GB/T 38647.1-2020
基本信息
标准号: GB/T 38647.1-2020
中文名称:信息技术 安全技术 匿名数字签名 第1部分:总则
标准类别:国家标准(GB)
英文名称:Information technology—Security techniques—Anonymous digital signatures—Part 1:General
标准状态:现行
发布日期:2020-04-28
实施日期:2020-11-01
出版语种:简体中文
下载格式:.pdf .zip
下载大小:5562231
标准分类号
标准ICS号:信息技术、办公机械设备>>35.040字符集和信息编码
中标分类号:电子元器件与信息技术>>信息处理技术>>L80数据加密
关联标准
采标情况:ISO/IEC 20008-1:2013
出版信息
出版社:中国标准出版社
页数:28页
标准价格:49.0
出版日期:2020-04-01
相关单位信息
起草人:杜志强、李琴、黄振海、颜湘、曹军、刘科伟、赵晓荣、张国强、李志勇、李冬、陶洪波、刘景莉、赵旭东、李冰、许玉娜、傅强、龙昭华、彭潇、熊克琦、铁满霞、方华、林德欣、黄奎刚、于光明、吴冬宇、高德龙、张变玲、朱正美、王月辉、赵慧
起草单位:西安西电捷通无线网络通信股份有限公司、无线网络安全技术国家工程实验室、中关村无线网络安全产业联盟、国家密码管理局商用密码检测中心、国家无线电监测中心检测中心、国家信息技术安全研究中心、中国通用技术研究院、中国电子技术标准化研究院、等
归口单位:全国信息安全标准化技术委员会(SAC/TC 260)
提出单位:全国信息安全标准化技术委员会(SAC/TC 260)
发布部门:国家市场监督管理总局 国家标准化管理委员会
标准简介
GB/T 38647的本部分规定了匿名签名机制的定义、选择和总体要求,以及以下两种匿名签名机制的通用模型、实体集和部分流程:
a) 采用群组公钥的签名机制;
b) 采用多公钥的签名机制。
本部分适用于指导匿名数字签名机制的设计、实现与应用。
标准图片预览
标准内容
ICS35.040
中华人民共和国国家标准
GB/T38647.1—2020
信息技术
安全技术
匿名数字签名
第1部分:总则
Informationtechnology-SecuritytechniquesAnonymousdigitalsignatures-Part1:General
(ISO/IEC20008-1:2013MOD)
2020-04-28发布
国家市场监督管理总局
国家标准化管理委员会
2020-11-01实施
1范围
规范性引用文件
术语和定义
4符号
群组公钥和多公钥的选择
总体要求
7采用群组公钥的机制
7.1一般模型
7.2实体
7.3密钥生成过程
7.4群组签名过程
7.5群组签名验证过程
7.6群组成员打开过程
7.7群组签名连接过程
7.8群组签名撤销过程
8采用多公钥的机制
8.1:一般模型
8.2实体
8.3密钥产生过程
8.4环签名过程
8.5环签名验证过程
参考文献
GB/T38647.1—2020
GB/T38647《信息技术安全技术
匿名数字签名》拟分为两个部分:一第1部分:总则;
一第2部分:采用群组公钥的机制。本部分为GB/T38647的第1部分。本部分按照GB/T1.1一2009给出的规则起草。GB/T38647.1—2020
本部分使用重新起草法修改采用ISO/IEC20008-1:2013《信息技术安全技术匿名数字签名第1部分:总则》
本部分与ISO/IEC20008-1:2013相比结构上有调整,增加了第2章,其他条编号依次修改本部分与ISO/IEC20008-1:2013相比存在技术性差异,这些差异涉及的条款已通过在其外侧页达空白位置的垂直单线(I)进行了标示,具体技术性差异及其原因如下:一增加了第2章规范性引用文件(见第2章);一删除了缩略语“DAA”和“TPM\,与我国技术水平相适应(见ISO/IEC20008-1:2013的第3章);
