方案一个特有的性质是它允许知道陷门信息的人以不同的方式打开承诺，即在给定陷门信息的条件下，陷门承诺方案不满足传统承诺方案的绑定性，所以也称为变色龙承诺(chameleoncommitment)。在陷门承诺的基础上，Krawczyk等人于2000年首次提出了陷f]hash函数[2】(也称为变色龙hash函数)的概念。这两个概念的主要区别在于陷门承诺方案分为“承诺’’和“打开"两个阶段，而陷f]hash函数使用一些特定的信息来产生一个固定的hash值。然而，这两个概念又密切相关，正女IlKrawczyk等人所指出，一个陷门承诺方案在非交互的承诺阶段自然诱导一个陷f-]hash函数，反之亦然。而且，陷门承诺方案中不同的打开方式恰好对应了陷一1一 陷门承诺、陷f]hash函数及其应用研究第1章引言f]hash函数不同的碰撞。陷门承诺和陷f-]hash函数在现代密码学的许多领域中有着重要的应用。首先，陷门承诺方案可以用来构造零知识证明协议，而Brassard等人提出陷门承诺的概念最初就是为了用于零知识证明系统中。在此之后，许多学者利用陷门承诺方案设计了各种用途的零知识证明协议[娜】。最初的研究只考虑单个证明者和验证者之间的协议，在分布式计算环境中Dwork等人[7]首先提出了同时零知识(concurrentzero-knowledge)的概念，它允许验证者并行地与多个证明者交互。DiCrescenzo等人[8]利用陷门承诺方案提出了一个高效的同时零知识证明协议。Canetti等人提出重置零知识(resettablezero-knowledge)[9]的概念，允许验证者把证明者重置到之前的某一步。类似的，Bellare等人f10】通过陷门承诺实现了安全的重置身份鉴别协议。随后进一步的研究直接导致了一些陷门承诺新概念的提出如多陷门承诺[111(multi-trapdoorcommitment)、混和承诺[121(hybridcommitment)等，而这些承诺方案反过来又促进了零知识证明技术的发展。Damgard[13]对承诺方案和零知识证明协议之间的关系和研究进展给出了一个很好的综述。他们之间的一个等价关系见[141。陷门承诺在设计非延展的承诺方案中有重要的应用。Dolev等人[151于1991年首次提出了非延展的承诺的概念，而且基于单向函数给出了一个非延展的承诺方案。然而，该方案需要复杂的交互式的零知识证明，因此不实用。在公用随机串模型下，DiCrescenzo等人『161给出了第一个非交互式的非延展的承诺方案。但是该方案的效率也只具有理论上的价值。在公用参数模型下，Fischlin等人[17]首次给出了交互式的基于标准假设(如RSA假设、离散对数假设)的非延展的承诺方案。随后，DiCrescenzo等人【18]给出了非交互式的基于标准假设的非延展的承诺方案。近来，对于非延展承诺所依赖的密码学基础，学者们进行了深入的研究。『19]i正日月在单向函数存在的假设下，同时非延展承诺方案存在。f201证明在单向函数存在的假设下，统计上隐藏的非延展承诺方案存在。陷门承诺和陷f-]hash函数在构造某些安全的数字签名中有着重要的作用。他们在设计无需随机预言假设的签名方案中有重要的作用[21，22】。另外，陷f]hash函数可以用于构造变色龙签名f2]。变色龙签名可以看作是一个非交互的不可否认签名，可以更简单和更有效的实现不可传递性和不可否认性，从而在版权保护、匿一2一 陷门承诺、‘陷f]hash函数及其应用研究第1章引言名信用证书[23—251中有着更广泛的应用。陷f]hash函数还可以用来构造在线．离线签名f26，271。在线一离线签名将一个签名过程分为两个阶段：1、离线阶段，在签名消息给出前就进行预计算；2、在线阶段，即在签名消息给出后，计算对应的签名。由于在线阶段一般只需要1次模乘(modularmultiplication)运算，所以即使在一个较弱的处理器(如智能卡)下也可以非常快的完成签名运算。目前，智能卡已广泛地应用在移动电话、PDA、银行卡等设备中，所以在线一离线签名在现实中有着非常重要的应用价值。然而，传统的陷门承诺方案和陷f]hash函数一般都存在所谓的密钥泄漏问题f28】，因此限制了它在实际中的进一步应用。陈晓峰等人[29]基于GapDiffie-Hellman群于2004年给出了第一个完全的无密钥泄露的陷f]hash函数和对应的变色龙签名方案。后来Ateniese等人f301对此工作进行了推广。同理，在线一离线签名中也存在密钥泄漏的问题，该问题由陈晓峰等人[31]在2007年首次提出并解决。近来，在线一离线签名一个新的安全模型被提出【32，33]。，陷门承诺在安全电子商务协议中也有重要的应用。例如，密封式标价拍卖中要求竞标结束前拍卖行不能知道投标者的标价，同时竞标结束后投标者不能改变其标价。普通承诺方案的隐藏性和绑定性刚好满足此应用，而陷门承诺方案的特性使得它可以进一步用来设计无收据的电子投票和电子拍卖协议[34—36】。由于投票者(投标者)可以利用陷门信息任意的打开承诺，从而无法构造一个证据来证明他提交了特定的选票(标价)，这样就防止了协议中的犯罪行为如买卖选票(串标)、强迫选举(强迫投标)等。此外，陷门承诺方案在合同签署协议[37，38]中也有着重要的作用。此外，陷门承诺在安全多方计算[39】中也有着重要的应用。Jakobsson等人[40]应用陷门承诺设计指定验证者证明系统，使证明者在向验证者证明某一陈述时，验证者无法传递这一证明使其他人相信这一陈述。Canetti和Fischlin[41】以及D锄gard和Nielsen[42]应用陷门承诺构造了广义可复合承诺方案，即此承诺方案可以和其他安全的方案安全地复合。1．2研究内容本文主要研究陷门承诺、陷f]hash函数及其在数字签名与安全电子商务协议中的应用。一3一 陷门承诺、陷f-]hash函数及其应用研究第1章引言·在研究承诺方案的安全定义、安全模型及敌手模型的基础上，提出基于ID的非延展陷门承诺的新概念并构造了两个有效的方案。[43]中定义的基于ID的陷门承诺‘只针对某一个特定的ID，即其公开参数与某一特定的ID相关，不满足基于ID的密码系统的要求，我们修正了这一定义。结合构造多陷门承诺的思想[1l，44]和构造非延展承诺的技术【l7]，我们首次提出了两个基于离散对数系统的有效的基于ID的非延展陷门承诺方案，分别基于随机预言模型和标准模型。·以往的在线／离线门限签名方案[45]往往存在密钥泄露问题，从而在离线阶段必须．为每个消息计算相应的陷f]hash和签名，计算和存储开销仍过大。本文利用『311中无密钥泄露的陷f]hash函数，提出了一个新颖有效的在线／离线门限签名方案，由于陷f]hash值可以重复使用，从而与[45]中的方案相比，大大降低了计算和存储复杂度。·为了提高聚合签名的响应速度，本文提出在线／离线聚合签名的新概念。然而，如果直接利用密钥泄露的陷门hash函数构造在线／离线聚合签名方案，仍然存在计算和通信开销过大的问题。本文利用[46]中无密钥泄露的陷门hash函数，构造了一类有效的在线／离线聚合签名方案，从而在突发性的聚合签名需求中有较好的应用。·最后，我们讨论了陷门承诺在无收据电子投票／电子拍卖中的应用j指出一类采用密钥泄露的陷门承诺构造的电子投票[36]署fl电子拍卖[35]方案并不满足其声称的无收据性；我们还提出了指定验证者可链接环签名的新概念，利用陷门承诺构造了一个具体的方案，并基于此签名构造了一个新的无收据电子投票方案。1．3论文结构本文的结构安排如下：在第2章中，参考[43]和[47】的方法，我们给出了文中要用到的基本密码学定义及承诺、陷门承诺、基于ID的陷门承诺和陷f]hash函数的有关定义。其中第2．6节给出了完全的基于ID陷门承诺的定义，与[43]中的定义不同，此定义更加符合基于ID密码系一4一 陷门承诺、陷f]hash函数及其应用研究第1章引言统的要求，从而为第3章基于ID的非延展陷门承诺方案的提出做好了铺垫。在第2．8节中，我们介绍了基于具体数论假设的几个基本的陷门承诺方案，如基于离散对数假设、RSA假设和整数分解假设的方案，这些基本方案是后文构造具有更多更好性质的承诺方案的基础。在第2．9节中，我们还介绍了基于复杂性理论构造的陷门承诺方案，如基于一般密码学假设一一单向函数存在的方案，这是理论密码学的重要研究方向，旨在研究承诺所依赖的密码学基础，也是我们今后要进一步研究的方向。第2．10节研究了无密钥泄露陷f-]hash函数的构造思路，我们定义的完全的基于ID陷门承诺可以转换为无密钥泄露陷f-]hash函数。无密钥泄露陷f-Jhash函数在第4章构造有效的在线／离线签名中具有重要作用。在第3章中，我们提出基于ID的非延展陷门承诺的新概念，结合构造多陷门承诺的思想『11，44】和构造非延展承诺的技术【17】，首次提出了两个基于离散对数系统的有效的基于ID的非延展陷门承诺方案，分别基于随机预言模型和标准模型证明了其安全性。我们将进一步研究基于其他具体数论假设的方案以及非交互的方案。在第4章中，我们研究了无密钥泄露的陷f]hash函数在在线／离线签名中的应用。本章主要讨论基于群体的在线／离线签名。我们构造了一个新颖有效的在线／离线门限签名方案。从介绍利用无密钥泄露陷f]hash函数【31]构造在线／离线签名方案开始，利用可验证秘密分享技术，把其扩展为一个门限方案。我们分析了方案的安全性并与[45]方案的效率做了比较。通过比较可知，本文的方案大大降低了计算和存储复杂度。在该章中，我们还提出了在线／离线聚合签名的新概念，此类签名在具有集中性聚合签名需求的应用或在资源受限的应用中具有重要作用。我们利用一个变形的无密钥泄露的陷I'-]hash函数构造了一个具体的方案，并对方案的安全性和效率进行了分析。在第5章中，我们研究陷门承诺在电子商务中的应用，研究电子投票／电子拍卖方案的无收据性，指出一类利用密钥泄露陷门承诺构造的电子投票／电子拍卖方案并不满足其声称的无收据性。我们还提出了指定验证者可链接环签名的新概念，利用陷门承诺构造了一个具体的方案，并基于此签名构造了一个新的无收据电子投票方案。第6章是总结和展望，对本文已完成的工作进行了总结，并提出了进一步的研究计划。一5． 陷门承诺、陷f]hash函数及其应用研究第2章陷门承诺的相关定义和基本构造在这一章中，前七小节介绍密码学的一些基本概念和文中使用的符号，然后给出承诺和陷门承诺的形式化定义。我们只给出与陷门承诺有关的密码学基础，如单向函数、离散对数假设、RSA假设、整数分解假设以及承诺的概念，更全面的介绍请参考『471。后三小节在相关定义的基础上，介绍了陷门承诺以及无密钥泄露陷f-]hash函数(变色龙hash函数)的几个经典构造。第8节介绍基于具体数论假设的陷门承诺方案的构造，如基于离散对数假设、RSA假设和整数分解假设的构造，分析这些构造有利于我们构造新的陷门承诺方案；第9节介绍基于复杂性理论的陷门承诺方案的构造，如基于一般密码学假设一一单向函数存在的构造，旨在研究承诺所依赖的密码学基础；第10节给出了几个无密钥泄露陷f]hash函数的构造，可以看出其与基本陷门承诺方案的紧密联系。2．1一些符号令A是一个概率算法，更准确地说，A是一个有随机输入带的图灵机，如果存在一个多项式p(他)，使得对于长度为n的输入，A在p(n)步内完成，则我们说A是概率多项式时间(PPT：probablepolynomial-time)算法。如果A对于其内部的随机硬币，平均在多项式时间完成，则A平均在多项式时间完成。对于确定性算法A，记a卜A0)为输入z时算法A的输出a。如果A是概率算法，贝3JA(x)为输入z时，描述算法A的输出的随机变量。其概率空间是由A内部的随机硬币决定的。在这种情况下，记陋@)】为输入z时Am支集，记a-A(z)为输,kz时，从算法A的输出随机变量A(z)中取出样本am过程。为了简化表示，常常把概率多项式时间算法看成确定性算法，并把随机硬币作为输入的一部分，即为A(x，r)。在本文中，只讨论上述的图灵计算模型。记⋯为一个串z∈．[o，1)+的长度，记1n为n个‘1’组成的串，记z∈R．[o，1)几为均匀选择的一个佗一比特串z。如果不特别说明，任何均匀选择都是独立于其他选择的。函数5：N_R+称为可忽略的(negligible)(关于n)，如果它比任何多项式的倒一7一 陷门承诺、陷f-]hash函数及其应用研究第2章陷门承诺的相关定义和基本构造数都下降得快。更形式化地描述为，占是可忽略的，如果对任意多项式p：N—R+，存在nO∈N，使得对所有n≥no，有6(礼)<1／p(n)成立。在后文中，把“存在no∈N，使得对所有礼≥几o⋯"简述为“对所有足够大的佗"。函数J(礼)是显著的(noticeable)(关于扎)，如果它不是可忽略的；而把6(n)称为是压倒性的(overwhelming)，如果1—6(n)是可忽略的。。举例来说，存在一个函数(数列)，既不是可忽略的(即为显著的)，也不是压倒性的，如：1，；，1，石1，⋯，从而显著的不一定是压倒性的，而反之压倒性的一定是显著的。函数6(n)=2咄是可忽略的。容易看出，乘积艿(佗)·p(佗)也是可忽略的，其中p(扎)是任意的正多项式；如果6(n)是可忽略的，，(佗)是显著的，则‘厂(礼)一6(佗)也是显．著的。对于一个随机变量序列X=(％)n∈N，记z卜K为从随机变量％中取的一个样本z。序列x称为是可有效取样的，如果存在概率多项式时间算法A使得．k与A(1n)对所有的n是同分布的。算法A的输入1几表示允许4的运行时间为输入长度11nI=n的多项式。两个随机变量序列x=(％)礼∈N和Y=(K)n∈N称为计算上不可区分(computationallyindistinguishable)(X毛y)，如果对任意概率多项式时间算法D，其优势Advx'y=lProb[D(1",z)=1】-Prob[D(1n,Y)=1】I是可忽略的，其中的概率由D的随机硬币，和随机选择z卜％和Y卜K分别决定。算法D在输入z和∥时，其输出在可忽略的情况下是一致的，也就是说，不存在多项式时间算法区分两个随机变量K和碥。两个随机变量序列X=(X。)n∈N和Y=(K)n∈N称为是统计上不可区分(statisticallyindistingusishable)(X毛Y)，如果‘专·∑IFrob[Xn=s卜P础陬=s】I。sES．是可忽略的，其中&是K与K的支集的交集。如果上式为0，则说明X与y是同分布的，记为X兰y。显然，同分布涵含统计上不可区分，统计上不可区分涵含计算上不可区分，反之则不然。-8- 陷门承诺、陷f-]hash函数及其应用研究第2章陷门承诺的相关定义和基本构造2．2密码学假设我们从一般的单向函数的定义开始，介绍与陷门承诺有关的密码学假设。简单地说，单向函数即为正向计算容易，而对随机输入反向求逆困难的函数。单向函数存在是密码方案存在的必要条件。定义2．1(单向函数)．一个函数，：．【o，1)+一．[o，1)+是单向函数，如果下面两个条件成立：·有效计算：存在多项式时间算法Eval，使得对所有X∈．[o，1)+，有Eval(x)=，(z)。·单向性：对任意概率多项式时间算法A，求逆成功的概率lnv二(n)=Prob[A(1n，，(z))∈f-,(，(z))】关于佗是可忽略的，其概率由z∈R．[o，1)n和A的随机硬币决定。另外的，如果对于所有n∈N，有，(．[o，1)n)={o，1)n，则，为单向置换。在此定义中，需要附加输入1n，这是因为如果IXf》If(x)l，使得求逆算法仅仅因为函数剧烈地压缩输入，而无法在关于I，(z)I的多项式时间内输出函数的逆，这种情况不能视为单向函数，必需排除在外。附加输入1n使得求逆算法可以在关于IXl的多项式时间内输出结果，从而排除了上述没有足够的时间输出逆的情况。以长度函数f(x)=H为例说明，因为I，(z)I=l092⋯，即使存在一个明显的求逆算法在关于例的多项式时间内求得，@)的逆(如输出逆为o㈦)，也没有算法能在关于I，@)i的多项式时间内输出逆。下面介绍几个单向函数的候选，一个是广为人知的粥A函数『481。给定整数N=p口和整数e，其中p、g为两个不相等t拘n／2一比特长素数，e与欧拉函数妒(Ⅳ)=∞一1)(g一1)互素，对于输A．x∈z知，其函数值)}-JRSAN，。(z)=X8modN。注意到这是z知上的置换；并且在不知道Ⅳ的分解的情况下，给定r∈Z≈和多项式有界的e，可以有效地计算逆r一1∈Z≈和幂r8∈Z知。一9一 陷门承诺、陷f-]hash函数及其应用研究第2章陷门承诺的相关定义和基本构造RSA函数并不符合定义2．1，因为定义2．1只针对单个函数．厂，而RSA函数是由指标Ⅳ和e定义的函数集合，并且定义域和值域Z≈都依赖于指标。然而，我们并不严格讨论这种带指标的单向函数(indexedone-wayfunctions，也即，collectionsofone-wayfunctions)，因为其形式化定义更加复杂；而是对定义2．1作一个基本的处理，即增加一个指标生成函数输出一个随机的指标i(如这里输出随机的Ⅳ和e)，而A(1n，i，五(z))求逆的概率则由随机选择的指标i，定义域中随机选择的z和A的随机硬币决定。我们形式化地说明RSA函数是单向函数。为此，如上所述，假设存在有效算法IndexGen(1n)输出指标Ⅳ和e，而不详细说明算法如何做到这一点，如得到安全素鳓=纠+1，q=2q7+1，其中p，、g，为素数；又或者需要多大的e等等。这些讨论超出了本文的范围，而对于把RSA函数作为“黑盒”用于构造密码方案也是无益的。定义2．2(RSA假设)．对任意概率多项式时间算法A，其求逆成功的概率：InvARsA(n)=Prob[A(1n，N，e，z8roodN)=z]关于n是可忽略的，其中，概率由(N，e)卜IndexGen(1n)，z∈RZ≈和A的随机硬币决定。RSA函数是单向函数的好的候选，其中一个原因是它有random-self-reducibility性质[49]。简单地说，这意味着计算任意剪的e次方根与计算随机的可的e次方根是同样难度的。更形式化地描述为，假设存在概率多项式时间算法以概率6(n)对随机的Y=z8roodN求逆，其中(Ⅳ，e)卜IndexGen(1n)，其概率Fh(N，e)、笫和随机硬币决定。则存在有效算法在相当的时间内以相同的概率6(礼)对任意Y∈ZⅣ求逆，其中(N，e)卜IndexGen(1n)，其概率由(N，e)和随机硬币决定。后面算法随机选择7'∈冗ZⅣ，计算矿=yr6modN，并把(秒7，Ⅳ，e)输入到前面算法中。其中，秒7在ZN中均匀分布。如果前面算法输出Ⅳ7的逆z7，则z=z7r一1roodⅣ即为Y的逆。显然，RSA假设蕴涵整数分解问题是困难的；否则可以很简单地计算出汐(Ⅳ)和d=eomod妒(Ⅳ)，从而得到z=(Xe)dmodN。反之则不确定(一些迹象表明其不成立)。一10- 陷门承诺、陷f-Jhash函数及其应用研究第2章陷门承诺的相关定义和基本构造为了形式化地说明整数分解假设，类似地，假设存在有效算法IndexGen(1n)，输出一个随机的模数N=Pq，其中p和q为佗／2．比特长素数。定义2．3(整数分解假设)．对任意概率多项式时间算法A，其求逆成功的概率：Inv二口d(n)=Prob[A(1n，N)=∞，口)】关于礼是可忽略的，其中，概率由Ⅳ=Pq卜IndexGen(1n)和A的随机硬币决定。，虽然RSA问题已经提出三十多年了，它始终没有被攻破。另一个抵抗了至今为止所有算法攻击的单向函数的候选是群Z：或椭圆曲线群上的离散对数。我们简化并只考虑群Z：的素数阶子群上的离散对数问题。除非明确地指出，否则下文中所有的假设和结论都可以推广到其他素数阶群如椭圆曲线群中。再次假设存在有效算法IndexGen(1n)，输出一个随机的素数P，一个n一比特素数q满足qlp一1，以及z；的子群Gq的生成元9，同样地，忽略这个过程的细节。离散对数的单向性指的是给定夕和旷计算离散对数z是困难的。定义2．4(离散对数假设)．对任意概率多项式时间算法A，其求逆成功的概率：InvDL(n)=Prob[A(1n,P，q，夕，gzmodP)=z]关于n是可忽略的，其中，概率由仞，q，夕),-IndexGen(1n)，z∈RZq和A的随机硬币决定。