GB/T 38647.2-2020
基本信息
标准号: GB/T 38647.2-2020
中文名称:信息技术 安全技术 匿名数字签名 第2部分:采用群组公钥的机制
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
相关标签: 信息技术 安全 技术 数字签名 采用 公钥 机制
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB/T 38647.2-2020.Information technology-Security techniques-Anonymous digital signatures-Part 2:Mechanisms using a group public key.
1范围
GB/T 38647的本部分规定了采用群组公钥的匿名数字签名机制的一般模型和要求.具有连接能力的机制,具有打开功能的机制.具有打开和连接功能的机制。
GB/T 38647.2给出了:
采用群组公钥签名的匿名数字签名机制的概述;
多种提供这类置名数字签名的机制。
对于每个机制,本部分规定了:
群组成员签名密钥和群组公钥的生成过程;
生成签名的过程;
验证签名的过程;
群组 成员打开过程(可选);
群组签名连接过程(可选);
撤销群组签名的过程。
GB/T 38647.2适用于指导采用群组公钥的匿名数字签名机制的设计、实现与应用。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 32905信息安全技术 SM3 密码杂凑算法
GB/T 32918.2-2016信息安全技术 SM2 椭圆曲线公钥密码算法第2 部分:数字签名算法
GB/T 34953.2-2018 信息技术安全技术匿名实体鉴别 第2 部分:基于群组公钥签名的机制(ISO/IEC 20009 -2 :2013.1DT)
GB/T 38647.1信息技术 安全技术匿名数字签名 第1部分:总则(GB/T 38647.1-2020,ISO/IEC 20008-1:2013, MOD)
ISO/IEC 10118(所有部分)信息技术 安全技术 杂凑 雨数( Information technology-Security techniques- Hash-functions)
1范围
GB/T 38647的本部分规定了采用群组公钥的匿名数字签名机制的一般模型和要求.具有连接能力的机制,具有打开功能的机制.具有打开和连接功能的机制。
GB/T 38647.2给出了:
采用群组公钥签名的匿名数字签名机制的概述;
多种提供这类置名数字签名的机制。
对于每个机制,本部分规定了:
群组成员签名密钥和群组公钥的生成过程;
生成签名的过程;
验证签名的过程;
群组 成员打开过程(可选);
群组签名连接过程(可选);
撤销群组签名的过程。
GB/T 38647.2适用于指导采用群组公钥的匿名数字签名机制的设计、实现与应用。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 32905信息安全技术 SM3 密码杂凑算法
GB/T 32918.2-2016信息安全技术 SM2 椭圆曲线公钥密码算法第2 部分:数字签名算法
GB/T 34953.2-2018 信息技术安全技术匿名实体鉴别 第2 部分:基于群组公钥签名的机制(ISO/IEC 20009 -2 :2013.1DT)
GB/T 38647.1信息技术 安全技术匿名数字签名 第1部分:总则(GB/T 38647.1-2020,ISO/IEC 20008-1:2013, MOD)
ISO/IEC 10118(所有部分)信息技术 安全技术 杂凑 雨数( Information technology-Security techniques- Hash-functions)
标准图片预览
标准内容
ICS35.040
中华人民共和国国家标准
GB/T38647.2—2020
信息技术
安全技术
匿名数字签名
第2部分:采用群组公钥的机制
Information technology-Security techniques-Anonymous digital signatures-Part 2:Mechanisms using a group public key(ISO/IEC20008-2:2013.MOD)
2020-04-28发布
国家市场监督管理总局
国家标准化管理委员会
2020-11-01实施
GB/T38647.2—2020
规范性引用文件
术语和定义
般模型和要求
具有连接能力的机制
机制1
机制2
机制3
机制4
具有打开功能的机制·
机制5
机制6
8具有打开和连接功能的机制
概述·
机制7
8.3机制8
附录A(规范性附录)对象标识符,附录B(规范性附录)
附录C(资料性附录)
密码杂凑函数
采用群组公钥的厝名签名机制的安全指南附录D(资料性附录)
撤销机制的比较
附录E(资料性附录)
数值实例
附录F(资料性附录)
参考文献
机制5的正确性证明
GB/T38647《信息技术安全技术匿名数字签名》拟分为两个部分:第1部分:总则;
第2部分:采用群组公钥的机制。本部分为GB/T38647的第2部分
本部分按照GB/T1.1一2009给出的规则起草。GB/T38647.2—2020
本部分使用重新起草法修改采用ISO/1EC20008-2:2013《信息技术安全技术名数学签名
