简要介绍数字签名之盲签名

学号：15180288015

参考：http://blog.csdn.net/win_in_action/article/details/39156579

            http://wiki.mbalib.com/wiki/盲签名

【嵌牛导读】：一般的数字签名思想是产生一串仅发腊仿送者能够产生的别人无法伪造的数字串，这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。不同于一般数字签名，盲签名的签名者是不知道其所签名消息的具体内容，仅在某一时刻以公正人的身份z明签名的真实性。

【嵌牛鼻子】：数字签名，盲签名

【嵌牛提问】：盲签名会被用在什么场合？盲签名与一般数字签名的区别是什么？

【嵌牛正文】：盲签名(Blind Signature)定义：

是一种数字签名的方式,在消息内容被签名之前,对于签名者来说消息内容是不可见的.类比例子:对文件签名就是通过在信封里放一张复写纸，签名者在信封上签名时，他的签名便透过复写纸签到文件上。

盲签名(Blind Signature)性质：

它除了满足一般的数字签名条件外，还必须满足下面的两条性质：

①签名者对其所签署的消息是不可见的，即签名者不知道他所签署消息的具体内容。

②签名消息不可追踪，即当签名消息被公布后，签名者无法知道这是他哪次的签署的。

盲签名(Blind Signature)模型：

1接收者首先将待签数据进行盲变换，把变换后的盲数据发给签名者。

2经签名者签名后再发给接收者。

3接收者对签名再作去盲变换，得出的便是签名者对原数据的盲签名。

4这样便满足了条件①。要满足条件②，必须使签名者事后看到盲签名时不能与盲数据联系起来，这通常是依靠某种协议来实现的。

大致的图示如下:

盲签名协议包含如下几个步骤:

1、消息盲化。甲将原消息m进行盲化处理得m'，然后将盲消息m'传送给乙。进行盲化处理轮磨纤的方法很多，例如，可随机选取某个数，称该随机数为盲因子，把原消息数值化后，与盲因子相乘即可得到盲消息。

2、对盲消息签名。乙应用通常的数字签名方法对耐进行签名，并将其签名sig(m')送给甲。

3、恢复签名。甲通过除去盲因子的方法，从盲签名sig(m')中得到相关原消息m的签名、sig(m')。将来出现纠纷时，当甲拿出乙的盲签名，而乙显然不游绝能否认其签名，这样就可以证明原消息的真实性。

盲签名不仅保留了数字签名的各类特性，而且还拥有以下一些特殊的性质:

1、盲性。消息的内容对签名人来说是盲化的，签名人看不到消息的内容。

2、不可追踪性。签名者仅知sig(m')，而不知sign(m）.即使签名者保留sig(m')及其他有关数据，仍难以找出、sig(m)和、sig(m')之间的内在联系，不可对消息m的拥有者进行追踪。

盲签名的背景：电子现金.

一般的签名，签名者对自己发出的签名，必须是记得的，比如，在何时何地对谁发的，他自己可以记下来。但是，如果把签名看作是电子现金的话，就涉及到一个匿名性的问题

用实际钞票的时候，钞票上有没有写你的名字？当然没有。那我也不希望，银行通过追踪自己发出签名，来获得用户的消费情况。于是就设计出盲签名。

盲签名算法是具有下列两个特性的数字签名算法

1. 消息的内容对签名者是不可见的

2. 在签名被接受者公开后，签名者不能追踪签名。

1导论

D。Chaum概念的基础上,介绍了盲签名方案在1982 . 使用这个计划是可以获得一个用户签署任何消息,在没有透露任何有关信息在形成或者其签名部份不可伪造性、签名方案untracebility和unlinkability大量的工作已经做完的盲签名方案Chaum以来。

在生产的硬币,用户使得银行盲目签下一枚硬币采用盲签名方案,. 用户拥有一个有效的硬币,银行本身并不能识别和连接的用户每当一个用户通过有效的分支机构撤销一枚硬币,他需要树枝做代理盲签名代表signee银行这个应用程序导致的代理盲签名方案的需求。

1996年Mambo概念的基础上,引入代理签名在这个方案中原始签名人代表他对另一个(代理签名权力)签名人以这样一种方式可以签代理签名者的身份的任何讯息代表原始签名人与匹配可以验证和区分正常(原件)签名和代理签名他还论述了两种方案:代理保护(代理和原始签名人都能产生一个有效的代理签名)和代理保护(只有代理可以生成一个有效的代理签名方案,确保这些)中所拥有的事物以外,不可否认,unforgeability。

介绍了最近镡代理盲签名方案,以确保安全性能的方案,这个方案和主题盲签名和代理签名shemes这个计划是基于Schnorr盲签名方案中…在本文中,我们将介绍一种新的代理盲签名方案的基础上,Mambo等,我们的计划是计算的更有效率的褐色等我们还讨论了一些袭击的褐色等方案和显示,这些是可以克服的使用我们的方案。

这个计划

在该方案的系统参数和一些附加标志

警:一个大的裂丛素数问:一个大的主要因素(p-1 g:一个元素的顺序问:秘密密钥的原始签名人了:公钥的原始签名人了,那里H(。):一个安全的一种哈希函数

本协议无2.1代理经营情况如下

2.1.1代理的阶段

1 .(代理人),一个随机选择的原始签名人并进行了仿真计算

r / s =(1)、(2)和(3)。

二。(代理交货)。原始签名者发(r),代理签名者B在一个安全的方式,使公众。

三。(代理验证)。接到了密钥(r)代理签名者的身份,B检查有效性的秘密密钥下列弯(4)(r),如果这仅仅满足,他承认它作为一种有效,否则拒绝…代理在以后的案件中,他也要求另一个重点,或者干脆停止了协议。

