CN113383512A - 用于生成匿名签名方案的密钥的方法和系统 - Google Patents

Abstract

一种由组的成员实体(V_i)实现的匿名地签名消息(msg)的方法，包括：‑向用于管理组的管理实体

注册所述成员(V_i)的步骤；‑所述成员实体(V_i)根据由至少一个撤销实体(52；)计算并被包含在所述组的公共密钥(PK_G)中的轨迹生成器(P_t)生成轨迹(T_i)的步骤(H8)，所述轨迹(T_i)相对于由所述成员实体根据所述方案生成的匿名签名(σ_i)是不变的；‑所述成员实体(V_i)盲获得私有组密钥

的步骤；‑使用所述私有密钥根据匿名签名方案(SigA₂)生成至少一个签名(σ_i)的步骤(H10)，所述签名包括所述轨迹(T_i)。

Description

用于生成匿名签名方案的密钥的方法和系统

技术领域

本发明适用于密码学的上下文，并且更确切地说，适用于组签名的上下文。

背景技术

需要指出的是，组签名方案允许用户证明其属于组(例如服务的竞价者、订户等)而不暴露其确切身份。组签名具有匿名的特殊特征，因为不可能识别签名人。组签名被称为不可追踪的，因为无法确定两个签名是由同一个人还是由两个不同的人发送的。

由于表征组的称为“公共组密钥”的公共密钥，组签名的有效性可以由任何人来验证。要成为组的一部分，成员必须预先向组的管理实体注册。在这个注册阶段，未来的成员盲获得私有组密钥，该私有组密钥允许其以组的名义签名消息。由于只有其具有的称为“陷阱门”的私有密钥，只有可信的撤销机构或撤销实体有权撤销组签名的匿名性。实际上，该陷阱门事实上可以在几个撤销机构之间共享；他们需要合作来解除(lift)签名的匿名性。因此，组成员受到保护，免受对解除匿名性的滥用。

例如，在Dan Boneh、Xavier Boyen和Hovav Shacham的文章“短组签名(ShortGroup Signatures).CRYPTO 2004:41-55”中描述了组签名的概念。

对于需要保持用户的匿名性的一些应用(诸如电子投票或请愿)，优选实现称为直接匿名证明(DAA，直接匿名证明)的组签名变型。例如，Ernie Brickell、Liqun Chen和Jiangtao Li的文章“根据双线性映射的新的直接匿名证明方案(A New Direct AnonymousAttestation Scheme from Bilinear Maps).TRUST 2008:166-178”中描述了DAA的概念。

尽管其是匿名的，但除了组签名外，直接匿名证明DAA是可追踪的：因此可能确定两个签名DAA已经由同一个人还是由两个不同的人发送的。在电子投票或请愿的上下文中，这种可追踪性将确保投票人仅投票一次，或者电子请愿已由不同的请愿者正确地签名。

不幸的是，没有已知的解决方案来解除签名DAA的匿名性，并从而识别签名人。这给一些应用带来了问题，这些应用诸如电子投票，尤其是在用于识别已投票的投票者的投票列表必须对所有投票者都可访问的国家。

本发明提出了一种用于电子签名的解决方案，该解决方案没有上述解决方案的缺点。

发明内容

因此，根据第一方面，本发明的目的是一种用于消息的匿名签名的方法，该方法由组的成员实体执行，并且包括：

-用于向组的管理实体注册该成员的步骤；

-用于根据由至少一个撤销实体计算并被包括在该组的公共密钥中的轨迹生成器生成轨迹的步骤，该轨迹相对于根据该方案由该成员实体生成的匿名签名是不变的；

-用于盲获得私有组密钥的步骤；

-用于通过使用该私有组密钥根据匿名签名方案生成至少一个签名的步骤，该签名包括该轨迹。

相关地，本发明的目的是由组的成员实体执行的消息的匿名签名设备，并且包括：

-该成员实体向组的管理实体的注册模块；

-用于根据由至少一个撤销实体计算并被包括在该组的公共密钥中的轨迹生成器生成轨迹的模块，该轨迹相对于根据该方案由该成员实体生成的匿名签名是不变的；

-用于盲获得私有组密钥的模块；

-用于通过使用该私有组密钥生成至少一个签名的模块，该签名包括该轨迹。

本发明提出一种匿名签名的加密方法，其中组签名是可追踪的。

有利地，与直接匿名证明相反，由组成员根据该方案生成的匿名签名的匿名性可以由撤销实体解除。

这种加密方法还证明比现有技术的直接匿名证明DAA或组签名的方案更有效，尤其是在计算时间方面。这种匿名签名方案的安全性还基于被加密团体认为比现有技术的最有效的直接匿名证明方案所基于的被称为“交互式”(例如，涉及甲骨文(oracle))的安全性假设更“标准”的被称为“非交互式”的安全性假设。这种类型的匿名签名方案因此提供了更好的安全性。