第2部分:采用群组公钥的机制》。本部分与ISO/IEC20008-2:2013的技术性差异及其原因如下:关于规范性引用文件,本部分做了具有技术性差异的调整,以适应我国的技术条件,调整的情况集中反映在第2章“规范性引用文件”中,具体调整如下:?删除了ISO/IEC18031和ISO/IEC18032;?增加了GB/T32905,GB/T32918.2—2016,GB/T34953.2—2018和ISO/IEC15946-1·用修改采用国际标准的GB/T38647.1代替了TSO/IEC20008-1。一第5章采用了我国密码算法国家标准GB/T32905,以与我国技术水平相适应。第8章增加了机制8(见8.3),该机制基于GB/T32918.2—2016.是与我国商用密码算法相适应的名数字签名技术。
增加了与机制8的数学假设和安全参数选取相关的内容(见附录C)。一增加了与机制8的撤销机制相关的内容(见附录D)。增加了E.8,给出了机制8的数值实例(见附录E),本部分由全国信息安全标准化技术委员会(SACTC260)提出并归口。本部分起草单位:西安西电捷通无线网络通信股份有限公司、无线网络安全技术国家工程实验室、中关村无线网络安全产业联盟、国家密码管理局商用密码检测中心,国家无线电监测中心检测中心、国家信息技术安全研究中心、中国道用技术研究院、中国电子技术标准化研究院、天津市电子机电产品检测中心、重庆邮电大学,北京计算机技术及应用研究所、工业和信息化部宽带无线IP标准工作组。本部分主要起草人:杜志强、曹军、张国强、李琴、李志勇、李冬、赵晓荣、黄振海、李冰、陶洪被、刘科伟、颜湘、刘景莉、赵旭东、王月辉、张璐璐、吕春梅、许玉娜、傅强、龙昭华、彭潇、熊克琦、林德欣、铁满霞、吴冬宇、郑骊、高德龙、张变玲、于光明、朱正美、赵慧、黄奎刚。1
GB/T38647.2—2020
医名数签名机制是一种特殊类型的数字签名机制,该类数字签名机制中,非授权的实体不能获得签名方的身份标识,但可验证合法的签名方产生了合法的签名采用群组公钥的匿名数字签名机制具有提供签名方更多信息的能力。一些签名机制拥有连接能力,其中由同二个签名方产生的两个签名是可连接的。一些签名机制拥有打开能力,其中签名可以被特殊的实体打开来揭露签名方的身份。一些签名机制既具有连接能力也具有打开能力。对于每个机制,本部分规定了打开、连接和/或撤销过程。本部分规定的机制使用了GB/T32905中规范的抗碰撞密码杂凑函数去计算整个消息。本义件的发布机构提请注意,声明符合本文件时,可能涉及与8.3相关的CN201810207503.4、CN201810207564.0、CN201810207571.0等专利的使用。本文件的发布机构对于上述专利的真实性,有效性和范围无任何立场该专利持有人已向本文件的发布机构保证,他愿意同任何申请人在合理且无歧视的条款和条件下,就专利授权许可进行谈判。该专利持有人的声明已在本文件发布机构备案。相关信息可道过以下联系方式获得:
专利持有人:西安西电捷通无线网络通信股份有限公司地址:西安市高新区科技二路68号西安钦件园秦风阁A201联系人:冯玉晨
邮政编码:710075
电子邮件:[email protected]
电话:029-87607836
传真:029-87607829
网址:http://iwncomm.com本文件的发布机构提请注意,本文件修改采用IS0/1EC20008-2:2013,因此,除上述市明外,韩国电子通信研究院、英特尔公司以及日本NEC公司针对ISO/IEC20008-2:2013所作出的“专利持有人愿意基于无歧视、合理条件和条款与其他方协商许可”的声明适用于本文件。相关信息可通过以下联系方式获得:
专利持有人:ElectronicsandTelecommunicationsResearchInstitute地址:161.Gajeong-dong.Yuseong-gu.Daejeon.305-700.KOREA联系人:Hanchul Shin
电子邮件:[email protected]
电话:+82-042-860-5797
传真:+820428603831
网址:http://etri.re.kr专利持有人:IntelCorporation地址:Intel Legal and Corporation Affairs 2200Mission CollegeBlvd.,RNB-150,Santa Clara.CA95054联系人:JamesKovacs
电子邮件:[email protected]电话:408-765-1170
传真:408-613-7292
网址:http://intel.com/standards/licensing.html专利持有人:NECCorporation
地址:7-1Shiba5-chomeMinato-KuTokyoJapan108-8001Japan联系人:YoshinobuMatsumoto
电子邮件:[email protected]电话:+81-3-3798-24152
传真:+81-3-3798-6394
网址:http://nec.com/
GB/T38647.2—2020
请注意除上述专利外,本文件的某些内容仍可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
1范围
信息技术安全技术名数字签名
第2部分:采用群组公钥的机制
GB/T38647.2—2020
