1、ICS 35.040 L 80 道昌中华人民共和国国家标准GB/T 38647.2-2020 信息技术安全技术匿名数字签名第2部分:采用群组公钥的机制Information technology-Securi ty techniq ues-Anonymous digital signatures一Part 2:Mechanisms using a group public key 2020-04-28发布CISO/IEC 20008-2:2013,MOD)国家市场监督管理总局中+国家标准化管理委员会x.IIJ 2020-11-01实施GB/T 38647.2-2020 目次前育.1 寻|言.n
2、 l 范围-2 规m:性引用文件3 术语和定义.4 符号25 一般模型和要求36 具有连接能力的机制46.1 辄述46.2 机制I4 6.3:fJL制286.4:fJL制3136.5 机制4167 具有打开功能的机iJ四7.1 概述M7.2 机制5197.3 机制6228 具有打开和连接功能的机制M8.1 概述248.2 机制7248.3:fJl制828附录A(规范性附录)对象标识柯n附录B(规范性附录)密码杂屡因数m附景c(资料性附景)采用群组公钥的匿名签名机制的安全指南37附录D(资料性附景)撤销机制的比较4 0附录E(资料性附录)数值实例43附录F(资料性附录机制5的正确性证明白参考文献
3、.99 前言GB/T 38647(信息技术安全技术匿名数字签名拟分为两个部分:一一第1部分:总则;一一第2部分:采用群组公钥的机制。本部分为GB/T38647的第2部分。本部分按照GB/T1.1-2009给出的规则起草。G/T 38647.2-2020 本部分使用重新起草法修改采用ISO/IEC20008-2:2013(信息技术安全技术匿名数字签名第2部分:采用群组公钥的机制L本部分与ISO/IEC20008-2:2013的技术性差异及其原因如下:关于规范性引用文件,本部分做了具有技术性差异的调整,以适应我国的技术条件,调整的情况集中反映在第2章规范性引用文件中,具体调整如下:删除了ISO/I
4、EC18031和ISO/IEC18032;增加了GB/T32905、GB/T32918.2-2016、GB/T34953.2-2018和ISO/IEC15946-1 j 用修改采用国际栋准的GB/T3864 7.1代替了ISO/IEC20008-10 一一第5章采用了我罔密码算法国家标准GB/T32905.以与我国技术水平相适应。一一第8章增加了机制8(见8.3),该机制基于GB/T32918.2-2016,是与我同商用密码算法相适应的匿名数字签名技术口增加了与机制8的数学假设和安全参数选取相关的内窑(见附录。增加了与机制8的撤销机制相关的内容(见附录0),增加了E.8.给lfl了机制8的数值
5、实例(见附录E)。本部分向全同信息安全标准化技术委员会(SAC/TC260)提,-11并归口。本部分起草单位:西安西电捷通元钱网络通信股份有限公司、无钱网络安全技术同家工程实验室、中关村无钱网络安全产业联盟、国家密码管理局商用密码检测中心、国家无钱电监测中心检测中心、国家信息技术安全研究中心、中国通用技术研究院、中国电子技术标准化研究院、天津市电子机电产品检测中心、重庆邮电大学、北京计算机技术及应用研究所、工业和信息化部宽带元钱IP标准工作组。本部分主要起草人:杜志强、曹军、张同强、李琴、李志勇、李冬、赵晓荣、黄振海、李冰、陶洪植、如l科伟、颜湘、刘景莉、赵旭东、主月辉、张璐础、吕春梅、许王挪
6、、傅强、龙昭华、彭 潇、熊克琦、林德欣、铁满霞、吴冬字、美rs丽、高德龙、张变玲、于光明、朱正荣、赵慧、黄奎刚。I G/T 38647.2-2020 召|匿名数字签名机制是一种特珠类型的数字签名机制.-在类数字签名机制中,非授权的实体不能在4签名1的身份标识,但可验证合法的签名方产生了合法的签名。采用群组公钥的匿名数字签名机制具有提供签名方更多信息的能力。一些签名机制拥有连接能力,其中由同一个签名方产生的两个签名是可连接的。一些签名机制拥有打开能力,其中签名可以被特蛛的实体打开来揭露签名方的身份。一些签名机制既具有连接能力也具有打开能力。对于每个机制,本部分规定了打开、连接和/或撤销过程。本部