根据第二方面，本发明涉及一种用于生成匿名签名方案的密钥的方法，该方法包括：

-由至少一个撤销实体对包括公共密钥和私有密钥的撤销密钥对的计算步骤，所述私有密钥可由该撤销实体用来撤销符合所述方案的匿名签名的匿名性；

-由组管理实体对至少一个成员实体向组的注册步骤；

-根据该撤销密钥对的公共密钥对轨迹生成器的计算步骤，所述轨迹生成器旨在由在该组中注册的每个成员实体使用，以生成代表该成员实体、并且相对于由该成员实体根据该方案生成的匿名签名是不变的轨迹；

-每个成员实体被配置为盲获得私有组密钥，该私有密钥被该成员实体用来生成符合该方案的匿名签名，这些匿名签名包括轨迹。“盲获得”是指组的管理实体不知道成员实体用于签名其消息的私有组密钥。

相关地，本发明涉及一种用于生成匿名签名方案的密钥的系统，该系统包括：

-至少一个撤销实体，被配置为计算包括公共密钥和私有密钥的撤销密钥对，所述私有密钥可由撤销实体用来根据所述方案撤销匿名签名的匿名性；

-组管理实体，被配置为向所述组注册至少一个成员实体；

-撤销实体，被配置为根据该撤销密钥对的公共密钥计算轨迹生成器，该轨迹生成器旨在被每个成员实体用来生成代表该成员实体的轨迹，该轨迹相对于该成员实体根据所述方案生成的匿名签名是不变的；

-每个成员实体，被配置为盲获得私有组密钥，该私有密钥被成员实体用来生成符合该方案的匿名签名，这些匿名签名包括轨迹。

在具体实施例中，所提出的用于生成密钥的方法包括：

-用于针对该组的管理实体生成该方案的密钥对的步骤；

-根据该密钥对的公共密钥计算该撤销密钥对的公共密钥。

在具体实施例中，轨迹生成器被周期性地更新。

在具体实施例中，轨迹生成器特定于给定服务。该服务对应于例如特定的选票(ballot)。

事实上，通过这些功能，所提出的用于生成密钥的方法可以适用于电子投票。事实上，其提供了签名方案，该签名方案是：

-匿名的，这确保秘密投票；

-可追踪的，这确保投票人不会投票两次，以及

-其中签名的匿名性是可撤销的，因此允许撤销实体(在例如追索的情况下)编制选票的投票列表。

在具体实施例中，根据本发明的用于生成密钥的方法和投票方法的不同步骤由计算机程序指令确定。

因此，本发明的另一目的是信息介质上的计算机程序，该程序包括适于执行如上文提到的至少一种方法的指令。

该程序可以利用任何编程语言，并且可以是以源代码、目标代码、或者源代码与目标代码之间的中间代码的形式，诸如部分编译的形式，或者任何其他优选的形式。

本发明的另一目的是一种可由计算机读取、并且包括如上文提到的计算机程序的指令的信息介质。

该信息介质可以是能够存储程序的任何实体或设备。例如，该介质可以包括诸如ROM的储存部件，例如CD ROM或微电子电路ROM，或者甚至磁记录部件，例如硬盘驱动器。

另一方面，信息介质可以是可传输介质，诸如可以经由电缆或光缆、通过无线电或通过其他手段传达的电信号或光信号。根据本发明的程序具体可以通过互联网类型的网络下载。

可替代地，信息介质可以是其中合并有程序的集成电路，该电路适于执行或被用于执行所讨论的方法。

附图说明

本发明的其他特性和优点将从下面参照附图的描述中显现出来，附图说明了没有任何限制特性的示例性实施例，其中：

-图1图示了根据本发明的实施例的用于生成密钥的系统和匿名签名设备；

-图2以流程图的形式图示了根据本发明的用于生成密钥的方法的主要步骤；

-图3以流程图的形式图示了根据本发明的签名方法的主要步骤；

-图4以流程图的形式图示了可以在本发明中使用的签名的验证方法的主要步骤；

-图5以流程图的形式图示了可以在本发明中使用的用于解除匿名性的方法的主要步骤；

-图6图示了根据本发明的实施例的电子投票系统；

-图7以流程图的形式图示了用于在图6的投票系统中生成密钥的方法的主要步骤；

-图8以流程图的形式图示了根据本发明的投票方法的主要步骤；

-图9以流程图的形式图示了可以在图6的投票系统中使用的签名的验证方法的主要步骤；

-图10以流程图的形式图示了可以在图6的投票系统中使用的用于解除匿名性的方法的主要步骤；

-图11图示了具体实施例中的在本发明中使用的设备的硬件架构。

具体实施方式

符号和假设：

在整个文件中，符号

将用于指定满足关系

的元素α₁，α₂，...，αn的零知识证明。因此，公共模块RSA(来自发明人的名字“Rivest-Shamir-Adleman”)的前两个因子的知识证明将被记为：PoK(α₁，α₂：N＝α₁·α₂∧(α₁≠1)∧(α₂≠1))。

