摘要: 群签名的概念是由Chaum和Van Heyst在CRYPTO1991上提出的，它是一种允许群体成员代表群体对消息进行匿名签名的一种数字签名技术。在这种签名方案中，群体的成员可以利用自己的私钥和其他群体成员的公钥信息对消息进行签名，而群体的管理者负责群体成员的加入和退出。任何人都可以利用所有群体成员的公钥检验签名的真实性，从而判断签名是否来自于这个群体，但是验证人无法知道究竟是谁对消息进行签名的，只有群体的管理者才能知道是群体中的哪个成员对消息进行了签名。当有争端发生时，群体的管理者可以“打开”群签名，确定签名的群体成员。由于群签名可以合理得保护签名人的隐私，在很多场合中都有应用（电子投票，电子现金等）。在早期的群签名方案中，签名的长度随着群体成员数目的增加而增加，当群体成员数目较多时，签名的长度较长，并不适用。近年来，一些具有固定签名长度的群签名方案，尤其是一些高效的具有较短签名长度的群签名方案逐渐被提出。在Asiacrypt2004上，Nguyen和Safavi-Naini利用椭圆曲线上的双线性对（Bilinea Pairing）提出了一种新颖的群签名方案。在这个方案中，不仅群签名的长度是固定的，而且包括群体管理者在内的任何一个群体成员都不需要知道陷门信息，方案的效率也有了一定的提高，在实际中更加适用。原文的作者证明他们方案的安全性是建立在随机预言器模型、DecisionalBilinear Diffie-Hellman 和强Diffie-Hellman假设上的，满足群签名方案的所有属性，不但效率较高而且签名的长度在所有已知的方案中也是最短的。但是在本文中我们指出Nguyen和Safavi-Naini方案是不安全的。通过对他们的方案进行安全性分析，我们从理论上指出了该方案的弱点：一个群体外部的成员（攻击者）在不知道群体成员私钥的情况下任然能够伪造群体的名义对消息进行签名。我们也给出了具体的攻击模型和伪造算法，该伪造算法产生的群签名可以使接收方相信签名确实来自于群体中的某一个成员（虽然签名并不是由群体成员签发的），从而并不满足群签名的不可伪造性要求。当有争端发生时，即使是群体的管理者也无法恢复签名人的身份。因此我们的分析表明Nguyen和Safavi-Naini在Asiacrypt2004上提出的方案不满足群签名的安全性要求，不是一个安全的群签名方案。在对原有的方案进行分析后，我们同时也给出了一个新的群签名方案来克服上述的问题。在本文中，我们使用了基于椭圆曲线的知识签名方法来构造新的群签名方案。知识签名可使证明方对验证方证明其拥有某些秘密值的知识而不泄露有关秘密值的任何信息，被广泛应用来构造群签名方案。在已有知识签名方案的基础上，我们提出了一种新的知识签名方案。该方案可以使证明方对验证方证明他知道椭圆曲线上两个点的离散对数\alpha,\beta\in\Z_q^*。新提出的方案在克服原有方案缺点的同时，保留了原方案的的其它优点。尤其在方案的效率性方面，本文中所提出的群签名方案只需要3次Pairing运算，保留了原有方案的高效性。需要指出的是，原文的作者认同了我们的攻击模型，并且对他们的方案进行了修改。虽然他们的新方案也克服了原有的缺点，但是效率比较低。分析标明他们的方案一共需要13次椭圆曲线上的Pairing运算，由于Pairing的运算代价非常大，所以他们的方案失去了原有方案的高效性，并不是一个有效的方案。即使群体成员可以预先计算一些Pairing，但是验证方任然需要计算大量的Pairing。所以相比而言，本文中所提出的群签名方案效率更高。