类似于RSA，离散对数问题也有random-self-reducibility性质，给定P，q，夕和可∈纬，随机选择7．∈兄zg，令矿=Yg’(则y’是随机的)，则由随机元素∥7的离散对数z7=l099矿可以得到任意元素可的离散对数z=loggy=z7一rmodq。2．3交互式协议在这一节中我们介绍联合计算模型。我们避开[47]中交互式图灵机的技术细节，而采用了【43】中对交互式算法的更为直观的描述，这些算法相互连接并能交换信息。一11— 陷门承诺、陷门hash函数及其应用研究’第2章陷门承诺的相关定义和基本构造在一个两方运行的交互式协议中，Alice和Bob两方交替地运行。每一方都可能得到一个秘密的输出。令W为Alice和Bob的公共输入，z和Y分别为他们的秘密输入。假设Alice开始协议的运行：记Alice发送的第一个消息为a1，Bob的回复为b2，Alice发送给Bob的第二个消息为a2等等。注意到n1，b1，a2，62，⋯为随机变量(来源于Alice和Bob的随机硬币Q和p)，并由输入和之前收到的消息决定。因此我们记al=Alice(w，z，a)，bz=Bob(w，Y，∥，口1)，a2=Alice(w，书，Ol，a1，b1)，⋯。从而al卜Alice(w，z)，bl卜Bob(w，Y，a1)，a2卜Alice(w，z，al，b1)，⋯是一个有序的取样过程，即用户生成的一系列消息采用了相同的随机硬币。记viewAz妇($)，Sob(F)(伽)为包含了五个元组的随机变量：在分别输／kW，z和W，可的情况下两方传递的信息，各方生成的随机数，以及各方的秘密输出。我们称此随机变量的一个取样V=(Vm艰，Vmd，Alice，Vrnd，BD6，％ut'Az妇，％ut’B06)卜vieWAU∞(z)，Bob(掣)(叫)为一个扩大的视图(augmentedview)。敌手可以假冒一方，例如假Alice以欺骗Bob。在这种情况下我们用星号来标记被敌手控制的用户，例如，Alice+，以及viewAz池·(2)，Bob(掣)(伽)，Vrnd，刎池·，Vout，Allce。等等。在某些情况下，我们允许某个第三方Carrol参与一个预处理过程并为用户生成另外的公共输入仃，记为盯卜Carrol(w，名)，其中Z为Carrol的秘密输入1。例如Carrol可能在输入1n的条件下，随机选择一个m比特RSA模数Ⅳ并放入盯中。公共参数盯被加入扩大的视图中。此种情况下的概率空间由三方的随机硬币决定。在典型的情况下，Carrol被称为可信第三方丁，从而不被破坏。公共参数盯被称为公共串(publicstring)、公共访问串(comnlonreferencestring)或公共参数(publicparameter)，而相应的模型称为公共访问串模型(commonreferencestringmodel)或公共参数模型(publicparametermodel)。有了上述符号，我们画出承诺方案的运行视图如图2．1所示。1z可以为公共参数的陷门，例如在第4章基于ID的陷门承诺中，z为主私钥MSK。w为三方Alice，Bob和Carrol所共知，例如安全参数1竹。一12— 陷门承诺、陷f-]hash函数及其应用研究第2章陷门承诺的相关定义和基本构造图2-1承诺方案的运行视图2．4承诺方案的隐藏性和绑定性在前言中，我们把承诺比作带锁的盒子，在这一节中，将给出承诺的形式化定义。当然，这里只给出承诺方案的最小定义，即满足隐藏性(hiding)和绑定性(binding)的承诺方案。在后文中，当考虑到协议运行中的相互影响时，将给出更复杂的定义，如非延展性(non-malleable)。从最小定义开始，一方面是遵循从简单到复杂的原则，基本定义易于使我们对承诺有一个直观的理解：另一方面是因为满足基本定义的承诺在某些应用中是足够的，例如我们可以用满足基本定义的承诺方案来构造非延展的承诺方案。承诺是两方参与的交互协议，一方是发送者S，拥有消息m；另一方是接收者冗。在一些承诺协议中，有一个可信第三方在协议运行之前帮助建立公开参数；发送者和接收者都可以访问公开参数。整个协议分为承诺阶段和打开阶段。在承诺阶段中，发送者给接收者一条关于消一】3一 陷门承诺、陷fJhash函数及其应用研究第2章陷门承诺的相关定义和基本构造息m杂乱信息(承诺值)，从而一方面，恶意的接收者冗+不能得到关于消息m的任何信息(隐藏性)；另一方面，恶意的发送者S+不能对之前的承诺值有不同于原承诺消息的另外的打开(绑定性)。’在打开阶段中，发送者给接收者发送用于打开杂乱承诺值的密钥，即发送原始消息m和承诺值确实包含此消息的一个证据。通常，此证据为发送者在承诺阶段中选择的随机数，因为接收者可以根据消息m和该随机数重新计算承诺值以确定承诺的正确性。当然也有一些方案，发送者采用其他方式计算证据。由隐藏性和绑定性，可以把承诺方案分成两种基本类型：·统计上绑定(statisticallybinding)和计算上隐藏(computationallyhiding)的承诺方案．任意具有无穷计算能力的恶意发送者5+计算异于原承诺消息的打开的概率是可忽略的(统计上绑定)；并且对于任意概率多项式时间的(恶意的)冗+，两个承诺值是计算上不可区分的(计算上隐藏)。更进一步，如果绑定性是无条件的而不仅仅以较高的概率达到，即具有无穷计算能力的恶意发送者S+计算异于原承诺消息的打开的概率是0，则这样的方案称为是无条件绑定的(unconditionallybinding)或完美绑定的(perfectlybinding)。·计算上绑定(computationallybinding)和统计上隐藏(statisticallyhiding)的承诺方案．任意概率多项式时间的恶意发送者5+对于一个承诺不能有两个不同的打开，否则与某个密码学假设相矛盾(计算上绑定)；并且对于任意具有无穷计算能力的佗+，承诺值的分布是统计上不可区分的(统计上隐藏)。更进一步，如果对于具有无穷计算能力的冗+，任何消息的承诺值的分布是相同的，则这样的方案称为是无条件隐藏的(unconditinallyhiding)或完美隐藏的(perfectlyhiding)。不难看出，一个承诺方案不能同时达到统计上绑定和统计上隐藏，从而也不能同时达到完美绑定和完美隐藏。对于后者，我们给出一个易于理解的说明。根据定义可知，完美绑定意味着任何承诺只能有一个打开，即消息和承诺值是一一对应的；这与完美隐藏相矛盾，因为完美隐藏意味着一个承诺值可以打开为任意消息。对于前者结论，其证明更为复杂些，这里不给出严格的证明。由于统计上绑定和统计上隐藏不能一】4一 陷门承诺、陷I'lhash函‘数及其应用研究第2章陷门承诺的相关定义和基本构造同时达到，我们只需要说一个承诺方案达到了统计上绑定或统计上隐藏(完美安全性也是如此)，则其另一个安全性自然只能达到计算上的安全。当然，还有一类承诺是计算上绑定和计算上隐藏的，其是否具有更为简单的构造和特殊的应用需要进一步研究。2．4．1统计上绑定的承诺方案下面我们给出统计上绑定的承诺方案的定义。可信第三方丁在协议运行之前提供公共参数盯。如果不需要可信第三方，则让他空闲并让盯为空。承诺协议的消息空间为一个序列M=(地)n∈N，其中集合％∈{o，1)’，礼为安全参数。假设消息长度的上界是关于n的多项式，即存在多项式p(礼)使得对任意序7U(mn)n∈N，mn∈％，有ITFtnI≤p(n)。如果协议的安全参数为礼，则发送者可以承诺任意消息m∈％。例如对于比特承诺，对于所有的竹，有坛={o，1)，则这里的安全参数凡只决定了绑定性和隐藏性的程度，因为消息固定为1．比特长。使用『43]1拘符号，给出统计上绑定的承诺方案的定义如下：定义2．5(统计上绑定的承诺方案)．一个三元组(S，冗，丁)被称为是统计上绑定的肛承诺方案，其中S，7已和丁为概率多项式时间算法，如果以下条件成立：·完备性．对所有的n∈N，任意消息mn∈％，任意augmentedviewu∈[views(∞mm，m。)，冗(comm)，7(1n)]有T已(decom，1n，Va，VmSg，Vrnd，冗，mtI，"md，s)=accept．·计算上隐藏性．对任意序列(mn)n∈N，(m：)n∈N，其中m佗，m：∈％，和任意概率多项式时间算法冗+，如下两个随机变量和由u卜[views(∞mm，m。)，彤(comm，m。，m乞)，7(1n)]定义的um锯由口÷一[views(comm，m乞)，冗·(∞mm，m。，m鲁)，T(1n)]定义的u二。g一15— 陷门承诺、陷f]hash函数及其应用研究第2章陷门承诺的相关定义和基本构造计算上不可区分。·统计上绑定性．对任意具有无限计算能力的S+和augmentedviewV卜[views·(∞mm)，冗(comm)，丁(1n)]，5+输出如下结果(mn，m：l，r，r7)=5+(decom，1n，％，Vm锫，Vmd，s·)使得冗(decom，1n，％，‰锯，‰d，冗，mn，7．)=冗(decorn，1n，Ua，Ymsg，"Urnd，R，m：，，)=accept成立的概率(由所有参与者抛掷的随机硬币决定)是可忽略的，其中‰，m：l∈％是两个不同的消息，r和r7是伪造的随机数。如果此概率为0，则称方案为完美绑定的。由上述定义可知，对恶意的接收者，承诺方案仍然是隐藏的，即使他知道承诺的消息是mn或m：其中之一，并且他可以任意地违背协议，当然，恶意的接收者产生的view必须和诚实的接收者计算上不可区分，否则发送者发现不当行为时就会终止协议的执行。对绑定性的攻击描述为，让恶意的发送者首先与诚实的接收者执行承诺阶段，然后计算不同的合法打开以欺骗接收者。注意到，虽然S’结合了承诺阶段和打开阶段两个算法，如果我们给S+提供承诺阶段的样本％，Vm；g，Vrnd，5。并在模式decom下运行∥，则我们给S+(decom，·)提供了其在模式comm下能收集到的所有信息。2．4．2统计上隐藏的承诺方案统计上隐藏的承诺方案可以采用类似定义2．5的定义方法，只是在考虑信息论安全时，针对的是隐藏性而非绑定性。定义2．6(统计上隐藏的承诺方案)．一个三元组@，冗，丁)被称为是统计上隐藏的M一承诺方案，其中S，冗和丁为概率多项式时间算法，如果以下条件成立：·完备性．对所有的n∈N，任意消息mn∈％，任意augmentedview口∈[views(comm，竹h)，冗(comm)，丁(1n)]有冗(decom，1n，Va，Vm艰，Vrnd，冗，仇n，Vrnd，s)=accept．一】6一 陷门承诺、陷门hash函数及其应用研究第2章陷门承诺的相关定义和基本构造·统计上隐藏性．对任意序列(‰)n∈N，(m：)n∈N，其中mn，m：∈地，和任意具有无限计算能力的冗。，如下两个随机变量知由u卜[views(comm，‰)，形(∞mm，m。，m么)，T(1n)]定义的um铭由"+一[views(∞mm，m乞)，形(comm，m。，mo)，7(1n)】定义的u二sg统计上不可区分。如果他们是相同分布的，则称方案为完美隐藏的。·计算上绑定性．对任意概率多项式时间算法S+和augmented访ew钐卜[views·(。。mm)，冗(comm)，7(1n)】，5+输出如下结果(m竹，m：l，r，r7)=F(decom，1n，Va，Vm铭，um郴-)使得冗(decom，1n，％，VmSg，Vrnd，冗，mn，r)=冗(decom，1n，Va，"m铭，Vrnd，冗，m：，r7)=accept成立的概率(由所有参与者抛掷的随机硬币决定)是可忽略的，其中mn，m：∈％是两个不同的消息，r和r7是伪造的随机数。2．4．3一个基于离散对数的承诺的例子我们给出基于离散对数假设的完美隐藏和计算上绑定的承诺的例子【50】。这对于我们理解后文要定义的陷门承诺都是有好处的。假设有一个可信第三方生成公共参数如下：选择大素蜘，q，其中gI(p一1)；令g是g阶子群G口cz；的生成元；随机选择X∈RZ口，令h=旷(^≠1，则^也是Gq的生成元)。在承诺阶段，S对消息m∈Z口计算承诺值C=gmh7modP，其中r∈RZ口，并发送给冗。冗可以简单验证是否有C∈G。，即验证C∈Z：和口=1modp；在打开阶段，S发送m，r给接收者，接收者验证m，r∈Zg和C=夕m∥modP。方案是完美隐藏的。因为h’在信息论意义上隐藏了扩，即承诺值是一个与消息无关的随机数，所以即使冗+有无限计算能力，也不能区分两个承诺值。·17— 陷门承诺、陷门hash函数及其应用研究第2章陷门承诺的相关定义和基本构造方案是计算上绑定的。如果恶意发送者能找到某个承诺C的两个不同打开m，7_∈Zq和m7，r7∈Z口，即9mhr=C=9m7hr。modP，从而有夕m—m7=h7’一roodP，进而得Nh关于夕的离散对数为z=(m—m，)(7’7—7')-1rood口(因为仇≠m7，所以r≠r’，从而(r’一r)modg的逆(r7—7．)_1rood口存在)。也就是说，不同的打开蕴涵着离散对数问题的解决。然而，我们假设离散对数问题是困难的，所以∥计算不同打开的概率是可忽略的，即方案是计算上绑定的。2．5陷门承诺承诺中陷门的概念可以参照零知识的概念[47]来定义：存在一个有效的模拟器，使得对承诺阶段的模拟与诚实参与者的执行是不可区分的；同时，模拟器还能输出一个附加的陷门信息，使得承诺可以打开为任意消息。这个不可区分性意味着模拟器可以模拟发送者或第三方，与诚实参与者掺合在一起执行，使得不诚实的接收者不能区分协议是在真实世界中(与第三方和发送者)执行，还是在模拟环境中(与模拟者)执行。这正是我们在安全性证明中想要的，如果敌手攻击一个包含承诺的密码方案，而把真实承诺替换为模拟承诺，敌手无法区分，即敌手无法区分证明过程中的真实协议运行和模拟协议运行，从而证明中的模拟是有效的。在协议的真实执行中，承诺满足绑定性；而在模拟执行中，我们可以任意打开承诺，这给了我们更多的能力从而可能证明更复杂协议的安全性。在上述基于离散对数的承诺的例子中，存在着陷门信息。让模拟器代替可信第三方选择素数P，gIp一1)和子群G口∈Zp的生成元夕(阶为素数g)，模拟器生成h=旷modP，其中z∈RZ：，并公开这些参数。则z即为陷门信息。如果模拟器代替发送者承诺消息蛳，即发送C=夕mohr0roodP，其中怕∈RZq，则模拟器利用陷门信息z可以把承诺打开为任意消息m∈Z口，即计算r=r0一(m—mo)z～roodq，显然有C=夕丌均^70=gmoh7+(7n一仃阳)z一1=9mo^-夕’n—mo=夕m^rmodP注意到，即使对于不诚实的接收者，模拟器的行为与诚实参与者的行为也是不可区分的：公共参数的分布相同，承诺C和承诺打开m，7．的分布也相同(注意Nr是均匀分布的，因为％是均匀分布的)。这就是完美可模拟的陷门承诺的例子。-】8一 陷门承诺、陷f]hash函数及其应用研究第2章陷门承诺的相关定义和基本构造参照[43]的定义，给出陷门承诺的定义如下：定义2．7(陷门承诺方案)．令@，冗，丁)是一个肛承诺方案。则此方案称为’陷门M．承诺方案，如果对任意概率多项式时间算法佗+存在平均多项式时间算"法Sim，使得对任意消息序列(mn)n∈N，mn∈心，有如下成立：称陷门承诺是输2＼(comm，1n)，模拟器Sire输出一个元组(W盯，Wmsg，W，。d，形，Wout，Sim)卜Sim(comm，1佗)使得给定-Wout,Sim和消息mn模拟器返回(Wrnd，s，Wout，s，ZLTout,冗-)+一Sim(decom，1n，"2n，Z／Jout,Sim)并且(叫口，Wm蹈，Wrnd，5，Wrnd，彤，Wout,s，Z／Jout,冗·)与views(∞mm，m。)，弦(comm)，丁(1n)的分布是不可区分的。·完美可模拟的，如果分布是相同的，·统计上可模拟的，如果分布是统计上不可区分的，·计算上可模拟的，如果分布是计算上不可区分的。把模拟器的输出叫out．Sim称为陷门。2．6基于ID的陷门承诺f431给出非交互的基于ID陷门承诺的定义，然而，其定义的并不是一个完全的基于ID的承诺，因为公开参数的生成与某个特定的ido有关；而在基于ID的密码体制中，有一对主密钥(MSK，MPK)，由主私钥为每一个id生成相应的用户私钥。在【43]的基于ID的承诺中，无法模拟预言机Extract(．)。我们按照基于ID的密码体制的思想，参考【511，给出完全的基于ID陷门承诺的定义。此定义更具一般性，并且把基于ID的承诺与无密钥泄露的陷f3hash函数联系起来，因为其无密钥泄露性允许敌手询问一个类似于此处Extract(．)的预言机，我们将在下节中清楚地看到这一点。一】9一 陷门承诺、陷f]hash函数及其应用研究第2章陷门承诺的相关定义和基本构造定义2．8(基于ID陷门承诺方案)．令p，冗，丁)是一个基于ID的(，D，M)一承诺方案，其中主密钥对为(MSK，MPK)。则此方案称为基于ID的陷门(JD，M)一承诺方案，如果对任意概率多项式时间算法冗+存在平均多项式时间算法Sim，使得对任意消息序列(‰)竹∈N，mn∈眠，在冗+得知主私钥MSK的情况下，有如下成立：输)x．(comm，1n，idl)，其中idi∈儿k，模拟器Sim输出一个元组(W盯，Wm铭，z也，Wo浊ut,Sim)卜Sim(comm，1n，{成)使得给定缸盛．S．m，弛和消息mn模拟器返回(Wrnd，s，Wout，s)卜Sim(decom，ln，弛，‰，‘ww。idut．1sim＼J并且(叫盯，Wmsg，idi，Wmd，s，Wout，5)与views(∞mm，‰)，彤(∞mm)，丁(1n)的分布是不可区分的。称陷门承诺是·完美可模拟的，如果分布是相同的，·统计上可模拟的，如果分布是统计上不可区分的，·计算上可模拟的，如果分布是计算上不可区分的。把模拟器的输出叫缘’S．m称为对应于身份t幺的陷门。更进一步，方案p，冗，丁)称为计算上绑定的，如果以下成立：对任意概率多项式时间算法S+和Sim(comm，1n，弛)的输出w口，Wm铭，{也，叫。idut．isim)，其中idt∈RID．，i=1，2，⋯，poly(·)，有(mn，m：I，r，r7，‰铭，{厶)卜s+(decom，1n，W盯，Wm艰，弛，Wo池ut．S．m)。其中mn，喊∈螈且‰≠m么，idn∈IDn．Ekidn≠idt，i=1，2，⋯，poly(·)，使得T已(decom，W盯，Vmsg，idn，mn，r)=7已(decom，Wa，Vmsgid．，m：，r7)=accept成立的概率是可忽略的(由所有参与者抛掷的随机硬币决定)，其中咄．S．m为预言)6『乙Extract(·)对碱的回答，∥可以询问此预言机多项式poly(·)次．一20· 陷门承诺、陷门haSh函数及其应用研究第2章陷门承诺的相关定义和基本构造具体地说，基于ID的陷门承诺方案包含如下五个概率多项式时间算法(KeyGen，Extract，Corn，DCom，Eqv)：·KeyGen：输入安全参数A，输出一个随机的主私钥MSK∈R．[o，1)A和一个主公钥MPK。·Extract：输A(ID，MSK)，输出身份，D对应的陷门T所D。·Com．-输入(MPK，ID，m，r)，输出身份，D下对消息m的承诺c，其中r为随机数。我们把算"法Com(MPK，ID，m，r)简-i．己为Com／o(m，r)。·DCom：输入承诺C，输m(m，r)作为其打开，满足：COmlo(m，7’)=C。·Eqv-输／入,(MPK，ID，T尬D，C，m，r，m，)，输mr7满足Comzo(m7，r7)=COmlD(m，r)。即在得知身份ID所对应的陷门T所D的情况下，打破承诺的绑定性是容易的。2．7陷f"]hash函数陷f3hash函数又称为变色龙hash函数(chameleonhash)，F{日Krawczyk和P谂bin首先提出[2】。“变色龙”形象地说明了陷门的拥有者可以任意计算变色龙hash函数的碰撞。陷f-]hash函数最初是为了设计变色龙签名而提出的，变色龙签名同时达到了不可否认性和不可传递性，类似于不可否认签名[52]的性质，然而前者是非交互的，其实现更为有效；并且采用“hash-and-sign’’的标准构造模式，可以把任何签名转化为变色龙签名，从而更具一般性。陷f-]hash还可用于构造在线／离线签名，采用‘‘hash-sign-sWitch”的构造模式[27]，可以把任何签名转化为在线／离线签名。