在以下描述中，

-p是素数；

- 组G₁、G₂和G_T是p阶的循环组；

-g、h指定G₁的随机选择的两个生成器；

-

是G₂的随机选择的生成器；

-e是类型2或3的双线性耦合，其被定义在集合G₁×G₂到集合G_T上。

需要指出的是，双线性耦合(记为e)是在集合G₁×G₂到集合G_T上定义的应用，其中G₁、G₂和G_T指定p阶的循环组。该应用e验证以下属性：

-双线性：

和

-非退化：对于

和

其中

和

分别表示组G₁、G₂的中性元素。

-可计算：

存在用于计算e(g₁，g₂)的有效算法。

实际上，组G₁、G₂和G_T将被选择以使得G₁和G₂之间不存在可有效计算的同构性(isomorphism)。这种耦合在文献中已知为“类型3”的耦合名称。实际上，对于128位的安全性级别，“类型3”的耦合参数的建议大小如下：对素数p以及对G₁的元素为256位，对G₂的元素为512位，并且对G_T的元素为3072位。

该方案的安全性部分地基于以下问题是困难的假设。换句话说，如果攻击者能够危及加密方案的安全性，那么其也能够解决断言为“困难”的这些问题。

问题DDH

设G是一阶p的循环组。给定生成器g∈G，任何两个元素g^a、g^b∈G和候选X∈G，迪菲-赫尔曼决策问题(DDH)包括确定是否有X＝g^ab。

在基于双线性耦合的方案的情况下，存在困难的具体问题。对于本发明中使用的耦合，发明人假设问题DDH在组G₁和G₂中是困难的。这个假设被称为迪菲-赫尔曼外部对称假设(SXDH)。

对于根据本发明的方法，可以论证，如果第三方(不具有撤销机构的密钥)设法识别任何匿名签名的签名者，那么其也能够解决问题SXDH。

问题q-MSDH

设(p，G₁，G₂，G_T，e)是“类型3”的双线性环境，并且g(相应地，

)是G₁(相应地，G₂)的生成器。给定

其中a和x是

的任何两个元素，问题q-MSDH包括寻找四元组

其中

P是最大级数(maximum-degree)多项式q，并且ω是

的元素，使得多项式P(X)和(X+ω)是第一个。

可以论证，如果第三方成功地“伪造”了根据本发明的匿名签名方案的签名，那么其也能够解决问题q-MSDH。

在这里描述的实施例中，至少在这些方面中的一些方面，本发明实现：

-组的一个或多个管理实体

-撤销机构

其中(t≥1)；

-组的成员实体V_i。

指定n个成员实体的组。

图1图示了根据本发明的用于生成匿名签名方案SigA₂的密钥的系统SGC和组

的成员实体V_i。还图示了验证设备DV。

根据本发明，成员实体V_i包括通信模块COM和匿名签名设备DSA。

用于生成密钥的系统SGC包括组的管理实体

以及撤销机构

其中(t≥1)。

组的管理实体

包括通信模块COM、加密模块MCR和注册模块ERG，该注册模块ERG被配置为在该组中注册至少一个成员实体V_i。

为此，成员实体V_i的设备DSA包括注册模块ERG，该注册模块ERG被配置为向组的管理实体

注册成员实体V_i。

在这里描述的实施例中，每个撤销实体

包括被配置为计算撤销密钥对

的加密模块MCR，该密钥对包括公共密钥P_j和私有密钥

其可由撤销实体用于撤销符合所述方案SigA₂的匿名签名的匿名性。

在这里描述的实施例中，撤销实体

的加密模块MCR被配置为根据该撤销密钥对的私有密钥

计算轨迹生成器

其中X₁表示由用于生成密钥的系统SGC所产生的公共参数。

在这里描述的实施例中，每个成员实体V_i的设备DSA包括加密模块MCR，该加密模块MCR被配置为通过使用该轨迹生成器根据成员实体V_i的私有密钥来生成表示成员实体V_i的轨迹

该轨迹T_i相对于由成员实体根据方案SigA₂所生成的匿名签名σ_i是不变的。

在这里描述的实施例中，每个成员实体V_i的加密模块MCR被配置为盲获得私有组密钥

在这里描述的实施例中，每个成员实体V_i的加密模块MCR被配置为通过使用该私有组密钥来生成消息的签名σ_i，这些签名包括轨迹T_i。

验证设备DV被配置为验证匿名签名σ_i是否符合匿名签名方案SigA₂。其执行验证算法，该验证算法输入消息msg、签名σ_i和组的公共密钥PK_G。其确定签名σ_i是否有效。