7、分规定的机制使用了GB/T32905中规范的抗碰撞密码杂屡函数去计算整个消息。本文件的发布机构提请注意,声明符合本文件时,可能防及与8.3相关的CN201810207503.4,CN201810207564.0、CN201810207571.0等专利的使用。本文件的发布机构对于上述专制的真实性、有效性和毡围无任何立场。该专矛IJ持有人已向本文件的发布机构保证.他愿意同任何申请人在合理且无歧视的条款和条件下,就专利授权许可进行民判o该专利持有人的声明己在木文件发布机构备案。相关信息可通过以下联系方式获得:专制持有人:西安西电捷通元钱网捕通情股份有限公百地址:西安市高新区科技二路68号西安软件同秦
8、风阁A201联系人:冯玉展邮政编码:710075电子邮件: 电i舌:029-87607836传真:029-87607829阿址:hrtp:/ 本文件的发布机构提请注意,本文件修改采用ISO/IEC20008-2:2013,因此,除上 述声明外,韩同电子通信研究院、英特尔公司以及日本NEC公司针对ISO/IEC20008-2:2013所作出的专利持有人愿,二基于无歧视、合理条件和条款与其他方协商许可的声明适用于本文件。相关信息可通过以下联系方式获得:u 专开IJ持有人:Electronics and Telecommunications Research lnstitute 地址:161,Gaj
9、eong-dong,Yuseong-gu,Daejeon,305-700,KOREA 联系人:Hanchul Shin 电子邮件:vip123etri.ke.kr 电话:十82-042-860-5797传真:十82-042-860-3831同址:http:/www.etri.re.kr 专制持有人:Intel Corporation 地址:lntel Legal and Corporation Affairs 2200 Mission College Blvd.RNl:H 50,Santa Clara,CA 95054 联系人:J盯nesKovacs 电子邮件:Standards.Licens
10、i 电话:408-765-1170传真:408-613-7292罔址:http:/ 专利持有人:NEC Corporation 地址:7-1 Shiba 5-chome Minato-Ku TokyoJapan 108-8001 Japan 联系人:Yoshinobu Matsumoto 电子邮件:y- 电i舌:十81-3-3798-2452传真:+81-3-3 798-6394 罔址:http:/ 38647.2-2020 请注意|除上述专制外,本文件的某些内容仍可能涉及专刑。本文件的发布机构不承担识别这些专利的责。IJ 1 范围信息技术安全技术匿名数字签名第2部分:采用群组公钥的机制G/T
11、 38647.2-2020 GI3/T 38647的本部分规定了采用群组公钥的匿名数字签名机制的一般模型和要求、具有连接能力的机制、具有打开功能的机制、具有打开和连接功能的机制。本部分给出了:a)采用群组公钥签名的匿名数字签名机制的榄述;b)多种提供这类匿名数字签名的机制。才于每个机制,本部分规定了:a)群组成员签名密钥和群组公钥的生成过程;b)生成签名的过程;c)验证签名的过程;d)群组成员打开过程(可选);e)群组签名连接过程(可选);0 撤销群组签名的过程。本部分适用于指导采用群组公钥的匿名数字签名机制的设计、实现与应用。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期
12、的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GI3/T 32905 信息安全技术5M3密码杂凑算法GB/T 32918.2-2016 信息安全技术5M2椭圆曲钱公钥密码算法第2部分:数 字签名算法GB/T 34953.2-2018信息技术安全技术匿名实体鉴别第2部分:基于群组公钥签名的机肯IJ(J50/IEC 20009-2,2013,IOT)GI3/T 38647.1信息技术安全技术匿名数字签名第1部分:总则(GI3/T 38647.1-2020,ISO/IEC 20008-1,2013,Mm 150/IEC 101l8C所有部