在变色龙签名中，陷门由接收者掌握；而在在线／离线签名中，陷门由签名者掌握。本文将详细描述陷门hash函数在在线／离线签名中的应用。一个非交互的陷门承诺方案可以诱导出一个陷f-]hash函数，其承诺值即为陷f-]hash值，其不同的打开对应着陷f-]hash的碰撞。上述陷门承诺的定义采用交互式协议的描述方法，而此处对陷f-]hash函数采用另外的描述方法。我们将在其后说明这两个概念的联系。一21· 陷门承诺、陷门hash函数及其应用研究第2章陷门承诺的相关定义和基本构造定义2．9(陷I'1hash族：)．一个陷门hash族由二元组(Z，咒)组成：·Z是一个概率多项式时间的密钥生成算法，输入1七，输出hash／陷门密钥对(日K，TK)，使得日K，TK的长度是k的多项式。·咒是随机的hash函数族。咒中的每一个函数关联着一个hash'密钥日K，其作用于消息空间M中的一个消息和有限空间R中的一个随机数。Hash函$史HHK的输出与TK无关。一个l'-]hashi函数族(z，咒)满足如下性质：·有效计算：给定hash'密钥日K和一对(仇，r)∈M×R，H日K(m，r)在多项式时间内可算。·抗碰撞：不存在多项式时间的算法4，在只输入日K的情况下，以不可忽略的概率得到两个对(m1，7．1)，(m2，r2)∈M×R满足m1≠m2FtHHK(m1，r1)=HHK(m2，r2)(其概率与HK有关，在这里(日K，丁K)卜z(1七)，且与算法4投掷的随机硬币有关)。·陷门碰撞：存在一个概率多项式时间的算法，输A(HK，TK)卜Z(1七)，一对(m1，?-1)∈M×R，和消息m2∈M，输出r2∈R满足：HHK(ml，?_1)=HHK(m2，r2)。·语义安全：在给定消息m的陷f]hash值c的情况下，m的条件熵H[mlq等于m的熵日[仇】。换句话说，就是消息m的陷门hash值c没有泄露任何关于m的信息。由上述定义可知，任何不依赖于状态的非交互的陷门承诺方案都可以诱导出一个陷f-]hash方案，其中陷门承诺值对应于陷f]hash值，陷门承诺的绑定性对应于陷f]hash的抗碰撞性，陷门承诺的隐藏性和可模拟性对应于陷f]hash的语义安全性和陷门碰撞性。[30]把陷门承诺分为四类，某些类具有的特性适合于构造性质优良的陷f]hash。一22— 陷门承诺、陷f]hash函数及其应用研究第2章陷门承诺的相关定义和基本构造『281首先指出了陷f-]hash的密钥泄露问题，即一对碰撞会导致陷门密钥的泄露。在变色龙签名中，如果陷f-]hash存在密钥泄露问题，则会影响不可传递性的实现。因为变色龙签名中的不可传递性是由接收者能够任意伪造签名(计算陷f]hash的碰撞)来实现的，如果接收者计算碰撞会导致其陷门信息的泄露，则接收者不敢伪造签名；在在线／离线签名中，如果陷f]hash存在密钥泄露问题，则陷f-]hash值只能使用一次，否则陷门信息的泄露将导致任何人都能伪造签名。从而离线阶段需要计算大量的陷f]hash及对应的签名，大大增加了离线阶段的计算量和存储量，以及在线阶段的通信量。虽然[28]中基于ID的陷f]hash可以认为部分解决了变色龙签名中的密钥泄露问题，但是每次签名都更新接收者的公私钥给密钥管理带来极大的麻烦，是一个平凡的解决办法，完全不适用。陈等人[29]给出了第一个无密钥泄露陷f]hash的完全构造(基于Gap群)，之后，Ateniese和deMedeiros[30]给出了两个基于RSA假设和一个基于Gap群的构造。．无密钥泄露的陷f-]hash函数的构造思想来源于基于ID的陷f-]hash函数，其hash的计算引入了一个标签(或者称为定制身份“customizedidentity”)1，碰撞只泄露一次性胳f’了(通常为对标签的一个签名)，而不泄露长期陷f’了。因此，无密钥泄露陷f]hash函数包含两个陷门，而双陷门承诺常常用于设计无密钥泄露的陷f-Jhash函数或基于ID的陷f-]hash函数。Ateniese和deMedeiros[30]提出是否存在基于ID的无密钥泄露的陷f-]hash函数的公开问题，此问题被陈等人『53]解决。[53]1驹方案包含三个陷门，两个长期陷门为主密钥和ID的私钥，一个一次性陷门为用ID的私钥对标签的签名，同样碰撞只泄露一次性陷门。一个无密钥泄露的陷f-]hash函数包含如下四个有效算法：·KeyGen：输入安全参数1知，输出hash／陷门密钥对(日K，-TK)。·CH：输入hash密钥HK，标签厶消息m和随机数r，输出～个固定长度的比特串C，记为C卜CH(HK，Lm，r)。·UF：输入陷门密钥丁K，标签厶消息m，随机数r和消息m7，输出r7，满足CH(HK，L，仇，r)=C=CH(HK，L，m7，r’)，记为r’卜UF(rK，L，m，r，m7)。1定制身份按照约定的方式每次变化，如三=日(儿‰。de，ff加Re。。池，ff，所，∽。础i。)。一23． 陷门承诺、陷f-]hash函数及其应用研究第2章陷门承诺的相关定义和基本构造·IF：输／k．(HK，L，m，r，m7，7’，)，其中C=CH(HK，L，rn，r)=CH(HK，L，m7，r，)，输出另一对碰撞(mⅣ，∥)，满足C=CH(HK，L，mⅣ，∥)，记为(mⅣ，，)卜IF(HK，L，m，7_，m7，r，)o’无密钥泄露陷f]hash函数除了具有陷f-]hash函数的基本性质之外，还具有无密钥泄露性。在变色龙签名中，一个附加的性质一一原消息隐藏性，将在否认协议中提供对原始签名消息的保护。．·无密钥泄露：对于标签厶如果接收者没有计算陷f-]hashCH(HK，L，仇，r)的碰撞，则不存在有效算法计算其碰撞。即使允许敌手询问预言机UF(TK，·，·，·，．)对(厶，mt，n)的回答多项式次，其中厶≠L。·原消息隐藏：在变色龙签名中，如果接收者用UF(TK，Lm，r’．)计算了一个碰撞(m7，7．7)(伪造签名)，使得CH(HK，L，m，r)=CH(HK，L，m7，r，)，其中m是原始签名消息。则签名者由一对碰撞(m，r)和(m7，r，)，利用IF(HK，L，m，7-，m7，r7)可以计算出第三个碰撞(m，，，，)，从而只需向法官提供(彬，∥)就可以否认对m，的签名，而不需要提供原始签名消息m。更进一步地，原始消息(m，r)的条件熵日[(m，r)IC】并不会因碰撞(m7，r7)和(mⅣ，r，，)的揭露而减小，即：日[(m，r)lC，(m7，，)，(mⅣ，∥)】=日[(m，r)lq。2．8基于具体数论假设的陷门承诺方案的构造本节介绍几个经典实用的基于具体数论假设的陷门承诺，它们是后文构造无密钥泄露的陷f-]hash函数的基础。2．8．1基于离散对数假设的构造在2．4．3节介绍的完美隐藏和计算上绑定的Pedersen承诺的基础上，进一步指出其陷门所在。在2．4．3节中，采用的是公共参数模型，即由可信第三方生成公共参数。在本节中，公共参数采用交互的方式生成，无需可信第三方。接收者运行IndexGen(1忆)实例化·24· 陷门承诺、陷f-]hash函数及其应用研究第2章陷门承诺的相关定义和基本构造一个随机的群砟，并得到一个g阶子群Gg∈殇，生成元为夕，其中弘g为素数，ql(p一1)。接收者选择一个秘密z∈Rz：，计算h=旷，并把公共参数妇，g，夕，^)发送给发送者。‘发送者检查参数的正确性(p，q为素数，ql(P一1)，g，h∈z：一．[1)，gq=hq=1roodp)。在承诺阶段，发送者随机选择r∈RZ。，计算对消息m∈呱∈Z。的承诺为C=gmhr。在打开阶段，发送者传送m，r给接收者，接收者验证m，r∈Zg以及C=gmh’，如果成立，则接收者接受此承诺。方案是计算上绑定的，由两个不同的打开m，r∈Zq和m7，r7∈Zq可以得到^关于夕的离散对数：logoh=(m—m，)(7．7一r)～。反之，离散对数lo岛九即为陷门密钥，拥有陷门，承诺C=gmhr可以打开为任意消息m7：，=r+(1099尼)一1(m—m，)roodq容易验证，(仇7，r7)为承诺C的合法打开。下面看看模拟器如何得知陷门密钥(^关于夕的离散对数z)。在公共参数模型中，模型器可以冒充可信第三方生成参数，随机选择z∈RZ：，计算h=旷。而且模拟器生成的参数与可信第三方生成的参数是同分布的。如果采用交互方式生成参数，z由接收者选择，则可以让模拟器与接收者执行一个交互的零知识证明，模拟器可以中止并重置零知识协议的运行，从而能在多项式时间内抽取出z；而由于零知识性，不诚实的发送者不能得到z，因为其不允许重置零知识协议的执行。2．8．2基于RSA假设的构造Okamoto提出了一个基二于=RSA假设的一般承诺方案[541，我们指出其陷门所在。可信第三方运行IndexGen(1n)，输出一个F／,一比特的RSA模数N=加以及素数指数e≥2(n+1)1。可信第三方随机选择z∈冗z知，计算g=z8roodN，公开(Ⅳ，e，夕)为公共参数2。1选择e≥2(n+1)的目的是使指数e与妒(Ⅳ)<2(n+1)互素，并且在不知Ⅳ的分解的情况下也可以验证这一事实。2若由接收者生成上述参数，则发送者可以作如下验证：e为素数，e>2¨1，且夕∈Z≈。一25— 陷门承诺、陷f-]hash函数及其应用研究第2章陷门承诺的相关定义和基本构造在承诺阶段，发送者随机选择r∈RZ≈，计算对消息m∈％∈Z。的承诺为C=gmr8modⅣ；在打开阶段，发送者传送m，r给接收者，接收者验证m∈Z。，r∈ZⅣ，以及C=g,nremodN，如果成立，则接收者接受此承诺。此承诺是完美隐藏的。因为e与妒(Ⅳ)互素，元素的e次方是z≈上的置换，所以承诺值C在ZⅣ上均匀分布，不会泄露任何关于m的信息。此承诺是计算上绑定的。若能找到一对碰撞(m，r)和(m，，r7)(m≠仇7，l仇一m7I∈z：)则：gm一删=(r'／r)e从而得到夕的e次方根z为：z=98～=ga(r7／r)6，其中n，6满足ne+6(m—m7)=1。a，嗵过扩展的Euclidean算法易得。因此在RSA假设下，方案是绑定的。反之，陷门密钥即为g的e次方根z，拥有陷门，承诺C=gmr8可以打开为任意消息m7：r7：rzm—m7roodN容易验证，(m7，r7)为承诺C的合法打开。看看模拟器如何得到陷门密钥(夕∈Z≈的e次方根z)。类似的，在公共参数模型中，模拟器可以冒充可信第三方生成公共参数_[Ⅳ，e，夕)-，随机选择z∈Rz≈，计算g=z8roodN，从而可以完美地模拟发送者。如果采用交互方式生成参数，则可以让接收者提供一个零知识证明，从而模拟器能从中抽取出陷门密钥。2．8．3基于整数分解假设的构造最初的基于整数分解假设的一般承诺方案的构由Damgard[55]提出，一个更详细的讨论见[56】。我们指出其陷门所在。首先我们给出所需的数论结论。令N=舶为礼-比特的RSA模，叼∈．[1，2，⋯，他)是满足77f0—1)Rr／十(q一1)的最小整数，则平方是群Z2”Iz∈Z≈)上的置换。更一般地，平方是群Z2“Iz∈z≈)上的置换，其中Ⅳ是一个佗-比特奇数，而无需是RSA模。·26- 陷门承诺、陷f-lhash函数及其应用研究第2章陷门承诺的相关定义和基本构造令t≥1是可承诺的消息长度的上界。可信第三方生成一个随机的n-LL特RSA模N=册，计算叩一1的上界丁，随机选择X∈Rz≈并计算g=z2件‘roodN，公开(Ⅳ，t，7．，9)为公共参数。。在承诺阶段，发送者随机选择r∈RZ≈，计算对消，gm∈‰∈Z2t的承诺为C=gmr2件。modN；在打开阶段，发送者传送m，7’给接收者，接收者验证m∈Z2t，r∈ZⅣ以及C=gmr2件‘roodN，如果成立，则接收者接受此承诺。此承诺是完美隐藏的。因为7-+t≥77，并且平方是群Q=．【z21IZ∈Rz≈)上的置换，如果r是随机选取的，则承诺值C=gmr2什‘roodN在群Q上均匀分布，所以不会泄露任何关于m的信息。此承诺是计算上绑定的。若能找到一对碰撞(m，r)和(m7，r，)，则：(r7／r)27村=夕(m—m’)=(夕2。)‘m—m7)／2。其中{<亡是满足2‘I(m—m7)的最大整数。因为指数27+。与(m—m’)／2‘是互素的，用上节中的技术，可以得到92。的2r+。次根。由丁+t—i≥7．+1≥叩我们得Ng的2印次根Y。如果生成参数为g=z2”而非夕=z2件‘，则由可和z至少可有1／2的概率分解Ⅳ。反之，陷门密钥即为夕的2(r+t)次根X，拥有陷门，承诺C可以打开为任意消息m7：r，=7-zm—m_，modN容易验证，(m7，r7)为承诺C的合法打开。隐藏性要求g∈Q，上述由可信第三方生成公共参数可以满足此要求，若在平坦模型中由接收者生成公共参数，则发送者可以计算承诺为C=(92“)仇r2件件“roodN(发送者可以检验N是否为奇数)。因为对于任意伽比特奇数Ⅳ，平方是群Q上的置换，所以承诺值C的分布与m无关，完美隐藏性得到保证而无需对参数Ⅳ，7．，g的选择作限定，详见[57]。对绑定性的分析与上述情况类似。看看模拟器如何得到陷门密钥(夕的2下+t次根z)。类似地，在公共参数模型中，模拟器可以冒充可信第三方生成公共参数(Ⅳ，t，7．，9)，随机选择z∈Rz≈，计算g=z2件2modN，从而可以完美地模拟发送者。在平坦模型中，接收者选择公共参数(Ⅳ，t，7．，夕)，则我们首先把夕升为原来的2n次幂，然后增加关于夕的27+‘次根z的零知识证明，从而模拟器能从中抽取出陷门密钥。-27— 陷门承诺、陷f]hash函数及其应用研究第2章陷门承诺的相关定义和基本构造2．9基于一般密码学假设的陷门承诺方案的构造在这一节中，我们将讨论基于更一般假设一一单向函数的陷门承诺方案的构造。我们分别介绍公共参数模型下和平坦模型下的构造。下面介绍的方案都是计算上可模拟的，即陷门模拟器与诚实实体的执行计算上不可区分。与上节中基于具体数论假设的构造不同，上节中的方案都是完美可模拟的。2．9．1公共参数模型．[43]给出了基于Naor比特承诺方案[58]的陷门承诺，其思想来源于[16】。Naorl比特承诺方案假设伪随机发生器存在，而伪随机发生器存在当且仅当单向函数存在[59]。伪随机发生器是一个有效的确定性算法，把短的随机种子扩展为长的输出；而其输出与相同长度的真随机数是计算上不可区分的。令G是一个伪随机发生器，把m比特输入扩展为3佗一比特输出；可信第三方选择一个3n一比特的随机串盯。则公共参数为(G，盯)。在承诺阶段，发送者随机选择种子r∈冗．[o，1)n，计算对比特b的承诺为：c=㈣。盯拦在打开阶段，发送者传送(6，r)给接收者，接收者验证之前的承诺值。，此承诺是计算上隐藏的。由伪随机发生器的伪随机性，接收者无法区分对b=0和对b=1的承诺。此承诺是统计上绑定的。若能找到一对碰撞(o，r)和(1，rI)，贝Ua(r)=a(r7)o盯。但是由于集合∑={G(r)oG(7’，)17’，r’∈{o，1)礼)至多有22n个元素，随机串盯∈fo，1}3竹落入集合∑的概率最多为2一，从而方案是统计上绑定的1。我们看看此承诺的陷门所在。模拟器随机选择ro，r1∈{o，1}n，设置公共参数仃=G(ro)oa(r1)。则陷门信息(ro，r1)。拥有陷门，承诺C=G(绚)可以打开1陷门承诺不一定只存在于计算上绑定的承诺方案中。统计上绑定的承诺方案在某些参数设置下也可能打破绑定性。此处即为一个例子，盯只要落入集合∑中就存在陷门。·28· 陷门承诺、陷f]hash函数及其应用研究第2章陷门承诺的相关定义和基本构造为0或1，即若要打开为0则发送(0，ro)，若要打开为1则发送(1，r1)；前者是显然的，对于后者’，接收者计算G(7．1)oo=C(r1)oC(ro)oG(r1)=G(ro)，与之前的承诺值C相等。与上节中基于具体数论假设的构造不同，一方面，’模拟器的输出与诚实实体的执行是计算上不可区分的(陷门承诺计算上可模拟)，因为随机数盯与伪随机数G(ro)0G(n)计算上不可区分。而上节中的构造都是完美可模拟的；另一方面，公共参数盯只能使用一次。而上节中的构造，公共参数可以重复使用。2．9．2平坦模型上节中的方案也可运行于平坦模型中。在平坦模型中，没有可信第三方生成公共参数。f81提出了对应于[16]中陷门承诺的一个交互式版本，无需可信第三方参与。即采用如下的掷币协议，接收者首先承诺一个3礼．比特长的随机串Q；接着发送者公开一个随机串p∈R．【0，1)3n；最后接收者打开第一步中的承诺为Ol。则公共参数仃被定义为盯：=ao口，从而承诺方案可按上节中运行。陷门模拟器代替发送者按上述步骤执行交互，在接收者打开承诺为Q之后，模拟器可以把协议的执行返回到第一步接收者作出承诺之后，这时，模拟器发送卢=口oC(ro)oC(r1)，卢与随机数是不可区分的；由于接收者的承诺是绑定的，接收者将再次把其打开为Q，此时，盯=Qo矽=G(ro)oG(r1)，从而按照上节所述，承诺G(ro)可以打开为0或1。2．10无密钥泄露陷f-]hash函数的构造正如2．6节中所指出，【43]提出非完全的基于ID的陷门承诺的概念，其公共参数的生成与某个特定的ido有关，从而陷门信息也与特定的ido绑定，拥有陷门，可以任意打开关于ido的承诺；然而，此陷门无法对不同于ido的zd打破绑定性。非完全的基于ID的陷门承诺不符合基于ID的密码系统的要求，无法模拟预言机Extract(．)。从而，非完全的基于ID的陷门承诺不能直接改造为基于ID的陷f-]hash函数[28]，从下面的方案中可以看出他们之间的差别。根据我们在2．6节中对完全的基于ID的陷门承诺的定义，我们把基于ID的陷门承诺与无密钥泄露的陷f-]hash函数联系起来。无密钥泄露的陷f-]hash函一29． 陷门承诺、陷f]hash函数及其应用研究第2章陷门承诺的相关定义和基本构造数与基于ID的陷f]hashi函数类似，可以把ID看成其标签。我们还将指出无密钥泄露陷f]hash函数的构造思路。双陷门的承诺可以用于构造无密钥泄露的陷f]hash函数或基于ID的陷门hash函数，陈等人[53】构造了基于ID的无密钥泄露的陷门hash函数，从而解决TAteniese和deMedeiros【30]提出的公开问题。2．10．1密钥泄露的基于ID的陷门承诺[43]中给出了非完全的基于ID的陷门承诺的形式化定义，类似于陷f3hash函数中采用的名词，我们可以称其为密钥泄露的基于ID的陷门承诺。我们将在本小节的第二部分中看出这一称呼的来源。引入ID，可以把上述基本的陷门承诺方案改造为密钥泄露的基于ID的陷门承诺方案，分别基于离散对数假设、RSA假设和整数分解假设；同时，【43]还给出了基于单向函数的构造。基于离散对数假设的构造我们只给出基于离散对数假设的密钥泄露的基于ID的陷门承诺的例子，基于其他数论假设的构造都具有类似的形式，请参考[43]。‘在参数生成阶段，模拟器选择阶为素数q的群G口∈Z；，并随机选择生成元夕1，93。对某个特定的z如∈Zq，模拟器随机选择z∈RZ口，计算92=行ido鲧。则公共参数为切，q，G口，gl，92，93}。对于m∈‰关于id∈z。的承诺计算为c=(井仍)m踮。其中，由夕产92=鳐，则z=log卯(夕ildoy2，为,对应于i而的陷门密钥，因为关于id0的承诺可以任意打开为r7=r+x(m—m7)modq。．此基于ID的陷门承诺是完美可模拟的，因为由上述，通过陷门密钥z，承诺可以打开为任意值。此基于ID的陷门承诺是计算上绑定的，即使给出陷门信息(id0，X)，也无法找到关于承诺C=(9产92)m9§的碰撞(m，r)和(m7，r，)，其中试≠ido。因为这将推出(夕产夕2)m鲳=C=(9产夕2)m7夕；7，从而贫d一嫱)(m—m7)=毋’+m，)．‘件册)。因为id—td0，仇一mI≠0modq，容易求得夕l关于卯的离散对数lo993gl，这与离散对数假设相矛盾。一30- 陷门承诺、陷f]hash函数及其应用研究第2章陷门承诺的相关定义和基本构造基于ID的陷门承诺的密钥泄露问题上述基于ID的陷门承诺不能直接转换为基于ID的陷f]hash函数，因为其存在密钥泄露问题。我们把对应于z比的陷门密钥记为鼢=log。。(夕}92)，如果敌手得到了对应于idl和zd2的两个陷门密钥，则他可以求出对应于{d3的陷门密钥。