一类前向安全签名方案的安全性分析

胡江红

（宝鸡文理学院 数学系，陕西 宝鸡 721013）

1996年，Maobo[1]等人提出了一种特殊的数字签名——代理签名，这种形式的签名一经提出便受到广泛关注。代理签名是指原始签名人将自己的签名权利委托给代理签名人，由于某种原因不能进行签名时，代理签名人可以代表原始签名者产生有效的签名.这种签名可以实现签名权力的委托，让可靠的代理者代替他签名。一般地，一个代理签名需要满足五条安全性要求：可区分性，可验证性，不可伪造性，不可否认性，身份可识别性，但是，在代理签名方案中存在代理签名人密钥泄漏问题，一旦秘钥泄露，就会导致攻击者伪造代理签名，代理签名密钥所产生的所有代理签名将变成无效。1997年，R.Anderson[2]首次提出了前向安全的概念，前向安全理论可以有效地减少因密钥泄漏带来的安全问题，是目前密码学研究的热点。所谓前向安全签名是把密钥的有效期分成T个时段，在每个时段使用不同的签名密钥进行签名，而整个密钥周期里公钥保持不变，这样即使当前时段的密钥泄露，由于攻击者无法推断以前时段的签名密钥，因而不能伪造过去时段里的任何签名，也就不会影响以前时段所产生的签名的有效性。随着前向安全性的提出和实际应用的需要，将前向安全性和其他特殊数字签名如盲签名，代理签名，环签名等相结合，学者们提出了很多特殊的前向安全数字签名方案[3-7]。同时前向安全的概念在电子货币系统，秘钥交换协议等方面也有着重要的应用。但是，目前很多前向安全代理签名方案是不安全的，并不具备真正意义上的前向安全性，比如，刘亚丽[8]等人对基于模m的n方根的前向安全数字签名方案进行分析，指出文献[4，6-7]都是不安全的，不能抵抗伪造攻击，并且签名不具有前向安全性.本文通过对夏祥胜等人[9]，王勇兵等人[10]，王玲玲等人[11]和彭仁杰等人[12]提出的前向安全签名方案进行分析，发现这些方案也是不安全的，一旦代理签名人的签名私钥泄露，就不能抵抗伪造攻击，签名就不具有前向安全性，并总结了这些签名方案不安全的原因。

1 对夏祥胜等人所提方案的安全性分析

具体签名方案请参见文献[9]。该方案是一个前向安全的有代理的广播多重代理签名方案，在该方案中，若第j周期的密钥 xi，j，σi，j被泄露， 攻击者也无法知道第 j周期以前的密钥，所以签名密钥具有前向安全性。但是我们通过分析发现该方案不能抵抗伪造攻击，方案的签名并不具备前向安全性。 若签名者第 j周期的签名密钥 xi，j，σi，j被泄露，攻击者就可以利用 xi，j，σi，j伪造任意周期的有效签名（j，m，si，j，ri，j），从而签名不具备前向安全性。具体过程如下：

若攻击者获得了第 j周期的签名密钥 xi，j，σi，j， 由于 j，si，j，ri，j，Rj都可以从公开信道中获取，所以攻击者想要利用第j周计算第 t周期的签名时，根据密钥进化算法mod q－1 可 以 得 到 ：此时签名密钥是一个和周期 j无关的常数，所以不同周期求出的签名si，j也和时段j无关，故最终的签名也和周期j无关。因此攻击者一旦获得某一周期j的签名密钥 xi，j，σi，j，就可以根据成功伪造出任意周期t的签名，并可以通过验证。所以该方案的签名不具备前向安全性。

另外，跟这个方案类似，文献[9]中还给出了一个前向安全的有代理的有序多重签名方案，签名式子中签名私钥依然是一个与周期j无关的常数，从而也不具有前向安全性，这里不再详述。