13、分)信息技术安全技术杂蘑函数(Information technology-5ecuri ty techniques-H ash-f unctions)ISO/IEC 15946-1信息技术安全技术基于椭圆曲线的密码技术第1部分:通用要求CInformation technology-Security techniques-Cryptographic techniques based on elliptic curves-Part 1,GeneraD ISO/IEC 15946-5信息技术安全技术基于椭圆曲线的密码技术第5部分:椭圆曲线生成CInformation technology-Sec
14、urity techniques-Cryptographic techniques based on elliptic curves Part 5,Elliptic curve generation)3 术语和定义GB/T 38647.1界定的以及下列术语和定义适用于本文件。G/T 38647.2-2020 3.1 3.2 3.3 3.4 3.5 辅助签名方assistant signer 前以帮助主签名方去创建匿名签名,但不可以她立地产生匿名签名的实体。成员5日11;丧member-Iist 包含群组成员身份及其对应的群组成员证书的列表。主签名方principal signer 拥有群组成员
15、签名密钥,并使用该密钥来创建匿名签名的实体。密钥种子值secret seed value 群组成员所知的并且用来导11群组成员私钥的保密数据。安全参数security parameter 决定一个机制安全强度的变革。4 符号2 下列符号适用于本文件ob川t连接基,既可以是一个特殊符号上,也可以是任意字符串。e():线性映射因数e:G,XGzGT使得对所有P仨G,、Q仨Gz所有正整敷、b,等式e(a J P,b JQ)=e(P Q)成立,诙雨数也称为刑雨数。gcd(a,b):整数G和b的最大公因子。G,:椭圆曲钱上的|价为的一个加法循环群。Gz:椭圆曲线上的l价为的一个加法桶环群。GT:阶为的乘
16、法循环群。H:密码杂要函数。111:待签名消息。l1:RSA模块,其中71=问。01:梆j回1111线上的无穷大点。P:素数。PG,的生成元。Pt:G2的生成元。q:素散。Q,+Q2:椭圆由结点Q,和Q2的总和。QR(叫:模71的二改剩余群组。Z:Z中可逆元素的乘法群。Z:0,-J中整数的集合。2骨:1.-IJ中整数的集合。(a I):a和户的勒让德符号,其中是一个整敬,是一个奇紫数。nJP:一个正整敬和一个在椭网内线E上的点P之间的乘法运算,71和P作为输入井产生另外椭回曲线E上的点Q,其中Q二nJP=P+P十+p,是n个PIJ总和。该运算满足oJp=o/C和JP=J(-P)oG/T 386
17、47.2-2020.:7:,yJ:从z到y之间包括工和y的整数集合,如果x,y是整敬,贝IJ满足工运yoII:x Ily表示数据项Y和Z以特定的顺序级联的结果o将两个或多个数据项连接的结果作为本部分规定的机制之一进行签名时,应将该结果组合起来,使其可以唯一的分解为其组成数据项,确保不存在歧义的町能,这种属性可根据应用以各种不同的方式实现。例如,它可以:a)在整个机制桩使用时确保子字符串的固定长度.或b)确保使用唯一的编码方式来对组联的字符串序列进行编码。例如,使用ISO/IEC8825-1中参考文献lJ定义的编码规则。5 一般模型和要求本章定义了采用群组公钥的匿名数字签名机制的一般模型和要求。
18、此外,本章还规定了与采用群组公钥的匿名签名机制l相关的特定要求。本部分凡涉及密码算世相关的内容,按国家有关法规实施;凡普及采用密码技术解决机密性、完整性、真实性、抗抵赖需求的应遵循密码相关国家标准和行业标准。本部分使用群组公钥签名的匿名机制包含了群组和群组成员。每个群组应包含相关的群组成员发布方。根据具体的机制,可能还拥有群组成员打开方和/或群组签名连接方。多个实体町能承担群组成员打开方或群组签名连接方的作用D机制的匿名程度依赖、于匿名强度(例如群组的大小、是否拥有打开能力、是杏拥有连接能力、怎样进行撤销、是否发布方知道私钥和世露私钥的可能性。本部分规定的机制所使用的刑象标识符见附录A,所对店
19、的数值实例参见附景E。基于群组的匿名数字签名机制包括下列规定的过程:a)密钥生成过程;b)签名过程;c)验证过程;d)打开过程(如果机制支持打开能力he)连接过程(如果机制支持连接能力hf)撤销过程。本部分用到的报销方法的对比分析参见附录Do本部分规定的采用群组公钥的匿名数字签名机制包含了各种实体。一些存在于所有机制中,另一些只存在于部分机制中。这些实体如下:签名方:签名方是产生签名的实体。在一些机制中,签名方分割为两个实体。例如,在直接匿名机制中,签名方的角色分割为带有限计算和存储能力的主签名方,例如可信平台模块(TPM)和带高计算能力但低安全窑错性的辅助签名方,如普通的计算平台。一一验证方