在这里描述的实施例中，验证设备DV包括通信部件COM和加密模块MCR。

验证设备DV的通信模块COM被配置为获得匿名签名σ_i，使得σ_i＝(w，w′，c₁，T，PH′_i)。

验证设备DV的加密模块MCR被配置为在以下情况下确定消息msg的匿名签名σ_i有效：

-

-

-PΠ′_i有效；以及

-

在这里描述的实施例中，撤销实体

的加密模块MCR被配置为执行稍后参考图5描述的用于解除签名的匿名性的方法。

图2以流程图的形式图示了根据本发明的用于生成组密钥的方法的主要步骤。

在步骤E2期间，管理实体

的加密模块MCR随机地抽取Z_p的三个值X₀、

x₁。

在步骤E4期间，管理实体

的加密模块MCR计算

在步骤E6期间，管理实体

的加密模块MCR构成密钥对，其中：

-私有密钥

由已经随机地抽取的三个值

构成；以及

-公共密钥

由在步骤E4计算的元素构成：

在步骤E8期间，管理实体

的加密模块MCR生成用于证明其知道与其公共密钥相关联的私有密钥的零知识证明PΠ₂。

在步骤F2期间，每个撤销实体

的加密模块MCR随机地抽取Zp的值

该随机值

构成撤销实体

的私有密钥，用于解除签名的匿名性。

在步骤F4期间，撤销实体

的加密模块MCR依次计算与该私有密钥

相关联的公共密钥P_j。更准确地，在这里描述的实施例中：

-撤销实体

计算

并证明其知道与其公共密钥相关联的私有密钥，换句话说，知道以X₁为基数的P₁的离散对数。

-撤销实体

计算

并证明其知道与其公共密钥相关联的私有密钥，换句话说，知道以P1为基数的P2的离散对数。

-撤销实体

(对于t≥j≥2)计算

并证明其知道与其公共密钥相关联的私有密钥，换句话说，知道以P_j-1为基数的P_j的离散对数。

在步骤F6期间，当所有的撤销实体已经计算了其公共密钥P_j时，撤销实体

的加密模块MCR构成组的公共密钥

其包括从每个撤销实体

的私有密钥获得的轨迹生成器

与公共组密钥相关联的私有密钥是

在这里描述的实施例中，每个成员实体V_i具有数字签名算法的独特标识符

以及私有、公共密钥对(SK_i，PK_i)，公共密钥PK_i已经由认可的认证实体(例如由管理实体

)所认证。可用于此目的的数字签名算法的示例有：RSA、DSA、ECDSA、......。

为了获得其私有组密钥，成员实体V_i与管理实体

交互。在步骤G2期间，成员实体V_i的加密模块MCR随机地抽取值x_i∈Z_p并计算

应当注意，私有组密钥

是由成员实体根据仅由其知道的其私有密钥xi_i获得的。

然后其生成零知识证明PΠ_i，即其知道以X₁为基数的C_i的离散对数x_i：

在文档Claus-Peter Schnorr的“智能卡的有效识别和签名(Efficient Identification and Signature for Smart Cards)”(密码学的理论与应用，斯普林格，1989)中提供了这种证明的示例。

在步骤G4期间，成员实体V_i的加密模块对C_i生成签名

其中SK_i表示V_i的私有密钥。成员实体V_i然后将这三个值C_i、PΠ_i、

传送到管理实体

在步骤E10期间，管理实体

的加密模块MCR验证C_i≠1并且签名

和证明PΠ_i均是有效的。

如果是这种情况，则在步骤E12期间，管理实体

的加密模块MCR生成Z_p的两个随机值b和x′，并计算

以及(u，u’)对，其中u＝h^b并且

其证明(u，u’)对已被一致地计算，尤其是根据私有密钥x₀和x₁：

在步骤E14期间，管理实体

的加密模块MCR向成员实体V_i传送E、u、u’和证明PΠ₃。

在步骤G6期间，成员实体V_i的加密模块验证u≠1，并且证明PΠ₃是有效的。如果这两个验证是结论性的，则在步骤G7期间，成员实体V_i的加密模块对C_i和E生成签名

其中SK_i指定成员实体V_i的私有密钥。

在步骤G75期间，成员实体V_i向管理实体

传送签名

在步骤E13期间，管理实体

验证签名

是有效的，并且如果是这种情况，则向成员实体V_i传送x’。

管理实体

保持寄存器REG包含该组的每个成员实体V_i的以下值：

PK_i和

其中n表示正式注册的成员的数目。

在步骤G8期间，成员实体V_i验证

并构成其私有组密钥

(如果该验证是结论性的)。该私有组密钥

由三元组

构成，其中s_i＝x_i+x′mod p。

在具体实施例中，轨迹生成器P_t被周期性地(每小时、每天、每月开始等)更新。为此，撤销实体更新其私有密钥

并根据先前描述的生成方法重新计算对应的轨迹生成器P_t是足够的。

在具体实施例中，轨迹生成器P_t特定于给定服务。通常，可以针对特定的选举生成轨迹生成器P_t。对于新的选票，撤销实体必须计算新的私有密钥

以从中推导新的轨迹生成器P′_t。

图3以流程图的形式图示了根据本发明的签名方法的主要步骤。该签名方法利用了匿名签名方案SigA₂。该方案利用了根据消息msg、成员实体的公共组密钥PK_G和私有组密钥

来产生消息msg的签名σ_i的算法。

根据匿名签名方案SigA₂，为了用其私有组密钥

时消息msg∈{0，1}^*进行匿名签名，成员实体V_i的加密模块MCR在步骤H2期间随机地抽取值l∈Z_p。在步骤H4，t计算值w＝u^l，并且在步骤H6，计算值w′＝(u′)^l。