GB/T38647的本部分规定了采用群组公钥的匿名数字签名机制的一般模型和要求,具有连接能力的机制、具有打开功能的机制、具有打开和连接功能的机制。本部分给出了:
a)采用群组公钥签名的暨名数字签名机制的概述:b)多种提供这类匿名数字签名的机制。对于每个机制,本部分规定了
群组成员签名密钥和群组公钥的生成过程;a)
b)生成签名的过程;
验证签名的过程;
d)群组成员打开过程(可选):群组签名连接过程(可选);
f)撤销群组签名的过程
本部分适用于指导采用群组公钥的暨名数字签名机制的设计、实现与应用。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T32905信息安全技术SM3密码杂凑算法GB/T32918.2—2016信息安全技术SM2椭圆曲线公钥密码算法第2部分:数字签名算法GB/T34953.2一2018信息技术安全技术置名实休鉴别第2部分:基于群组公钥签名的机制(ISO/IEC20009-2:2013.IDT)GB/T38647.1信息技术安全技术匿名数字签名第1部分:总则(GB/T38647.1—2020,ISO/IEC20008-1.:2013.MOD)
ISO/IEC10118(所有部分)
信息技术安全技术杂凑函数(Informationtechnology:SecuritytechniquesHash-functions)
ISO/1EC159461信息技术安全技术基于椭圆由线的密码技术第1部分:通用要求(Infarmation technologySecurity techniques-Cryptographic techniques based on elliptic curves-Part l:General)
ISO/IEC15946-5信息技术安全技术基于椭圆曲线的密码技术第5部分:椭圆曲线生成(Infarmation technologySecurity techniques-Cryptographic techniques based on elliptic curvesPart5.Elliptic curvegeneration)3术语和定义
GB/T38647.1界定的以及下列术语和定义适用于本文件。1
GB/T38647.2—2020
辅助签名方assistantsigner
可以帮助主签名方去创建盾名签名,仙不可以独立地产生屠名签名的实体。3.2
成员列表
member-list
包含群组成员身份及其对应的群组成员证书的列表3.3
主签名方
principal signer
拥有群组成员签名密钥,并使用该密钥来创建匿名签名的实体。3.4
Isecret seed value
密钥种子值
群组成员所知的并且用来导出群组成员私钥的保密数据。3.5
安全参数
securityparameter
决定一个机制安全强度的变量。4符号
下列符号适用于本文件。
bsn:连接基,既可以是一个特殊符号工,也可以是任意字符串。e():双线性映射函数eG,XG→GT,使得对所有PEG、QEG.所有正整数a、b.等式e(LaP,[6Q)=e(P,Q)成立,该函数也称为对函数。gcd(a,b):整效a和b的最大公因子。GI:椭圆曲线I的阶为P的一个加法循坏群。G。:椭圆曲线上的阶为P的一个加法循环群。G:阶为P的乘法循环群。
H密码杂凑函数。
m:待签名消息。
n:RSA模块,其中n=p。
O:椭圆曲线上的无穷人点。
P:素数。
P1:G.的生成元。
P2:G的生成元。
q:素数。
Q:+Q::椭圆曲线点Q.和Q的总和。QR(n):模n的二次剩余群组。
乙。”乙,中可逆元素的乘法群。Z,:[o,b-1]中整数的集合。
Z,:L1.p-1]中整数的集合。
(a|p):α和p的勒让德符号.其中a是一个整数,是一个奇素数。[n]P:-个正整数和个在椭圆曲线E上的点P之间的乘法运算,n和P作为输人并产生另外棚圆曲线EI的点Q.其中Q一n]P=P十P十+P,是n个P的总和。该运算满足[oP=O和[-nP=](-P)。
GB/T38647.2—2020
[,y:从a到y之间包括和的整数集合,如果,y是整数,则满足r≤y。I:XⅡY表示数据项Y和Z以特定的顺序级联的结果。将两个或多个数据项连接的结果作为本部分规定的机制之一进行签名时,应将该结果纠合起来,使其可以唯一的分解为其组成数据项,确保不存在歧义的可能,这种属性可根据应用以各种不同的方式实现。例如,它可以:a)在整个机制被使用时确保子字符串的固定长度,或b)确保使用唯一的编码方式来对级联的字符串序列进行编码。例如使用1SO/IEC8825-1中参考文献[1]定义的编码规则。5一般模型和要求
本章定义了采用群组公钥的蘑名数字签名机制的一般模型和要求。此外,本章还规定了与采用群组公钥的匿名签名机制相关的特定要求。本部分凡涉及密码算法相关的内容,按国家有关法规实施;凡涉及采用密码技术解决机密性、完整性、真实性、抗抵赖需求的应遵循密码相关国家标准和行业标准。本部分使用群组公钥签名的匿名机制包含了群组和群组成员。每个群组应包含相关的群组成员发布方。根据具体的机制,可能还拥有群组成员打开方和/或群组签名连接方。多个实休可能承担群组成员打开方或群组签名连接方的作用。机制的匿名程度依赖于匿名强度(例如群组的大小)、是否捐有打开能力、是否拥有连接能力、怎样进行撤销、是否发布方知道私钥和泄露私钥的可能性。本部分规定的机制所使用的对象标识符见附录A,所对应的数值实例参见附录E。基于群组的厝名数字签名机制包括下列规定的过程:a)密钥生成过程;
b)签名过程;
c)验证过程;