由夕idl92=鳝1和夕}292=菇2，两式相除可得夕}1_记2=鳝1吖2，从而得到夕3关于夕1的离散对数，记为乜=l099，93=(ida—id2)(xl—z2)～。从而夕}1仍=鳝1=夕；3朝，进而求得92关于夕1的离散对数，记为k2=logg，92=‰z1一idl。至此，敌手得到了长期陷门密钥TK=(k2，k3)，从而可以计算出对应于任意zd3的陷门密钥z3=logg。(s『_ild392)=(ida+k2)圬1，进而打破对应于其他ID的绑定性。无密钥泄露的陷f-]hash函数(以及基于ID的陷f]hash函数)采用长期陷门和一次性陷门的构造思路。其中，一次性陷门与某个标签L对应，通常为长期陷门对标签L的签名。这样，签名的不可伪造性对应于陷f3hash函数的抗碰撞性；签名抗击适应性选择消息攻击不可伪造性．(UF-CMA)对应于陷f]hash函数的无密钥泄露性，这是因为在无密钥泄露的证明中，敌手可以询问预言机UF(．)，得到异于挑战标签的多项式个签名，但其仍然无法计算关于挑战标签的签名。2．10．2无密钥泄露的陷I'-Jhash函数基于离散对数系统的构造目前没有基于离散对数假设的UF．CMA安全的签名方案，也没有基于离散对数假设的无密钥泄露陷f-]hash函数。陈等人[29]提出了第一个完全的无密钥泄露陷f]hash函数，基于CDHP假设。[30]提出了基于强Diffie-HeUman(SDH)假设[60]的无密钥泄露陷f]hash函数，由多陷门承诺[11]改造而来。陈等人[44]提出了另外两个基于CDHP假设的无密钥泄露陷f]hash函数，分别基于GDH群和非GDH群。下面我们给出f441中基于GDH群构造的无密钥泄露陷f-]hash函数作为例子。·KeyGen：令G是一个阶为q的GDH群，9是群G的一个生成元。令日：{o，1)+一G+是一个抗碰撞的hash函数。随机选择z∈冗殇，计算y=gz。算法输出hash密钥．31． ‘陷门承诺、陷门haSh函数及其应用研究第2章陷门承诺的相关定义和基本构造为日K={G，q，g，H，箩)，长期陷门密钥为TK=z。·CH：输入hash密钥日K，标签L，消息m∈Z口和随机数口∈冗‰，计算7．亏(g口，y。)，输h刍f]hash值为C=CH(HK，L，仇，r)=矿^m，其中^=H(y，L)。·UF：输入长期陷门密钥rK，标签L，消息m∈Z口，随机数r=(g口，旷)和消息m7∈Z口，计算r’=(g∥，∥口，)，其中夕。’=9n^m—m，，Y口7=旷铲(m一竹t，)o容易验证C日(日K，L，m，r)=CHCHK，L，m7，r，)，并且是一个合法的Diffie-Hellman元组。·IF：输入．[日K，L，m，r，m7，r7)，其中C=CH(HK，L，m，r)=CH(HK，L，m7，r，)，算法输出∥=(夕口”，犷”)，其中9扩=矿护一m，，，旷”=旷B赢一∥，而B=舻可以由碰撞(m，r)和(m7，r7)计算。由9Qhm=ga'h似，可得夕沪口7=hmLm，从而B=hz=∥(口．口’)／(一一m)。我们把B看成一次性陷门密钥，因为它随着L的变化每次变化。f441证明了上述无密钥泄露陷f]hash函数的安全性。其抗碰撞性基于CDH假设；其无密钥泄露性基于GDH签名f61】在适应性选择消息攻击下的不可伪造性(UF—CMA)，同样基于CDH假设。同时方案还满足语义安全性和消息隐藏性。在[44]提出的无密钥泄露变色龙签名中，其否认协议可以让发送者选择隐藏消息或恢复消息。隐藏消息可以通过上述陷f]hash函数的消息隐藏性实现；而要达到恢复消息，签名者需要提供一个非交互的零知i赃NZKP{a：a=logg矿)。基于RSA假设的非完全构造我们提出一个新的基于RSA假设的非完全的无密钥泄露陷f]hash函数。称其为非完全的，是因为我们无法模拟uF(．)预言机。·KeyGen．在参数生成阶段，输入安全参数n，得到一个伦比特的RSA模数N=pq以及素数指数e≥2¨1，计算d使得ed=1rood妒(Ⅳ)，随机选择夕ERz≈，选择标签己o∈Ze，计算h=g-LOx8，其中，z∈冗Z知。算法输出hash密钥为日K={Ⅳ，e，Lo，g，^)，长期陷门密钥为TK=d。一32— 陷门承诺、陷f]hash函数及其应用研究第2章陷门承诺的相关定义和基本构造·CH：输3,hash'密NHK，标签己，消息m∈Z。和随机数r∈RZ南，输出陷门hash值为C=CH(HK，L，m，r)=(9L危)m严roodN。·UF：输入长期陷门密钥TK，标签L，消息m∈Z。，随机数r∈冗ZⅣ和消息m7∈Ze，计算r7=r(gL^)d’∽一m7)roodN。·IF：输fl,{HK，L，m，r，m’，r7)，其中C=CH(HK，L，m，r)=CH(HK，L，m7，7．’)，算法输出∥=rB(m一仇，’)modN，其中B=(gLh)droodN可以由碰撞(m，r)和(∥，r7)计算。由(矿^)mr8=(gL^)耐产roodN，可得(夕L^)m—m，=(e／r)。roodN。因为(m—m7)2r与妒(Ⅳ)=∞一1)(q一1)互素，计算长期陷fld使得ed=1mod妒(Ⅳ)。算法输出haush密钥为日K=(N，e)，陷门密钥为TK=d。·CH：输A．hash密钥HK，标签L，．消息m和随机数r∈RZ≈，输出陷f-]hash值为c=CH(HK，L，m，r)=C(三)日(m)reroodN。其中，C：_[o，1)+一．[o，⋯，22k-1)为安全的hash—and—encode方案，把任意长的比特串映射为小于Ⅳ的整数。通常，encode方案是概率算法，需要一个附加的随机输入。在EMSA-PSSen-coding方案[62，63]中，附加的随机输入长度为7-，即可以把hash函数日的输出作为附加输入。这里不对encode方案做进一步讨论，因为只要encode方案是唯一可逆的，对下面的讨论就没有影响。一33— 陷门承诺、陷f-]hash函数及其应用研究第2章陷门承诺的相关定义和基本构造·UF：输入长期陷门密钥TK，标签厶消息m，随机数r∈RZⅣ和消息m7，计算r7=rC(L)d(日(m)一日(m，))roodN。·lF：输入．[日K，L，m，r，m，，r7)，其中C=CH(HK，L，m，’．)=CH(HK，L，mI，r，)，算法输出∥=rB(日(m)一日(m”))roodN，其中B=C(￡)droodN可以由碰撞(m，r)和(m，，，)计算。mC(L)日(m)re=C(L)日(m7)产roodN，可得C(L)日(m)一日(m7)=(r'／r)8roodN。因为(H(m)-H(m，))<2下而e>2r，‘所以gcd(H(m)-H(m，)'e)=1。用前面提到的技术，用扩展的欧基里德算法可求得Q和p，使得a(H(m)一H(m，))+pe=1，从而求得B=(r7／r)aC(三)p。我们把B看成一次性陷门密钥，因为它随着L的变化每次变化。[28，30]证明了上述无密钥泄露陷门hash函数的安全性。其抗碰撞性基于RSA签名的不可伪造性；其无密钥泄露性基于EMSA-PSSRSA签名在适应性选择消息攻击下的不可伪造性(UF—CMA)；同时方案还满足语义安全性和消息隐藏性。基于整数分解假设的无密钥泄露的陷f]hash函数请参考[64-66]，此处不再赘述。其中[64】和[65]都与整数分解的表示问题[56]紧密相关。一34— 陷门承诺、陷f-]hash函数及其应用研究第3章基于ID的非延展陷门承诺方案承诺的非延展性意味着敌手不能把对消息m的承诺C修改为对消息m7的承诺C7，使得承诺消，gm与m7相关。基于ID的陷门承诺把陷门信息与某个特定的i棚关系起来，而对于其他的ID，承诺仍然是绑定的。本章提出基于ID的非延展陷门承诺的新概念，并构造了两个交互式的有效方案，即使对于同一个ID，也满足不可延展性。3．1预备知识基于ID密码体制的概念于1984年由Shamir提出【67]，他试图寻找一个公开密钥机制使得公钥是任意的字符串。Shamir基于大整数分解困难问题，构造了一个基于ID的数字签名(Identity-BasedSignature，IBS)方案。在基于ID的密码体制中，由一个可信的机构，称为私钥分发中心(PrivateKeyGenerationCenter，PKG)，在用户认证之后为其生成私钥。用户的私钥为PKG的主私钥MSK对用户ID的一个作用。基于ID密码体制的思想大大减少了传统公钥基础设施(PublicKeyInfrastructure，PKI)中对公钥证书的处理和存储开销。然而，直至1J2001年才分别由Boneh和Franklin[681以及Cocks[69]提出第一个实用的基于ID2B密(Identity-BasedEncryption，IBE)方案。其中Boneh和Franklin的方案使用Wei埘技术，基于有效的可计算双线性映射点群构造，其安全性基于CDH问题；Cocks方案的安全性基于二次剩余问题，依赖于整数分解问题的困难性。Boneh和Franklin的工作立刻引起了密码学界的高度关注，各种基于身份的加密和签名方案[70_741纷纷涌现。基于ID的陷门承诺把陷门信息与某个特定的zd联系起来，对于拥有此陷门信息的人，可以任意打开关于id的承诺，而无法打开关于其他ID的承诺。【43]给出了非完全的基于ID陷门承诺的定义，称其为非完全的，是因为公开参数的生成与某个特定的ido有关，不满足基于ID密码体制的要求。当用户集合集合很小时，可以采用该方法为每个用户生成一套公开参数，然而当用户ID的数量较大时，这一平凡的解决办法导致公开参数过长而无法接受。在『43]的基于ID陷门承诺方案中，无法模拟Extract(．)预言机，并且存在“密钥泄露问题”，即敌手在得知两个ID对应的陷门之后，可以求出关于其一35— 陷门承诺、陷f]hash函数及其应用研究第3章基于ID的非延展陷门承诺方案他ID的陷门信息，从而打破关于其他ID的绑定性。请参考第2．10节中的描述。我们给出完全的基于ID陷门承诺的定义，请参考第2．6节。非延展性的概念首先由Dolev等人提出[151，他们提出了一个非延展的公钥加密方案(基于任意陷门单向置换)和一个具有对数轮复杂度的非延展承诺方案(基于任意单向函数)。然而，他们的方案分别需要复杂的非交互和交互的零知识证明。在公用随机串模型下，DiCrescenzo等人[16]提出了第一个非交互的非延展承诺方案(基于任意单向函数)，虽然是非交互的，然而方案应用普通承诺方案非延展地承诺一个比特，效率较低，从而仅仅具有理论上的意义。非延展性的概念可以分为对于承诺的非延展性和对于打开的非延展性。DiCrescenzo等人[16]对对于打开的非延展性定义为，敌手无法根据一个给定的承诺构造出一个新的承诺，在看到原始承诺的打开之后，敌手能够打开其承诺为一个相关的消息。Dolev等人的定义[151似乎要求更多，如果承诺与消息之间是一一映射的(即，承诺是完美绑定的)，他们把这种情况下的非延展性定义为，敌手甚至连产生相关消息的承诺都是不可能的。我们把这一性质称为对于承诺的非延展性。也就是说，只要能产生一个承诺，使其存在与原始承诺消息相关的打开，则不满足对于承诺的非延展性。表面上看来，对于承诺的非延展性比对于打开的非延展性强，即满足前者的方案一定满足后者(产生承诺都不可能，更不用说打开了)，然而我们无法给出这样的证明，甚至对于完美绑定的承诺也无法证明；但是反过来已经证明，对于打开的非延展性不能推出对于承诺的非延展性，Fischlin构造了这样一个反例[43】，满足对于打开的非延展性而不满足对于承诺的非延展性。同时，他还给出对于承诺的非延展性的另一个定义，我们暂且把它记为对于承诺的p非延展性，在这样的定义下，可以证明对于承诺的F一非延展性可以推出对于承诺的非延艮性和对于打开的菲延展性。对于统计上隐藏和完美隐藏的承诺方案来说，考虑对于打开的非延展性是合适的。因为从理论上说，统计上隐藏和完美隐藏意味着任意承诺可以打开为任意消息，所以产生一个对相关消息的承诺是容易的，任意选择一个承诺都满足条件。在本章中，我们在第2．6节对完全的基于ID陷门承诺定义的基础上，基于离散对数系统构造了一个完美隐藏的基于ID陷门承诺方案，然后把其扩展为对于打开非延展的基于ID陷门承诺方案，同时，我们还提出了另一个标准模型下安全的方案。根据我们一36· 陷门承诺、陷f]hash函数及其应用研究第3章基于ID的非延展陷门承诺方案所掌握的信息，这是首次提出基于ID的非延展陷门承诺方案。其实现非延展的主要思想是，在使用一个延展的基于ID陷门承诺方案对消息承诺之后，附加一个有效的三轮零知识证明协议，从而保证敌手知道其承诺的消息。这就意味着敌手知道原始承诺消息的相关消息，这与原始承诺方案的隐藏性相矛盾。然而，简单应用零知识证明协议是行不通的，因为零知识证明本身可能就是延展的。可以采用双方掷币协议来协商零知识证明中的挑战C，从而强迫敌手给出他自己的零知识证明，而无法适应性地修改原始发送者给出的零知识证明。这一思想来源于f17，751，其实f151中的思想也是类似的。本章的结构安排如下：第3．2节引入非延展承诺的三个不同定义并讨论了他们之间的关系；第3．3节提出一个基于工D的陷门承诺方案并证明了其安全性，同时指出了其延展性；第3．4节把第3．3节中的方案改造为非延展的方案，并给出了安全性证明；第3．5节提出一个标准模型下的基于ID!lle延展陷门承诺方案：第3．6节对本章工作进行了小结。3．2非延展承诺的定义非延展承诺的定义思想来源于安全加密方案的定义，即对于任意敌手4打破承诺方案的非延展性，存在一个模拟器47在没有发送者帮助的情况下，以几乎相等的成功概率构造一个相关消息的承诺。我们详细描述这一攻击过程。首先，由可信第三方依据公开分布选择公共参数PubPar，输入PubPar，敌手4根据消息分布M和关系R选择敌手参数AdvPar。发送者S初始化消息m∈RM(AdvPar)。敌手4得到先验信息Hist(m)，在S(m)和7己之间展开中间人攻击。记丌一(4，M，R)为在承诺阶段结束之后，敌手A向7已构造了一个对消息m+的合法承诺的概率，m+满足关系R(AdvPar，Hist(m)，m，m4)；记％黼(4，M，R)为在S打开承诺之后，4成功打开其承诺的概率。在第二个实验中，模拟器∥尝试在没有发送者帮助的情况下，成功地承诺一个相关消息。也就是说，爿在得到随机公共参数PubPar，生成敌手参数AdvPa(，得到先验信。息Hist(m)之后，其中(m，Hist(m))ERM(AdvPa／)，他向死做承诺而无需与5(m)交互。记《帆(∥，M，R)为在公共参数PubPar下，对满足关系R(AdvPar’，Hist(m)，m，m7)的相关消息m7做出合法承诺的概率；记‰n(∥，M，R)为∥成功打开承诺的概率。参照[43]的定义，我们给出三种非延展性的定义如下(把Fiscblin的定义记为对于承一37— 陷门承诺、陷f-]hash函数及其应用研究第3章基于ID的非延展陷门承诺方案诺F一非延展、)：定义3．1一个承诺方案被称为1．对于承诺F一非延展，如果对任意敌手A存在模拟器爿，使得对任意消息空间M和任意非平凡关系R，丌。om(4，M，R)一‰n(月，M，R)是可忽略的。2．对于承诺非延展，如果对任意敌手A存在模拟器爿，使得对任意消息空间M和任意非平凡关系R，‰m(A，M，R)一7‰(爿，M，R)是可忽略的。3．对于打开非延展，如果对任意敌手A存在模拟器47，使得对任意消息空间M和任意非平凡关系R，哳n(4，M，R)一7乞。n(∥，M，R)是可忽略的。Fischlin对引入对于承诺p非延展的定义提出两点理由：一是，如果不定义对于承诺p非延展，则任意统计上隐藏或完美隐藏的承诺都是对于承诺非延展的。因为模拟器只需要输出对某个固定消息的承诺则将以很大的概率成为对相关消息的承诺。然而，这显然与定义非延展性的初衷相冲突。在下节中，我们将看到一个延展的完美隐藏的承诺方案；第二个原因是，即使对于统计上绑定或完美绑定的承诺方案，我们也无法证明设想的更强的非延展定义一一对于承诺的非延展性，可以推出更弱的非延展定义一一对于打开的非延展性，而在引入对于承诺F一非延展性之后，可以证明1辛2和1号3。我们简单说明如下，由‰(爿，M，R)>‰n(∥，M，R)可知‰m(4，M，R)-7岛。n(47，M，R)>7‰∽，M，R)一‰(爿，M，R)，前者是可忽略的则后者也是可忽略的，故1净2。同理，由丌oDm(4，M，R)和‰n(4，M，R)的定义知，亿帆(4，M，R)>7ropen(4，M，R)，7乙en(爿，M，R)≥0，从而丌c咖(4，M，R)一7乙e凡(∥，M，R)>7rope几(4，M，R)一以卿(爿，M，R)，故1令3。上述定义中2和3的关系不是等价的，[43]举了一个反例说明3务2，即存在承诺满足对于打开的非延展性而不满足对于承诺的非延展性；反之，其关系尚未证明。3．3基于ID的陷门承诺方案基于ID的密码体制具有密钥管理简便的优势。按照2．6节中对基于ID陷门承诺的定义，我们构造了一个完全的基于ID的陷门承诺，其思想来源于[44]。在随机预言模型一38． 陷门承诺、陷fqhash函数及其应用研究第3章基于ID的非延展陷门承诺方案中，我们证明了其安全性。3．3．1所提出的方案下：按照2．6节中对基于ID陷门承诺的定义，我们提出一个基于离散对数系统的构造如·KeyGen：令G是由夕生成的GDH群，其阶为素数q。令H：{o，1)+_G+为抗碰撞的全域hash函数。接收者或第三方随机选择主私钥MsK=z∈Rz；，计算并公开主公锅MPK=Y=gzo·Extract-对于身份id，计算h=H(y，id)，输出id对应的陷门TKd=h。。·Com．在承诺阶段中，发送者id运行此算法，随机选择o∈Rz；，计算r=(g口，可n)，输出对消息仇的承诺M=Comid(m，r)=gahm·DCom-在打开阶段中，发送者id运行此算法，输出对承诺M的打开(m，r)。接收者可以验证9口hm兰M，并且<夕，可，夕口，旷>是一个合法的Dim争Hellman元组，从而这是一个合法的打开。·Eqv：．输zX．(MPK，id，T‰，M，m，r，m，)，计算r7=(g口，y口，)，其中9口7=gahm一删，Y口7=y。TK73一m‘。注意到Corn记(mj，r7)=ga'hm7=gahm—m7hm7=gahm并且<夕，y，g∥，Y∥>是一个合法的Di伍争HeUman元组，从而打开(仇，，r7)是合法的。并且，如果r是随机分布的，则r7也是随机分布的。方案的图示见图3-1。一39- 陷门承诺、陷f-Jhash函数及其应用研究第3章基于ID的非延展陷门承诺方案3．3．2安全性分析图3一l基于ID的陷门承诺方案定理3．1图3．1中基于ID的陷门承诺方案是安全的，即，满足无条件隐藏性，并且在随机预言模型和G中CDH假设成立的条件下满足绑定性。证明方案是无条件隐藏的，类似于Pedersen承诺，对于任意承诺M，可以打开为任意消息m，即存在r，满足M=CornJD(m，r)。假设存在·个概率多项式算法A，以不可忽略的概率打破绑定性，即对于某个{厶，输出一对碰撞(m，r)和(m7，∥)，满足COmid,(m，r)=Comid。(m7，rt)，即9口hm=ga'hm。，其COh=H(V，idn)，日为随机预言。我q],-lpA计算出舻=(可口’／u口)∽一m，)-1，这是对“消息"i如的GDH签名[61]，而在随机预言模型中，GDH签名被证明在适应性选择消息攻击下满足存在不可伪造性(基于CDH假设)，从而产生矛盾。同时，敌手A允许询Ifi]Extract(·)预言机，得到多项式个关于弛的GDH签名危茏；，i如≠idi，i=1，2，⋯，poly(·)。我们可以按照GDH签名的模拟方法来模拟Extract(·)预言机。综上所述，在随机预言模型下，方案的绑定性可以归约为CDH假设。一40— 陷门承诺、陷f]hash函数及其应用研究第3章基于ID的非延展陷门承诺方案此处z也对应的私钥^氛即为陷门信息。然而，这一方案对于打开是可延展的。敌手4可以执行中间人攻击，把对消息m的承诺M=夕a危m修改为对消息(m+1)的rg诺M+=九M，当发送者S打开承诺为m时，敌手4打开其承诺M’为(仇+1)，一个易于理解的描述见图孓2。图3-2对于打开的延展性3．