可追踪基于策略签名（TPBS）技术详解

### 可追踪基于策略签名（TPBS）技术详解 #### 1. 引言 在信息安全领域，签名方案的安全性和隐私性至关重要。可追踪基于策略签名（TPBS）方案旨在满足用户身份匿名性、策略隐私性等多方面的安全需求，同时具备可追踪性等特性。本文将详细介绍TPBS的安全概念、通用构造、安全性证明以及实例化和性能分析。 #### 2. TPBS安全概念 TPBS的安全概念主要包括隐私性、不可伪造性、非陷害性和可追踪性。以下是具体介绍： - **隐私性**：TPBS的隐私性包括签名者匿名性和策略隐私性。 - **签名者匿名性**：通过图2的不可区分实验建模。攻击者可访问OKeyGen(.)、OUSign(.)、OIdLoRSign和OTrace(.)预言机。挑战预言机OIdLoRSign初始化为随机比特b∈{0, 1}，攻击者输入(i0, i1, m, p, wp)，预言机验证PC((p, m), wp) = 1且i0, i1∈U后，使用(skpTPBS, skibTPBS)为消息m生成σmb并返回给攻击者。攻击者若能以超过可忽略概率确定比特b则获胜。 - **策略隐私性**：通过图3的不可区分实验建模。攻击者可访问OKeyGen(.)和OPLoRSign预言机。挑战预言机OPLoRSign初始化为随机比特b∈{0, 1}，攻击者输入(i, m, p0, wp0, p1, wp1)，预言机验证PC((p0, m), wp0) = 1和PC((p1, m), wp1) = 1后，生成skiTPBS和skpbTPBS，使用(skpbTPBS, skiTPBS)为消息m签名并返回σmb。攻击者若能以优于随机猜测的概率确定比特b则获胜。 - **可模拟性**：该安全概念要求存在一个模拟器，能在不访问任何用户签名密钥或见证的情况下创建模拟签名，且这些签名与真实签名不可区分。通过图4的实验形式化定义，攻击者可访问OKeyGen(.)、OUSign(.)、OTrace(.)和OSim - or - Sign(.)预言机。OSim - or - Sign(.)是挑战预言机，输入诚实用户身份ij、消息m、策略p和见证wp后输出签名σm。攻击者若能确定σm是使用ij身份密钥和p策略密钥生成还是模拟签名则获胜。 - **不可伪造性**：直观上，不可伪造性是指在不持有消息m所符合策略p的策略密钥的情况下，无法创建有效签名。为解决传统定义中难以高效确定攻击者是否获胜的问题，定义了可提取性作为不可伪造性的强化版本。 - **可提取性**：通过图5的实验形式化定义。假设存在提取器算法Extr，输入有效消息签名对(m, σm)和陷门信息trTPBS后，输出元组(p, ski, skpTPBS, wp)。攻击者A若输出有效消息签名对(m∗, σm∗)，且满足特定条件则获胜。 - **非陷害性**：该属性确保即使追踪机构、发行者和所有腐败用户勾结，也无法产生可追溯到诚实用户的有效签名。通过图6的实验建模，攻击者可访问TA和发行者的秘密密钥以及OKeyGen、OUSign和OTrace预言机。攻击者若输出可验证的(m∗, σm∗)，且追踪算法将其追溯到诚实用户则获胜。 - **可追踪性**：可追踪性要求即使所有方案用户勾结，也无法产生不可追踪的签名。通过图7的实验建模，攻击者可访问OKeyGen和OTrace过程。攻击者若输出可验证的(m∗, σm∗)，且追踪算法Trace输出⊥则获胜。 以下是TPBS安全概念的总结表格： | 安全概念 | 描述 | | ---- | ---- | | 签名者匿名性 | 通过不可区分实验建模，攻击者需确定挑战比特b | | 策略隐私性 | 通过不可区分实验建模，攻击者需确定挑战比特b | | 可模拟性 | 存在模拟器创建不可区分的模拟签名，攻击者需确定签名是否为模拟 | | 可提取性 | 存在提取器算法，攻击者输出特定有效消息签名对则获胜 | | 非陷害性 | 即使勾结也无法陷害诚实用户，攻击者输出可追溯到诚实用户的签名则获胜 | | 可追踪性 | 所有用户勾结也无法产生不可追踪签名，攻击者输出不可追踪签名则获胜 | #### 3. TPBS通用构造 TPBS的通用构造主要包括用户设置、签名、验证和追踪等步骤，其主要构建模块包括EUF - CMA RDS方案、SE - NIZK证明系统和数字签名方案。 - **用户设置**： - 用户运行UserKeyGen算法，选择ski$←F，生成用户注册信息IDi，其中包含Ci = f(ski)和用户对Ci的数字签名τi。 - 用户与TA运行交互式算法IDKeyGen，TA使用特殊形式的RDS签名方案SignComRDS为用户选择的秘密值ski生成RDS签名σiID。 - 用户将σiID和ski存储为用户身份密钥skiTPBS，TA将用户注册信息IDi记录在秘密注册表Reg中。 - **签名**： - 用户生成TA签名的重新随机化版本σ′iID。 - 用户生成SE - NIZK证明πm，证明σ′iID是TA对某个签名者生成的秘密值ski的签名，用户持有发行者对某个策略p的签名，且消息m符合策略p。 - **验证和追踪**： - 签名验证通过验证πm对陈述X进行。 - 追踪签名时，TA将签名