在步骤H8期间，成员实体V_i的加密模块MCR计算值

和轨迹

从轨迹生成器Pt计算的、成员实体V_i的私有组密钥的元素si的该轨迹T_i不依赖于消息msg。换句话说，轨迹T_i构成成员实体V_i发送的签名的不变量。

成员实体V_i证明以w为基数的c₁的离散对数与以P_t为基数的T_i的离散对数相同：

在这里描述的本发明的实施例中，证明PП′_i是(c，r)对，其中：

-z是由成员实体V_i抽取的Z_p的随机值；

-T₁＝w^z；

-

-

-r＝z-cs_i mod p

如果

则该证明是有效的。

在步骤H10期间，成员实体V_i的加密模块MCR生成消息msg的匿名签名σ_i，匿名签名σ_i由以下五个元素构成：(w，w′，c₁，T_i，PΠ′_i)。其包括追踪由成员实体V_i发送的所有签名的轨迹T_i。

图4以流程图的形式图示了可用于本发明的匿名签名的验证方法的主要步骤。该方法由图1的验证设备DV执行。其执行输入消息msg、签名σ_i和组的公共密钥PK_G的验证算法。其确定签名σ_i是否有效。

在步骤K2期间，匿名签名的验证设备获得匿名签名σ_i＝(w，w′，c₁，T_i，PΠ′_i)。

在步骤K4期间，验证设备在以下情况下认为消息msg的匿名签名σ_i是有效的：

-

-

-PΠ′_i有效；以及

-

图5以流程图的形式图示了用于解除消息msg的有效签名σ_i＝(w，w′，c₁，T_i，Π′_i)的匿名性的方法的主要步骤。此方法只能由撤销实体

来执行。其利用了以下算法，该算法输入消息msg、签名σ_i、组的公共密钥PK_Ga和撤销机构的私有密钥

并返回成员实体V_i的身份

以及证明V_i是此签名σ_i的真实作者。

在步骤Z2期间，每个撤销实体

获得消息msg的匿名签名σ_i。

在步骤Z4期间，撤销机构

依次计算

其中T₀＝T_i。

换句话说：

-

计算

并证明

即以T_i为基数的T₁的离散对数等于以P₁为基数的X₁的离散对数。

-

计算

并证明

即以T₁为基数的T₂的离散对数等于以P₂为基数的P₁的离散对数。

-

(对于t≥j≥2)计算

并证明

以T_j-1为基数的T_j的离散对数等于以P_j为基数的P_j-1的离散对数。

这里要指出的是，只能存在一个单一撤销实体。

如果撤销机构产生的所有证明都有效，则：

在步骤Z6期间，撤销机构向管理实体

传送T_t和所有证明

在步骤Z8期间，管理实体

在其寄存器REG中检索对应于C′_i：

的条目。

在步骤Z10期间，管理实体

反过来向作为解除匿名性的申请者的撤销实体

提供标识符

证明

以及C_i、C′_i、x′、PK_i和

如果所有证明

都是有效的，如果

并且如果签名

是有效的，则管理实体

认为标识符为

的成员实体V_i是消息msg的签名σ_i的真实作者。

当该服务是电子投票时，根据通过执行该方法获得的标识符来编制投票列表是可能的。

本发明的第二实施例的描述

匿名签名方案SigA₂可被具体用于实现电子投票解决方案。

图6图示了根据本发明的投票系统电子SVE2。该系统包括用于生成匿名签名方案SigA₂的密钥的系统SGC和根据本发明的组

的成员实体V_i。其还包括验证设备DV。

在此实施例中，组的成员实体V_i是投票者实体。

在此实施例中，用于生成密钥的系统SGC包括注册实体

和组织实体

同时，每个实体充当组的管理实体和组的撤销实体。应当理解，这是说明性示例，并且在其他示例中，归因于不同实体的角色分布可以是不同的。注册实体

和组织实体

中的每一个包括通信模块COM和加密模块MCR。注册实体

和组织实体

中的每一个还包括注册模块ERG，该注册模块ERG被配置为在该组中注册至少一个投票者实体V_i。

因此，在本发明的此实施例中，投票者实体同时向注册实体

和组织实体

注册。该实施例将组管理员的角色在两个实体之间反复(reprise)，以防止单一实体能够创建虚假的投票者实体。

根据本发明，投票者实体V_i包括通信模块COM和匿名签名设备DSA。

投票者实体V_i的设备DSA包括注册模块ERG，其被配置为向注册实体

注册投票者实体V_i。

在这里描述的实施例中，每个撤销实体

的加密模块MCR被配置为计算撤销密钥对，其中私有密钥可用于撤销符合所述方案SigA₂的匿名签名的匿名性，并且根据该撤销密钥对的公共密钥计算轨迹生成器。

每个投票者实体V_i的设备DSA包括加密模块MCR，该加密模块MCR被配置为通过使用该轨迹生成器来生成轨迹

该轨迹T_i相对于由投票者实体根据方案SigA₂生成的匿名签名σ_i是不变的。

在这里描述的实施例中，每个投票者实体V_i的加密模块MCR被配置为盲获得私有组密钥

(在下文中记为si)。

在这里描述的实施例中，每个投票者实体V_i的加密模块MCR被配置为通过使用私有组密钥来生成消息的签名σ_i，这些签名包括轨迹T_i。

验证设备DV被配置为验证匿名签名σ_i是否符合匿名签名方案SigA₂。其执行输入消息msg、签名σ_i和组的公共密钥PK_G的验证算法。其确定签名σ_i是否有效。

