基于SM2的代理签名方案及改进方案
基于SM2的代理签名方案
代理签名是指在代理签名方案中,被指定的代理签名者可以代表原始签名者生成有效的签名。包括初始化参数、代理授权、授权验证及代理密钥生成、代理签名的生成和代理签名的验证。
初始化参数
选取SM2公钥密码算法, G G G是椭圆曲线中阶为 n n n的基点。假设Alice是原始签名者,私钥为 d A ∈ [ 1 , n − 1 ] d_A \in [1,n-1] dA∈[1,n−1],公钥为 P A = d A G P_A=d_AG PA=dAG;假设Bob为代理签名者,代表原始签名者Alice签名;验证者Garol对生成的代理签名进行验证。
代理授权
首先代理签名者Bob进行如下操作:
B 1. 随机产生 k b ∈ [ 1 , n − 1 ] k_b\in [1,n-1] kb∈[1,n−1],计算椭圆曲线上的点 G b = k b G G_b=k_bG Gb=kbG;
B 2. 将 G b G_b Gb发送给Alice。
Alice收到Bob发送的信息后,进行下面的步骤:
A 1.随机产生 k a ∈ [ 1 , n − 1 ] k_a\in [1,n-1] ka∈[1,n−1],计算椭圆曲线上的点 G a = k a G G_a = k_aG Ga=kaG;
A 2.计算椭圆曲线上的点 G a b = k a G b = ( x 1 , y 1 ) G_{ab}=k_aG_b=(x_1,y_1) Gab=kaGb=(x1,y1);
A 3.计算 r a b = x 1 m o d n r_{ab}=x_1\ mod\ n rab=x1 mod n,若 r a b = 0 r_{ab}=0 rab=0,则返回步骤A 1。
A 4.计算 s A = k a − 1 r a b d A m o d n s_A=k_a^{-1}r_{ab}d_A\ mod\ n sA=ka−1rabdA mod n,若 s A = 0 s_A=0 sA=0,则返回步骤A 1。
A 5.Alice 将 ( G a , G a b , s A ) (G_a, G_{ab},s_A) (Ga,Gab,sA)作为授权信息发送给Bob。
授权验证及代理密钥的生成
Bob收到授权信息后,对授权信息进行验证,验证过程如下:
B 3. 计算椭圆曲线上另一点 G a b ′ = k b G a = ( x 2 , y 2 ) G_{ab}^{'}=k_bG_a=(x_2,y_2) Gab′=kbGa=(x2,y2);
B 4. 计算 r a b ′ = x 2 m o d n r_{ab}^{'}=x_2\ mod\ n rab′=x2 mod n,若 s A G a = r a b ′ P A s_AG_a=r_{ab}^{'}P_A sAGa=rab′PA,接收委托,否则拒绝委托。
B 5. 计算 d p = s A k b − 1 m o d n d_p=s_Ak_b^{-1}\ mod\ n dp=sAkb−1 mod n, d p d_p dp即为代理签名密钥。
代理签名的生成
当Bob代替Alice对消息M进行签名时,Bob使用的签名密钥是 d p d_p dp,签名过程如下:
B 6. 计算 e = H ( M ) e=H(M) e=H(M)
B 7. 随机产生 k ∈ [ 1 , n − 1 ] k\in [1,n-1] k∈[1,n−1],计算 k G a b = ( x 3 , y 3 ) kG_{ab}=(x_3,y_3) kGab=(x3,y3);
B 8. 计算 r = ( e + x 3 ) m o d n r=(e+x_3)\ mod\ n r=(e+x3) mod n,若 r = 0 r=0 r=0或 r + k = n r+k=n r+k=n,则返回步骤B 7;
B 9. 计算代理签名 s = ( ( 1 + d p ) − 1 ( k − r d p ) ) m o d n s=((1+d_p)^{-1}(k-rd_p))\ mod\ n s=((1+dp)−1(k−rdp)) mod n,若 s = 0 s=0 s=0则返回B 7;
B 10. 代理签名为 ( G a , G a b , r , s ) (G_a,G_{ab},r,s) (Ga,Gab,r,s)。
代理签名的验证
为了验证收到的消息 M ′ M^{'} M′及其代理签名 ( G a , G a b , r ′ , s ′ ) (G_a,G_{ab},r^{'},s^{'}) (Ga,Gab,r′,s′),验证者Garol进行以下步骤:
G 1. 检验 r ′ ∈ [ 1 , n − 1 ] r^{'}\in[1,n-1] r′∈[1,n−1]和 s ′ ∈ [ 1 , n − 1 ] s^{'}\in[1,n-1] s′∈[1,n−1]是否成立,若不成立则验证不通过;
G 2. 计算 e ′ = H ( M ′ ) e^{'}=H(M^{'}) e′=H(M′);
G 3. 计算 r a b = x 1 m o d n r_{ab}=x_1\ mod\ n rab=x1 mod n;
G 4. 计算 t = ( r ′ + s ′ ) m o d n t = (r^{'}+s^{'})\ mod \ n t=(r′+s′) mod n;
