对一种代理签名方案的攻击和改进

孙 颖，许春香，吴 淮，陈艾东

(电子科技大学计算机科学与技术学院 成都 610054)

作为日常生活中手写签名的电子替代物，数字签名已经成为保证信息完整性、不可抵赖性和实现认证的重要手段，并受到学术界的广泛研究。随着电子商务和电子政务的不断发展，普通的数字签名已经不能满足人们日常生活日益发展的需求，众多有特殊性质的数字签名技术被相继提出，由文献[1]提出的代理签名就是其中的一种，其主要功能是实现签名的授权。在代理签名中，一个原始签名人将其签名权利委托给代理签名人之后，代理签名人就可以代表原始签名人进行签名。这种授权的情况广泛存在于现实生活中，如经理不在时，授权其签名权利给其秘书。文献[1]按照授权类型不同，把代理签名分为完全授权、部分授权和基于委托书的授权3类。在完全授权中，原始签名人把自己的签名密钥直接交给代理签名人，使代理签名人具有与其相同的签名能力。显然，完全授权的方式是不实际和不安全的。在部分授权中，代理签名人可以获得一个与原始签名人密钥不同的代理密钥，使代理人生成的签名与原始签名人的签名不同。该方式的缺点是无法限制代理签名人的签名范围，代理签名人可以对任意消息签名。该缺点可在基于委托书授权的签名方式中得到弥补，委托书中详细描述了代理签名人的签名范围、授权有效期以及代理人和授权人的身份等信息。代理签名提出后，引起了研究学者的极大关注，成为密码学的一个研究热点。

文献[2]首先提出了强代理签名的概念，但强代理签名需满足可区分性、可验证性、强不可伪造性、可识别性、不可否认性和可防止签名权利被滥用。之后，很多代理签名方案及其变形方案被相继提出，如门限代理签名[3-4]、代理盲签名[5]、匿名代理签名[5-6]、代理多重签名[7]、一次代理签名[8-9]、指定验证人代理签名[10-11]等。

文献[12]提出了一种新的代理签名方案，该方案的特色是可以用于授权的控制。该文献首先提出了一个基本代理签名方案，并声称该方案满足代理签名的所有安全性质之后，该文发现该基本方案适用于在电子支票系统中限制代理签名人的金融授权，因此基于该基本方案，设计了一个新方案，并提出了一个具体的协议，用于解决代理环境中电子支票的授权控制问题；最后结合前向安全思想，提出了一个具有代理撤销功能的多个代理签名人的代理签名方案，用于更新代理密钥，以便解决代理签名密钥的泄露问题。虽然该文献声称其所有的方案都是安全的，并且给出了一些安全性分析，但本文的研究发现，该文献的方案并不安全，一个敌手可以成功伪造代理签名密钥，冒充诚实的代理签名人生成有效的代理签名，说明该文献的方案不满足数字签名应该具备的最重要、最基本的不可伪造性，有重大的安全缺陷。

为了修正该文献方案的缺陷，本文将分析该代理签名方案，找出其安全性漏洞，并提出一个改进的新算法，以抵抗代理签名密钥伪造攻击。

1 文献[12]的基本方案

1.1 基本代理签名方案

1.2 对基本方案的分析

1) 首先，敌手制作一个委托书w，其中详细说明了原始签名人和代理签名人的身份、授权期限、授权签名的范围等授权信息。

1.3 对基本方案的改进

2) 代理签名生成。拥有代理签名密钥对

2 电子支票的可控授权协议与分析

文献[12]利用其基本代理签名方案设计了一个电子支票的可控授权协议，应用场景如下。

1) 首先，敌手制作一个委托书其中的授权信息可以由敌手任意设置。

文献[12]结合代理签名和前向安全的思想，提出了一个前向安全的代理签名方案，用于方便代理撤销。与本文之前的分析方法类似，文献[12]的前向安全代理签名方案仍然容易遭受代理签名密钥伪造攻击，在此不再重复。

3 结束语

本文分析了文献[12]最近提出的一系列代理签名方案的安全性，包括基本的代理签名方案、电子支票的可控授权协议和前向安全的代理签名方案，指出这些方案的不安全之处，即一个恶意的敌手可以成功伪造代理签名密钥，假冒诚实的代理签名人生成验证有效的代理签名。本文给出了相应的修正方法，使修正后的方案可以抵抗代理签名密钥伪造攻击。

[1] MAMBO M, USUDA K, OKAMOTO E. Proxy signature:Delegation of the power to sign messages[J]. IEICE Trans Fundamentals, 1996, E79-A(9):1338-1353.

[2] LEE B, KIM H, KIM K. Strong proxy signature and its applications[C]//SCIS 2001. Oiso, Japan: The Institute of Electronics, Information and Communication Engineers,2001: 603-608.

[3] SHAO Z H. Improvement of threshold proxy signature scheme[J]. Computer Standsrds & Interface, 2004, 27:53-59.

[4] ZHANG K. Threshold proxy signature scheme[C]//Proc of the 1997 Information Security Workshop. Tatsunokuchi,Ishikawa, Japan: Springer-Verlag, 1997: 191-197.

[5] ZHANG Fang-guo, NAINI R S, LIN C Y. New proxy signature, proxy blind signature and proxy ring signature schemes from bilinear pairings[R]. Cryptology ePrint Archive Report, 2003.

[6] YU Yong, XU Chun-xiang, HUANG Xin-yi, et al. An efficient anonymous proxy signature scheme with provable security[J]. Computer Standards & Interfaces, 2009, 31(2):348-353.

[7] YI L, BAI G, XIAO G. Proxy multi-signature scheme: a new type of proxy signature scheme[J]. Electron Lett, 2000,36(6): 527-528.

[8] KIM H, BAEK J, LEE B, et al. Secrets for mobile agent using one-time proxy signature[C]//The Institute of Electronics, Information and Communication Engineers.Oiso, Japan: [s.n.], 2001: 845-850.

[9] MEHTA M, HARN L. Efficient one-time proxy signatures[J]. IEE Proceedings of Communications. 2005,152(2): 129-133.

[10] ZHANG Jian-hong. An improved designated-verifier proxy signature scheme[C]//International Conference on Networking, Architecture and Storage 2007. Guilin, China:IEEE Press, 2007: 77-82

[11] YU Yong, XU Chun-xiang, ZHANG Xiao-song, et al.Designated verifier proxy signature scheme without random oracles[J]. Computers and Mathematics with Applications, 2009, 57(8): 352-1364.

[12] SUNITHA N R, AMBERKER B B. Proxy signature scheme for controlled delegation[J]. Journal of Information Assurance and Security, 2008, 2: 159-174.