标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
GB/T 38647.1-2020 信息技术 安全技术 匿名数字签名 第1部分:总则.pdf参数ringpublicparam
特定于环的数据元素,可供采用多公钥的匿名签名机制所有过程中涉及的所有实
GB/T 33068-2016 硫磺尾气加氢催化剂物理性能试验方法5群组公钥和多公钥的选择
在传统数学签名机制中,如图1所示,个签名私钥和一个验证公钥形成签名密钥对。在签名过程 中,签名方使用签名私钥去创建给定消息的签名。在验证过程中,验证方使用公开验证密钥去验证这个 签名是否为对应的私钥签署的。如果验证方确认签名确实是对应于验证密钥的签名密钥创建的,则验 证方输出:有效;否则输出:无效。因此,从验证方角度来看,签名是通过验证公钥与签名方绑定的,验证 公钥作为签名方的可区分标识符。 在匿名数字签名机制中,一个签名密钥和一个验证密钥形成签名密钥对,其中一个用在签名过程而 另一个用在验证过程的方式并不是必要的。在本部分中规定了两类采用不同验证密钥的匿名签名机制 的原则和要求,一类是采用群组公钥的机制.另一类是采用多公钥的机制。
签名机制中的签名和验
在采用群组公钥的匿名签名机制中,如图2所示,签名方是一个群组成员。该群组只有一个群组公 钥。每个群组成员都有由群组成员的私钥和相应的成员证书组成的唯一的群组成员签名密钥。签名过 程中,签名方使用群组成员签名密钥对给定的消息创建群组签名。在验证过程中,验证方使用群组公钥 来检查该签名是否为样组成员的签名密钥签著的群组签名,并且不能透露是用哪个群组签名密钥创 建的签名。如果验证方验证签名是使用对应于该群组公钥的群组成员签名密钥创建的,则验证通过;否 则,验证不通过。其结果是:从验证方的角度来看,该群组签名不是绑定于单个签名方,而是通过群组公 钥绑定到该群组。其匿名强度取决于该群组的大小。 注:某些机制需要将验证方生成的随机数输人到群组签名和签名验证的过程中,在图2中,该随机数被视为消息 的一部分,
图2采用群组公钥的匿名签名机制中的签名和验证过程
在采用多公钥的匿名签名机制(也称为环签名机制)中,如图3所示,每个签名方,包括真实的签名 方和每个潜在签名方,和传统的数字签名机制一样有个签名私钥和一个验证公钥形成签名密钥对。 在签名过程中,真正的签名方用其签名密钥连同公钥(或公钥集)对给定的消息创建签名,该公钥(公钥 集)属于潜在的签名方(或潜在的签名方集合)。在验证过程中,验证方使用包含真实签名方和所有潜在 签名方的公开密钥来检查签名是否是由公开密钥对应的签名密钥创建的,并且不透露是何人签署。其 结果是,从验证方的角度来看,该签名没有绑定一个单独的签名方,而是绑定到该公钥所有者的集合。 匿名强度取决于公钥的数量。 如图1~图3所示,输人到签名过程的消息可以分割也可以不分割为两部分。如果分割,一部分可 以从签名中恢复而另一部分不能从签名恢复。其中,包含在已签消息中的部分是那些不能从签名中恢 复的消息。
图3环签名机制的签名和验证过程
屠名数字签名机制涉及的每一个实体应首先获取公共的域参数集,用于计算匿名签名机制中的各 种函数。在采用群组公钥的匿名签名机制中,该城与一个群组相关联。其中,城参数也被称为群组公共 参数。在采用多公钥的匿名签名机制中,域与环相关联,域参数(也称为环公共参数)包括所有与公钥集 合及相应的签名和验证过程相关的参数。 每个签名验证方都应有权访问所需公钥的真实副本。在采用群组公钥的匿名签名机制中,该公钥 属于签名方所在的群组而不是单个签名方。在采用多公钥的匿名签名机制中,这些公钥是多个单独公 钥的集合。其中,每个公钥属于个真实签名方或潜在的签名方。验证方无法区分潜在的签名方还是 真实签名方。 每一个签名方都具有可区分标识符,其标识明确地绑定到签名方的私钥。执行机制的过程中,此信 息应能够被相关的实体访问到。在采用多公钥的匿名签名机制中,签名方的可区分标识符可以是签名 方的验证密钥。在采用群组公钥的匿名签名机制中,签名方的可区分标识符可以采用多种形式。 在采用群组公钥的匿名签名机制中,实体鉴别机制可以用于群组成员(作为签名方)和群组成员发 市方以可信的方式执行的群组成员发布过程。这可确保群组成员发布方只给合法群组成员提供群组成 员证书。当这个实体鉴别机制不是匿名时,使用在GB/T15843中规定的机制,当该实体的鉴别机制是