4一个基于ID的非延展陷门承诺方案由上节可知，仅仅保证承诺方案的绑定性和隐藏性是不够的，在面对中间人攻击时，一些被严格证明的方案被说明是可延展的。在实际应用中，我们也常常需要有不可延展的承诺方案。例如在使用承诺构造的电子拍卖方案中，敌手试图投出一个比某一诚实用户多一元的标价，如果承诺方案是可延展的，他便很容易修改诚实用户的承诺实现其目的。在本节中，我们提出基于ID的非延展陷门承诺的新概念，据我们所知，这一新概念是第一次被提出。从而在基于ID的密码系统中，我们实现了承诺方案的非延展性，一4】· 陷门承诺、陷f-]hash函数及其应用研究第3章基于ID的非延展陷门承诺方案从而能够抵御对承诺方案的中间人攻击。构造的主要思想来源-于[17，751。方案的描述见图3．3。我们在上节的方案中增加了一个零知识证明(见图3．3中的S，c：d，e)，发送者证明其知道消息m。然而，如果简单地增加零知识证明，所得的方案仍然是可延展的，因为零知识证明本身是可延展的。所以我们还需要用到掷币协议，双方协商出挑战c(掷币协议见图3-3中的阢U，秽，叫)。图3—3基于ID的非延展陷门承诺方案定理3．2图3—3中基于ID的陷门承诺方案是安全的，即，满足无条件隐藏性，并且在随机预言模型和G中CDH假设成立的条件下满足绑定性。一42— 陷门承诺、陷f]hash函数及其应用研究第3章基于ID的非延展陷门承诺方案证明方案绑定性的证明见定理3．1。同时，方案是无条件隐藏的，因为附加的对消息m零知识证明是证据独立的(witnessindependent)，或者说是完美i正据不可区分的(perfectlywitnessindistinguishable)【76]，也就是说，对任意挑战c，传输的值S，d，e的分布与真实消息无关【54】。图3-3中的方案仍然是一个陷门承诺方案，其中弛对应的陷门密钥为九氛，拥有此陷门，可以任意打开其承诺M，其中附加的零知识证明步骤不变。定理3．3在随机预言模型和离散对数假设下，图3—3中基于ID的陷门承诺方案是关于打开非延展的。我们先给出证明的总体思路。给定对某个未知消息m的承诺M(以及证据独立的知识证明SC，d，e)，假设存在敌手A(执行中间人攻击)攻破方案的非延展性，即敌手4承诺的消息m+与消息m满足关系R。如果我们运行一个抽取(Extract(．))算法，能够从敌手4的知识证明中抽取出相关消息m’，则我们得知消息m与m+相关，这将与承诺的完美隐藏性相矛盾。注意，在对承诺不可延展性的形式化证明中，我们需要设计一个模拟器，利用敌手一4，在没有发送者帮助的情况下，生成一个相关消息。而模拟器的最主要部分是抽取算法。参照[17]的证明思路，首先在限制性攻击环境下构造抽取算法，然后扩展为完全攻击环境，最后讨论如何从抽取算法中构造非延展模拟器。对抽取算法的总体描述。我们对敌手4的攻击环境做如下限制：首先，假设敌手4的中间人攻击不违背信息传输的顺序，也就是说，他在收到发送者S的第一个信息之后，才给接收者7已发送第一个信息，在得到冗的回应之后，才回答S等等；其次，敌手4总是成功地承诺和打开了一个相关消息；再次，假设身份的分布ID与敌手参数无关，即，身份先于敌手参数确定。第一二个限制条件将在完全攻击环境中被一一去除，而第三个假设类似于基于ID密码系统中的“选择ID假设”(selective-IDassumption)，去除此假设是一个有挑战性的问题。为了得到敌手4的消息m‘，我们利用承诺方案中的零知识证明。直观上看，零知识证明保证证明者知道消息，也就是说，我们可以与证明者执行一些实验，抽取出此消息。在此承诺方案中，我们生成参数p，q，g，M，S，c，d，e，假装成S和冗，与4执行一个一43— 陷门承诺、f-Jhash函数及其应用研究第3章基于ID的非延展陷门承诺方案模拟的中间人攻击。更进一步，我们随机选择91，令九1=(gigA)卢，其中A，p∈RZ口。随机选择咖，vo∈冗z口，插入夕1，hl和U=(gig^)如hP到此实验中。我们开始抽取算法如下，首先代表发送者发送对消息m，Uo，s的承诺M，阢S，然后，按照对传输信息顺序的假设，敌手发送M+，U+，S+(可能对M，以S做了改变，而并不知道相应的打开m。，r+等等)。见图3—4。图3．4知识抽取我们两次运行承诺阶段剩下的步骤，把第二次运行重置到接收者选择W并发送给敌手4。为了区分两次运行，我们为两次运行产生的信息增加下标，如乱1，U‘l，U2，U2‘等等。．44． 陷门承诺、陷f]hash函数及其应用研究第3章基于ID的非延展陷门承诺方案在第一次运行中，敌手接收到叫1之后，传递叫；给(模拟的)发送者S，希望S打开对乱的承诺U以及提供关于承诺M的知识证明(对于挑战(u1+W1‘)rood．口)。由Pedersen承诺的陷门特性，因为我们知道109(9。矿)hi，所以可以打开承诺U为任意消息Ul。我们选择Ul使得(钍1+W1。)rood口与给定的值c相等，计算Vl=VO+(uo—U1)／Zrood口，容易验iiEU=(919A)Ul^；1。因此，d署fie是完成关于承诺M的知识证明的合适的值。最终，敌手回答对U+的打开为乱；，秒；并完成剩下的关于承诺M+的知识证明步骤(对于挑战(u；+W1)modq)。现在我们重置这一过程并选择另一个随机挑战W2，敌手随后决定他的值W；(可能与其之前的选择叫；不同)并发送给S。再次，我们打开U为U2使得c=地+W；modq。敌手完成承诺阶段，打开矿+为乱；，谚并完成知识证明的步骤。基本的知识证明范例『3，77，7s]告诉我们，如果我们得知A和冗之间的两次合法运行，这两次运行采用相同的承诺M+，矿，9但是不同挑战，则我们可以抽取出消息m+。因此，如果敌手的打开满足U；=让；而我们的选择满足W1≠W2(发生的概率为1一l／q)，则产生了两个不同的挑战U：+Wl，U；+W2，因此我们能在4与冗的两次运行中抽取出消息m+。而我们需要考虑的是敌手“作弊"的概率，即敌手对矿提供了不同的打开u；≠U2‘。我们需要证明敌手不能计算对U+的不同打开，否则我们能解决离散对数问题。因此，在离散对数假设下，敌手无法提供不同的打开从而我们能以不可忽略概率抽取出消息仇’。限制性攻击环境下的抽取算法。在限制性攻击环境下，我们对敌手4做如下限制：首先，假设敌手A的中间人攻击不违背信息传输的顺序；其次，假设身份的分布ID与敌手参数无关，即，身份先于敌手参数确定。．对[3，78】中知识抽取算法的一个重要修改是，在进入循环阶段后，抽取算法不仅在成功之后停止，而且在敌手么赢的时候停止而没有输出，即在循环i，歹中，敌手成功完成了承诺，并且把U+打开为两个不同的值U：≠u：。在这种情况下，抽取算法无法抽取出消息。我们分析抽取算法成功的概率。令7r为4与冗成功完成承诺阶段的概率。基本的抽取算法告诉我们，抽取算法成功的概率为丌一1／q—Em)，其中，e∽)表示4赢的概率(佗为安全参数)。原因在于，如果4没有赢，即4的打开全部相等吨=札乞=⋯，从一45— 陷门承诺、陷门hash函数及其应用研究’第3章基于ID的非延展陷门承诺方案而挑战(乱乏+wi，)roodg，J=1，2，⋯是独立分布的。因此类似于[3，7S]，抽取算法抽取出消息的概率为7r一1／q—E(佗)。最终我们希望证明抽取算法成功的概率接近于7kn(4)，我们首先证明E(n)与7r一7ropen(4)大致相等，或者说，6(佗)=E(n)一(丌一％黼(4))是可忽略的。我们可以把7r一7r9p。n(4)想象成4成功完成承诺但是没有计算出相关打开的概率。这样，抽取算法成功的概率7r一1／q—E∽)=7rop饥(4)一1／q一6(礼)。如下引理说明概率6(n)是可忽略的。弓lt]i3．1在离散对数假设下，6(n)=E(n)一(丌一7I．open(4))是可忽略的。证明我们参考[17]的证明思路，这里简要给出其思想。假设6(佗)是不可忽略的，即4赢的概率E(n)=6(n)+何一7r哪凡(么))也是不可忽略的，我们说明如何利用4解决离散对数问题，即给定某个群Gg，生成元跏和元素X∈q，计算10990X。我们把给定的值G口，go，x嵌入到抽取算法中。随机选择入，p∈Rz；，设置参数为：g=go，91=g-j'X，h1=Xp，并按照方案的描述计算M，配S，c，d，e。因此9，91，h，hi是群G口的随机生成元，并且，夕1矿=夕一入Xg入=X，从而log(91矿)hi=卢roodq。对于值G口，夕，91，h，hi和M，以S，我们与4执行如图孓4所示的抽取算法。在进入重置过程后，我们打开承诺U为适当的值使得掷币协议总是得到相同的挑战C，这是可能的，因为通过参数生成我们得知log(g。gA)hi。在实际的抽取算法中，4赢的概率为E(佗)=6(n)+(7r一7f．open(4))，假设6(n)是不可忽略的，则4在t和歹两次执行中以不可忽略的概率4n)得到了两个不同的打开乱：≠嵋。从而有：(919K)让：九，=u+=(夕1夕碍)哼^；：；从而夕，一哼9Nu：一芍哆=^，一喀代入夕=go，91=g-’'X，h1=Xp，整理得毋盼譬嵋M嵋一哆’=∥(略一哼)+(嵋一tl：)．46— 陷门承诺、陷["]hash函数及其应用研究第3章基于ID的非延展陷门承诺方案于是我们求得离散对数l099。X=((N乱；一芍q)一A(乱：一q))／(p(哆一呓)4-(q一乱；))。总之，我们抽取出某个消息m7的概率为‰n(4)一1／q一6(n)(与敌手成功概率‰n(4)的差别是可忽略的)，最后一步要证明m7实际上等于敌手的打开m+，除了一个可忽略概率之外(或者更准确地说，m7至少为m+的一个合适替代，使其同样满足关系R)。记7ropen(￡)为抽取算法返回m7并B．m7与m存在关系R的概率。引理3．2概率丌嗍(￡)与丌邺(4)一1／q一6(礼)的差别是可忽略的，即抽取算法返回消息仇7并且满足R(m7，m)的概率％蝴(￡)与敌手成功的概率7r伽(A)的差别是可忽略的。证明如果结论不成立，我们证明这将导致CDHI；]题的解决，即给定(go，Y=鳐，‰)，我们能计算出^5。设置夕=go，h=ho(对于某个目标IDida)，选择m∈RM，a∈Rz口，设置M=gahm，随机选择gl∈RG口，入，W∈Rz：，设置^1=(gl矿)"，运行抽取算法。在抽取算法中，如果敌手4成功完成承诺阶段，我们提供M的打开(仇，r)给敌手，并获得敌手对于M+的打开(m’，r+)。如果敌手没有正确地打开M+，则抽取算法终止。由引理3．1可知，抽取算法得到M+的打开(m7，r7)的概率为7kn(4)一1／q—J(n)。我们关心的是m7满足关系R的概率。如果7rapen(E)与7ropen(4)一1／q一6(n)的差别是不可忽略的，即以丌。脚(4)一1／q一6(n)的概率抽取出的仇7不满足R。特别的，因为m+是满足R的，所以一定会有m7≠m’，也就是说，我们以不可忽略的概率得到了M+的一对碰撞(m+，r·)和(m7，r，)，即夕口’hm+=夕。’忍删，从而铲=(ya*／yo')(仇’一m‘)～，解决J"CDHI；-]题_(go，Y，ho，·)。因此，在CDH假设下，抽取算法返回m7满足R(m，m7)的概率‰n(￡)与7k几(4)一1／q一万(n)的差别是可忽略的。完全攻击环境下的抽取算法。通过简单的观察可知，信息传输的顺序与上述证明过程无关，因此可以把限制性攻击环境的第一个限制条件去除。需要指出的一点是，在本方案的证明中，我们要求身份idn先于敌手参数确定，去除这一限制是一个有挑战性的问题，这一限制类似于基于ID密码系统的“选择ID"(selective-ID)假设。一47— 陷门承诺、陷门haSh函数及其应用研究第3章基于ID的非延展陷门承诺方案抽取算法推出非延展性。最后，我们从抽取算法构造一个非延展模拟器47。非延展模拟器47生成抽取算法所需的公开参数。在抽取算法中，爿需要在不知道发送者的消息m的情况下，提供对m的承诺M以及零知识证明S，c，d，e。我们让47任意选择一个消息m0∈M并计算M，Sc，d，e作为替代。因为承诺M是完美隐藏的，S，c，d，e的分布与mo无关，所以这些值与真实值是不可区分的。最终，模拟器爿把抽取算法的输出作为其输出。通过前文对抽取算法的描述可知，47成功的概率至多比敌手成功的概率减小一个可忽略的量。至此，我们完成了对定理3．3的证明。3．5标准模型下基于ID的非延展陷门承诺方案上节的方案在随机预言模型下证明了安全性，本节提出标准模型下可证明安全的基于ID的非延展陷门承诺方案。方案需要更强的数学假设，IPSDH(StrongDiffie-Hellman)假设。这一假设首先I扫Boneh和Boyen弓],A．[60]。令G为素数阶循环群，其阶为素数g，生成元为g。SDH假设说明，在给定G，夕，9z，旷2，旷3，⋯的情况下，没有概率多项式时间的算法能计算一对(e，九)使得铲+e=夕成立，其中z∈RZ口为随机数。我们给出其定义如下：定义3．2(SDH假设)．我们说素数阶循环群G(其阶为素数q，生成元为夕)上f—SDH假设成立，如果对任意概率多项式时间算法4如下概率：Problz卜Zq：4(夕，旷，旷2，⋯，gXl)=(e∈zq，h∈G)lh舛e=gl关于n=⋯是可忽略的，其中，概率由(口，夕，f)卜IndexGen(1竹)，z∈Rz口和4的随机硬币决定。我们构造的方案如图3·5所示，其思想来源于[11]中基亍=SDH假设的多陷门承诺。定理3．4图3—5中基于ID的陷门承诺方案是安全的，即满足无条件隐藏性，并且在SDH假设下满足绑定性。证明方案是无条件隐藏的。类似于Pedersen承诺，对于承诺M，可以打开为任意消，gm，即存在F=97，满足M=ComlD(m，F)。并且，与定理3．2的证明同理，附一48- 陷门承诺、陷f-Jhash函数及其应用研究第3章基于ID的非延展陷门承诺方案图3-5标准模型下基于ID的非延展陷门承诺方案加的对消息m的零知识证明是证据独立的，即，对任意挑战C，传输的值S，d，e的分布与真实消息无关。方案的绑定性基于SDH假设，参N[111中的证明。假设存在_个概率多项式时间算法4，以不可忽略的概率打破绑定性，即对某个tdn，输出一对碰撞(m，F=矿)和(m7，F，=夕r，)，满足com记。(m，F)=Comidn(m'，F7)=M=9口，由于<夕，F=g’，hg协，Mg—m>为一个Diffie-Hellman元组，所以Q—m=r(z+idn)；同理口一m7=r7(z+t厶)，两式相减，得m—m7=(r，一r)(z+t如)，即：9(m—m’)=(F，F一1)z+编=亭^d。=9(。+‘如)～=(F7F一1)∽一m7)～(3．1)由[60】可知，五dtI可看成是对idn的“弱签名”。也就是说，敌手即使得到f个签名五d。，^d2，⋯，五d。(其中zdl，id2，⋯，弛在公开参数g，^生成之前产生)，也无法生一49． 陷门承诺、陷f-]hash函数及其应用研究第3章基于ID的非延展陷门承诺方案成对z如的签名五厶(基于(f+1)一SDH假设)，其中{厶≠t也，i=1，2，⋯，l。因此，在SDH假设下，方案是绑定的。此处i以对应的私钥五如=9(舛ida)-1即为陷门信息。因为由式3．1可知，如果知道陷门信息五d；和一个打开(m，F)，我们可以任意打开承诺M为(m7，F，)，其中F7=F(Ad。)m一州。定理3．5在SDH假设下，图3-5斗'基于ID的陷门承诺方案是关于打开非延展的。证明过程类似于定理3．3。我们利用敌手A(执行中间人攻击)，构造一个抽取算法。由定理3．3可知，抽取算法成功的概率为丌一1／q—E(n)="Ropen(4)一1／q一6(佗)，其中e(几)表示敌手4赢的概率，即在两次循环i，歹中把u’打开为两个不同的值U；≠乱；的概率，参见[]3-4。我们通过两个引理证明非延展性。如下引理说明6(礼)是可忽略的，从而抽取算法成功的概率与敌手A成功的概率7r唧(4)的差别是可忽略的。引理3．3在离散对数假设下，6(n)=E(亿)一(7r一7rope。(4))是可忽略的．证明类似于引理3．1的证明，假设6(礼)是不可忽略的，则4赢的概率E(佗)=6(礼)+(7r一％黼(4))也是不可忽略的，我们说明如何利用4解决离散对数问题，即给定某个群G，生成元夕0和元素X∈G，计算l0990X。随机选择入，p∈Rz；，设置参数为：g=go，91=goAX，h1=Xp由于夕1矿=goAx茹=X，log(舢^)hi=proodq。所以，在此参数设置下，在进入重置阶段后，我们可以打开承诺U为适当的值使得掷币协议总是得到相同的挑战C。在实际的抽取中，4赢的概率为E(n)=6(n)+(丌一哳n(4))，假设6(n)是不可忽略的，则4在z和歹两次执行中以不可忽略的概率e(礼)得到了两个不同的打开u；≠u；。从而有：’(夕19A：)u：^，=(919芍)哼^≯从而夕，一嵋夕xu：一芍哼=^，一忻，代入夕：go，91：酊AX，h1=Xa，整理得：毋：u：一芍u；’一入‘缸：一嵋’：．x声(吩一t，；)+(哼一u：)一50— 陷门承诺、陷门haush函数及其应用研究‘第3章基于ID的非延展陷门承诺方案所以离散对数logg。x=((Ku；一碍哆)一A(u：一哆))／(p(吁一Vi‘)+(札；一u：))。‘综上所述，如果6(佗)是不可忽略的，则我们以不可忽略概率求得离散对数loggox。从而在离散对数假设下，6(n)是可忽略的。引理3．3说明抽取算法成功抽取出某个消息仇7的概率与敌手成功的概率丌Dpen(A)的差别是可忽略的，最后一步要证明仇7实际上等于敌手的打开m+，除了一个可忽略的概率之外(或者更准确地说，∥至少为m4的一个合适替代，使其同样满足关系R)。同样地，记％邮(￡)为抽取算法返回m7并Am7与m满足关系R的概率。引理3．4在SDH4K'i殳-T，概率嘞帆(E)与丌蝴(4)一1／口一6(n)的差别是可忽略的，即抽取算法返回消息m7并且满足R(m7，m)的概率7『叩饥(￡)与敌手成功的概率‰n∽)的差别是可忽略的．证明如果结论不成立，我们证明这将导致SDH问题的解决，即给定(g，h=旷)，我们能计算出(id．，知。)，其中五d。=夕(蚪池)～。随机选择夕1∈RG，入，W∈Rzq，设置hi=(gigA)删，运行抽取算法。如果％黼(E)与丌。卿(4)一l／口一6(n)的差别是不可忽略的，即以丌。脚(A)一1／q一6(佗)的概率抽取出的m7不满足R。特别的，因为m+是满足R的，所以一定会有m7≠m4，也就是说，我们以不可忽略的概率得到了M+的一对碰撞(m’，P)和(m7，尸)，从而，类似于3．1式，得五dtI=9(z+纪n)-1兰(F7F,-1)(m。一∥)～，从而解决了SDH问题。结论得证。抽取算法推出非延展性。最后，我们从抽取算法构造一个非延展模拟器∥。非延展模拟器∥生成抽取算法所需的公开参数。类似定理3．3中的证明，模拟器A7把抽取算法的输出作为其输出。通过上述对抽取算法的描述可知，∥成功的概率至多比敌手成功的概率减小一个可忽略的量。至此，我们完成了对定理3．5的证明。3．6本章小结之前文献定义的基于ID的陷门承诺[43]，其公共参数与某个特定的td0有关，不满足基于ID的密码系统的要求。因为在基于ID的密码系统中，有一对主密一51． 陷门承诺、陷I'-JhashJ函数及其应用研究第3章基于ID的非延展陷门承诺方案钥(MSK，MPK)，由主私钥MSK为每一个id生成相应的用户私钥。f43]cp的方案无法模拟Extract(．)预言机。更糟糕的是，该方案存在密钥泄露问题，见2．10节中的讨论。我们把这类方案称为非完全的基于ID的陷门承诺。非完全的基于ID的陷门承诺不能直接改造为基于ID的陷f]hash函数。在本章中，我们根据2．6节对完全的基于ID的陷门承诺的定义，把基于ID的陷门承诺与无密钥泄露的陷f]hash函数联系起来，根据构造无密钥泄露陷f]hash函数的思想，构造了一个完美隐藏的完全的基于ID的陷门承诺方案。并在讨论承诺非延展性的三个定义及其相互关系的基础上，把方案改造为关于打开非延展的基于ID的陷门承诺方案，然后证明了其安全性。同时，我们还提出了一个基于标准模型的构造。·52— 陷门承诺、陷门hash函数及其应用研究第4章陷门HASH函数在在线／离线签名中的应用第4章．陷f-]hash函数在在线／离线签名中的应用陷f]hash函数的一个重要应用是设计在线／离线签名。