d)打开过程(如果机制支持打开能力);e)
连接过程(如果机制支持连接能力);撤销过程
本部分用到的撤销方法的对比分析参见附录D。本部分规定的采用群组公钥的匿名数字签名机制包含了各种实体。一些存在于所有机制中,另一些只存在于部分机制中。这些实体如下:签名方:签名方是产生签名的实体。在一些机制中,签名方分割为两个实体,例如,在直接置名机制中,签名方的角色分割为带有限计算和存储能力的主签名方,例如可信平台模块(TPM)和带高计算能力但低安全容错性的辅助签名方,如普通的计算平台。验证方:验证方是验证数学签名的实体。一群组成员发布方:群组成员发布方是发布群组成员证书给签名方的实体。该实体存在于本部分所有的机制中。
一群组成员打开方:群组成员打方是有能力从签名中确认签名方身份的实体。该实体存在于本部分规定的某些机制中。
一群组成员连接方:群组成员连接方能够验证两个签名是否由同一个签名方使用连接密钥或连接基产生的。该实体存在于本部分规定的某些机制中。使用本部分中的任意机制,均应满足下列条件:包含在磨名数字签名机制的每个实体都知道一组共同的群组参数,它被用来订算机制中的不同函数;
每个验证方可以访问样组验证密钥的真实副本:一在发布群组签名密钥时,签名方和群组成员发布方需要有可靠地通道米确保群组成员发布方3
GB/T38647.2—2020
只能够提供群组成员签名密钥给合法的群组成员;抗碰撞密码杂凑数应采用GB/T32905中规定的丽数:强健的箱圆曲线生成器,如IS0/IEC15946-5中规定的一种,应在一此磨名数字签名机制中使用;
强健的随机数生成器,如GB/T32905中规定的一种,应在一些匿名数字签名机制中使用。6具有连接能力的机制
6.1概述
本章规定了具有连接能力的四种数字签名机制。注1:在参考文献中6.2的机制称为单签名方案,同时.6.3、6.4和6.5的方案称为直接医名证明(DAA)方案。6.26.4和6.5中的机制和相关安全证明分别基于参考文献[9],[6]和[11]。6.3的机制基于参考文献[3]中的方案,它是对参考文献方案的小的修改,并且在参考文献[4全文中给出其相应的安全分析注2:对丁验证等特定的应用,本章所规定的暨名签名机制,在进行签名之前,被签名消息可能被进行密码杂凑运算或/和被连接额外的信息。
6.2机制1
6.2.1符号
下列符号适用于本机制。
t,k,l,e.lex:安全参数:
p.g.e.素数
a.ao.g,h,b,Cr.D.C..d'.di,dz.t'.tr.t..A,f.Tr.T..Ts.T.da.d..ds,ts.t..t,:QR(n)内的整数:
r,a.β:[o.2—1内的整数;
wW:[0.22—1内的整数;
—c.c.cc.c\c\.长度为k比特的整数;7:长度为(21十1)比特的整数;t.si,r,r.r:长度为[e.(l,+h)比特的整数:—t2,32:长度为[e·(21,+k+1)比特的整数::长度为(1十1)比特的整数;
ra:长度为[e.(.+21++1)的整数;81+82+5[—2+#,2a+*>—1]内的整数3:[—2+2)+1,2+2g++1)1内的整数;rrs:长度为e·(21,+)比特的整数;ruru:长度为[e·(2l,+l+k)比特的整数;84:[—22+k,2*2+)—1]内的整数;3g,810:[—22+42+,2(2,++)—1]内的整数;一H:输出灵比特消息摘要的密码杂漆函数:HF:输出(21,)比特消息搞要的密码杂凑函数。6.2.2密钥产生过程
6.2.2.1密钥产生过程由两部分组成:建立过程和群组成员发布过程。其中,发布过程是群组成员发布4
GB/T 38647.2—2020
方产牛证明、群组公共参数、群组公钥和群组发布密钥的过程,群组成员发布过程是通过运行在群成员发布方和群成员之间的交互协议来产生唯的群组成员签名。6.2.2.2建立过程由群组成员发布方通过以下步骤执行a)选择下列参数,br,x。
b)选择RSA模块满足n-且-2p+1.q一2q+1.这里q都是素数并且p和均为比特。
c)选择二次剩余模n的群组的随机数a执行以下步骤:在Zm内满足ged(g十1,n)=1和gcd(g1.n)=1;1
2)i算a=g2(modn)。
d)在QR(n)内选择区别于a的随机数a。在QR(n)内选择区别于a和a。的随机数g。e)
在QR(n)内选择区别于a、a。和g的随机数h。在QR(n)内选择区别于aa。、h和g的随机数b。g)
群组成员发布方选择两个密码杂漆函数H:(01)→(0.1和Hr:(0,1)→(0,1)2e。附录Bh)
给出了如何去构建H的示例。
输出:群组公共参数(pk,l.ir,x),i)
群组公钥(n,a,ao.g,h,b),
群组成员发布密钥(p,9)。
注:推荐参数的示闭参见附录C中的C.2。6.2.2.3群组成员发布过程需要在主签名方和发布方之间建立一个安全的鉴别通信信道,如何建立该信道不在本机制的范围之内规定,群组成员发布过程包括以下步骤:群组成员选取随机整数E[0.2-1]。a)
群组成员选取随机整数?E[0.2n-1]。b)bZxz.net
群组成员计算C=gh(modn)
群组成员通过以下步骤产生一个在基和h下C的(,)知识证明U:d
群组成员选取随机整数t,E[0,2+>-1];1
群组成员选取随机整数t:E[0,22+-1)-1]:2
群组成员计算D一gh.D=gh(modn);3)
群组成员计算c=H(ghC,D);
群组成员计算S,=-C元;
群组成员计算s2=12—C7;
U=-(e,st,s,).