G 5. 计算椭圆曲线上点 s ′ G a b + t r a b P A = ( x 3 ′ , y 3 ′ ) s^{'}G_{ab}+tr_{ab}P_A=(x_3^{'},y_3^{'}) s′Gab+trabPA=(x3′,y3′),计算 R = ( e ′ + x 3 ′ ) m o d n R=(e^{'}+x_3^{'})\ mod\ n R=(e′+x3′) mod n,当 R = r ′ R=r^{'} R=r′时,则接收签名,否则拒绝签名。
方案存在的不足
若原始签名者授权了多个代理签名者,则代理签名者可以对自己生成的有效签名进行否认,该方案不满足不可否认性。
改进的方案
将授权信息与代理签名者和原始签名者的身份信息绑定生成证书。恶意代理签名者生成了另外的授权信息 ( G a , G ~ a b , s ~ A ) (G_a, \widetilde{G}_{ab},\widetilde{s}_A) (Ga,G ab,s A)和代理签名 ( G a , G ~ a b , r ~ , s ~ ) (G_a,\widetilde{G}_{ab},\widetilde{r},\widetilde{s}) (Ga,G ab,r ,s )。
初始化参数
m W m_W mW授权证书信息,可以包含原始签名者及代理签名者的身份信息、代理签名者的权限等。
代理授权
此阶段的步骤B 1 ~B 2及A 1~A 3与未改进方案相同,其他步骤为:
A 4. 计算 e 0 = H ( m W ∣ ∣ r a b ) e_0=H(m_W||r_{ab}) e0=H(mW∣∣rab);
A 5. 计算 s A = k a − 1 ( e 0 + r a b d A ) m o d n s_A=k_a^{-1}(e_0+r_{ab}d_A)\ mod\ n sA=ka−1(e0+rabdA) mod n,若 s A = 0 s_A=0 sA=0则返回步骤A 1;
A 6. Alice将 ( m W , G a , G a b , s A ) (m_W, G_a, G_{ab},s_A) (mW,Ga,Gab,sA)作为代理签名的授权信息发送给Bob。
授权验证及代理密钥生成
Bob收到授权信息后进行验证
B 3. 计算椭圆曲线上的另一点 G a b ′ = k b G a = ( x 2 , y 2 ) G_{ab}^{'}=k_bG_a=(x_2,y_2) Gab′=kbGa=(x2,y2);
B 4. 计算 r a b ′ = x 2 m o d n r_{ab}^{'}=x_2\ mod\ n rab′=x2 mod n
B 5. 计算 e 0 = H ( m W ∣ ∣ r a b ′ ) e_0=H(m_W||r_{ab}^{'}) e0=H(mW∣∣rab′),若 s A G a b = r a b ′ P A + e 0 G s_AG_{ab}=r_{ab}^{'}P_A+e_0G sAGab=rab′PA+e0G,则接受委托,否则拒绝委托。
B 6. 计算代理签名密钥 d p = s A k b − 1 m o d n d_p=s_Ak_b^{-1}\ mod\ n dp=sAkb−1 mod n。
代理签名的生成
同上
代理签名的验证
为了验证签名消息 M ′ M^{'} M′及其数字签名 ( m W , G a , G a b , r ′ , s ′ ) (m_W,G_a,G_{ab},r^{'},s^{'}) (mW,Ga,Gab,r′,s′),验证者Garol执行以下操作:
G 1. 检验 r ′ ∈ [ 1 , n − 1 ] r^{'}\in[1,n-1] r′∈[1,n−1]和 s ′ ∈ [ 1 , n − 1 ] s^{'}\in[1,n-1] s′∈[1,n−1]是否成立,若不成立则验证不通过;
G 2. 计算 e ′ = H ( M ′ ) e^{'}=H(M^{'}) e′=H(M′);
G 3. 计算 r a b = x 1 m o d n r_{ab}=x_1\ mod\ n rab=x1 mod n;
G 4. 计算 e 0 ′ = H ( m − W ∣ ∣ r a b ) e_0^{'}=H(m-W||r_{ab}) e0′=H(m−W∣∣rab);
G 5. 计算 t = ( r ′ + s ′ ) m o d n t = (r^{'}+s^{'})\ mod \ n t=(r′+s′) mod n,若 t = 0 t=0 t=0,则验证不通过;
G 6. 计算椭圆曲线上点 s ′ G a b + t r a b P A + t e 0 ′ G = ( x 3 ′ , y 3 ′ ) s^{'}G_{ab}+tr_{ab}P_A+te_0^{'}G=(x_3^{'},y_3^{'}) s′Gab+trabPA+te0′G=(x3′,y3′),计算 R = ( e ′ + x 3 ′ ) m o d n R=(e^{'}+x_3^{'})\ mod\ n R=(e′+x3′) mod n,当 R = r ′ R=r^{'} R=r′时,则接收签名,否则拒绝签名。
Python实现
Python实现参考Python_SM2_Asign_imp
运行结果如下:
O、O、3109068575