一第6章第4段段尾增加了不同类型的数字签名技术所支撑的不同类型的实体鉴别机制,并给出了规范这些实体鉴别机制的国家标准(见第6章)。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本部分由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本部分起草单位:西安西电捷通无线网络通信股份有限公司、无线网络安全技术国家工程实验室,中关村无线网络安全产业联盟、国家密码管理局商用密码检测中心、国家无线电监测中心检测中心、国家信息技术安全研究中心、中国通用技术研究院、中国电子技术标准化研究院、天津市电子机电产品检测中心、重庆邮电大学、北京计算机技术及应用研究所、关津市无线电监测站、工业和信息化部宽带无线IP标准工作组。
本部分主要起草人杜志强、李琴、黄振海、颜湘、曹军、刘科伟、赵晓荣、张国强、李志勇、李冬、陶洪波、刘景莉、赵旭东、李冰、许玉娜、傅强、龙昭华、潇、熊克琦、铁满霞、方华、林德欣、黄奎刚、于光明、吴冬宇、高德龙、张变玲、朱正美、王月辉、赵慧。日
GB/T38647.1—2020
GB/T38647规定的机制使用了各种标准规定的密码算法,例如:可以使用抗碰撞密码杂凑函数来对已签名消息进行密码杂凑运算并计算签名;a)
需要证书验证公钥时,可以使用传统的数字签名机制;c
如果实体在执行该机制时需要数据通信作为其机制的一部分被鉴别,可能需要使用传统的实体鉴别机制;
d)如果在匿名数字签名的机制中某些实体的信息需要被加密,可能需要使用传统的非对称加密机制来实现保护隐私和保密。
匿名数字签名机制可用于提供诸如实体鉴别、数据源鉴别、抗抵赖性和数据完整性服务。数字签名机制可以使私钥的拥有者(或持有人)单独或共同生成数字签名消息。其对应的验证密钥(或多个密钥可以被用于验证该消息的签名有效性。数字签名机制满足:a)攻击者需要拥有下列的一项或两项:1)验证密钥而不是签名密钥;
2)攻击者适应性选择的一系列消息的签名集合。b)在以下情形下攻击者在计算上是不可行的:1)产生对新消息的有效的签名;2)恢复签名密钥;
3)在某些情况下,在之前已签消息上产生不同的有效的签名。名数字签名是一种特殊类型的数字签名机制。在匿名数字签名机制里,给定数字签名,一个包括验证方在内的未经授权的实体不能恢复签名方的标识或身份。然而,这样的机制仍然具有只有合法签名方能够产生有效签名的特性。对于参与匿名签名机制的授权实体,有四种不同的情况a)授权的实体能够验证签名方的签名的机制;授权的实体只能具有连接同一个签名方创建的两个签名的能力但不能验证签名方身份的b)
机制;
包含两个授权实体并符合前两种情况的机制:c)
d)包含两个授权实体并不符合前两种情况的机制。匿名数字签名的示例应用是实现匿名的实体鉴别。GB/T34953.2中规定了匿名实体鉴别机制。不同于传统的数字签名机制,名数字签名机制是基于非对称密码技术,并且涉及三个基本操作:a)生成签名密钥和验证密钥的过程;b)使用签名密钥创建匿名数字签名的过程;c)使用验证密钥验证匿名数字签名的过程。传统的数字签名和匿名数字签名之间的主要差异之一就是利用公钥进行签名验证的方法。要验证一个传统的数字签名,验证者利用绑定签名方身份的验证密钥,验证匿名数字签名时,验证方使用的任一群组公钥或多公钥,它们不绑定于单个签名方。采用群组公钥的匿名签名通常被称为群组签名,而采用多公钥的匿名签名通常被称为环签名。匿名签名机制提供的匿名强度即不愿透露姓名的程度取决于群组的大小和公钥的数量。
在使用群组公钥的匿名数字签名的机制中,可以对一个实体或一群组实体进行三个不同授权级别M
的撤销,包括以下三种可能:
整组撤销,即整个群组被撤销。a
GB/T38647.1—2020
撤销某一群组成员的成员资格。其结果是已撤销的成员不能再授权代表群组去创建群签名;b)
签名验证方可以撤销群组成员创建的某种匿名签名类型的权限。经过这种撤销后,已被申请撤销的成员仍能够代表群组去创建其他匿名签名>
1范围
信息技术
安全技术诺名数字签名
第1部分:总则
GB/T38647.1—2020
GB/T38647的本部分规定了名签名机制的定义,选择和总体要求,以及以下两种匿名签名机制的通用模型、实体集和部分流程:a)采用群组公钥的签名机制;