采用群组公钥的匿名数字签名机制也被称为群组签名机制。这种类型的机制包括群组与群组成员 的集合以及群组成员发布方。另外,如果需要追溯签名的签名方,群组成员打开方也是必需的。该机制 的蘑名强度取决于合法群组成员的数目。 根据该机制,可连接同一个签名方创建的两个签名。一个具有连接能力的实体被称为群组签名连 接方;这种实体不一定是群组的成员。在一些机制中,任何人都可以是连接方;在这种情况下,连接基通 常包含在一个签名里。在其他机制中,连接方应持有群组签名连接密钥;在这种情况下,对应于该连接 密钥的公开参数也包含在签名里。 根据该机制,可以撤销群组成员的私钥或群组成员的证书;在以上任何一种情况下,群组成员签名 密钥都将被撤销。由撤销的群组成员签名密钥创建的群组签名在群组签名验证过程中将被拒绝。 采用群组公钥的匿名数字签名机制规定了以下过程: ) 密钥生成过程(包括群组成员发布过程): b) 群组签名过程; 群组签名验证过程; d) 群组签名打开过程(可选); e 群组签名连接过程(可选); 群组签名撤销过程(可选)。 采用群组公钥的屠名签名机制的情况在GB/T38647.2中列出
如下面列出的,在匿名签名机制中所涉及的许多类型的实体都使用一个群组公钥。某些类型的实 体存在于每个机制里,而另一些实体仅在提供可选功能的机制中涉及。 签名方:签名方是生成数字签名的一个群组成员。签名方拥有可区分标识符和群组成员签名密钥 该签名密钥由群组私钥和成员证书组成。 注:该群组成员的签名击销有时也被称为签名方的签名密销, 在一些机制中,签名方的角色在多个实体之间拆分。例如,在GB/T38647.2中规定,在直接匿名 证明(DAA)机制中,签名方角色可在可具有有限计算和存储能力的主签名方和具有更多计算能力但安 全容忍性差的辅助签名方之间拆分,例如硬件签名模块,辅助签名方是具有安全性的一般的计算机平台 (也称为包含嵌式的主机)。
验证方:验证方是验证数字签名的实体。 群组成员发布方:群组成员发布方是给签名方发布群组成员证书的实体。这种实体存在 GB/T38647.2规定的所有机制中。 群组成员打开方:群组成员打开方是可以确定一个签名的签名方的实体。这个实体存在于 GB/T38647.2的一些机制中。在某些特定的机制中,群组成员发布方和群组成员打开方是相同的实 体。根据这种机制,群组成员打开方可输出绑定的证据,即绑定签名到签名方的可标识身份。 证据评估方:证据评估方检查绑定证据的有效性。 群组签名连接方:群组签名连接方是能够连接同一个签名方生成的两个签名的实体。这个实体存 在于GB/T38647.2中。在某些特定的机制中,连接方也是验证方。在不同匿名签名机制中连接方的 数量可能会发生变化,
密钥生成过程包括密钥生成算法,密钥生成算法用手创建该群组成员发布密钥,如果在机制中需 要,还用于创建群组成员打开密钥和群组签名连接密钥(或值)。典型的密钥生成算法是输人个取决 于该机制的安全性强度的安全参数,并输出公私钥对。 密钥生成过程还包括群组成员发布过程。根据机制规定,如图4的群组成员发布过程可能涉及也 可能不涉及一个在希望成为群组成员的用户和群组成员发布方之间的协议。 若需要上述协议,群组成员和群组成员发布方都应参与群组成员签名密钥的生成过程。在协议完 成后,群组成员拥有群组成员签名密钥,该密钥由成员的群组成员私钥和成员证书组成:该群组成员发 布方会知晓成员证书和相关的成员的可区分标识符。该可区分标识符的格式取决于机制,并且它可以 是也可以不是群组成员发布过程的输人。 另外,群组成员发布方应单独生成群组成员签名密钥,并把它分发至群组成员。在这种情况下,群 组成员的私钥和成员证书的归属是不明确的,并且成员和发布方都将拥有签名密钥的值。 注:如果群组成员发布方知道签名方的群组成员签名密销,该群组成员发布方必须是可信任的非充的群组成员, 否购.群红签名机制将不具备抗抵菌性