在这里描述的实施例中，验证设备DV包括通信部件COM和加密模块MCR。

通信模块COM能够获得匿名签名σ_i，使得σ_i＝(w，w′，c₁，T_i，PΠ′_i)。

加密模块MCR被配置为在以下情况下确定消息msg的匿名签名σ_i有效：

-

-

-PП′_i有效；以及

-

在这里描述的实施例中，撤销实体

的加密模块MCR被配置为执行稍后参考图10描述的用于解除签名的匿名性的方法。

图7以流程图的形式图示了根据本发明的此实施例的用于生成投票者实体的密钥的方法。

在步骤VE2期间，组织实体

的加密模块MCR随机地抽取Z_p的四个值

在该实施例中，

是由组织实体

用于解除投票者实体的匿名性的私有密钥。

在步骤VE4期间，组织实体

的加密模块MCR计算

在步骤VE6期间，组织实体

的加密模块MCR构成密钥对，其中：

-私有密钥

由已经随机地抽取的四个值

构成；并且

-公共密钥

由在步骤VE4计算的元素构成：

在步骤VE8期间，组织实体

的加密模块MCR通过生成如下定义的零知识证明，来生成其知道与其公共密钥相关联的私有密钥的证明

注册实体

以同样的方式进行。

在步骤VE2期间，注册实体

的加密模块MCR随机地抽取Z_p的四个值

在该实施例中，

是注册实体

用于解除投票者实体的匿名性的私有密钥。

在步骤VE4期间，注册实体

的加密模块MCR计算

在步骤VE6期间，注册实体

的加密模块MCR构成密钥对，其中：

-私有密钥

由已经随机地抽取的四个值

构成；以及

-公共密钥

由在步骤VE4计算的元素构成：

在步骤VE8期间，注册实体

的加密模块MCR生成其知道与其公共密钥相关联的私有密钥的证明VAPΠ₂。该证明定义如下：

在步骤VF4期间，组织实体

和注册实体

的加密模块MCR在已公开其公共密钥

和

后，各自针对其部分计算轨迹生成器

在步骤VF6期间，当所有撤销实体(尤其是本实施例中的注册实体

和组织实体

)已经计算了其公共密钥时，这些撤销实体计算组的公共密钥PK_G。其包括从这些撤销实体

和

的私有密钥获得的轨迹生成器

其中

并且

与公共组密钥相关联的私有密钥是：

在该实施例中，每个投票者实体V_i具有数字签名算法的独特标识符

以及私有、公共密钥对(SK_i，PK_i)，公共密钥PK_i已经由认可的认证实体(例如由注册实体

和组织实体

)先前认证。

在这里描述的实施例中，为了获得其私有组密钥，投票者实体V_i必须与管理实体

和组织实体

交互。在步骤VG2期间，成员实体V_i的加密模块MCR随机地抽取值xi∈Zp并计算

然后其生成零知识证明VEPΠ_i，即其知道以X₁为基数的Ci的离散对数

在步骤VG4期间，投票者实体V_i的加密模块MCR对C_i生成签名

其中SK_i指定V_i的私有密钥。投票者实体V_i然后将这三个值C_i、VEPΠ_i、

传送到管理实体

和组织实体

在步骤VE10期间，管理实体

的加密模块MCR和组织实体

的加密模块MCR验证C_i≠1并且签名

和证明PH_i均是有效的。

如果是这种情况，则在步骤VE12期间，管理实体

的加密模块MCR和组织实体

的加密模块MCR联合地生成Z_p的两个随机值b和x′，并计算

以及(u，u’)对，其中u＝h^b并且

其证明了(u，u’)对已被一致地计算，尤其是根据私有密钥x₀和x₁：

需要指出的是，为了联合地生成值(例如值x’)，管理实体

和组织实体

可以利用已知的分布式加密技术。例如，管理实体

(相应地，组织实体

)随机生成Z_p的值

(相应地，Z_p的

)，并计算

(相应地，

)。

这给出了

其中

在该实施例中，在步骤VE14期间，管理实体

或组织实体

的加密模块MCR向投票者实体V_i传送E、u、u’和证明VEPΠ₃。作为变型，这些值由管理实体

和组织实体

发送，并且投票者实体V_i验证从两个实体

知

接收的值是相同的。

在步骤VG6期间，投票者实体V_i的加密模块验证u≠1，并且证明VOAPΠ₃是有效的。如果这两个验证是结论性的，则在步骤VG7期间，投票者实体Vi的加密模块对C_i和E生成签名