2.1.2签署的阶段

1。选择一个随机数B,计算R =和发送给接受者。

2。(一)。随机选择C计算(5)

如果他选择另一套否则计算(6)。

(七)和C发e就行了。

3。收到后,B计算(8),并把它送到C。

4。现在C计算(9)的元组的代理盲签名。

2.1.3审核阶段

验证人或收件人的代理盲签名方案计算(10)

哪里是公共价值1步(2.1.2)在这里,当且仅当这个元组是一种有效的代理签名。

表1:比较方案的计算负荷对. 镡等。

相位方案。

总

代理,

一代一代签名验证签名

谭陈姿8E + 7 + 2 3E 3E + + +诗,我14E 300万人+ +我

4E级+ 2方案3E + 3M +我2E + M开发中心九亿农网中科九亿+ 6 +不配

22代理的保护

如果我们想要产生一个代理签名者只有有效的代理签名,我们修改代理阶段(2.1.2)以前的协议如下:

2.2.1代理的阶段

1 .(代理人),一个搏源缓随机选择的原始签名者,并进行了仿真计算,是公众的关键。

二。(代理交货)。原始签名者发去一个代理签名者B在一个安全的方式,使公众。

三。(代理验证和关键的变更)确认的有效性,对改变代理键为B

3效率,

在这一节中我们展示我们的方案的效率的褐色等让E,M和我分别表示计算负荷,为求幂运算,乘法和反演然后下表显示比较方案的计算负荷和镡等。

在我基模们的方案,每个阶段的计算量少除代理一代,它是一个阶段指数计算超过镡等这个计算负荷与妥协,可以调节计算负荷进行一些增加在一些应用数字信息进行签署了一次,不止一次的. 在这种情况下,我们的效率增加的次数是可行的进一步的总成本在我们的方案计算技术开发中心九亿农网中科九亿+ 6 +我比较镡等,是14E 1200元/位+ +我. 因此,我们的计划已经计算优于镡等。

4安全分析

1。在签名验证阶段我们仅仅使用不同的有效性检查的原始签名和代理签名所以原始签名与代理签名。

2。一个有效的代理签名方案,将代理保护是(在)要求…这是不可能的,用了一个有效的签名,皱纹的认识和s或两者因此代理签名不得伪造另外,尽管原始签名人创造的,也有不了解的代理保护因此代理签名者的身份不否认他创造了代理签名方案。

3。公钥计算从原始签名人的公钥中心点的原始签名人不能否认他代理签名者的公开密钥也参与了公钥(如代理保护),因此代理签名者的身份可以识别的签名。

一些安全攻击那项工作,也谭方案被移除中…这些攻击如下:

核查方程棕褐色等方案(11)。

确保参与双方签署A和B,因此元组(m,u型、华南、华东)是一种有效的代理盲签名方案B代表呢这里的关键是公众都签名者的唯一办法是认识到它的代理盲签名签名者对B . 这里是伪造的由可能在镡等解决方案。

接受者R可能代理(m,u型、华南、华东)是一种有效的代理盲签名的一些其他签章F虽然F可能不考虑他签字权任何一个. 它可以发生如下当接受者R和“B”他计算(12)代替(13)。

没有其他的方程,将会受到这种伪造的. 现在这个接收器可以证明元组(m,u型、华南、华东)是一种有效的代理盲签名方案,通过类似的验证签名人康乐及文化事务署大型活动组收(11):方程为(14),确保参与,签名者华氏度(约为38.9盲签名。

在第二个案例,接收器可以证明签名者已经产生了一个有效单代理盲签名代表一个检定为此他计算(15)代替eq(13),从而验证方程eq(11)改变(16),确保元组(m,u型、华南、华东)是一种有效的代理盲签名的签名者D代表签名者,虽然从来没有授予了他的代理人钥匙D。

要克服这些赝品要么无拘无束的你应该限制或移动计算总共在我们的方程,因此你不会出现我们的计划是安全的,这些类型的赝品。

5个结论

在本文中,我们提出一个代理盲签名方案中,代理可以让用户代理盲签名和验证人可以证实它非常相似的代理签名方案,. 我们的计划是基于Mambo等的协议其计算负荷小于最近的一个方案镡等在本文中,我们也讨论过一些可能的攻击,而我们的方案晒提出的方案是免费的。

6进一步的评论

最近我们太阳和Hsich表明,上述计划有一些安全漏洞根据他们的观点。

61在Unlikability

为代理签名者的身份,以确定信息之间的关系,揭示了盲目的信息、代理签名者的身份,他拥有所有的信息记录,如R e,s ' . 一个签名(m,后,e)展示代理签名者的身份和计算,最后,代理签名者的身份,因此,检查了方程的代理签名者的身份不知道(s),维生素e,是unlinkability但我们不同意这一点作为任何信息记录,元组入侵者任何验证方程。

在发布。62

一般来说,为了验证一个代理签名、代理的公钥是通过计算得出,而不是查找公开钥匙从原始签名人. 计算代理公共钥匙的含义之间的关系,确定了原始签名人及代理签名者根据太阳在我们的方案,谢长廷等出版使敌人取得代理的公开金钥,转载一遍最后,魔鬼声称他是原始签名人. 因此,出版的代理公钥遭受安全缺陷原始签名人是无法被证实。

63我们的观点

观察上述章节是部分正确和修改的. 每当对手republishes代理的公钥,代理授权协议如果执行失败,将返回验证并因此被改变是…另一个可能是,代理签名者的身份可以帮助敌人这仅仅是如果代理签名者同意改变代理密钥,显示了最后的代理签名并不代表原始签名人,可以轻易否定是真正的原始签名人. 同样,我们在第3节,代理签名验证可以用原始签名人的公开密钥和妥协的1乘法和1指数的成本。