图4群组成员发布过利
签名过程是由作为签名方的群组成员执行。签名方使用其成员签名密钥来计算给定消息的群组 签名。 如果该机制支持群组成员打开,签名过程中会在签名中嵌人可区分标识符,通过这样的方式,该群 组成员打开方可以恢复可区分标识符,但无法恢复其他部分。这可以通过在签名前使用群组打开方的 公钥对可区分标识符进行非对称加密来实现。 如果该机制支持群组签名连接,当生成可连接的两个签名时,签名过程将使用相同的连接基或连接 密钥,通过这样的方式,该群组签名的连接方用连接密钥只能连接两个签名,但无法连接其他部分。根 据该机制,连接方可以是也可以不是签名的验证方。 如果机制允许签名方被撤销,签名过程应包含可确保验证方验证出签名是由一个未撤销的签名方 创建的功能。
7.5群组签名验证过程
验证过程由验证方执行,验证方能够将签名关联到正确的群组公钥,但不能从签名来确定签名方 分 根据机制的不同,验证过程可以独立于也可以不独于签名连接过程和/或签名的撤销过程
7.6群组成员打开过程
图5群组成员打开过程
根据机制,它可以涉及或可以不涉及一个证据评估过程。如果需要证据评估,在打开过程中群组成 员打开方将创建绑定的证据,表明给定的签名与签名方的可区分标识符具有密码学绑定关系。如图6 所示,所示证据评估过程由证据评估方执行,其中,基于绑定的证据检查打开方从给定的消息是否正确 只别了签名方的身份。如果证据评估确信签名匹配绑定信息,则评估方输出有效;否则,评估方输出 无效。 注:由手客种原因的存在,打开过程可以包括或不包括证据评估过程。一般来说,如果打开过程的结果需要由外部 评估方验证,则采用证据评估过程,如何确定是否将证据评估过程作为打开过程的一部分,不在本部分范围 之内
7.7群组签名连接过程
群组签名连接过程,如图7所示,是由群组签名连接方执行,检查给定的两个有效签名是否是由同 个签名方创建的。根据该机制,该群组签名连接方可以也可以不拥有连接密钥;同时,该群组签名连 接过程可以包括也可以不包括连接基,连接基可能会也可能不会由签名连接方创建。当存在该连接基 时,它一般是在群组签名过程中创建两个签名时使用。
它一般是在群组签名过程中创建两个签名时使用。 注:具有连接过程的机制被认为拥有用户控制连接能力或可控连接能力(参见参考文献[7)
7.8群组签名撤销过程
图7群组签名连接过程
采用群组公钥的暨名数字签名机制定义了三个不同“等级”的撤销。这三个等级允许不同类型的 被撒销
Z.8.2±1 级撤箱
整个群组被撤销。如果整个样组的授 组公钥应添加到群组公钥撤销 任何与撤销群组公钥相关的匿名数字签名将被拒绝。这种撤销方法与使用传统的数字签名方案 同的。 注:这种类型撤销的机制未在GB/T38647.2中规定
7.8.3 2 级撤销
撤销指定群组成员的成员资格,结果为已撤销的成员不再被授权代表群组创建群组的签名。有 两种方法来实现
群组成员发布方更新群组公钥(这可能会也可能不会涉及更新它的私钥和/或该群组的公共参 数)。发布方随后使用新的群组公钥更新所有合法签名方的证书。在后续群组签名过程、验证 过程、打开过程和连接的过程中,将使用更新后的密钥和证书。根据该机制,该更新方法可以 定期执行,或者群组成员发布方希望撤销群组成员的任何时候执行,或者以上两种情况同时发 生时执行。 注1:此撤销方法被称为基于密钥更新的撤销或证书更新撒销。 注2:根据该机制,以下两个途径可作为撤销方法,第一,群组发布方与每个合法群组成员进行交互,以更新成员 群组成员的签名密销,第三,群组发布方创建特定的公共信息,然后每个合法的群组成员根据这费信息相应 地更新自己的群组成员签名密钥, 6 另一种方法是利用群组全局撤销列表。撤销列表的内容列表依额手机制,将在下面指定一些 常见的情况。个在群组撤销列表中列出的授权相关的匿名数学签名应被群组签名验证方 拒绝。 如图8a)所示,这个级别的撤销被称为全局撤销。一些全局撤销机制在GB/T38647.2中规定。 注3:根据该机制,这个级别中的两种撤销方法可以一起使用,例如,群组公钥和群组成员证书的信息更新可以被 包括在群组全局撒销列表中,群组全局撤销列表被验证方用米更新群组公钥和/或由签名方更新其群组成 员签名密制,