在线／离线签名的概念由Even，Goldreich，和Micali[26，791首先提出，其目的是提高签名的响应速度。他们提出了一个把任何签名方案转换为在线／离线签名方案的通用方法。然而，这一方法并不有效，它使签名长度增加了一个平方因子。Shamir和Tauman[27]采用陷f]hash函数设计了一个新的机制，即“hash-sign-switch’’机制，以设计更有效的在线／离线签名方案。本章讨论了无密钥泄露的陷f]hash函数在在线／离线签名中的应用，特别是在基于群体的在线／离线签名，如在门限签名和聚合签名中的应用，从而提高了此类签名方案的效率。4．1预备知识在线／离线签名的过程分为两个阶段。第一个阶段是离线的，在不知道签名消息的情况下提前进行；第二个阶段是在线操作的，在得知签名消息之后进行。离线阶段产生的预计算结果被保存下来用于在线阶段中对消息的签名。采用Shamir和Tauman[27]的“hash-sign．switch’’机制可以把任意签名方案转化为在线／离线签名方案。在在线／离线签名中，签名者是陷门信息的拥有者。因此，在离线阶段，签名者首先选择一个随机的消息m，和一个附加的随机数r7，然后对其陷f]hash值％KmI，r7)计算签名仃。在在线阶段，签名者对签名消息m计算此hash值的一个碰撞7’，使得HHKm，r)=HHK(仇，，r，)’则对消息的签名为二元组(盯，r)。于是，如果计算陷f]hash的碰撞比直接签名更有效(正如多数陷f]hash函数)，则可以充分利用离线时的计算资源，提高签名的响应速度。门限签名和门限密码体制的起源可以追溯至UDesmedt和Frankel[801。在门限签名方案中，给定一组n个用户，门限t的阶为素数q且其中的离散对数问题难解。令皿：{0，1)+一z口和凰：{o，1)+一G为两个统计无关的密码学haush函数。每个群成员拥有一个不同的公钥犰和对应的私钥反，其中犰=g矗。令L={yl，Y2，⋯，‰)为群体中几个公钥的集合。·签名：给定一个消息m∈{o，1)+，公钥的集合L={可1，Y2，⋯，‰)，群成员的私／公钥对(z丌，蜘)，按如下步骤生成一个指定验证者可链接环签名：1．计算h=H2(L)和雪=hX*。2．随机选择U∈RZ。，并计算c'r+1=H1(厶雪，m，矿，胪)3．对i=7r+1，⋯，佗，1，⋯，7r一1，随机选择瓯∈RZ口并计算ct+1=／／1(L，雪，m，夕8‘可≯，危5‘雪q)4．计算s霄=牡一z霄％roodq5．计算g如，h“，并计算E卜勖。rifi。，(91193“llh孙IIDV—ZKP(w，r，G1，G2，d))其中玩。ri，泐(·)表示用验证者的公钥对信息的加密，DV-ZKP(w，r，G1，G2，d)表示对(9“，九8n)的一个非交互指定验证者零知识证明，对其构造如下：随机选择W，r，t∈冗Zg并计算c=9"可刍roodPG1=g‘roodPG2=h。roodPh。=H1c，G1，G2)d=t+8n(危++W)modq一88· 陷门承诺、陷门hash函数及其应用研究第5章无收据的电子投票／拍卖方案其中，拈为指定验证者的公钥。证明者把(叫，r，G1，G2，d)发送给验证者。从而，指定验证者可链接环签名为O'L(／Tt)=(C1，81，‘⋯，8n-1，E)。·验证：指定验证者验证对消息m关于公钥集合L的签名几(m)军(Cl，81，⋯，8n-1，E)如下：1．计算忍=H2(L)，指定验证者用其私钥解密E并?4至Ug“，h“，DV-ZKP(w，r，G1，G2，d)和雪。2．验证对(9“，舻n)的零知识证明如下：‘计算<乏罩竺c，：：并验证』，G1(夕8”)^‘+tl，=9droodp、G2(栌)¨伽：∥m。dp3．对i=1，⋯，礼，计算Z7{=gSi谚，Zli／=h'tflq以及Q+1=H1(L，雪，m，《，衫)，如果i≠n。4．验证c1兰玩(厶雪，m，2{，彰)。如果成立，则接受此签名；否则，拒绝此签．名。·可链接性：对于一个固定的公钥集合己，给定关于己的两个签名，orL771,’)=(西，s：，⋯，s：一。，E7)和仃L(mⅣ)=(《，s：，⋯，sZ一，，∥)，其中m’和mⅣ为两个消息。因为E是用指定验证者公钥加密的密文，所以只有指定验证者才能解密E并验证签名的链接性和正确性。在解密E之后，验证者验证是否有矿兰矿。如果等式成立，则验证者判断这两个签名来自同一个群成员；否则，验证者判断这两个签名来自不同的群成员。·89— 陷门承诺、陷门haSh函数及其应用研究第5章无收据的电子投票／拍卖方案5．4．2新的无收据电子投票方案在这一小节中，我们基于上述指定验证者可链接环签名提出一个新的无收据电子投票方案并分析其安全性。我们方案的参与者包括佗个合法的投票者Ⅵ(1≤i≤佗)，一个管理者4和m个计票者互(1≤i≤m)。假设谚和4通过匿名信道相连接。令H：．[o，1)+_{o，1)七是一个安全的全域hash函数。令％(m)为用计票者互的公钥弛对选票m∈SetofVote的加密(SetofVote选票的集合)；SignA(m)为用A的私钥对消息m的签名；DV—LRingSignv。,L(m)表示用Ⅵ的私钥和公钥集合L生成的对消息m的指定验证者可链接环签名。其中用到了门限加密技术以防止单个计票者不诚实。在门限加密中，私钥被拆分成m份，每个计票者得到一个分享，从而至少要亡个计票者联合(￡称为门限加密的门限值)，才能解密。我们提出的无收据电子投票方案由如下几个阶段组成：·注册阶段：一投票者谚通过匿名信道向管理者4提交注册信息。一管理者4验证投票者Ⅵ的合法性。如果验证通过，则管理者4为投票者Ⅵ生成一对私／公钥(娩，犰)，并把私钥玩发送给Ⅵ。一在所有投票者都注册之后，管理者4公布所有合法投票者公钥的集合L={yl，⋯，‰)。一投票者珑验证其公钥是否包含在集合三中。·投票阶段：一管理者4公布投票信息Votelnfo，例如候选者集合。一投票者u从公告牌上获取投票信．皂,Votelnfo和合法投票者公钥的集合三，然后选择候选人m∈SetofVote，计算m，卜％(m)，随机选择8∈R{o，1)七，计算c=H(s，T／I／，Votelnfo)并发送给4。一90— I辂i'-J承诺、陷门hash函数及其应用研究第5章无收据的电子投票／拍卖方案一4计算丁卜Sign4(c，Votelnfo，Time)，并把(ZTime)发送给谚，其中T；me为时戳。一谚验证T是否为一个合法的签名，若不是则中止投票过程；否则，u计算R卜DV-LRingSignv；,L(T，c，Votelnfo)，然后把．(s，mr，c，Time，￡R)放在公告牌上。投票过程如图5—1所示。·计票阶段：计票过程由计票者互执行。一计票者彳验证公告牌上的所有的签名丁以及指定验证者环签名R(特别的，门限加密保证E只能由￡个以上的计票者才能解密)。所有不合法的值将被丢弃。一如果有多个可链接环签名具有相同的雪，则互忽略具有较早时戳的签名。一互用其私钥z五解密m7得到选票m，并验证选票m是否在选票集合SetofVote中。如果m岳SetofVote，则丢弃此选票。最后，互统计所有合法选票并公布结果。下面我们分析上述电子投票方案的安全性。定理5．1所提出的电子投票方案满足如下性质：完备性，隐私性，公正性，合法性，公平性，可验证性，无收据性，选票唯一性．证明我们证明本文提出的方案满足电子投票方案的所有安全需求。·完备性：完备性保证没有人能够伪造一个合法的选票，投票者的选票不能被更改并且合法的选票被正确统计。在我们的方案中，每一个选票在加密之后由投票者通过指定验证者可链接环签名对其签名，此签名是不可伪造的。并且投票者可以验证其选票是否出现在公告牌上，从而所有合法的选票都被正确地统计。·隐私性：在投票阶段中，投票者与管理者通过匿名信道交互。因此，没有人能通过追踪这一通信过程而破坏投票者的隐私性。同时，由于采用指定验证者可链接环签名，只有指定的验证者互才能验证签名的正确性。一9】一 陷门承诺、陷门haSh函数及其应用研究第5章无收据的电子投票／拍卖方案Ⅵ(投票者)A(管理者)(匿名信道)随机选择s∈R．(o，1)七，m∈SetOfVote计算m7卜如(m)c卜H(8，m7，Votelnfo)里．T，Timeo●■。。。·-_-·_______---。‘_______I__-_____·_·__-一验证签名T计算冗卜DV—LRingSignⅥ，L(T，c，Votelnfo)公布{s，m7，C，Time，正R)在公告牌上图5—1投票阶段在公告牌上公布投票信息Votelnfo获取当前时间Time计算T卜SignA(c，Votelnfo，Time)·公正性：公正性要求所有合法的选票都被统计在内。在计票阶段中，计票者互可以通过验证指定验证者可链接环签名的有效性来验证选票的合法性。·合法性：合法性要求只有合法的投票者才能投票。因为不合法的投票者没有成员资格，其公钥不在集合L中，所以无法生成有效的可链接环签名。·公平性：因为计票在投票阶段结束后进行，并且谚在指定验证者可链接环签名中提供了一个知识证明以证明其选票的正确性，所以没有人能够影响投票的结果。·可验证性：因为所有的可链接环签名均公布在公告牌上，投票者可以验证其选票从而满足可验证性。·无收据性：多数传统的电子投票方案不满足无收据性的原因在于，每一个选票在加密后被公开，从而投票者自身能够揭露加密中使用的随机数而证明其选票的内容。当方案要求投票者选择随机数时，投票者往往能够通过此随机数构造一个收据。我们提出的方案允许投票者多次投票，从而能够容易地实现无收据性。注意到，如果一个作弊者C想购买投票者Ⅵ的选票，即使Ⅵ把其所有的信息都交给C，甚至包括其私钥，C也无法相信Ⅵ，因为u可以重新投票而使之前的选票无效。更一92· 陷门承诺、陷门hash函数及其应用研究第5章无收据的电子投票／拍卖方案进一步的，即使作弊者C与若干个计票者互串通，我们的方案仍然能达到无收据性。不诚实的计票者互试图向作弊者证明投票者选票的内容，然而由于我们用陷门承诺构造了一个指定验证者方案，作弊者无法相信计票者互，因为互可以通过其私钥模拟一个证明如下：随机选择d，Q，p∈冗Z口，计算：(W，r，G1，G2，d)从而C无法相信R是一个有效的签名。c=g“modPG1=gd(夕5“)一proodPG2=∥(胁)一口modPh‘=hash口C，G1，G2)W=口一h+r=(Ot一叫)z寻modq·选票唯一性：即使允许投票者多次投票，由于同一个用户所投的选票可以被计票者链接起来，只有最晚的一次投票才被统计，从而保证了选票的唯一性。5．5本章小结应用陷门承诺实现拍卖和投票方案的无收据性是一个自然的想法。Abe和Suzuk[35]利用陷门承诺构造了第一个密闭式标价的无收据电子拍卖方案，Okamoto[36]利用陷门承诺构造了第一个适用于大规模选举的基于盲签名的无收据电子投票方案。在本章中，我们指出了这类采用陷门承诺构造的无收据电子拍卖和电子投票方案的弱点，我们证明即使只有一个拍卖行(计票者)不诚实，这类方案也达不到无收据性。因此，在利用密钥泄露的陷门承诺构造无收据的电子拍卖和电子投票方案时必须谨慎行事。在本章的第二部分中，我们提出了一个构造无收据电子投票方案的新方法。我们首先提出指定验证者可链接环签名的新概念，此类签名保留了普通环签名的所有特一93— 陷门承诺、陷门haSh函数及其应用研究第5章无收据的电子投票／拍卖方案性，并且只有指定的验证者才能验证可链接环签名的链接性和正确性。然后我们利用这一签名构造了无收据的电子投票方案。主要思想是允许投票者多次投票，但只有最晚的一次投票才被统计，从而同时保证了选票的唯一性。我们证明本文的方案满足了投票方案的所有安全需求，即使投票者把其所有的信息交给作弊者，甚至包括其私钥，本文的方案也能满足无收据性。·94— 陷门承诺、陷f-]hash函数及其应用研究第6章总结与展望6．1总结第6章总结与展望承诺(commitment)是一个重要的密码原型，它提供隐藏性和绑定性两个基本性质，成为现代密码学许多协议和应用的重要构造元素，如零知识证明、数字签名、身份鉴别、电子投票、电子拍卖等。自从Brassard等人[1]于1988年首次提出陷门承诺的概念之后，国际上对陷门承诺的研究一直没有间断过，并且出现越发活跃的势头。2000年，Fischlin等人『17】首次给出了有效的交互式基于标准假设(如离散对数假设、RSA假设)的非延展的承诺方案。在陷门承诺的基础上，Krawczyk等人于2000年首次提出了陷f-]hash函数f2】(也称为变色龙hash函数)的概念，并构造了变色龙签名。2001年，Shamir和Tauman提出“hash-sign-switch"机制，利用陷f-]hash函数构造更有效的在线／离线签名。近年来，根据对绑定性和隐藏性不同程度的限制，又出现了许多新的承诺概念和方案。由于陷门承诺和陷fUhash函数在现代密码学许多领域中具有重要应用，因此成为公钥密码体制中一个研究的热点。目前，国内外学者对基于ID的陷门承诺的定义还不够完善，对其研究还不够成熟；另外，对于陷门hash函数的密钥泄露问题导致在线／离线签名效率不高的问题还有待进一步研究，对陷f-]hash函数和陷门承诺在数字签名和电子商务中的应用还有待进一步挖掘。针对这些问题，本文进行了深入的探讨与研究，并取得了如下主要成果：1．在研究承诺方案的安全定义、安全模型及敌手模型的基础上，提出基于ID的非延展陷门承诺的新概念并构造了两个有效的方案。之前文献定义的基于ID的陷门承诺只针对某一个特定的ID，即其公开参数与某一特定的ID相关，不满足基于ID的密码系统的要求，我们修正了这一定义。结合构造多陷门承诺的思想和构造非延展承诺的技术，我们首次提出了两个基于离散对数系统的有效的基于ID的非延展陷门承诺方案，分别基于随机预言模型和标准模型。2．以往的在线／离线门限签名方案往往存在密钥泄露问题，从而在离线阶段必须为-95— 陷门承诺、陷f]hash函数及其应用研究第6章总结与展望每个消息计算相应的陷f]hash和签名，计算和存储开销仍过大。本文利用无密钥泄露的陷f]hash函数，提出了一个新颖有效的在线／离线门限签名方案，由于陷f]hash值可以重复使用，从而大大降低了计算和存储复杂度。3．为了提高聚合签名的响应速度，本文提出在线／离线聚合签名的新概念。然而，如果直接利用密钥泄露的陷f]hash函数构造在线／离线聚合签名方案，仍然存在计算和通信开销过大的问题。本文利用无密钥泄露的陷f]hash函数，构造了一类有效的在线／离线聚合签名方案，从而在突发性的聚合签名需求中有较好的应用。4．最后，我们讨论了陷门承诺在无收据电子投票／电子拍卖中的应用，指出一类采用密钥泄露的陷门承诺构造的电子投票和电子拍卖方案并不满足其声称的无收据性。同时，我们提出指定验证者可链接环签名的新概念，利用陷门承诺构造了一个具体的方案，并基于此签名构造了一个新的无收据电子投票方案。6．2展望本文虽然涉及了陷门承诺和陷fJhash函数及其应用中的若干问题，包括承诺的非延展性、陷门承诺和陷f]hash函数的密钥泄露性、陷f-]hashi函数在在线／离线签名中的应用，以及陷门承诺在电子商务中的应用等问题。但是，陷门承诺是公钥密码中重要的原型，其应用非常广泛。陷门承诺和陷f]hash函数的研究中还有很多问题本文没有解决，还有很多有意义的课题没有涉及到，以下列举了一些需要进一步研究的问题：1．承诺和陷门承诺与其他密码概念如零知识证明、加密、安全多方计算和不经意传。输等的联系需要进一步研究；如何基于不同应用背景和密码假设，设计具有不同性质的陷门承诺方案或提出新的陷门承诺概念需要进一步研究；如何利用陷门承诺设计新的非延展的承诺方案和广义可复合的承诺方案需要进一步研究。2．如何设计标准模型下的基于ID的(非延展)陷门承诺方案和无密钥泄露陷f-]hash函数需要进一步研究。3．“hash-sign-switch”机制提供了把任意安全的签名方案转化为在线／离线签名方案的通用方法，如何进一步提高在线／离线签名的效率值得进一步研究。本文从·96· 陷门承诺、陷f]hash函数及其应用研究第6章总结与展望陷f]hash函数无密钥泄露性的角度提高了在线／离线签名的效率，能否从签名方案出发，研究基于更弱假设而具有更高效率的签名方案(即使没有达到强的安全性)，用于构造安全的在线／离线签名?即基于“hash-sign-switch"机制的在线／离线签名的安全性需要进一步研究。4．陷门承诺在安全数字签名中的应用需要进一步研究。例如陷门承诺使签名方案在标准模型下可证明安全，以及把选择消息攻击(CMA)下安全的签名方案转化为适应性选择消息攻击(ACMA)下安全的方案。5．进一步研究陷门承诺在电子商务中的应用，设计更为有效的电子投票、电子拍卖和公平交换等方案。并从电子商务的应用需求中，寻找能够解决其安全问题的新的陷门承诺概念和方案。因此，对陷门承诺的理论基础，安全定义、安全模型和敌手模型；如何构造有效、可严格证明安全的陷门承诺和陷[]hash函数；如何利用陷门承诺和陷f-]hash函数构造更多新颖的方案，满足实际应用中的安全需求，还需要更深入的研究。随着研究和应用的深入，陷门承诺将在密码方案的设计中发挥不可替代的作用。一97— 陷门承诺、陷f]hash函数及其应用研究参考文献[1]G．Brassard，D．Chaum，C．Crepeau．MinimumDisclosureProofsofKnowledge．JournalofComputerandSystemsScience．1988，37(2)：156-189f2】H．Krawczyk，T．Rabin．ChameleonHashingandSignatures．NetworkandDis-tributedSystemSecuritySymposium(NDSS)．2000，143～154[3】U．Feige，A．Shamir．Zero-KnowledgeProofsinTwoRounds．AdvancesinCryptology-CRYPTO1989．LNCS435，Springer-Verlag，1990，526—544【4]G．Brassard，C．Crepeau，M．Yung．Constant—RoundPerfectZero-KnowledgeCorn-putationallyConvincingProofs．TheoreticalComputerScience．1991，84(1)：23-52[5】M．Bellare，S．Micali，R．Ostrovsky．PerfectZero-KnowledgeinConstantRounds．Proc．ofthe22thAnnualACMSymposiumontheTheoryofComputing(STOC)．ACMPress，1990，482-493[6]R．Cramer，I．Damgard．LinearZero-Knowledge：ANoteonEfficientZero-KnowledgeProofsandArguments．Proc．ofthe29thAnnualACMSymposiumOiltheTheoryofComputing(STOC)．ACMPress，1997，436-445【7]C．Dwork，M．Naor，A．Sahai．ConcurrentZero-Knowledge．Proc．ofthe30thAnnualACMSymposiumonTheoryofComputing(STOC)．ACMPress，1998，409-418【8]G．DiCrescenzo，R．Ostrovsky．OnConcurrentZero-KnowledgewithPre-Processing．AdvancesinCryptologrCRYPTO1999．LNCS1666，SpringeroVerlag，1999，485—502[9]R．Canetti，S．Goldwasser，0．Goldreich，S．Micali．ResettableZero-Knowledge．Proc．ofthe32ndAnnualACMSymposiumontheTheoryofComputing(STOC)．ACMPress，2000—99— 陷门承诺、陷f]hash函数及其应用研究参考文献[10]M．Bellare，M．Fischlin，S．