b)采用多公钥的签名机制。
本部分适用于指导匿名数字签名机制的设计、实现与应用。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T15843(所有部分)信息技术安全技术实体鉴别GB/T34953.2信息技术安全技术
匿名实体鉴别
GB/T38647.2信息技术安全技术
3术语和定义
下列术语和定义适用于本文件。3.1
匿名数字签名
匿名数字签名
anonymousdigitalsignature
第2部分:基于群组公钥签名的机制第2部分:采用群组公钥的机制
可以使用一个群组公钥或多个公钥进行验证的签名,未经授权的实体不能通过该签名(包括签名的验证方)追踪到签名方的可区分标识符。注:匿名数字签名也可称为匿名签名或简称为数字签名或签名。3.2
匿名强度anonymitystrength
由未经授权的实体可以从给定签名来确定真实签名方的概率导出的数字。注:匿名强度为n意味着未经授权的实体可以以1/n的概率从一个签名正确猜测真实签名方。3.3
抗碰撞密码杂函数collision-resistanthash-function满足下列特性的密码杂函数:找到可以映射到同一个输出的任意两个不同的输入在计算上是不可行的。
注:计算上的可行性取决于特定的安全需求和环境。3.4
数据元素dataelement
整数、比特串、整数的集合或比特串的集合。1
GB/T38647.1—2020
可区分标识符
distinguishingidentifier
用来明确区分实体的信息。
域domain
在单一安全策略下操作的实体的集合。示例:由单一机构或使用同一安全策略的一组机构创建的公钥证书。3.7
域参数domainparameter
域内所有实体通用的、已知的和可访问的数据元素。3.8
绑定证据evidenceofbinding
用来呈现证明签名方和签名之间密码绑定的数据元素,它是群组成员打开过程的输出。3.9
证据评估过程evidenceevaluationprocess输入绑定证据、群组签名和群组公钥,输出证据评估结果(有效的或无效的)的过程。注:输入到证据评估过程中的群组签名是有效的,已被群组签名验证过程成功验证过。3.10
证据评估方evidenceevaluator
检查绑定证据有效性的实体。
在单一成员管理策略下操作的实体集合注:一个群组包括多个群组成员,每个群组成员都有一个成员证书,该证书是在群组成员发布过程中由群组成员发布方创建的。
群组成员groupmember
拥有群组成员证书并能代表群组创建群组签名的实体。3.13
月groupmemberprivatekey
群组成员私钥
作为群组成员签名密钥一部分的私有数据元素,该元素特定于群组成员并且只能在群组成员发布过程和群组签名过程中使用。
群组成员签名密钥
groupmembersignaturekey
规定了群组成员的数据元素的集合,包含群组成员私钥和群组成员证书,仅由群组成员在群组签名过程中使用。
群组成员证书
groupmembershipcredential
特定于群组成员的数据元素,通过使用群组成员发布密钥而具有不可伪造性,由群组成员在群组签名过程使用。
注1:群组成员证书也称群组证书。注2:群组成员证书是群组成员签名密钥的一部分。2
群组成员发布方
groupmembershipissuer
创建群组成员证书的实体。
注:群组成员发布方也称群组发布方或发布方。3.17
群组成员发布密钥groupmembershipissuingkeyGB/T38647.1-2020
群组成员发布方专有的私有数据元素,并且在群组发布过程中只能够由发布方使用。注:群组成员发布密钥也称为群组发布密钥或发布密钥。3.18
群组成员发布过程groupmembershipissuingprocess输入群组成员发布密钥、群组公钥、群组公共参数和可区分标识符(可选的)同时输出群组成员签名密钥的过程。
注1:群组成员发布过程也称发布过程。注2:群组成员发布过程在文献中也被称为群组成员加入过程或简称为加入过程。3.19