群组成员发送C.和给群组成员发布方。群组成员发布方从群组成员接收到C,和U。群组成员发布方验证C.属于QR(n):g)
群组成员发布方验证是否存在(C1p)=1且(Clg)=1。如果任意的一个验证失败,群组成员发布方输出拒绝和禁止。h)群组成员发布方验证知识证明U:群组成员发布方计算D=ghC(modn):1)
群组成员发布方计算c=H(gIIhICID):2)
群组成员发布方验证℃=℃3[-2+#2+—1].并且3E[—22+#+1,224+#-1)—1]。如果任意的一个验证失败,群组成员发布方输出拒绝和禁止。5
GB/T38647.2—2020
群组成员发布方选取随机的基数αE[0,2—1]。群组成员发布方选取随机整数3E[0,21,-1]。群组成员发布方发送α和3给群组成员。群组成员从群组成员发布方接收到α和β。群组成员计算-2+[αz+(mod2)]。m)
群组成员计算C.=a(modn)。
群组成员计算=(α+)2%
群组成员产生在基a下C的离散对数α的知识证明V:1)
群组成员发布方选取随机整数E[0.21+)—1];群组成员计算d=at(modn);
群组成员计算c=H(agClld');
群组成员计算s—r—c(—2);群组成员使得V=(e.s\)。
群组成员产生知识证明W:
群组成员选取随机整数r,E[0,2+】-1];群组成员选取随机整数r?E[0.2*+)-1]:群组成员选取随机整数3E[0,2t+++1)-1];群组成员计算d,=ai(modn);
群组成员计算dz=g\(g)\h\(modn),其中l=2;群组成员计算e=H(aglhlCCldld);群组成员计算s1=—c(r—2;
群组成员计算se=r2cu;
群组成员计算S=T3一cαF
群组成员计算W-(c.S1.52.ss)r)
群组成员发送C.、V和W群组成员发布方。群组成员发布方从群组成员接收到C、V和W群组成员发布方检查C,是否属于QR(n)。群组成员发布方检查是否满足(C|P)一1且(C。Q)一1。如果任意一个验证失败,群组成员发布方输出拒绝和禁止。
u)群组成员发布方验证知识证明V:群组成员发布方计算s.=5—c2;1
群组成员发布方计算t=Ca\(modn);2
群组成员发布方计算c\-H(agC2lt);3)
群组成员发布方检查。\=c并且,E[-2++,2a+)—1]。如果任意一个验证失败,群组成员发布方输出拒绝和禁止。v)
群组成员发布方验证知识证明W:群组成员发布方计算t,=(C,/a)a(madn),其中L=2:1)
群组成员发布方计算t=(Ci\g)g\(g)2ha(modn),其中t=2:2
群组成员发布方计算\=HaglhllCiICltlt;3)
群组成员发布方验证c\—℃.5属于[—2+,2+—1],5属于[—2+#,2+01并且属于[—2+#+++1,2er+21++1—17。如果任意一个验证失败,群组成员发布方输出拒绝和禁止。
w】群组成员发布方选取随机数eE[21—24+1,21+24-1]。6
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T38647.2—2020
信息技术
安全技术
匿名数字签名
第2部分:采用群组公钥的机制
Information technology-Security techniques-Anonymous digital signatures-Part 2:Mechanisms using a group public key(ISO/IEC20008-2:2013.MOD)
2020-04-28发布
国家市场监督管理总局
国家标准化管理委员会
2020-11-01实施
GB/T38647.2—2020
规范性引用文件
术语和定义
般模型和要求
具有连接能力的机制
机制1
机制2
机制3
机制4
具有打开功能的机制·
机制5
机制6
8具有打开和连接功能的机制
概述·
机制7
8.3机制8
附录A(规范性附录)对象标识符,附录B(规范性附录)
附录C(资料性附录)
密码杂凑函数
采用群组公钥的厝名签名机制的安全指南附录D(资料性附录)
撤销机制的比较
附录E(资料性附录)
数值实例
附录F(资料性附录)
参考文献
机制5的正确性证明
GB/T38647《信息技术安全技术匿名数字签名》拟分为两个部分:第1部分:总则;
第2部分:采用群组公钥的机制。本部分为GB/T38647的第2部分
本部分按照GB/T1.1一2009给出的规则起草。GB/T38647.2—2020
本部分使用重新起草法修改采用ISO/1EC20008-2:2013《信息技术安全技术名数学签名
第2部分:采用群组公钥的机制》。本部分与ISO/IEC20008-2:2013的技术性差异及其原因如下:关于规范性引用文件,本部分做了具有技术性差异的调整,以适应我国的技术条件,调整的情况集中反映在第2章“规范性引用文件”中,具体调整如下:?删除了ISO/IEC18031和ISO/IEC18032;?增加了GB/T32905,GB/T32918.2—2016,GB/T34953.2—2018和ISO/IEC15946-1·用修改采用国际标准的GB/T38647.1代替了TSO/IEC20008-1。一第5章采用了我国密码算法国家标准GB/T32905,以与我国技术水平相适应。第8章增加了机制8(见8.3),该机制基于GB/T32918.2—2016.是与我国商用密码算法相适应的名数字签名技术。
增加了与机制8的数学假设和安全参数选取相关的内容(见附录C)。一增加了与机制8的撤销机制相关的内容(见附录D)。增加了E.8,给出了机制8的数值实例(见附录E),本部分由全国信息安全标准化技术委员会(SACTC260)提出并归口。本部分起草单位:西安西电捷通无线网络通信股份有限公司、无线网络安全技术国家工程实验室、中关村无线网络安全产业联盟、国家密码管理局商用密码检测中心,国家无线电监测中心检测中心、国家信息技术安全研究中心、中国道用技术研究院、中国电子技术标准化研究院、天津市电子机电产品检测中心、重庆邮电大学,北京计算机技术及应用研究所、工业和信息化部宽带无线IP标准工作组。本部分主要起草人:杜志强、曹军、张国强、李琴、李志勇、李冬、赵晓荣、黄振海、李冰、陶洪被、刘科伟、颜湘、刘景莉、赵旭东、王月辉、张璐璐、吕春梅、许玉娜、傅强、龙昭华、彭潇、熊克琦、林德欣、铁满霞、吴冬宇、郑骊、高德龙、张变玲、于光明、朱正美、赵慧、黄奎刚。1