其中SK_i表示投票者实体V_i的私有密钥。在步骤VG75期间，投票者实体V_i向管理实体

和组织实体

传送签名

在步骤VE13期间，管理实体

和组织实体

验证签名

是有效的，并且如米是这种情况，则管理实体

向投票者实体V_i传送x’。

管理实体

保持寄存器REG(未示出)包含该组的每个成员实体V_i的以下值：

ID_i，PK_i和

其中n表示正式注册的投票者实体的数目。

在步骤VG8期间，投票者实体V_i验证

并构成其私有组密钥

(如果该验证是结论性的)。该私有组密钥

由三元组

构成，其中s_i＝x_i+x′mod p。应当注意，所述私有组密钥

是由成员实体根据其独自知道的私有密钥xi_i所获得的。

图8以流程图的形式图示了根据本发明的该实施例的投票方法的主要步骤。

根据匿名签名方案SigA₂，为了用其私有组密钥

对任何消息msg∈{0，1}^*进行匿名签名，投票者实体V_i的加密模块MCR在步骤VH2期间随机地抽取值l∈Z_p，并计算(步骤VH4)值w＝u^l(步骤VH6)以及值w′＝(u′)^l。

在一票的非提名多数投票(one-ballotuninominalmajoritypoll)的情况下，消息可以由投票者实体的投票(可选地以加密的形式)构成，对其的加密可以通过使用公共密钥来计算，其私有密钥将在被配置为执行对投票的计数的几个评估者实体之间共享。

在步骤VH8期间，投票者实体V_i的加密模块MCR计算值

和轨迹

从轨迹生成器Pt计算的、投票者实体V_i的私有组密钥的元素si的该轨迹T_i不依赖于消息msg。换句话说，轨迹T_i构成了投票者实体V_i发送的签名的不变量。

投票者实体V_i证明以w为基数的c₁的离散对数与以P_t为基数的T_i的离散对数相同：

在这里描述的本发明的实施例中，证明PΠ′_i是(c，r)对，其中：

-z是由成员实体V_i抽取的Z_p的随机值；

-T₁＝w^z；

-

-

-r＝z-cs_i mod p

如果

则该证明是有效的。

在步骤VH10期间，投票者实体V_i的加密模块MCR生成消息msg的匿名签名σ_i，匿名签名σ_i由以下五个元素构成：(w，w′，c₁，T_i，PП′_i)。其包括追踪由投票者实体V_i发送的所有签名的轨迹T_i。

图9以流程图形式图示了根据本发明的匿名签名的验证方法的主要步骤。

在步骤VK2期间，匿名签名的验证设备获得匿名签名σ_i＝(w，w′，c₁，T_i，VEPΠ′_i)。

在步骤VK4期间，在以下情况下认为消息msg的匿名签名σ_i是有效的：

-

-

-VEPΠ′_i有效；以及

-

图10以流程图的形式图示了根据本发明的第二实施例的用于解除消息msg的有效签名σ_i＝(w，w′，c₁，T_i，Π′_i)的匿名性的方法的主要步骤。该方法由注册实体

和组织实体

执行。

在步骤VZ2期间，这些实体

和

中的每一个都获得签名σ_i。

在步骤VZ4期间，实体

和

依次计算

其中T₀＝T_i。

-

计算

并证明

即以T_i为基数的T₁的离散对数等于以P₁为基数的X₁的离散对数。

-

计算

并证明

即以T₁为基数的T₂的离散对数等于以P₂为基数的P₁的离散对数。

如果撤销机构产生的所有证明都有效，则：

在该实施例中，在步骤VZ6期间，组织实体

向注册实体

传送证明

在步骤VZ8期间，注册实体

在其寄存器REG中检索对应于C′_i：

的条目。

在步骤VZ10期间，注册实体

返回标识符

证明

和

以及C_i、C′_i、x′、PK_i和

如果所有证明都是有效的，如果

并且如果签名

是有效的，则注册实体

认为包括标识符为

的投票者实体V_i是消息msg的签名σ_i的真实作者。

在这里描述的实施例中，管理实体

撤销实体

组织实体

注册实体

验证设备DV、成员或投票者实体

具有诸如图11中示意性所示的计算机ORD的硬件架构。

计算机ORD具体包括处理器7、死存储器8、活存储器9、非易失性存储器10和通信部件COM。这些通信部件COM特别允许不同的实体彼此通信。它们可以包括一个或多个电信网络上的一个或多个通信接口(固定或移动、有线或无线等)。

计算机ORD的死存储器8构成了根据本发明的记录介质，其可由处理器读取，并且在其上登记了根据本发明的计算机程序(这里通常用PROG表示)，该计算机程序包括用于执行形成本发明主题的方法中的一个的指令。因此：

-对于管理实体

程序PROG是程序PROG1，其包括用于执行根据本发明的用于生成密钥的方法的步骤E2至E12、以及根据本发明的用于解除匿名性的方法的步骤Z8至Z10的指令，

-对于撤销实体

程序PROG是程序PROG1，其包括用于执行根据本发明的用于生成密钥的方法的步骤F2至F6、以及根据本发明的用于解除匿名性的方法的步骤Z2至Z6的指令，

-对于组织实体

程序PROG是程序PROG2，其包括用于执行根据本发明的用于生成密钥的方法的步骤VE2至VE12、以及根据本发明的用于解除匿名性的方法的步骤VZ2至VZ6的指令，

-对于注册实体

程序PROG是程序PROG3，其包括用于执行根据本发明的用于生成密钥的方法的步骤VE2至VE12、以及根据本发明的用于解除匿名性的方法的步骤VZ2至VZ10的指令，