全局撤销globalrevocation
群组签名撤销过程,通过更新群组公钥、其他的群组公共参数和/或群组中使用的撤销列表,使某些之前合法的群组成员变为非法,达到撤销签名密钥的效果。注1:使用全局撤销的撤销列表也称为群组全局撤销列表。注2:群组成员签名密钥可以在全局撤销列表中被更新。3.20
groupmembershipopener
群组成员打开方
从一个群组签名来确定签名方标识的实体。注:群组成员打开方也称为群组打开方或打开方。3.21
群组成员打开密钥
groupmembershipopeningkey
特定于群组成员打开方的私有数据元素,并且只由打开方在群组成员打开过程中使用。注:群组成员打开密钥也称为群组打开密钥或打开密钥,3.22
群组成员打开过程groupmembershipopeningprocess输入群组签名、群组成员打开密钥、群组公钥和群组公共参数同时输出签名方可区分标识符的过程,可选的还可以输出签名方和签名之间绑定的证据。注1:群组成员打开过程也叫打开过程,注2:需要打开过程中输入有效的群组签名,这意味着该签名已经通过群组签名验证过程被成功验证。3.23
群组公钥
月grouppublickey
与群组成员发布密钥数学上相关的公共数据元素,它涉及群组成员发布过程、群组签名过程、群组签名验证过程和采用群组公钥的名签名机制的其他过程(可选)。注:在一些启用撤销功能的机制里群组公钥可能要被更新。3.24
群组公共参数
grouppublicparameter
特定于群组并直可以被群组内所有实体访问的数据元素,它涉及采用群组公钥的匿名签名机制的所有过程。
GB/T38647.12020
群组签名groupsignature
群组签名过程产生的数据元素。3.26
群组签名连接方
5groupsignaturelinker
确定两个匿名签名是否连接的实体,即它们是否由同一个签名方创建。注1:群组签名连接方也称连接方。注2:根据该机制,连接方可能拥有也可能不拥有连接密钥。3.27
群组签名连接基groupsignaturelinkingbase特定于群组签名连接方的公共数据元素(可选的),如果需要使用这个数据元素去连接由同一个签名方创建的多个签名,则该数据元素将参与群组签名的过程。注1:群组签名连接基也称连接基。注2:连接基有时在文献中称为基。连接基用于GB/T38647.2中规范的直接匿名验证技术。3.28
群组签名连接密钥
groupsignaturelinkingkey
特定于群组签名连接方的私有数据元素并且只能由连接方在群组签名连接过程使用。注:群组签名连接密钥也称连接密钥,3.29
群组签名连接过程
groupsignaturelinkingprocess输入两个匿名签名、群组公共参数和群组签名连接密钥(可选的)并且输出签名连接结果(连接或不连接)的过程。
注1:群组签名连接过程也叫连接过程。注2:在一些标准中,例如GB/T38647.2.使用群组签名连接密钥的连接过程提供了本地连接能力。注3:在同一个签名密钥下创建的不同的签名是连接的:在两个不同的签名密钥下创建的不同签名是不连接的,未使用同一连接过程需要的参数创建的两个的签名也是不连接的,例如,它们是由两个不同的群组签名连接基创建的。
群组签名过程groupsignatureprocess输入消息、群组成员签名密钥、群组公钥、群组公共参数和连接基(可选的)并且输出群组签名的过程。
注:群组签名过程也称为签名过程,3.31
群组签名验证过程9
groupsignatureverificationprocess输入群组签名消息,群组公钥和群组公共参数同时输出群组签名验证结果(有效或无效)的过程。注:群组签名验证过程也称为验证过程。3.32
群组签名撤销列表
groupsignaturerevocationlist可以用来识别由未授权的群组成员所创建匿名签名的签名方身份的数据元素。注1:群组签名撤销列表包括内容类型的范围、撤销的群组成员私销、撤销的群组成员证书的组件和之前创建的部分或全部的签名。
注2:根据该机制,群组签名撤销列表可以作为群组公钥撤销列表、群组全局撤销列表或验证方局部撤销列表。4