20、:验证方是验证数字签名的实体。一一群组成员发布方:群组成员发布方是发布群组成员证书给签名方的实体。诙实本存在于本部分所有的机制中。群组成员打开方:群组成员打开方是有能力从签名中确认签名方身份的实体。i亥实体存在于本部分规定的某些机制中。一一群组成员连接方:群组成员连接方能够验证两个签名是否由同一个签名方使用连接密钥或连接基产生的ot衷实体存在于本部分规定的某些机制中o使用本部分中的任意机制,均应满足下列条件:一一包含在匿名数字签名 机制的每个实体都知道一组共同的群组参数,它被用来计算机制中的不同两散;每个验证方可以访问群组验证密钥的真实副本;一一在发布群组签名密钥时,签名方和群组成员发布方萄要
21、有可靠地通道来确保群组成员发布方3 G/T 38647.2-2020 只能够提供群组成员签名密钥结合法的群组成贝;一一抗碰撞密码杂凑雨数应采用GB/T32905中规定的闲散;一一强健哇的椭椭,阴J州H刷1钱生戚器,如I巳SO/凡IEC159如46【忑 5中规定的一种应在 一些匿名数字签名机制中使用;一一强键的随机数生成器,如GB/T32905中规定的一种,应在一些匿名数字签名机制中使用。6 具有连接能力的机制6.1 概述本 章规定了具有连接能力的四种数字签名机制。注1:在参考文献中6.2的机制称为单签名方案,同lI;t.6.3,6.1和16.5的方案 称为直接匿名证明CDAA)方案.6.2、6
22、.4和6.5巾的机制和相关安全证明分别基于参考文献9J、6J和11J.6.3的机制基于参考文献3J巾的方案,它是对参考文献4J方案的小的修改,并且在参考文献4J全文中给出其相应的安全分析。注2对于验证等特定的应用,本章所规定的匿名签名机制,在进行签名之前,被签名消息可能被进行密码杂磅运算或/丰u被连接额外的信息。6.2 机制16.2.1 柯号下列事I号适用于本机制。l,走,仁,.lp.,l x,e:安全参数;,q,e:素数;-a,ao,h.h C D.C 2 d d ,d 2 ,l 2 A f T T 2 T 3,T.d 3 d 4 d 5 1 3,4,1 5:QR(lI)内的整数;一-:1.
23、:a.:O.21-lJ内的整散;一-w,叫,叫:0,22I-lJ内的整数;tJ,c,hCIr-CF:长度为h比特的整数;长度为(21,+1)H特的整数;,.;,r,r川2:氏度为(0(l,.+k)J比特的整数Ft 2,S Z:长度为(0(21,.十k+UJ比特的整数;一-:1.:长度为(l,十1)比特的整数;一-r3:长度为(0 0.十2lp十走十1巧的整散;一-SO,Sj,S2噜s:-21.,+,2u,.+川一lJ内的整数;s;,:-2IJ+问+k+,2,+叫+k+)一lJ内的整数;一-rl,r5:长度为(0(2L+k)J比特的整数4一一内,r10:长度为(0(2lp十l,+走)J比特的整散
24、;一-.,5:卜221,叫,2时I庐叫一lJ内的整散;五9,SIO:-2问-+-1.忖,2d川+川f)一lJ内的整数;H:输出走比特消息摘要的密码杂凄函数;Hr:输出(2l)比特消息摘要的密码杂凄函数。6.2.2 密钥产生过程6.2.2.1 密钥产生过程由两部分组成:建立过程和群组成员发布过程。其中,发布过程是群组成员发布G/T 38647.2-2020 方产生证明、群组公共参数、群组公钥和群组发布密胡的过程,群组成员发布过程是通过运行在群成贝发布7J和fIf成员之间的交互协议来产生11在一的群组成员签名。6.2.2.2 建立过程向群组成员发布7J通过以下步骤执行:a)选择下列参数:l.k.l
25、,l,lt:,lx.E 0 b)选择RSA模块满足11=pq.且p=句十1,q=2q十1,这里P吨.p,q都是素数并且F和qF均为lplt.特。c)选择二J,:剩余模的群组的随机数执行以下步骤:1)在211.内满足gcd(g+1,)=1和gcd(g-1,71)=1;2)计算a=g2(mod11)。d)在QR()内选择区别于的随机数GOoe)在QR(川内选择区别于和(/.0的随机数g。f)在QR()内选择区别于a、ao和g的随机数h0 g)在QR()内选择区别于a,G 0、h和g的随机数hoh)群组成员发布方选择两个密码杂凄函数H:O,I幡O,l 和Hr:O,l描O,1川。附录B始出了如何去构建