2 对王勇兵等人所提方案的安全性分析

具体签名方案请参见文献[10]。该方案是一个前向安全的匿名代理签名方案，虽然利用模二次剩余困难问题改进了代理私钥的生成，但依然存在安全漏洞，不能抵抗伪造攻击，若签名者第i时段的密钥xi被泄露，攻击者包括原始签名人A 就可以利用 xi伪造任意时段的有效签名（m，IDA，T，e′，s′），从而签名不具备前向安全性。具体过程如下：

若攻击者获得了第 i时段的密钥 xi，由于 mw，rA，IDA，δA都可以从公开信道中获取，所以攻击者想要通过第i时段的签名得到第j时段的签名，只需要知道第j时段代理签名私钥，根据密钥进化算法 x=i，从而是一个与时段i无关的常数，即签名私钥xp是一个和时段i无关的常数，所以不同时段求出的签名s=k－expmod p－1也和时段i无关，故最终的签名验证也和时段i无关。因此，攻击者一旦获得某一时段 i的签名密钥 xi，就可以根据成功得到任意时段 j的代理签名私钥1从而成功伪造出任意时段j的有效签名，并可以通过验证。所以该方案的签名不具备前向安全性。

3 对王玲玲等人所提方案的安全性分析

具体签名方案请参见文献[11]。该方案是一个标准模型下基于双线性对的前向安全环签名方案，方案声称即使当前时段的签名密钥泄露，敌手也不能伪造先前的签名，但通过分析发现，事实并非如此，该方案不能抵抗伪造攻击。如果攻击者获得了第 j（1≤j≤T）时段的签名密钥 xs，j和 ys，j，即可伪造任意时段的有效签名，签名不具备前向安全性。具体过程如下：

不妨设系统进入到了第 t（1≤t≤j）个时段，攻击者想代表群体对消息m进行伪造签名，在环签名阶段，由于σi，P，R都可以从公开信道中获取，所以攻击者想要通过第j（1≤j≤T）时段的签名私钥得到第 t（1≤t＜j）时段的签名，只需要通过第 t（1≤t＜j）时段的签名私钥 xs，t，ys，t计算最终的签名 σs=（1/所以签名中的都是一个常数，说明不同时段求出的签名都与时段j无关，验证等式e（P，R）也和时间段j也无关。因此，攻击者一旦获得了第j（1≤j≤T）时段的签名密钥 x和 y，就可以根据

s，js，jmod N和mod N成功伪造任意时段t的有效签名，并可以通过验证。所以该方案的签名也不具备前向安全性。

4 对彭仁杰等人所提方案的安全性分析

具体签名方案请参见文献[12]。该方案是一个基于Euler准则的前向安全数字签名方案，方案也称即使当前的签名密钥泄露了，攻击者得不到此前的各阶段签名密钥的任何信息，也不能伪造前阶段的签名。但通过分析发现，该方案并不能抵抗攻击者的伪造攻击，签名不满足前向安全性。具体过程如下：

若攻击者获得了第i时段的签名密钥si，攻击者就可以伪造任意时段的有效签名，不妨设系统进入到了第j时段，攻击者按照签名过程计算：Pm=H（m||ppub）随机选取，计算R=rP， 并利用第 i时段的签名密钥 si计算，由于R∈E（FP），S′∈E（FP），不妨设R=（Rx，Ry），S′=（），则（j，就是在第j时段对消息m的伪造签名。验证如下：

根据以上分析可得，攻击者一旦获得了签名者第i时段的签名密钥si，就可以成功伪造任意j时段的有效签名，所以该签名方案的签名不具备前向安全性。

5 方案不安全的原因分析

综上所述，这几个前向安全签名方案均存在安全隐患，都不能抵抗伪造攻击，虽然密钥进化具有前向安全性，但是签名并不具有前向安全性，主要原因如下：

2）两个方案中，最后的签名验证等式都与具体时段无关，使得时段参数不是一个有效的参数。

其实，有学者已经指出目前很多前向安全签名方案都不满足前向安全性，比如文献[4－7，11]都相继被指出是不安全的，所以，在实际应用中，我们设计前向安全代理签名方案时应注意避免出现此类安全隐患，使方案具有真正意义上的前向安全性。