群组签名撤销过程
groupsignaturerevocationprocess撤销授权群组成员创建特定类型群组签名的过程GB/T38647.1—2020
注:群组签名撤销过程包括整个群组的撤销、群组等级的全局撤销或群组签名验证方的局部撤销。3.34
群组签名消息9
groupsignedmessage
签名本身是群组签名并且可选的包含连接基的签名消息。3.35
杂凑码hash-code
密码杂凑函数输出的比特串。
注:关于该术语的文献包含了与密码杂凑代码具有相同或相似含义的各种术语。例如,修改检测代码、操作检测代码、摘要、密码杂凌结果、密码杂凌值和版权标记。3.36
杂凑函数hash-functionbZxz.net
将比特串映射为固定长度的比特串的函数,该函数满足下列两个特性:a)对于给定输出,找到映射为该输出的输入,在计算上是不可行的;b)对于给定输入,找出映射为同一输出的第二个输入,在计算上是不可行的。注:计算上的可行性取决于特定安全要求和环境。3.37
密钥key
控制密码变换操作的符号序列。注:操作的实例包括加密、解密、密码校验函数计算、签名生成或签名验证。3.38
局部撤销localrevocation
使签名验证方根据群组签名撤销列表拒绝无效群组签名的群组签名撤销过程注1:本地撤销过程中使用的群组签名撤销列表可以由验证方本身或者由其他资源(例如,它可能是验证方采用的群组全局撤销列表的一部分)生成。注2:在本地撤销过程中使用的群组签名撤销列表也称为验证方本地撤销列表,3.39
message
任意长度的比特串。
parameter
整数、比特串或函数。
潜在签名方
potentialsigner
在环签名过程中公钥被真实的签名方使用的实体。3.42
环ring
由真实签名方和潜在签名方(或签名方)组成的实体集合。3.43
环公共参数
ringpublicparameter
特定于环的数据元素可供采用多公钥的匿名签名机制所有过程中涉及的所有实体访问。5
GB/T38647.1—2020
环签名ringsignature
环签名过程产生的数据元素。
环签名过程ringsignatureprocess输入消息、真实签名方的签名密钥、潜在签名方的公钥以及环公共参数,输出环签名的过程。3.46
环签名验证过程ringsignatureverificationprocess输入环签名消息、真实签名方的公钥、潜在签名方以及环公共参数,输出环签名验证结果为有效或无效的过程。
环签名消息ringsingedmessage
采用环签名产生的签名消息。
securitystrength
安全强度
衡量破解密码算法或系统所需工作量(运算的数量)的数字。注:安全强度用比特来表示。安全强度为b比特意味着破解系统需要阶为2°的运算。安全强度的常用值为80比特、112比特、128比特、192比特和256比特。3.49
signature
签名生成过程产生的一个或多个数据元素。注:签名也称为数字签名。
月signaturekey
签名密钥
特定于一个实体的一套私有数据元素,仅由该实体在签名过程使用。注:签名密钥有时也称为个人签名密钥。在GB/T38647和其他标准如ISO/IEC9796-2和GB/T15851.3-2018中两者存在的意义相同。
签名密钥对
signaturekeypair
由一个签名密钥和一个验证密钥组成的密钥对,其中:a)签名密钥应该部分或完全保密,并且只能由签名方使用;b)
验证密钥可以是公开的,并且可以由任意验证方使用。3.52
签名过程
signatureprocess
输入消息、
签名密钥和域参数,输出签名的过程。3.53
签名消息
signedmessage
由签名、不能由签名来恢复的部分消息和可选文本字段组成的数据元素集合。3.54
signer
签名方
生成数字签名的实体。
真实签名方
truesigner
代表环创建环签名的实体。
注:真实签名方也叫签名方。
验证密钥verificationkey
GB/T38647.1—2020