26、Hr的示例。i)输Hl:群组公共参数(,k,l r,l,.lt;,lx叶,群组公钥(l1.a.ao,g,h,川,群组成员发布密钥(,qF)。注:推荐参敬的示例 参见附录c1的C.2o6.2.2.3 群组成员发布过程需要在主签名方和发布方之间建立一个安全的鉴别通情信道,如何建立i在信道不在本机制的范围之内规定,群组成员发布过程包括以下步骤:a)群组成员选取随机整数xEO,2-1。b)群组成员选取随机整数F0,211一lJ。c)群组成员计算C,=g/h(mod 11)。d)群组成员通过以下步骤产生一个在基g和h下c的(x.1)知识证明U:1)割:组成员选取随机整数t,E 0,2,(1,-)-1 J
27、;2)群组成员选取随机整数tzEO,2,(2Ip+什,)-1J;3)群组成员计算D=glh2,D=gh.(mod 11);4)群组成员计算=H(g11 h 11 C,1 1 D);u 群组成员计算il=t1-t x,4 6)群组成员计算St=tz-J:;7)U=白,.51,.5 2)。e)群组成员发送C,和Ut由群组成员发布方。f)群组成员发布方从群组成员接收到CI和Uog)群组成员发布方验证c属于QR():群组成员发布方验证是否存在(C1)=1且(C,lq)=1。如果任意的一个验证失败,群组成员发布方输出拒绝和禁止。h)群组成员发布方验证知识证明U:1)群组成员发布方计算D=g;/t;C/(
28、mod川;2)群组成员发布方计算c=H(gllhIIC,I ID);3)群组成员发布验证(:=,.51 E-2+品,2(1.,+们一口,并且.2 E-22pH+I.2川Ip+什l)一lJo如果任意的一个验证失败,群组成员发布方输出拒绝和禁止。5 G/T 38647.2-2020 6 i)群组成员发布方选取随机的基数。0,21-lJ。j)群组成员发布方选取随机整数卢E0.2L.r-l。k)群组成员发布方发送Q和卢给群组成员ol)群组成员从群组成员发布方接收到日和卢。m)群组成员计算工=21.-+ax+卢(mod2)J。n)群组成员计算Cz=a (mod)。)群组成员计算u=Cax十卢)121.,
29、。p)群组成员产生在基下C2的离散对数x的知识证明V:1)群组成员发布方选取随机整数r 0,2(1.+-IJ;2)群组成员计算d=arCmod71);3)群组成员叶算c=HCa11 g 11 C2 11 d);u 群组成员计算,旷=r-c(x-21,)j 5)群组成员使得V=(.s)。q)群组成员产生知识证明W:1)群组成员选取随机整数r1号0,2,(1,.+0一lJ;2)群组成员选取随机整数r20,2,(tHl一lJ;3)群组成员选取随机整数r:;d)验证方计算l 3=T2 g h(mod n);e)验证方计算t,=T3g一仆!(mod 11),其中l=2;f)验证方计算t5=T4 f-.1
30、,(mod 11),其中L=2;g)验证方计算正=H(11a 0 11 g 1 1 h 1 1 T 1 1 T 2 1 1 T J 11 1Ill,IIl2 IIlJ 111.,11 t5 11 m);h)如果c=c,SI在-2俨+.,2,(+们lJ,S2在-2忖,2(1.,+川口,S3在-2211村,2,(的忖)-1J,4在-2的+,2,(21+的1J,5在-2的+k,2,(的+川口,S日在-221p+川k,2(21+1,+川口,S 10 在-221p+寸,2(211刊,+川lJ,那么返回l(正r1D;i)否则返回o(不正确)0 6.2.5 连接过程有两个使用同一个连接基b川叶算的合法的签名
31、=归,:I 2,;,.)4,川,s,slO,T,T2凡,T)和,=(c,s l,s/,s/,S,1,.15,.19 ,.1 10,T l,T z,T/,T,),t主连接过程执行下列步骤:如果巳=T.,输出1(已连接),否则输出O(未连接)0 6.2.6 撤销过程该机制撤销过程的细节参见参考文献10J。在该机制中支持两个类型的撒销(私钥撤销和1验证方刊名单撤销)。私钥撤销既町以是全局撤销也可以是本地撤销。验证方黑名单撤销属于本地撤销。洼1舶ij过程的细节参见参考文献8J.私钥撤销:一一如果有1组成员的签名密钥(A,e,x)被损坏,群组成员发布方或者验证方把工放进该类型撤销列表RLI;一一给定一个
