有指定秘书的_t_n_门限群签名体制(2)

谢　琪等:有指定秘书的(t,n)门限群签名体制157

对群签名进行签名,群签名的接收者先验证群签名确实是由指定的秘书发布的,然后再验证群签名的合法性Ζ本文基于离散对数问题,设计了一类只有指定的秘书才能发布有效群签名的可追查签名者身份的(t,n)门限群签名体制,而群签名的接收者只需利用群公钥和指定秘书的公钥验证群签名,即只需验证一个等式就可以确定是合法的群签名Ζ而且该体制在系统更新时,无须更改每个成员的子密钥,群中成员的子密钥可以无限制的使用;成员的增加或删除不影响群中其他的成员;而且t个成员合谋无法假冒其他成员生成有效的群签名Ζ

§2　(t,n)门限群签名体制

这一节基于离散对数问题构造了一类安全的只有指定秘书才能发布有效群签名的可追查签名者身份的(t,n)门限群签名体制,它由系统初始化、个体签名的生成、个体签名的验证

(t,n)门限群签名的验证和身份追查四部分组成Ζ和(t,n)门限群签名的生成、

211　系统初始化

由系统产生以下参数:θ和q,满足pθ是(pp,11系统取三个大素数p,p

θ)中阶为q( )Α是GF(p

γi∈RUi的子密阴,并计算群中每个21取q、s

siIDPi=gIDSimodp(i=1,2,…,n)ΖΑodp

γγssiiθ(i=1,2,…,n),并任选t对值(IDSi,Αθ)(不妨设i=1,2,…,t)利3Αmpmodp

t-1

用拉格朗日插值定理构造秘密多项式f(x)=∑axi

i=0i(modq),然后把n-t个IDSi代入秘γsiθ)(i=t+1,t+2,…,n),显然对于密多项式,求得f(IDSi),并计算ci=Α-f(IDSi)(modp

i=1,2,…,t有ci=0Ζ

γsiθ),公钥yi=gximodp;41显然群中每个成员Ui的密钥为xi=f(IDSi)=Α-ci(modp

()群密钥为f(0),群公钥为y=gf0modpΖ

scθ和公钥yc=51任取sc∈RZq为指定秘书(DC)的秘密值,计算DC的私钥xc=Αmodp

gcmodpΖx

γi)密送给群中的每个成员Ui,把sc密送给DC,在公告栏中公布(p,pθ,61把子密钥(si,s

,H( ),IDPi,ci,yi,y,yc)(i=1,2,…,n)Ζq,g,Α

212　个体签名的生成

设m是被签名的消息Ζ不失一般性,不妨设参加(t,n)群签名的t个人为(U1,U2,…,Ut),他们一起执行下列步骤完成个体签名Ζ

siθ和密11每个Ui和DC从公告栏中获取相关参数,计算自己的秘密身份IDSi=Αmodp

γsiscθ),xc=Αθ,这些值可以预计算Ζ钥xi=Α-ci(modpmodp

21每个Ui任取ki∈RZq,计算ri=gkimodp,IDPkjimodp(j≠i),并把(ri,IDPkjimodp)广播给其他成员Ζ

Sj31所有成员不妨设Uj收到其他成员的(ri,IDPkjimodp)后,验证rID=IDPkji的正确i

性Ζ若所有的验证式都正确,则把IDSi秘密发送给其他成员Ζ