6 结束语

本文对几种前向安全的签名方案的安全性进行了深入讨论，通过分析发现这几个签名方案都存在安全漏洞，不能抵抗伪造攻击，最终的签名并不具有前向安全性。因此，设计具有真正意义上的安全高效的前向安全签名方案依然具有很大的研究价值。

[1]Mambo M，Usuda K，Okamoto E.Proxy signatures for delegating signing Operation[C]//Proceedings of the 3th ACM Conference on Computer and Communications Security，ACM Press，1996:48-57.

[2]Anderson R.Two remarks on public key cryptology[C]//Invited lecture In:Forth Annual Conference on computer and communications Security，ACM，1997.

[3]Lin WD，JAN JK.A security personal learning tools using a proxy blind signature scheme[C]//Proceedings of International Conference on Chinese Language Computing.USA:Chinese language computer society knowledge systems institute，2000:273-277.

[4]谭作文，刘卓军.一个前向安全的强代理签名方案[J].信息与电子工程，2003，1（4）:257-259.TAN Zuo-wen，LIU Zhuo-jun.A forward secure strong proxy signature scheme[J].Information and Electronic Engineering，2003，1（4）:257-259.

[5]周萍，何大可.两种具有前向安全性的代理盲签名方案[J].计算机工程与应用，2012，48（5）:51-53.ZHOU Ping，HE Da-ke.Proxy blind signature schemes with forward secure property[J].Computer Engineering and Applications，2012，48（5）:51-53.

[6]肖红光，谭作文.一种前向安全的代理盲签名方案[J].通信技术，2009，42（5）:193-196.XIAO Hong-guang，TAN Zuo-wen.A forward proxy blind signature scheme[J].Communication Technology，2009，42（5）:193-196.

[7]王晓明，陈火炎，符方伟，等.前向安全的代理签名方案[J].通信学报，2005，26（11）:38-42.WANG Xiao-ming，CHEN Huo-yan，FU Fang-wei，et al.Forward secure proxy signature scheme[J].Journal of Communications，2005，26（11）:38-42.

[8]刘亚丽，秦小麟，殷新春，等.基于模m的n方根的前向安全数字签名方案的分析与改进[J].通信学报，2010，31（6）：82-88.LIU Ya-li，QIN Xiao-lin，YIN Xin-chun，et al.Analysis and improvement for forward security digital signature schemes based on n-th root modulem[J].Journal of Communications，2010，31（6）:82-88.

[9]夏胜祥，耿永军，洪帆，等.前向安全的有代理的多重数字签名方案[J].小型微型计算机系统，2009，5（5）:854-858.XIA Shen-xiang，GENG Yong-jun，HONG Fan，et al.Forward secure multisignature with proxy signature scheme[J].Journal of Chinese Computer Systems，2009，5（5）:854-858.

[10]王勇兵，张建中.一种前向安全的匿名代理签名方案[J].计算机工程与应用，2006，25:133-135.WANG Yong-bing，ZHANG Jian-zhong.A forward secure anonymous proxy signature scheme[J].Computer Engineering and Applications，2006，25:133-135.

[11]王玲玲，张国印，马春光.标准模型下基于双线性对的前向安全环签名方案[J].电子与信息学报，2009，31（2）:448-452.WANG Ling-ling，ZHANG Guo-yin，MA Chun-guang.A forward-secure ring signature scheme based on bilinear pairing in standard model[J].Journal of Electronics&Information Technology，2009，31（2）:448-452.

[12]彭仁杰，杨小东.基于Euler准则的前向安全数字签名方案[J].计算机应用与软件，2009，26（4）:260-261.PENG Ren-jie，YANG Xiao-dong.A forward secure digital signature scheme based on Euler’s criterion[J].Computer Applications and Software，2009，26（4）:260-261.