32、使用连接基bSI1叶算的合法的签名=(c,s2肉,S,,S,.19,.110 T,T2,飞,T4)和一个i豆类型的撤销列表RL,验证方可以按照如下方式检查该签名的撤销:对于每一 个xERL,验证14-=j=.(H r(h.sn),.(modn)。如果验证失败,输出O(巳撤销);否则输,Ml(有效)。注2只有群组成员发布方或验证方巳经知道该群组成员签名密钥,该私钥撇销才可以 工作,验证方黑名单撤销:如果生成签名时使用连接基bS1J,则验证方可以创建他自己的对应于bs坷的撤销列表RL如果验证方想要将签名=(G,.、12,S3,S,S5 t忖川10T1,凡,凡T,)的签名方放进黑名单,需要把1.,放
33、入该类型的撤销名单RL中。一一给定一个使用连接基bSI1计算的合法的签名=白山,S2山山,S5山,so,T,T2T3T.,)和l该类型的撤销列表RL,验证方可以检查该签名的撤销如下:两于每一个飞RL,验证T4弓tT,0如果验证失败,输出O(已撒销);否则输出lC有效)口注3,为了在本机制巾使用验证者黑名单他销方法,签名者对于每个验证者都使用特定的连接基o连接生E可l封验证者选择,或者由签名者和验证者提前商定o6.3 机制26.3.1 持号下列符号适用干本机制。一一人.Lf,l,!,L v内,lll.lr,l,lr,lp:安全参数;8 G/T 38647.2-2020 一-,q.p.r,e:萦数
34、;一一-g.g.h.$.2.Ro.R,.U.U.A.A,T.丁:QR()内的整散;工。,幻,X-;,.1.,JJJ工店,儿.r,:l,p qJ内的整数;y,j l K l K/.j,K,j,K :其乘法阶模r的整数为;一-j,j:日,1内的整散;一-jo.j,:长度为l J比特的整数;4h-hCF,I,11 V:长度为IIIt特的整数;一-1IT.I1t-/:长度为h比特的整散;一-2,r/:长度为(2七十l.+l/-1十1)比特的整散;,:长度为Cl,+III)比特的整数;一一句,11长度为Cl1十,+lll)比特的整数;r-v:长度为Clv十l,+lll)比特的整数;rv长度为(l俨+1,
35、+21,+lll+1)比特的整散;一-rv民!室为(/,+2+ll_l)比特的整数;hrz长度为(十21,+lll+l)比特的整数;s 0 s,长度为(1+1,+111+1)比特的整数;一-u,:长度为(/+l,)比特的整数;U幡:长度为(lv-1)比特的整数;一-J.长度为lv比特的整数;v:长度为(l十l.+lv十1)比特的整数;一-hS771:群组成员发布方的连接基;一-Hr:输州氏度为(/r+)比特的消息摘要的密码杂磨雨数。6.3.2 密钥生成过程6.3.2.1 密钥产生过程由两部分组成:建立过程和群组成员发布过程c其中,发布过程是群组成员发布方产生群组公共参数、群组公钥和群组发布密钥
36、的过程,群组成员发布过程是通过运行在群成员发布方和群成员之间的交互协议来产生l唯一的群组成员签名。在群组成员发布过程的撤销验证要求自防止新放置撤销的群组成员私钥。6.3.2.2 眩建立过程由群组成员发布方执行下列步骤.a)选取下列参数:l,1,lc.l 飞l v l 手,11-1,儿.l,田lp;b)选取两个密码杂凄函数H:O,l幡O,1 III和H,O,lO,lr+l+;如何构建H,的示例在附录B纳1+;c)选取RSAi酶块11=q使得=2p十1,q=2q+1,其中户.q,户吨是素数,的长度为l比特;d)在QR()中选取随机整数KF;e)在口,户,q丁中选取随机整数工。,芷.1:,.1:后,
37、.:1:,x,r.:f)计算g=(g)_r,mod 77,h=Cg)-r mod 1I,$=h mod;g)t十算2=h.r,mod 11,Ro=$0 mod 11,R,=$mod n;h)选取长度为Ip比特的素数p;i)选取长度为l,比特的京数r,使得r-l是p的情数并且cr-1)1不是的倍数j)选取随机数y,其乘法阶模r的整数为;k)输出如下:群组公共参数=(.,ll,1气,人,l.lH.L,l,,l,H,H,),群组公钥=C/1,g,g,11,$,2,Ro,R y,r,p),9 G/T 38647.2-2020 群组成员发布密钥=(F,tlr)。注.提供一个推荐的参数示例参见附录C中的C
38、.2.6.3.2.3 群组成员发布过程需要在主签名方和发布方之间建立一个安全的鉴别通情信道,如何建立i在信道不在本机制的范围之内规定,群组成员发布过程包括以下步骤:a)主签名方和群组成员发布方之间协商一个连接基bSI1,;b)辅助签名方计算),=(HrC11 1 bsn,)(r-l/p mod T井发送),给主签名方;注1直11参考文献9中所述,保持签名方It:名的前提是在任何的DAA签名中&.1 1,都不会作为&SII使用a在无法保证这一前键的应用中.将J1=(H r(1 11 h.w,)(r-IJ p mod r改为J,=(H r(0 1 1 b川,)(r-lJrmod r可避免i获淄在的
