基于
BLISS
签名
不经意
电子
信封
杜育松
密码学报ISSN 2095-7025 CN 10-1195/TNJournal of Cryptologic Research,2023,10(1):6172密码学报编辑部版权所有.E-mail:http:/Tel/Fax:+86-10-82789618基于 BLISS 签名的不经意电子信封*杜育松1,2,庄少华1,伍春晖31.中山大学 计算机学院,广州 5100062.广东省信息安全技术重点实验室,广州 5100063.广东金融学院 互联网金融与信息工程学院,广州 510521通信作者:伍春晖,E-mail:摘要:目前已有的基于签名的不经意电子信封(oblivious signature-based envelope,OSBE)使用的是Schnorr 或 RSA 等传统数字签名,其安全性来源于离散对数或大整数分解等经典数论困难问题,无法抵御量子计算机的攻击.本文提出一种基于 BLISS 数字签名的不经意电子信封(BLISS-OSBE),可以在量子计算机攻击的环境下保证 OSBE 的安全特性.消息发送者使用对称密码加密消息,然后与消息接收者交互,产生用于加密对称密钥的公钥,使用基于环上的 LWE 问题的公钥加密方案加密对称密钥,拥有有效BLISS 签名的接收者可以解密 LWE 密文得到对称密钥,从而解密消息,并且不泄露自己的身份.方案可以抵御量子计算机的攻击,不涉及大整数、模指数或椭圆曲线点加倍点运算,具有良好的实现性能.关键词:不经意签名电子信封;格密码;环上带错学习;小整数解中图分类号:TP309.7文献标识码:ADOI:10.13868/ki.jcr.000579中文引用格式:杜育松,庄少华,伍春晖.基于 BLISS 签名的不经意电子信封J.密码学报,2023,10(1):6172.DOI:10.13868/ki.jcr.000579英文引用格式:DU Y S,ZHUANG S H,WU C H.An oblivious envelope based on bimodal lattice signatureschemeJ.Journal of Cryptologic Research,2023,10(1):6172.DOI:10.13868/ki.jcr.000579An Oblivious Envelope Based on Bimodal Lattice Signature SchemeDU Yu-Song1,2,ZHUANG Shao-Hua1,WU Chun-Hui31.School of Computer Science and Engineering,Sun Yat-sen University,Guangzhou 510006,China2.Guangdong Key Laboratory of Information Security Technology,Guangzhou 510006,China3.School of Internet Finance and Information Engineering,Guangdong University of Finance,Guangzhou510521,ChinaCorresponding author:WU Chun-Hui,E-mail:Abstract:The existing oblivious signature-based envelope(OSBE)schemes use traditional digitalsignatures,such as Schnorr signature or RSA signature,their security comes from classical number-theoretic problems such as solving discrete logarithm or factoring large integers,and they cannot resistattacks from quantum computers.This paper proposes an oblivious envelope based on BLISS signature*基金项目:广东省基础与应用基础研究重大项目(2019B030302008);国家自然科学基金(61972431,61902081);广东省基础与应用基础研究(2022A1515011512);广州市基础与应用基础研究(202102080322)Foundation:Guangdong Major Project of Basic and Applied Research(2019B030302008);National NaturalScience Foundations of China(61972431,61902081);Guangdong Basic and Applied Basic Research Foundation(2022A1515011512);Basic and Applied Basic Research Foundation of Guangzhou Municipality(202102080322)收稿日期:2021-12-20定稿日期:2022-03-3162Journal of Cryptologic Research 密码学报 Vol.10,No.1,Feb.2023(BLISS-OSBE),which can ensure the security of OSBE against attacks from quantum computers.Thesender encrypts a message with a symmetric key,then interacts with the receiver to generate a publickey for