GB/T38647.2—2020
医名数签名机制是一种特殊类型的数字签名机制,该类数字签名机制中,非授权的实体不能获得签名方的身份标识,但可验证合法的签名方产生了合法的签名采用群组公钥的匿名数字签名机制具有提供签名方更多信息的能力。一些签名机制拥有连接能力,其中由同二个签名方产生的两个签名是可连接的。一些签名机制拥有打开能力,其中签名可以被特殊的实体打开来揭露签名方的身份。一些签名机制既具有连接能力也具有打开能力。对于每个机制,本部分规定了打开、连接和/或撤销过程。本部分规定的机制使用了GB/T32905中规范的抗碰撞密码杂凑函数去计算整个消息。本义件的发布机构提请注意,声明符合本文件时,可能涉及与8.3相关的CN201810207503.4、CN201810207564.0、CN201810207571.0等专利的使用。本文件的发布机构对于上述专利的真实性,有效性和范围无任何立场该专利持有人已向本文件的发布机构保证,他愿意同任何申请人在合理且无歧视的条款和条件下,就专利授权许可进行谈判。该专利持有人的声明已在本文件发布机构备案。相关信息可道过以下联系方式获得:
专利持有人:西安西电捷通无线网络通信股份有限公司地址:西安市高新区科技二路68号西安钦件园秦风阁A201联系人:冯玉晨
邮政编码:710075
电子邮件:[email protected]
电话:029-87607836
传真:029-87607829
网址:http://iwncomm.com本文件的发布机构提请注意,本文件修改采用IS0/1EC20008-2:2013,因此,除上述市明外,韩国电子通信研究院、英特尔公司以及日本NEC公司针对ISO/IEC20008-2:2013所作出的“专利持有人愿意基于无歧视、合理条件和条款与其他方协商许可”的声明适用于本文件。相关信息可通过以下联系方式获得:
专利持有人:ElectronicsandTelecommunicationsResearchInstitute地址:161.Gajeong-dong.Yuseong-gu.Daejeon.305-700.KOREA联系人:Hanchul Shin
电子邮件:[email protected]
电话:+82-042-860-5797
传真:+820428603831
网址:http://etri.re.kr专利持有人:IntelCorporation地址:Intel Legal and Corporation Affairs 2200Mission CollegeBlvd.,RNB-150,Santa Clara.CA95054联系人:JamesKovacs
电子邮件:[email protected]电话:408-765-1170
传真:408-613-7292
网址:http://intel.com/standards/licensing.html专利持有人:NECCorporation
地址:7-1Shiba5-chomeMinato-KuTokyoJapan108-8001Japan联系人:YoshinobuMatsumoto
电子邮件:[email protected]电话:+81-3-3798-24152
传真:+81-3-3798-6394
网址:http://nec.com/
GB/T38647.2—2020
请注意除上述专利外,本文件的某些内容仍可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
1范围
信息技术安全技术名数字签名
第2部分:采用群组公钥的机制
GB/T38647.2—2020
GB/T38647的本部分规定了采用群组公钥的匿名数字签名机制的一般模型和要求,具有连接能力的机制、具有打开功能的机制、具有打开和连接功能的机制。本部分给出了:
a)采用群组公钥签名的暨名数字签名机制的概述:b)多种提供这类匿名数字签名的机制。对于每个机制,本部分规定了
群组成员签名密钥和群组公钥的生成过程;a)
b)生成签名的过程;
验证签名的过程;
d)群组成员打开过程(可选):群组签名连接过程(可选);
f)撤销群组签名的过程
本部分适用于指导采用群组公钥的暨名数字签名机制的设计、实现与应用。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T32905信息安全技术SM3密码杂凑算法GB/T32918.2—2016信息安全技术SM2椭圆曲线公钥密码算法第2部分:数字签名算法GB/T34953.2一2018信息技术安全技术置名实休鉴别第2部分:基于群组公钥签名的机制(ISO/IEC20009-2:2013.IDT)GB/T38647.1信息技术安全技术匿名数字签名第1部分:总则(GB/T38647.1—2020,ISO/IEC20008-1.:2013.MOD)
ISO/IEC10118(所有部分)
信息技术安全技术杂凑函数(Informationtechnology:SecuritytechniquesHash-functions)
ISO/1EC159461信息技术安全技术基于椭圆由线的密码技术第1部分:通用要求(Infarmation technologySecurity techniques-Cryptographic techniques based on elliptic curves-Part l:General)
ISO/IEC15946-5信息技术安全技术基于椭圆曲线的密码技术第5部分:椭圆曲线生成(Infarmation technologySecurity techniques-Cryptographic techniques based on elliptic curvesPart5.Elliptic curvegeneration)3术语和定义