Goldwasser，S．Micali．IdentificationProtocolsSecureAgainstResetAttacks．AdvancesinCryptology-EUROCRYPT2001．LNCS2045，Springer-Verlag，2001，495—511【11]R．Gennaro．Multi-TrapdoorCommitmentsandTheirApplicationstoProofsofKnowledgeSecureunderConcurrentMan-in-the-MiddleAttacks．AdvancesinCryptology-CRYPTO2004．LNCS3152，Springer-Verlag，2004，220-236【12]D．Catalano，I．Visconti．HybridTrapdoorCommitmentsandTheirApplications．Automata，LanguagesandProgramming(ICALP)．LNCS3580，Springer-Verlag，2005，298—310[13]I．Damgard．CommitmentSchemesandZero-KnowledgeProtocols．LecturesonDataSecurity．LNCS1561，Springer—Verlag，1999，63-86【14]S．J．Ong，S．Vadhan．AnEquivalenceBetweenZeroKnowledgeandCommitments．TCC2008．LNCS4948，Springer-Verlag，2008，482—500[15]D．Dolev，C．Dwork，M．Naor．Non-MalleableCryptography．SIAMJornalonCorn-puting．2000，30(2)：391-437【16]G．DiCrescenzo，Y．Ishai，R．Ostrovsky．Non-InteractiveandNon-MalleableCoin-mitment．Proc．ofthe30thAnnualACMSymposiumonTheoryofComputing(STOC)．ACMPress，1998，141—150[17】M．Fischlin，R．Fischhn．EfficientNon-MalleableCommitmentSchemes．AdvancesinCryptology-CRYPTO2000，．LNCS1880，Springer—Verlag，2000，414-432。[18】G．DiCrescenzo，J．Katz，R．Ostrovsky,A．Smith．EfficientandNon-InteractiveNon-MalleableCommitment．AdvancesinCryptology-EUROCRYPT2001．LNCS2045，Springer-Verlag，2001，40卜59[19]H．Lin，R．Pass．ConcurrentNon-MalleableCommitmentsfromAnyOne-WayFune：tion．TCC2008．LNCS4948，Springer-Verlag，2008，571-588一】00— 陷门承诺、陷I'-】hash函数及其应用研究参考文献【20]Z．Zhang，Z．Cao，N．Ding，R．Ma．Non-MalleableStatisticallyHidingCommitmentfromAnyOne—WayFunction．AdvancesinCryptology．-ASIACRYPT2009．LNCS5912，Springer-Verlag，2009，303-318[21]R．Gennaro，S．Halevi，T．Rabin．SecureHash-and-SignSignatureswithouttheRan-domOracle．AdvancesinCryptology-EUROCRYPT1999．LNCS1592，Springer-Verlag，1999，123-139[22]R．Cramer，V．Shoup．SignatureSchemesBasedontheStrongRSAAssumption．ACMTransactionsonInformationandSystemSecurity(TISSEC)．2000，3(3)：161-185[23]D．Chaum．SecuritywithoutIdentification：TransacationSystemstoMakeBigBrotherObsolete．CommunicationsoftheACM，28(10)．ACMPress，1985，1030-1044[24]E．Bangerter，J．Camenisch，A．Lysyanskaya．ACryptographcFrameworkfortheControlledReleaseofCertifiedData．Proc．ofthe12thInternationalWorkshopOilSecurityProtocols．LNCS3957，Springer-Verlag，2006，20-42【25]J．Camenisch，A．Lysyanskaya．AsignatureSchemewithEfficientProtocols．Secu-rityinCommunicationNetworks(SCN2002)．LNCS2576，Springer-Verlag，2003，268-289【26]S．Even，O．Goldreich，S．Micali．On-Line／Off-LineDi舀tMSignatures．AdvancesinCryptology-CRYPTO1989．LNCS2442，Springer-Verlag，1989，263—277【27]A．Shamir，Y．Tauman．ImprovedOnline／OfflineSignatureSchemes．AdvancesinCryptology-CRYPTO2001．LNCS2139，Springer-Verlag，2001，355—367[28】G．Ateniese，B．deMedeiros．Identity-BasedChameleonHashandApplications．FinacialCryptographyandDataSecurity-FC2004．LNCS3110，Springer-Verlag，2004，164-180．．101．， 陷门承诺、陷门hash函数及其应用研究参考文献【29]X．Chen，F．Zhang，K．Kim．ChameleonHashingwithoutKeyExposure．Proc．ofthe7thInternationalInformationSecurityConference-ISC2004．LNCS3225，Springer-Verlag，2004，87-98【30]G．Ateniese，B．deMedeiros．OntheKey-exposureProbleminChameleonHashes．Proc．ofthe4thConferenceonSecurityinCommunicationNetworks-SCN2004．·LNCS3352，Springer-Verlag，2005，165—179[31】X．Chen，F．Zhang，WillySusilo，YiMu．EfficientGenericOn-Line／Off-LineSig-natureswithoutKeyExposure．ACNS2007．LNCS4521，Springer-Verlag，2007，18—30[32]C．Gao，B．Wei，D．Xie，C．Tang．DivisibleOn-Line／Off-LineSignatures．CT—RS．A2009．LNCS5473，Springer-Verlag，2009，148-163[33]M．H．Au，W．Susilo，Y．Mu．IstheNotionofDivisibleOn-Line／Off-LineSignaturesStrongerthanOn-Line／Off-LineSignatures?ProvableSecurity2009．LNCS5848，Springer-Verlag，2009，129-139【34]J．Benaloh，D．Tuinstra．Receipt-FreeSecret—BallotElections．Proc．ofthe26thAnnualACMSymposiumontheTheoryofComputing(STOC)．ACMPress，1994，544-553[35]M．Abe，K．Suzuki．Receipt—FreeSealed—BidAuction．ISC2002．LNCS2433，Springer-Verlag，2002，191—199【36]T．Okamoto．Receipt—FreeElectronicVotingSchemesforLargeScaleElections．Proc．ofthe5thSecurityProtocols．LNCS1361，Springer-Verlag，1997，25—35[37】J．Garay,M．Jakobsson，P．MacKenzie．Abuse-FreeOptimisticContractSigning．AdvancesinCryptology-CRYPTO1999．LNCS1666，Springer-Verlag，1999，449_466．．102．． 陷门承诺、f-]hash函数及其应用研究参考文献[38]D．Boneh，M．Naor．TimedCommitments．AdvancesinCryptology-CRYPTO2000．LNCS1880，Springer-Verlag，2000，236—254[39]R．Cramer，I．Damgard，J．Nielsen．MultipartyComputationsfromThresholdHo-momorphicEncryption．AdvancesinCryptology-EUROCRYPT2001．LNCS2045，Springer—Verlag，2001，280-300【40]M．Jakobsson，K．Sako，R．Impagliazzo．DesignatedVerifierProofsandTheirApph-cations．AdvancesinCryptology-EUROCRYPT1996．LNCS1070，Springer-Verlag，1996，143—154[41】R．Canetti，M．Fischhn．UniversallyComposableCommitments．Advances．inCryptology-CRYPTO2001．LNCS2139，Springer-Verlag，2001，19_40(42】I．Damgard，J．Nielsen．PerfectHidingandPerfectBindingUniversallyComposableCommitmentSchemeswithConstantExpansionFactor．AdvancesinCryptology-CRYPTO2002．LNCS2442，Springer-Verlag，2002，3_42[43]M．Fischlin．TrapdoorCommitmentSchemesandTheirApplications．JohannWolf-gangGoethe-University．Ph．D．Thesis．，2001[44]X．Chen，F．Zhang，H．Tian，B．Wei，K．Kim．Key-ExposureFreeChameleonHashingandSignaturesBasedonDiscreteLogarithmSystems．CryptologyePrintArchive，2009，http：／／eprint．iacr．org／2009／035[45]C．Crutchfield，D．Molnar，D．Turner，D．Wagner．GenericOn-Line／Off-LineThresh—oldSignatures．PKC2006．LNCS3958，Springer-Verlag，2006，58-74【46]X．Chen，F．Zhang，H．Tian，B．Wei，W．Susilo，Y．Mu，H．Lee，K．Kim．EfficientGenericOn-Line／Off-Line(Threshold)SignatureswithoutKeyExposure．Informa-tionSciences．2008，178：4192-4203[47]O．Goldreich．FoundationsofCryptography：BasicTools，v01．1．NewYork，NY，USA：CambridgeUniversityPress，2001—103— 陷门承诺、陷f]hash函数及其应用研究参考文献[48]R．Rivest，A．Shamir，L．Adleman．AMethodforObtainingDigitalSignaturesand’Public-KeyCryptosystems．CommunicationoftheACM．1978，21(2)：120-126[49]M．Abadi，J．Feigenbaum，J．Kilian．OnHidingInformationfromallOracle．JournalofComputerandSystemsScience．1989，39：21-50[50]T．Pedersen．Non-InteractiveandInformation—TheoreticalSecureVerifiableSecretSharing．AdvancesinCryptology--CRYPTO1991．LNCS576，Springer—Verlag，1991，129_140[51]R．Canetti，Y．Dodis，R．Pass，S．Walfish．UniversallyComposableSecuritywithGlobalSetup．TCC2007．LNCS4392，Springer-Verlag，2007，61-85[52]D．Chaum，H．VanAntwerpen．UndeniableSignatures．AdvancesinCryptology-CRYPTO1989．LNCS435，Springer—Verlag，1990，212—216[53]X．Chen，F．Zhang，H．Tian，K．Kim．Identity-BasedChameleonHashSchemewithoutKeyExposure．CryptologyePrintArchive，2009，http：／／eprint．iacr．org／2009／400[54】T．Okamoto．．ProvablySecureandPracticalIdentificationSchemesandCorre-spondingSignatureSchemes．AdvancesinCryptology-CRYPTO1992．LNCS740，Springer-Verlag，1992，31—53[55]I．Damgard．PracticalandProvableSecureReleaseofaSecretandExchangeofSignature．JournalofCryptology．1995，8：201—222[56]M．Fischlin，R．Fischlin．TheRepresentationProblemBasedonFactoring．CT-RSA2002．LNCS2271，Springer-Verlag，2002，79_114【57]S．Halevi．EfficientCommitmentSchemeswithBoundedSenderandUnboundedReceiver．JournalofCryptology．1999，12(2)：77-90．．104．． 陷门承诺、陷f]hash函数及其应用研究参考文献【58]M．Naor．BitCommitmentUsingPseudo-Randomness．JournalofCryptology．1991，4：151-158[59]J．Hastad，R．Impagliazzo，L．Levin，M．Luby．APseudorandomGeneratorfromAnyOne-WayFunction．SIAMJournalonComputing．1999，28(4)：1364-1396【60]D．Boneh，X．Boyen．ShortSignatureswithoutRandomOracles．AdvancesinCryptology-EUROCRYPT2004．LNCS3027，Springer-Verlag，2004，56--73【61]D．Boneh，B．Lynn，H．Shacham．ShortSignaturesfromtheWeilPairings．AdvancesinCryptology-ASIACRYPT2001．LNCS2248，Springer-Verlag，2001，514-532[62]M．Bellare，P．Rogaway．PSS：ProvablySecureEncodingMethodforDigitalSig-nature．IEEEP1363a：ProvablySecureSignatures．1998：http：／／grouper．ieee．org／一groups／1363／p1363a／pssigs．html[63]RSALabs．RSACrypt．Std：EMSAPSS—PKCSlv2．1．2002：26—28，32—37[64]K．Kurosawa，K．Schmidt—Samoa．NewOnline／OffineSignatureSchemeswithoutRandomOracles．PKC2006．LNCS3958，Springer—Verlag，2006，330-346【65]W．Gao，X．Wang，D．Xie．ChameleonHasheswithoutKeyExposurebasedonFactoring．JournalofComputerScienceandTechnology．2007，22(1)：109-113[66]X．Chen，H．Tian，F．Zhang．CommentsandImprovementsonChameleon．Hash-ingWithoutKeyExposureBasedonFactoring．CryptologyePrintArchive，2009，http：／／eprint．iacr．org／2009／319f67]A．Shamir．Identity-BasedCryptosystemsandSignatureScheme。AdvancesinCryptology-CRYPTO1984．LNCS196，Springer-Verlag，1984，4卜53[68jD．Boneh，M．Franklin．Identity-BasedEncryptionfromtheWeilPairing．SIAMJournalofComputing．2000，32(3)：586-615．．105．． 陷门承诺、陷f]hash函数及其应用研究参考文献【69]C．Cocks．AnIdentityBasedEncryptionSchemeBasedonQuadraticResidues．Proc．ofthe8thIMAInternationalConferenceonCryptographyandCoding．LNCS2260，Springer-Verlag，2001，360-363[70]D．Boneh，X．Boyen．SecureIdentityBasedEncryptionwithoutRandomOracles．AdvancesinCryptolo斟《RYPTO2004．