39、问题。主签名方验证(j,)f三1(mod n;d)主签名方选择随机数f凹,-lJ或从它的密钥种子值导出f;e)主签名方计算/1=/2IJ;f)主签名方计算/0=f-21J 户,眩(fo,f,)对是群组成员私钥的一部分;g)主签名方随机选取一个长度为Cl十l比特的整辈v;h)主签名方计算u=(Rofo R If,$V)mod 11;i)主签名方计算KI=(j,)f mod r;j)主签名方发送U弄)K1结辅助签名方,然后辅助签名方能够将它们发送给群组成员发布方;注2在以上步骤后,群组成员发布1T对每一个撒销名单上的(0.f,)可计rrf=/o+I,2J井验证(/手J,Jmod r。如果签名方被撤
40、销,群组成员发布方禁止群组成员发布过程。k)主签名方随机选取两个长度为CLf+.+II)U特的整数TO,TI手l)主签名方随机选取一个长度CL,+2十11)比特的整数ruFFm)主签名方计算U=(RoO R 1$)mocln;n)主签名方计算Tf=rO+rl 2J;。)主签名方计算K1 =(j I)mod T;p)签名方发送u和rK/给辅助签名方;q)群组成员发布方选取随机数IE O,1井发送71,给辅助签名方zr)辅助签名71计算cl,=H(7111 Ro 1 1 R I 11$11 U 11 KI 1 1 U 11 K,1111);s)辅助签名71发送Cr给主签名71;。主签名方选取随tJ
41、L数月1芒O,11川u)主签名方计算=H(c11丁);v)主签名方计算S v=rv+c v So=ro+c f o,$1=r,+C f,w)主签名方发送(C,I/T,5 0,.11,5v)给辅助签名方;x)辅助签名方发送(C,I1T,S O,.II川,)给群组成员发布方;y)群组成员发布方验证耳。和.1,至多是长度为(f+L十.1+1)tt特的整数;z)群组成员发布方验证旷至多是长度为Cl十2+11+1比特整数;aa)群组成员发布方计算CU=(U-C RoO.R,.$.)mocln;bb)群组成员发布方计算t=5 0+s 1 21;cc)群组成员发布万计算K/=(K I-,)1/)mod T;
42、dcl)群组成员发布71验证c=H(H(71 11 R 0 11 R 1 11$11 U 11 K,1 1 u 11 K r 11 n 1)11 n.,.);ee)群组成员发布方随机选取长度为(v一1)比特的旷;ff)群组成员发布71随机从 21俨1.2l十2,-1丁中选取一个索数e;gg)群组成员发布计算ZJHEzf十21v-1;hh)f,丰组成员发布万计算A=(Z.U-I$-v)I/.mocl n;0 G/T 38647.2-2020 ii)辅助签名方选取随机数71I-1EO,l与并发送给群组成员发布方;jj)群组成员发布Jf从Q,pq丁中随机选取rt;kk)群组戚员发布方计算A=(2U-
43、I S-u勺,11)口)群组戚员发布7方7计算c=H(|川121川1S 1川1u 11 v叮,11川IA1川1A 11,:盯111-/川);mm)群组戚员发布方计3算草5俨=(r周飞r一CJ,/血e)mod p q;11日)群组成员发布方发送cr,孔,和(A,e,v)给辅助签名方;00)辅助签名方验证r是2,-1.21.一1十21-IJ内的一个素数;pp)辅助签名方计算A=(A(2 U 1 S u)蜀,)mod 川qq)辅助签名方验证c=H(112 11 S 11 u 11 v 1 1 A 11 A 11 7111);rr)辅助签名方发送Jt古主签名方;ss)主签名方叶算v=v+v井存储(fo
44、,fl川,同时辅助签名方存储(A,e);11)签名方的群组成员签名密钥为(fo,fl,A,e,川,其中,(儿,Jl,川是群组成员私钥,(A,e)是群组成员凭证。6.3.3 签名过程输入群组公钥(n,Kr 咐.h,S.2,Ro.R1,y,l,川、群组成员签名密钥(/0/1,A,e.川、连接基h.m、随机数l1vEQ,l和未签消息、mEQ,l尸,其中,连接基既可以是特赚的字符土,也可以是任意的字样串井同1其来实现连接能力,它FR群组成员发布方或验证方选取,或者向两者之前协商选取。签名过程执行以下步骤:洼1随机放I1v通常向验证方选11R;注2,另外-种处丑ll1/v的方法是将llv作为泊息mf:J