GB/T38647.1界定的以及下列术语和定义适用于本文件。1
GB/T38647.2—2020
辅助签名方assistantsigner
可以帮助主签名方去创建盾名签名,仙不可以独立地产生屠名签名的实体。3.2
成员列表
member-list
包含群组成员身份及其对应的群组成员证书的列表3.3
主签名方
principal signer
拥有群组成员签名密钥,并使用该密钥来创建匿名签名的实体。3.4
Isecret seed value
密钥种子值
群组成员所知的并且用来导出群组成员私钥的保密数据。3.5
安全参数
securityparameter
决定一个机制安全强度的变量。4符号
下列符号适用于本文件。
bsn:连接基,既可以是一个特殊符号工,也可以是任意字符串。e():双线性映射函数eG,XG→GT,使得对所有PEG、QEG.所有正整数a、b.等式e(LaP,[6Q)=e(P,Q)成立,该函数也称为对函数。gcd(a,b):整效a和b的最大公因子。GI:椭圆曲线I的阶为P的一个加法循坏群。G。:椭圆曲线上的阶为P的一个加法循环群。G:阶为P的乘法循环群。
H密码杂凑函数。
m:待签名消息。
n:RSA模块,其中n=p。
O:椭圆曲线上的无穷人点。
P:素数。
P1:G.的生成元。
P2:G的生成元。
q:素数。
Q:+Q::椭圆曲线点Q.和Q的总和。QR(n):模n的二次剩余群组。
乙。”乙,中可逆元素的乘法群。Z,:[o,b-1]中整数的集合。
Z,:L1.p-1]中整数的集合。
(a|p):α和p的勒让德符号.其中a是一个整数,是一个奇素数。[n]P:-个正整数和个在椭圆曲线E上的点P之间的乘法运算,n和P作为输人并产生另外棚圆曲线EI的点Q.其中Q一n]P=P十P十+P,是n个P的总和。该运算满足[oP=O和[-nP=](-P)。
GB/T38647.2—2020
[,y:从a到y之间包括和的整数集合,如果,y是整数,则满足r≤y。I:XⅡY表示数据项Y和Z以特定的顺序级联的结果。将两个或多个数据项连接的结果作为本部分规定的机制之一进行签名时,应将该结果纠合起来,使其可以唯一的分解为其组成数据项,确保不存在歧义的可能,这种属性可根据应用以各种不同的方式实现。例如,它可以:a)在整个机制被使用时确保子字符串的固定长度,或b)确保使用唯一的编码方式来对级联的字符串序列进行编码。例如使用1SO/IEC8825-1中参考文献[1]定义的编码规则。5一般模型和要求
本章定义了采用群组公钥的蘑名数字签名机制的一般模型和要求。此外,本章还规定了与采用群组公钥的匿名签名机制相关的特定要求。本部分凡涉及密码算法相关的内容,按国家有关法规实施;凡涉及采用密码技术解决机密性、完整性、真实性、抗抵赖需求的应遵循密码相关国家标准和行业标准。本部分使用群组公钥签名的匿名机制包含了群组和群组成员。每个群组应包含相关的群组成员发布方。根据具体的机制,可能还拥有群组成员打开方和/或群组签名连接方。多个实休可能承担群组成员打开方或群组签名连接方的作用。机制的匿名程度依赖于匿名强度(例如群组的大小)、是否捐有打开能力、是否拥有连接能力、怎样进行撤销、是否发布方知道私钥和泄露私钥的可能性。本部分规定的机制所使用的对象标识符见附录A,所对应的数值实例参见附录E。基于群组的厝名数字签名机制包括下列规定的过程:a)密钥生成过程;
b)签名过程;
c)验证过程;
d)打开过程(如果机制支持打开能力);e)
连接过程(如果机制支持连接能力);撤销过程
本部分用到的撤销方法的对比分析参见附录D。本部分规定的采用群组公钥的匿名数字签名机制包含了各种实体。一些存在于所有机制中,另一些只存在于部分机制中。这些实体如下:签名方:签名方是产生签名的实体。在一些机制中,签名方分割为两个实体,例如,在直接置名机制中,签名方的角色分割为带有限计算和存储能力的主签名方,例如可信平台模块(TPM)和带高计算能力但低安全容错性的辅助签名方,如普通的计算平台。验证方:验证方是验证数学签名的实体。一群组成员发布方:群组成员发布方是发布群组成员证书给签名方的实体。该实体存在于本部分所有的机制中。
一群组成员打开方:群组成员打方是有能力从签名中确认签名方身份的实体。该实体存在于本部分规定的某些机制中。
一群组成员连接方:群组成员连接方能够验证两个签名是否由同一个签名方使用连接密钥或连接基产生的。该实体存在于本部分规定的某些机制中。使用本部分中的任意机制,均应满足下列条件:包含在磨名数字签名机制的每个实体都知道一组共同的群组参数,它被用来订算机制中的不同函数;
每个验证方可以访问样组验证密钥的真实副本:一在发布群组签名密钥时,签名方和群组成员发布方需要有可靠地通道米确保群组成员发布方3
GB/T38647.2—2020
只能够提供群组成员签名密钥给合法的群组成员;抗碰撞密码杂凑数应采用GB/T32905中规定的丽数:强健的箱圆曲线生成器,如IS0/IEC15946-5中规定的一种,应在一此磨名数字签名机制中使用;
强健的随机数生成器,如GB/T32905中规定的一种,应在一些匿名数字签名机制中使用。6具有连接能力的机制
6.1概述
本章规定了具有连接能力的四种数字签名机制。注1:在参考文献中6.2的机制称为单签名方案,同时.6.3、6.4和6.5的方案称为直接医名证明(DAA)方案。6.26.4和6.5中的机制和相关安全证明分别基于参考文献[9],[6]和[11]。6.3的机制基于参考文献[3]中的方案,它是对参考文献方案的小的修改,并且在参考文献[4全文中给出其相应的安全分析注2:对丁验证等特定的应用,本章所规定的暨名签名机制,在进行签名之前,被签名消息可能被进行密码杂凑运算或/和被连接额外的信息。
6.2机制1
6.2.1符号
下列符号适用于本机制。
t,k,l,e.lex:安全参数:
p.g.e.素数
a.ao.g,h,b,Cr.D.C..d'.di,dz.t'.tr.t..A,f.Tr.T..Ts.T.da.d..ds,ts.t..t,:QR(n)内的整数:
r,a.β:[o.2—1内的整数;
wW:[0.22—1内的整数;
—c.c.cc.c\c\.长度为k比特的整数;7:长度为(21十1)比特的整数;t.si,r,r.r:长度为[e.(l,+h)比特的整数:—t2,32:长度为[e·(21,+k+1)比特的整数::长度为(1十1)比特的整数;
ra:长度为[e.(.+21++1)的整数;81+82+5[—2+#,2a+*>—1]内的整数3:[—2+2)+1,2+2g++1)1内的整数;rrs:长度为e·(21,+)比特的整数;ruru:长度为[e·(2l,+l+k)比特的整数;84:[—22+k,2*2+)—1]内的整数;3g,810:[—22+42+,2(2,++)—1]内的整数;一H:输出灵比特消息摘要的密码杂漆函数:HF:输出(21,)比特消息搞要的密码杂凑函数。6.2.2密钥产生过程
6.2.2.1密钥产生过程由两部分组成:建立过程和群组成员发布过程。其中,发布过程是群组成员发布4
GB/T 38647.2—2020
方产牛证明、群组公共参数、群组公钥和群组发布密钥的过程,群组成员发布过程是通过运行在群成员发布方和群成员之间的交互协议来产生唯的群组成员签名。6.2.2.2建立过程由群组成员发布方通过以下步骤执行a)选择下列参数,br,x。
b)选择RSA模块满足n-且-2p+1.q一2q+1.这里q都是素数并且p和均为比特。
c)选择二次剩余模n的群组的随机数a执行以下步骤:在Zm内满足ged(g十1,n)=1和gcd(g1.n)=1;1
2)i算a=g2(modn)。
d)在QR(n)内选择区别于a的随机数a。在QR(n)内选择区别于a和a。的随机数g。e)
在QR(n)内选择区别于a、a。和g的随机数h。在QR(n)内选择区别于aa。、h和g的随机数b。g)
群组成员发布方选择两个密码杂漆函数H:(01)→(0.1和Hr:(0,1)→(0,1)2e。附录Bh)
给出了如何去构建H的示例。
输出:群组公共参数(pk,l.ir,x),i)
群组公钥(n,a,ao.g,h,b),
群组成员发布密钥(p,9)。
注:推荐参数的示闭参见附录C中的C.2。6.2.2.3群组成员发布过程需要在主签名方和发布方之间建立一个安全的鉴别通信信道,如何建立该信道不在本机制的范围之内规定,群组成员发布过程包括以下步骤:群组成员选取随机整数E[0.2-1]。a)
群组成员选取随机整数?E[0.2n-1]。b)bZxz.net
群组成员计算C=gh(modn)
群组成员通过以下步骤产生一个在基和h下C的(,)知识证明U:d
群组成员选取随机整数t,E[0,2+>-1];1
群组成员选取随机整数t:E[0,22+-1)-1]:2
群组成员计算D一gh.D=gh(modn);3)
群组成员计算c=H(ghC,D);
群组成员计算S,=-C元;
群组成员计算s2=12—C7;
U=-(e,st,s,).
群组成员发送C.和给群组成员发布方。群组成员发布方从群组成员接收到C,和U。群组成员发布方验证C.属于QR(n):g)
群组成员发布方验证是否存在(C1p)=1且(Clg)=1。如果任意的一个验证失败,群组成员发布方输出拒绝和禁止。h)群组成员发布方验证知识证明U:群组成员发布方计算D=ghC(modn):1)
群组成员发布方计算c=H(gIIhICID):2)
群组成员发布方验证℃=℃3[-2+#2+—1].并且3E[—22+#+1,224+#-1)—1]。如果任意的一个验证失败,群组成员发布方输出拒绝和禁止。5
GB/T38647.2—2020
群组成员发布方选取随机的基数αE[0,2—1]。群组成员发布方选取随机整数3E[0,21,-1]。群组成员发布方发送α和3给群组成员。群组成员从群组成员发布方接收到α和β。群组成员计算-2+[αz+(mod2)]。m)
群组成员计算C.=a(modn)。
群组成员计算=(α+)2%
群组成员产生在基a下C的离散对数α的知识证明V:1)
群组成员发布方选取随机整数E[0.21+)—1];群组成员计算d=at(modn);
群组成员计算c=H(agClld');
群组成员计算s—r—c(—2);群组成员使得V=(e.s\)。
群组成员产生知识证明W:
群组成员选取随机整数r,E[0,2+】-1];群组成员选取随机整数r?E[0.2*+)-1]:群组成员选取随机整数3E[0,2t+++1)-1];群组成员计算d,=ai(modn);
群组成员计算dz=g\(g)\h\(modn),其中l=2;群组成员计算e=H(aglhlCCldld);群组成员计算s1=—c(r—2;
群组成员计算se=r2cu;
群组成员计算S=T3一cαF
群组成员计算W-(c.S1.52.ss)r)
群组成员发送C.、V和W群组成员发布方。群组成员发布方从群组成员接收到C、V和W群组成员发布方检查C,是否属于QR(n)。群组成员发布方检查是否满足(C|P)一1且(C。Q)一1。如果任意一个验证失败,群组成员发布方输出拒绝和禁止。
u)群组成员发布方验证知识证明V:群组成员发布方计算s.=5—c2;1
群组成员发布方计算t=Ca\(modn);2
群组成员发布方计算c\-H(agC2lt);3)
群组成员发布方检查。\=c并且,E[-2++,2a+)—1]。如果任意一个验证失败,群组成员发布方输出拒绝和禁止。v)
群组成员发布方验证知识证明W:群组成员发布方计算t,=(C,/a)a(madn),其中L=2:1)
群组成员发布方计算t=(Ci\g)g\(g)2ha(modn),其中t=2:2
群组成员发布方计算\=HaglhllCiICltlt;3)
群组成员发布方验证c\—℃.5属于[—2+,2+—1],5属于[—2+#,2+01并且属于[—2+#+++1,2er+21++1—17。如果任意一个验证失败,群组成员发布方输出拒绝和禁止。
w】群组成员发布方选取随机数eE[21—24+1,21+24-1]。6
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。