LNCS3152，Springer-Verlag，2004，443-459[71]B．Waters．EfficientIdentity-BasedEncryptionwithoutRandomOracles．AdvancesinCryptology—EUROCRYPT2005．LNCS3494，Springer-Verlag，2005，114-127[72】J．C．Choon，J．H．Cheon．AnIdentity-BasedSignaturefromGapDiffie-HeUmanGroups．PKC2003．LNCS2567，Springer-Verlag，2003，18—30[73】F．Hess．EfficientIdentityBasedSignatureSchemesBasedonPairings．SelectedAreasinCryptography．LNCS2595，Springer-Verlag，2003，310-324[74]C．Gentry,A．Silverberg．HierarchicalID—BasedCryptography．AdvancesinCryptolo图，_ASIACRYPT2002．LNCS2501，Springer-Verlag，2002，149-155[75】M．Fischlin，R．Fischlin．EfficientNon-MalleableCommitmentSchemes．JournalofCryptology．2009，22(4)：530-571[76]U．Feige，A．Shamir．WitnessIndistinguishableandWitnessHidingProtocols．Proc．．ofthe22ndAnnualACMSymposiumontheTheoryofComputing(STOC)．ACMPress，1990，416-426[77】U．Feige，A．Fiat，A．Shamir．ZeroKnowledgeProofsofIdentity．JournalofCryp-tology．1988，1：77-94[78]M．Bellare，O．Goldreich．OnDefiningProofsofKnowledge．AdvancesinCryptology-CRYPTO1992．LNCS740，Springer-Verlag，1992，390-420．，106．． 陷门承诺、陷f]hash函数及其应用研究参考文献[79]S．Even，O．Goldreich，S．Micali．On-Line／Off-LineDigitalSignatures．JournalofCryptology．1996，9(1)：35-67[80】Y．Desmedt，Y．nemkel．ThresholdCryptosystems．AdvancesinCryptology-CRYPTO1989．LNCS435，Springer-Verlag，1990，307-315[81]D．Boneh，C．Gentry,B．Lynn，H．Shacham．AggregateandVerifiablyEncryptedSig-naturesfromBilinearMaps．AdvancesinCr)ptology—EUROCRyPT2003．LNCS2656，Springer—Verlag，2003，416-432【82]A．Lysyanskaya，S．Micali，L．Reyzin，H．Shacham．SequentialAggregateSignaturesfromTrapdoorPermutations．AdvancesinCryptology．EUROCRYPT2004．LNCS3027，Springer—Verlag，2004，74_90【83】C．Gentry,Z．Ramzan．Identity-BasedAggregateSignatures．PKC2006．LNCS3958，Springer-Verlag，2006，257-273【84]S．Goldwasser，S．Micali，R．Rivest．ADistalSignatureSchemeSecureagainstAdaptiveChosen-MessageAttacks．SIAMJournalonComputing．1988，17(2)：281—308[85]D．Pointcheval，J．Stern．SecurityArgumentsforDigitalSignaturesandBlindSig-natures．JournalofCryptography．2000，13(3)：361-396[86]P．Feldman．APracticalSchemeforNon-InteractiveVerifiableSecretSharing．Proc．ofthe28thAnnualACMSymposiumontheTheoryofComputing(STOC)．LNCS2271，Springer-Verlag，1987，427-437【87]R．Gennaro，S．Jarecki，H．Krawczyk，T．Rabin．SecureDistributedKeyGenera-tionforDiscrete-LogBasedCryptosystems．AdvancesinCryptology-EUROCRYPT1999．LNCS1592，Springer-Verlag，1999，295-310．．107．． 陷门承诺、陷f-]hash函数及其应用研究参考文献【ss]J．Bar-Ilan，D．Beaver．NonCryptographicFaultTolerantComputinginaConstantNumberofRoundsofInteraction．Proc．oftheACMSymposiumonPrinciplesofDistributedComputation．ACMPress，1989，201—209[89]D．Chaum，T．P．Pedersen．WalletDatabaseswithObservers．‘AdvancesinCryptology-CRYPTO1992．LNCS740，Springer-Verlag，1992，89-105【90]I．Damgard，K．Dupont．EfficientThresholdRSASignatureswithGeneralModuliandNoExtraAssumptions．PKC2005．LNCS3386，Springer-Verlag，2005，346-361【91]V．Shoup．PracticalThresholdSignatures．AdvancesinCryptology-EUROCRYPT2000．LNCS1807，Springer-Verlag，2000，207-220[92]R．Gennaro，S．Jarecki，H．Krawczyk，T．Rabin．RobustThresholdDSSSignatures．AdvancesinCryptology-EUROCRYPT1996．LNCS1070，Springer-Verlag，1996，3514-371[93]A．K．Lenstra，E．R．Verheul．SelectingCryptographicKeySizes．JournalofCryp-tology．2001，14(4)：255-293【94]A．Fujioka，T．Okamoto，K．Ohta．APracticalSecretVotingSchemeforLargeScaleElection．AdvancesinCryptology—AUSCRYPT1992．LNCS718，Springer-Verlag，1992，244-260【95]T．Okamoto．AnElectronicVotingScheme．IFIPWorldConference1996，AdvancedITTools．ChapmanHall，1996，21-30[96]X．Chen，Q．Wu，F．Zhang，B．Wei，B．Lee，H．Lee，K．Kim．NewReceipt—freeVotingSchemeUsingDouble-trapdoorCommitment．Proc．ofthe8thInternationalWorkshopOnInformationSecurityApplications．2007，395-409[97】M．Abe．Mix-NetworksOilPermutationNetworks．AdvancesinCryptology-ASIACRYPT1999．LNCS1716，Springer-Verlag，1999，258-273．．108．． 陷门承诺、陷f]hash函数及其应用研究参考文献[98]R．Aditya，B．Lee，C．Boyd，E．Dawson．AnEfficientMixnet—BasedVotingSchemeProvidingReceipt—Freeness．Trustbus2004．LNCS3184，Springer-Verlag，2004，152——161[99]D．Chanm．UntraceableElectronicMail，ReturnAddresses，andDistalPseudonyms．24(2)(100]B．Lee，C．Boyd，E．Dawson，K．Kim，J．Yang，S．Yoo．ProvidingReceipt—FreenessinMixnet—BasedVotingProtocols．ICISC2003．LNCS2971，Springer-Verlag，2003，245-258[101】C．Park，K．Itoh，K．Kurosawa．EfficientAnonymousChannelandAll／NothingElec-tionScheme．AdvancesinC呻tology-EUROCRYPT1993．LNCS765，Springer-Verlag，1993，248—259【102IM．Jakobsson．APracticalMix．AdvancesinCryptology-EUROCRYPT1998．LNCS1403，Springer-Verlag，1998，448—461[103]K．Sako，J．Kilian．Receipt—FreeMix-TypeVotingScheme：aPracticalSolutiontotheImplementationofaVotingBooth．AdvancesinCryptology-EUROCRYPT1995．LNCS921，Springer-Verlag，1995，393-403【104]J．Benaloh，M．Fischer．ARobustandVerifiableCryptographicallySecureElectionScheme．Proc．ofthe26thIEEESymposiumontheFoundationsofComputerScience(FOCS)．IEEEPress，1985，372-382[105]R．Cramer，M．Franklin，B．Schoenmakers，M．Yung．Multi-AuthoritySecret—BallotElectionswithLinearWork．AdvancesinCryptology-EUROCRYPT1996．LNCS1070，Springer-Verlag，1996，72—83[106】R．Cramer，R．Gennaro，B．Schoenmakers．ASecureandOptimallyEfficientMulti-AuthorityElectionScheme．AdvancesinCryptology-EUROCRYPT1997．LNCS1233，Springer-Verlag，1997，103—118一】09— 陷门承诺、陷f]hash函数及其应用研究参考文献[107】J．Benaloh，M．Yung．DistributingthePowerofaGovernmenttoEnhancethePrivacyofVoters．Proc．ofthe5thACMSymposiumonPrinciplesofDistributedComputing．ACMPress，1986，52-62[108]M．Hirt，K．Sako．EfficientReceipt—FreeVotingBasedonHomomorphicEncryption．AdvancesinC哪tolo驴EURoCR：n’T2000．LNCS1807，Springer-Verlag，2000，393—403[109]B．Lee，K．Kim．Receipt—FreeElectronicVotingSchemewithaTamper-ResistantRandomizer．ICISC2002．LNCS2587，Springer-Verlag，2002；389-406【110]K．Sako，J．Kilian．SecureVotingUsingPartiallyCompatibleHomomorphisms．AdvancesinCryptology-CRYPTO1994．LNCS839，Springer-Verlag，1994，411-424[111]K．Sakurai，S．Mkiyazaki．AnAnonymousElectronicBiddingProtocolBasedonaNewConvertibleGroupSignatureScheme．ACISP2000．LNCS1841，Springer-Verlag，2000，385-399[112】R．L．Rivest，A．Shamir，Y．Tauman．HowtoLeakaSecret．AdvancesinCryptology-ASIACRYPT2001．LNCS2248，Springer-Verlag，2001，552-565[113]G．Chen，C．Wu，W．Han，X．Chen，H．Lee，K．Kim．ANewReceipt—FreeVotingSchemeBasedonLinkableRingSignatureforDesignatedVerifiers．ICESS2008．IEEEComputerSocietyPress，2008，18-23[114]J．Liu，V．Wei，D．Wong．LinkableSpontanrousAnonymousGroupSignatureforAdHocGroup(ExtendedAbstract)．ACISP2004．LNCS3108，Springer-Verlag，2004，325—335[115]P．Tsang，V．Wei．ShortLinkableRingSignaturesforE-Voting，E-CashandAttes-tation．ISPEC2005．LNCS3439，Springer-Verlag，2005，48-60-110— 陷门承诺、陷门haSh函数及其应用研究攻读博士学位期问发表及完成的论文攻读博士学位期间发表及完成的论文1．ChunhuiWu，XiaofengChen，andDongyangLong，ANewEfficientOn-Line／Off-LineThresholdSignatureScheme，ChineseJournalofElectronics，18(2)，321—324，2009．(SCI)2．ChunhuiWu，XiaofengChen，DongyangLong，YiMu，andWinySusilo，ANewSecureDigital-CopyrightedContentDistributionScheme，JournalofComputationalInformationSystems(JoCIS)，4(5)，2343-2349，2009．(EI)3．ChunhuiWu，YuqingXing，XiaofengChen，DongyangLong，HyunrokLee，andKwangjoKim，GenericOn-Line／Off-LineAg口egateSignatures，ICESS2008，107-112，IEEEComputerSocietyPress，2008．(EI)4．GuominChen，ChunhuiWu，WeiHan，XiaofengChen，HyunrokLee，andKwangjoKim，ANewReceipt-FreeVotingSchemeBasedonLiakableRingSignatureforDesignatedVerifiers，ICESS2008，18-23，IEEEComputerSocietyPress，2008．(EI)5．ChunhuiWu，XiaofengChen，FangguoZhang，HyunrokLee，andKwangjoKim，Remarl【sonReceipt—FreeAuction／VotingSchemesUsingCommitment，Chinacrypt2007，333-335，SciencePress，2007．6．ChunhuiWu，XiaofengChen，andDongyangLong，EfficientID—BasedNon-MalleableTrapdoorCommitment．(待投)一111． 陷门承诺、陷f]hash函数及其应用研究致谢转眼间在中山大学的博士生生活即将结束，回首五年的求学生涯，我感慨万千，充满着感激和留恋。这里的一人一事，一草一木都见证着我成长的历程。这将是我人生中最难忘的一段经历，是我一生中最宝贵的财富。在此，向所有关心和帮助过我的老师、同学、亲人和朋友表示衷心的感谢!没有你们的关心和帮助，我无法取得今天的成绩。衷心感谢我尊敬的导师龙冬阳教授对我的淳淳教诲和悉心关怀。感谢他在承担多个学生的指导任务下还能给我精心的指导。我取得的点滴成绩无不凝聚着导师的心血。在攻读博士期间，龙老师为我创造了浓厚的学术气氛和优良的学习条件；他渊博的学识、严谨的学风，让我永志不忘；他引导我掌握科学的研究方法，使我的学习思考能力和独立科研能力有了很大的提高，终生受益；他营造的自由的学术氛围，使我在学业上有更多独立选择和自由发挥的空间；他教会我做人的道理，在我面对困难无所适从、彷徨浮燥的时候，像一盏启明灯，照亮了我的心灵，照亮了前进的方向。龙老师三年以来的言传身教，让我终生难忘，是我今后工作和学习的宝贵财富。衷心感谢我的第二导师陈晓峰副教授一直以来对我学术上的指导和帮助。陈老师是我硕士阶段的导师，是他引领我进入密码学这一令人兴奋的学术领域，使我初窥学术门径；他对密码学的热爱和深刻造诣给了我莫大的启发；与他的讨论让我收获颇多。感谢张方国教授多年来对我学术上的关心，他一直坚持组织密码学讨论班，热烈的讨论让我学到了很多，获益匪浅。感谢马啸教授、韦宝典副教授、王常吉副教授开设的密码学相关课程，他们生动详细的讲解，是我从事科研工作的基石。感谢李琴博士，和我一起度过在中山大学五年的求学经历。感谢师兄樊凯博士、李令雄博士、杜瑞罡博士、赵昌安博士、林惜斌博士，感谢孙志伟博士以及广东省信息安全重点实验室的所有博士同学和硕士同学，感谢他们对我的帮助和支持，感谢我们～起度过的岁月，与他们一起，总是充满了欢声笑语。深深感谢含辛茹苦养育我的父母，他们的支持、鼓励和无私的爱给了我不断进取和前进的动力，他们付出了太多太多，无情的岁月使父母不再年轻。养育之恩，无以回报，愿二老永远健康快乐!感谢我的亲人，感谢叔叔叔母、姐姐姐夫对我无私的关一1】3一 陷门承诺、陷f-]hash函数及其应用研究致谢心。特将此文献给亲爱的爷爷奶奶，在五年的求学生涯中，我失去了俩位亲人。感谢爷爷从小教导我攻读博士学位，感谢慈祥的奶奶对我无私的关心。博士生活即将结束，新的工作和生活即将开始。在今后的人生道路中，我将更加刻苦努力：积极进取，不断提高和完善自己，用更好的成绩来报答所有关心我的人，报答母校对我的培养。我将永远记住，我的事业从这里开始，我的未来从这里起步。．．114．．