-对于验证设备DV，程序PROG是程序PROG4，其包括用于执行根据本发明的签名验证方法的步骤K2至K4或VK2至VK4的指令，

-对于成员实体V_i，程序PROG是程序PROG5，其包括用于执行根据本发明的用于生成密钥的方法的步骤G2至G8或VG2至VG8、根据本发明的签名方法的步骤H2至H10或VH2至VH10的指令。

以同样的方式，这些程序中的每一个都定义了设备或者其上安装了该设备的模块的功能模块，其能够执行相关方法的步骤，并且基于计算机ORD的硬件元件7-10。

Claims (10)

1.一种由组的成员实体(V_i)执行的用于对消息(msg)进行匿名签名的方法，并且包括：

-用于向所述组的管理实体

注册所述成员(V_i)的步骤；

-用于由所述成员实体(V_i)根据由至少一个撤销实体

计算并被包括在所述组的公共密钥(PK_G)中的轨迹生成器(P_t)生成轨迹(T_i)的步骤(H8)，所述轨迹(T_i)相对于由所述成员实体根据所述方案生成的匿名签名(σ_i)是不变的；

-用于由所述成员实体(V_i)盲获得私有组密钥

的步骤；

-用于通过使用所述私有密钥根据匿名签名方案(SigA₂)生成至少一个签名(σ_i)的步骤(H10)，所述签名包括所述轨迹(T_i)。

2.一种用于生成匿名签名方案(SigA₂)的密钥的方法，所述方法包括：

-由至少一个撤销实体

对包括公共密钥和私有密钥

的撤销密钥对(

P_j)的计算步骤(F2，F4，F6)，所述私有密钥可由所述撤销实体用来撤销符合所述方案(SigA₂)的匿名签名的匿名性；

-由组管理实体

向所述组注册至少一个成员实体(V_i)的步骤；

-根据所述至少一个撤销密钥对的公共密钥(P_j)对轨迹生成器(P_t)的计算步骤(F2，F4，F6)，所述轨迹生成器(P_t)旨在由每个所述成员实体(V_i)用来生成代表所述成员实体(V_i)的轨迹(T_i)，所述轨迹(T_i)相对于由所述成员实体根据所述方案生成的匿名签名(σ_i)是不变的；

-所述成员实体(V_i)被配置为盲获得私有组密钥

所述私有密钥

被所述成员实体(V_i)用来根据所述方案生成匿名签名(σ_i)，所述匿名签名(σ_i)包括所述轨迹(T_i)。

3.根据权利要求2所述的用于生成密钥的方法，所述方法包括：

-用于由所述组的至少一个管理实体

针对所述组的至少一个管理实体

生成所述方案的密钥对

的步骤(E2，E4，E6，VE2，VE4)；

-所述至少一个撤销实体

的公共密钥(P_t)是根据所述密钥对

的公共密钥(X₁)来计算(F2，F4，F6)的。

4.根据权利要求2或3所述的用于生成密钥的方法，其中所述轨迹生成器(P_t)被周期性地更新。

5.根据权利要求2至4中任一项所述的方法，其中所述轨迹生成器(P_t)特定于给定服务。

6.一种用于生成匿名签名方案(SigA₂)的密钥的系统，该系统包括：

-至少一个撤销实体

被配置为计算包括公共密钥和私有密钥

的撤销密钥对(

P_j)，所述私有密钥

可由所述撤销实体用来撤销符合所述方案(SigA₂)的匿名签名的匿名性；

-组管理实体

被配置为向所述组注册至少一个成员实体(V_i)；

-所述至少一个撤销实体

被配置为根据所述至少一个撤销密钥对的公共密钥(P_j)来计算轨迹生成器(P_t)，所述轨迹生成器(P_t)旨在由每个所述成员实体(V_i)用来生成代表所述成员实体(V_i)的轨迹，所述轨迹(T_i)相对于由所述成员实体根据所述方案生成的匿名签名(σ_i)是不变的；

-所述成员实体(V_i)被配置为盲获得私有组密钥

所述私有密钥

被所述成员实体(V_i)用来生成符合所述方案的匿名签名(σ_i)，所述匿名签名(σ_i)包括所述轨迹(T_i)。

7.一种由组的成员实体(V_i)执行的消息的匿名签名设备(DSA)，并且包括：

-所述成员实体(V_i)向所述组的管理实体

的注册模块；

-用于根据由至少一个撤销实体

计算并被包括在所述组的公共密钥(PK_G)中的轨迹生成器生成轨迹(T_i)的模块，所述轨迹(T_i)相对于由所述成员实体根据所述方案生成的匿名签名(σ_i)是不变的；

-用于盲获得私有组密钥

的模块；

-用于通过使用所述私有组密钥生成至少一个签名(σ_i)的模块，所述签名包括所述轨迹(T_i)。

8.一种电子投票系统(SVE)，包括根据权利要求6所述的用于生成密钥的系统和根据权利要求7所述的至少一个匿名签名设备。

9.一种计算机程序，包括用于在由计算机执行时、执行根据权利要求2至5中任一项所述的用于生成密钥的方法的指令。

10.一种计算机程序，包括在由计算机执行时、用于执行根据权利要求1所述的用于匿名签名的方法的指令。

Images