对一种高效群签名方案的安全性分析

群签名最早是Chaum和Heyst在1991年提出来的^[1]。群成员允许任何群成员代表群进行匿名地签名，如发生争执，群管理员可以（或者借助一个第三方）揭示签名者的身份。由于群签名很好地为签名者（群成员）提供隐私保护，群签名在不同的领域越来越得到广泛地应用，如电子货币、电子选举、电子拍卖等，目前，人们已经提出了若干不同类型的群签名方案，这些方案中的相当一部分都在标准的密码学假设之下得到了安全性证明。但是，这些方案的群公钥/群签名的长度大都与群体中成员的个数呈线性关系，因此只能应用于较小的群体。直到1997年，J CAMENISHJ和M STADLER在文献[2]中提出了第一个效率相对较高且适用于大群体的群签名方案（简称为CS97方案）。该方案是第一个群公钥长度、群签名长度与群成员个数无关的群签名方案。其另一个优点是当有新成员加入群体时，无需改公钥。然而，CS97方案在抵抗联合攻击方面是有弱点的。G ATENIESE等人在文献[3]中指出，CS97方案的成员证书形式并不安全，如果有3个群成员串通就可以成功地发动联合攻击。因此建议将CS97方案的成员证书形式修改，GATENIESE等人在文献[4]中又进一步指出，在CS97方案的成员证书修改形式中，必须是随机选取的。特别是，如果以为底的离散对数是已知的，则3个串通的群成员仍然有可能成功地发动联合攻击。1998年JCAMENISH和M MICHELS在文献[5]中提出了一个更为高效的群签名方案（简称为CM98方案）。该方案的安全性建立在强RSA假设以及Diffie-Hellman判定问题假设之上，而且其抵抗联合攻击的安全性已经在强RSA的假设下得到了证明。2000年，G ATENIESE等人提出了一个新的群签名方案（简称为ACJT方案）^[6]。在安全性方面，ACJT方案的成员加入协议关于新成员所选取的秘密值满足统计上的零知识，且已得到证明可以抵抗自适应的攻击者所发动的联合攻击。ACJT方案是目前较为理想的方案。