图8群组签名撤销过程
群组成员授权创建的特定类型的匿名签名由签名验证方撤销。验证方可以通过利用验证方局部撤 消列表来实现这个等级撤销。与验证方局部撤销列表中相关的匿名数字签名应被群组签名验证方 拒绝。 这个级别的撤销DB13T 549-2004 柴鸡蛋,如图8b)所示,被称为局部撤销。一些局部撤销机制是在GB/T38647.2规 定的。 注1:这种类型的撤销也被称为验证方局部撤销, 注2:在这种类型的撤销,虽然验证方执行撒销机制,但验证方 知道被撒销的签名方是,
7.8.5.1一般而育,撤销列表是由列表中用户都信额的用户或者由用户自已创建。撤销列表用于识别 划建已被撤销的数字签名的特定授权。使用撤销列表来检查个签名的有效性通常是签名验证的部 分。根据撤销列表,一些撤销机制需要签名方在签名时证明其有权基于撤销列表创建签名,其他的验证 机制只需要验证方在签名验证过程中检查撤销列表。根据机制的不同,撤销列表可被“压缩”为耽搁参 数来实现有效性的验证。该证明不得泄露任何签名方隐私的敏感信息。
1.8.5.2 有三种类型的撤销列表分别对应三个撤
可将检查该列表可以作为采用群组公钥的每个过程的一个构成部分。 b 群组全局撤销列表。该列表应由群组发布方或其他群组级别可信机构创建,由群组签名验证 方所使用,撤销列表的内容取决于不同的机制还包括一些特殊情况的存在,比如,私钥撤销列 表、群组成员证书撤销列表以及群组签名撤销列表。 验证方局部撤销列表。该列表可以由验证方自已或由其他实体创建,只能由验证方使用。该 撤销列表的内容依赖于机制,一般情况下包括个验证方黑名单撤销列表和一个群组签名撤 销列表。根据不同机制,验证方可以采用全局撤销列表作为部分或全部验证方局部撤销列表。 7.8.5.3 撤销列表的内容可以有所不同,如以下示例所示: 8 在“私钥撤销”里,撤销列表列出撤销签名方的私有签名密钥,验证方可以检查给定的签名是否 由该密钥所创建。该列表可以在全局撤销中使用,也可以在局部撤销中使用。
b)在“成员证书撤销”里,撤销列表列出撤销签名方的群组成员证书,签名方可能需要提供证明签 名方的成员证书不在列表内。根据该机制,此列表可以在全局撤销中使用。 C 在“验证方黑名单撤销"重,撤销列表包括对应于群组签名连接基的签名(或其部分签名),并且 验证方可以检查是否给定的签名是由列表中签名的签名方创建的。此列表可以在局部撤销中 使用。 d 在“签名撤销”里,签名(或其部分签名)包含在撤销列表中,验证方可以检查给定的签名是否包 含在列表中,以及由签名方提供的一项由列表中的签名方所创建的证据。根据该机制,此列表 可以在全局撤销中使用也可以在局部撒销中使用,
采用多公钥的匿名签名机制也称为环签名机制。环签名机制涉及一个可能签名方的集合。每一个 可能的签名方拥有和传统签名机制相同形式的签名密钥对。这些可能的签名方是彼此独立的,在某种 程度上它们不需要就参与同一个签名过程达成一致。其中方是真实的签名方,另一方(或其他的)就 是潜在的签名方。真实的签名方选择潜在的签名方并且形成二个环。 环签名机制由下列过程组成: )密钥产生过程; b)环签名过程; )环签名验证过程
在使用多公钥的匿名数字机制中包含以下三种类型的实体: 真实的签名方:真实的签名方是产生数字签名的实体: D 潜在的签名方:潜在的签名方是其公钥被用来创建数学签名的实体,这意味着该公钥舰被用在 签名过程也被用在验证过程,尽管潜在的签名方没有参与这两个过程; C 验证方:验证方是验证数字签名的实体,
密钥产生过程包含了一系列签名和验证密钥的产 生过程,签名密钥对是被此独立产生的。
在签名过程中Q/XTM 0002 S-2014 云南熹太猛食品有限公司 香酥牛干巴,真实的签名方选择潜在的签名方(或潜 在签名方的集合),并且通过使用它自己的 签名密钥和潜在签名方的验证密钥(不需要潜在签名方的同意和辅助)对消息进行签名。