encrypting the symmetric key,and encrypts the symmetric key with a public key cryptosystembased on the ring-LWE.The receiver who possesses the valid BLISS signature can decrypt LWEencryption and obtain the symmetric key,thus can decrypt the message without revealing his identity.The proposed OSBE scheme can resist the attacks from quantum computers,and it does not involvelarger integer modular exponentiation,or elliptic curve point addition and doubling operations.Theexperimental results show that the proposed scheme has good performance.Key words:oblivious signature-based envelope;lattice-based cryptography;ring-LWE;SIS1引言考虑这样的安全需求,用户 B 为服务接收方,用户 A 为服务发送方,用户 B 接收来自 A 的消息,但出于隐私考虑,用户 B 不希望用户 A 知道用户 B 接收的是哪条消息.比如:网上交易数字产品,消费者不愿意暴露商品购买记录(如某些药品);在线付费浏览或下载,用户不希望暴露其选择过的某些敏感的频道或内容.业务需求中存在大量用户隐私需求的场景,在确保业务功能正常运行的前提下尽可能保护用户隐私是现代密码学的主要目标之一.不经意传输协议(oblivious transfer,OT)由 Rabin 首次提出1,用于描述一个两方计算场景,即发送者 S 发送一个消息给接收者 R,要求 R 以 1/2 的概率得到这个消息,而S 却不知道消息是否被 R 接收.大多数不经意传输协议都没有考虑对协议进行接入控制的问题,即任何与消息发送者通信的用户在执行完协议之后都可以得到他想要的消息,为攻击者窃取消息创造了条件.所以说,对接收者授权并保护授权信息尤为重要.Li 等人提出了基于签名的不经意电子信封方案(oblivious signature-based envelope,OSBE)2.OSBE 能够让用户 A 和用户 B 在以下的情形下进行通信:(1)作为接收者的用户 B 只有在持有相关证书的前提下才能获得消息;(2)发送消息的用户 A 不能判断用户 B 是否持有对应的证书;(3)没有其他用户或实体能够获取用户 A 的消息和用户 B 的证书信息.OSBE 中发送者的访问控制策略在密文中已经强制执行,只有满足发送者设定的属性特征的接收者才可打开密文,使发送者在不确定接收者权限的情形下发送加密消息,而只有经过授权的接收者才能恢复他想要得到的消息.Li 等人构造了基于 RSA 的和基于身份加密的 OSBE 方案2,其中基于 RSA 的方案是两轮的,具有前向安全性等附加的性质.虽然基于身份加密的方案是一轮的,但基于身份的加密系统对密钥分发中心(授权者)需要更强的信任,密钥分发中心可以解密所有的信息.Nasserian 等人在 ElGamal 签名家族的签名方案如 Schnorr、Nyberg-Rueppel 和 DSA 签名上构造了两轮 OSBE 方案3.Blazy 等人4考虑了当授权者不诚实时的语义安全性.当授权者采用窃听攻击的方式时,仍然不能得到传输的消息.他们采用光滑投射哈希函数给出了两轮 OSBE 的通用构造和一个具体构造.Chen 等人5在 Blazy 等人的基础上给出了一轮 OSBE 的通用构造和具体构造,采用了光滑投射哈希函数和基于身份的光滑投射哈希函数.OSBE 可以应用在电子商务、内容保护等领域以保护参与者的隐私,也可用于构造秘密握手协议.申艳光等人6根据不经意传输理论,采用基于 Schnorr 签名的 OSBE,在 2013 年提出了基于 Schnorr 签名的隐私保护网上订购方案.隐私保护的电子交易方案能够使用户在正确付费后,得到且仅能够得到自己订购的商品,从而有效地保护用户的隐私信息不被泄露.杨波等人7采用基于 ElGamal 签名的 OSBE,在2014 年又给出了一个基于 ElGamal 签名的隐私保护网上交易方案.此外,Nasserian 等还在文献 3 中提出 OSBE 与秘密握手8概念的相似性,并使用 RSA-OSBE、NR-OSBE 和 Schnorr-OSBE 构造单轮的秘密握手协议,使用两个 OSBE 交互实现两方的秘密握手.目前已有的 OSBE 使用的签名都是传统公钥密码体制下的签名方案.然而,随着量子计算技术的发展,传统公钥密码受到了极大挑战,基于经典数论问题的公钥密码系统在量子环境下不再安全.作为后量子密码的一个研究分支,格公钥密码相较于其他后量子密码体制具有显著优势,在密码学发展进程中占据重要地位.Lyubashevsky 等人9在 2012 年提出了一个基于格上困难问题的格签名体制,其安全性基于小整数解 SIS 问题的困难性.Ducas 等人10在 2013 年提出了一个基于双峰离散高斯分布的格签名方案杜育松 等:基于 BLISS 签名的不经意电子信封63(bimodal lattice signature scheme,BLISS),这是对 Lyubashevsky 等人9提出的签名方案的改进.它结合拒绝采样方法,通过双峰离散高斯分布的采样,隐藏签名中私钥信息,从而减少了拒绝采样中的拒绝次数,提高了签名产生的效率.格签名方案的逐渐成熟也使得构造基于格签名的 OSBE 成为可