45、-部分。a)主签名方拥有群组签名私钥(fo/1,川,同时辅助的签名方拥有CA,e);b)如果bsn=.l.辅助的签名方从白,1J选取随机数t并计算J=(y)mod l;c)如果的11芋上,辅助的签名方计算=(H r(l 11 bsn)r-l)!p mod l;d)辅助的签名方发送j给主签名方;的主签名方验证(j)P三1mod l;f)主签名方计算/=/0十fl 21;g)主签名方计算K=(j)/modl;h)主签名Jf随机选取一个长度为(Lv十l.+l,-l)比特的整数ru;i)主签名方随机选取两个长度为CLr+ll)比特的整数ro-1 j)主签名1f计算T,=CRoO.R1r1 S rv)m
46、od川k)主签名方计算rl=(rO+rl21/)modp;)主签名方计算K=(j YI mod l;m)主签名方发送K.了,K结辅助签名方;11)辅助签名1f随机选取长度为(l十)比特的整数;。)辅助签名方随机选取长度为(Lr十h十ll_1)比特的整数rt;p)辅助签名方随机选取长度为CL俨+l 十2l.+ll1十1)比特的整敢rVKq)辅助签名万计算T=(A S 0.S)结辅助签名方;y)主签名方计算S,=几十c(e-2-);z)主签名方计算S1.I=Str+r v黯-c.e;aa)辅助签名方输出群组签名=(j,K,T,C,IITS.,SO.I,S,)。6.3.4 验证过程输入消息J川、连接
47、基h川、随机数71vEO,l/-I、签名(j,K,T,c,肘,儿,,s 0,川,S)以及群组公钥(11,g,g,h,5,Z,R o,R l Y.r,p),验证过程执行下列步骤:a)验证(j)P=l mod r和(K)P=lmodr;b)验证。和I是长度不超过Uf十l,+lll+1)比特的整数;)验证凡是长度不超过(L飞+l十LII+1比特的整数;d)计算tl=儿+C2俨e)计算t2=0十SI 2;f)计算T=(Z-C.T Roo R,5 )mod/1;g)计算K=(K 2)mod r;h)监证c=H(H(H(lI11 R o 1 1 R 11511 Z 1 1 Y 11 r 1111 J 1
48、1 T 1 1 K 11 T 1 1 K 11/1 v)1 111 T)1 1 m);i)如果j是由连接基b;导出的.验证j=(H r(1 1 1 hS/1)(r-IP mod r;j)撤销检查过程是可选的;k)如果以上任意的一个验证失败,输出O(无蚊),否则输出l(有效。洼验证过程中的验证险查可以在第一步骤中,而不是该过程的最后步骗来进行。6.3.5 连接过程给定两个签名=(j,K,T,C,111,s,.10,S 1,且俨)和=(j,K,T,c,/1/凡.,so,S I ,s,.),该连接过程执行下列步辑:如果j=j和IK=K,输出l(巳连接).否则输出O(未连接)。注如果连接过程困j手J输
49、:1:0,意眯着连接过程不能确定是有两个签名11同一个群组成员创建。6.3.6 撤销过程眩机制撤销过程的细节参见参考文献lo。在该机制中支持两个类型的撤销(私钥撇销和验证方黑名单撤销)。租钥撤销既可以是全局撤销也可以是本地撤销。验证方黑名单撤销属于本地撒销。私钥撤销:如果群组成员的签名密钥(fo,f,A,e.v)被损坏,群组成员发布方或者验证方计算f=fo+f,2井把f放进诙类型撤销列表RL中;一一纳定签名=(J,K.T.c,711、,句,s 0肉,凡)和一个该类型的撤销歹IJ衰,验证方可以检查诙签名的撤销如:对于每一个fERL,验证K手(j)1 mod r。如果验证失败,输出O(己撤销),再
50、则输1-1-1(有效)。注1.只有群组成员发布方或验证11已经知道该群组成员损害的群组成员签名密钥,该私钥ii销才可以工作,验证方黑名单撒销:一一如果生成签名时使用连接基仇/1.并且验证方可以创建他自己的时应于hS/1的撤销列表RLo如果一个验证方想要将签名=(J,K,T,C,7/TS.,川,们川,)的签名方放进黑名单,则需要把K放入眩类型的撤销名单RL中。12 G/T 38647.2-2020 一一给定签名=(J,K.T,c,11,-,S So川1,$俨)和一个该类型的撒销列表RL,验证方可以检查该签名的撤销如下:对于每一个fERL,验证K手K。如果任意的验证失败,输的O(己撤销);否则输出
浙ICP备2021020529号-1 | 浙B2-20240490 
