摘要: 变色龙签名是一种特殊的数字签名类型. 首先， 变色龙签名具有不可传递性: 其合法性只能由签名者所指定的接收者来验证, 而其他任何人都不能确定该签名是由签名者所签的, 还是由指定接收者伪造的. 其次，变色龙签名具有不可伪造性: 对于一个伪造的变色龙签名,合法的签名者能够提供证据表明该伪造签名的不合法性. 再者, 变色龙签名具有不可否认性: 对于合法的变色龙签名, 其签名者并不能提供此类证明以开脱责任. 既然变色龙签名能够同时提供不可否认性, 不可伪造性和不可传递性, 所以变色龙签名是一种比较理想的指定验证者签名.构造变色龙签名的主要工具是变色龙哈希函数. 更具体地讲, 变色龙签名的构造遵循了著名的先哈希再签名的范例(hash-and-sign paradigm), 但是稍有不同. 也就是说, 用来计算消息摘要的是变色龙哈希函数, 而不是普通的哈希函数; 用来计算签名的则是一个安全的数字签名算法. 变色龙哈希函数是一种带陷门的抗碰撞哈希函数: 对于知道其陷门的用户来说, 寻找该哈希函数的碰撞是非常容易的; 而对于不知道其陷门的用户来说, 这种哈希函数与一个标准的哈希函数一样是抗碰撞的. 既然变色龙签名是作用到消息摘要的一个函数, 而此消息摘要又是一个变色龙哈希值, 且陷门属于指定接收者, 所以指定验证者可以把一个变色龙签名变成是其他消息的签名. 因此, 当指定验证者私下向第三方展示变色龙签名时, 第三方将会怀疑该签名是由指定验证人所伪造的. 所以, 基于上述思想, 利用变色龙哈希函数构造的变色龙签名是不可传递的. 另一方面, 如果接收者将一个合法的变色龙签名伪造为另外一个消息的变色龙签名, 即同一个签名对应两个消息, 则合法的签名者可以获得同一个哈希值的两个原象. 既然此碰撞只有指定签名者才能计算, 所以这个碰撞可以看作是指定签名人伪造了变色龙签名的一个证据. 因此, 变色龙签名又是不可伪造的. 换一个角度来看, 对于一个合法的变色龙签名, 合法的签名者由于不知道变色龙哈希的陷门而不能出示一个碰撞作证据. 因此, 变色龙签名又是不可伪造的. 总之, 在上述意义下, 变色龙签名能够提供不可传递性, 不可伪造性和不可否认性. 变色龙哈希函数还应该满足无密钥泄露性和消息隐藏性. 在最初的变色龙哈希函数方案中, 如果指定接收者利用其私钥把消息 m的变色龙哈希值伪造为消息m' 的哈希值, 那么同一个变色龙哈希值将对应两个原象. 然而, 根据两个原象值可以用来计算出指定接收者的私钥. 变色龙哈希函数的这个性质被称作密钥泄露性. 容易看出, 密钥泄露性使得指定接收者伪造变色龙签名的成本过高. 反过来说, 指定接收者敢于传播的变色龙签名, 基本上都是真的. 所以, 存在密钥泄露问题的变色龙签名的不可传递性并不完善, 或者说具有不可传递性的假设前提太不现实. 除了密钥泄露, 另外一个问题称作信息隐藏性: 给定同一个变色龙哈希值的两个原象 m和m', 存在高效算法可以计算该哈希值的第三个原象. 若变色龙哈希函数不具有信息隐藏性, 则当签名者出示变色龙哈希的一个碰撞时, 他将不得不出示他最所签署的消息. 所以, 不具有信息隐藏性的变色龙签名,并不能很好地实现签名的不可伪造性. 已有的无密钥泄露的哈希函数都是基于RSA假设或者SDH假设的. 利用尽可能弱的数论假设构造尽可能高效的密码协议是密码方案设计的重要原则.粗略地讲, 整数分解假设是密码学领域中应用最广泛且最弱的数论假设. 显然, 已有的无密钥泄漏的变色龙哈希函数所基于的数论假设都比整数分解假设更强. 然而, 迄今位置, 还没有基于整数分解难题而构造的无密钥泄漏的变色龙哈希函数. 值得注意的是, 虽然RSA问题与整数分解问题密切相关, 但是基于RSA假设构造变色龙哈希函数的的方法并不能直接用来构造基于整数分解假设的同类方案. 受上述讨论的影响, 本文提出了一种基于整数分解假设的无密钥泄漏且信息隐藏的变色龙哈希方案. 为了该方案的可证明安全性, 本文构造了一种基于Rabin签名的特殊变形, 并在某种特殊的安全模型下证明了该方案的安全性. 这些特殊性都是根据变色龙哈希函数安全性证明的需要而专门设计的.