与实体签名密销数学上相关的公共数据元素集合并直由验证方在验证过程中使用。注:验证密钥有时也被称为公共验证密钥,在GB/T38647和其他标准如ISO/IEC9796-2和GB/T15851.3一2018中两者存在的意义相同。
星verificationprocess
验证过程
输入签名消息,验证密钥和域参数,输出签名验证结果(有效或无效)的过程。3.58
验证方verifier
检查签名有效性的实体。
注:验证方也称为签名验证方
4符号
下列符号适用于本文件。
数据。
:程序。
:可选数据。
程序的实体。
图书馆
从一个程序到另一个程序的数据传递.数据流。
:可选数据流。
5群组公钥和多公钥的选择
在传统数字签名机制中,如图1所示,一个签名私钥和一个验证公钥形成签名密钥对。在签名过程中,签名方使用签名私钥去创建给定消息的签名。在验证过程中,验证方使用公开验证密钥去验证这个签名是否为对应的私钥签署的。如果验证方确认签名确实是对应于验证密钥的签名密钥创建的,则验证方输出:有效;否则输出:无效。因此,从验证方角度来看,签名是通过验证公钥与签名方绑定的,验证公销作为签名方的可区分标识符。在匿名数字签名机制中,一个签名密钥和一个验证密钥形成签名密钥对,其中一个用在签名过程而另一个用在验证过程的方式并不是必要的。在本部分中规定了两类采用不同验证密钥的暨名签名机制的原则和要求,一类是采用群组公钥的机制,另一类是采用多公钥的机制。7
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T38647.1—2020
信息技术
安全技术
匿名数字签名
第1部分:总则
Informationtechnology-SecuritytechniquesAnonymousdigitalsignatures-Part1:General
(ISO/IEC20008-1:2013MOD)
2020-04-28发布
国家市场监督管理总局
国家标准化管理委员会
2020-11-01实施
1范围
规范性引用文件
术语和定义
4符号
群组公钥和多公钥的选择
总体要求
7采用群组公钥的机制
7.1一般模型
7.2实体
7.3密钥生成过程
7.4群组签名过程
7.5群组签名验证过程
7.6群组成员打开过程
7.7群组签名连接过程
7.8群组签名撤销过程
8采用多公钥的机制
8.1:一般模型
8.2实体
8.3密钥产生过程
8.4环签名过程
8.5环签名验证过程
参考文献
GB/T38647.1—2020
GB/T38647《信息技术安全技术
匿名数字签名》拟分为两个部分:一第1部分:总则;
一第2部分:采用群组公钥的机制。本部分为GB/T38647的第1部分。本部分按照GB/T1.1一2009给出的规则起草。GB/T38647.1—2020
本部分使用重新起草法修改采用ISO/IEC20008-1:2013《信息技术安全技术匿名数字签名第1部分:总则》
本部分与ISO/IEC20008-1:2013相比结构上有调整,增加了第2章,其他条编号依次修改本部分与ISO/IEC20008-1:2013相比存在技术性差异,这些差异涉及的条款已通过在其外侧页达空白位置的垂直单线(I)进行了标示,具体技术性差异及其原因如下:一增加了第2章规范性引用文件(见第2章);一删除了缩略语“DAA”和“TPM\,与我国技术水平相适应(见ISO/IEC20008-1:2013的第3章);
一第6章第4段段尾增加了不同类型的数字签名技术所支撑的不同类型的实体鉴别机制,并给出了规范这些实体鉴别机制的国家标准(见第6章)。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本部分由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本部分起草单位:西安西电捷通无线网络通信股份有限公司、无线网络安全技术国家工程实验室,中关村无线网络安全产业联盟、国家密码管理局商用密码检测中心、国家无线电监测中心检测中心、国家信息技术安全研究中心、中国通用技术研究院、中国电子技术标准化研究院、天津市电子机电产品检测中心、重庆邮电大学、北京计算机技术及应用研究所、关津市无线电监测站、工业和信息化部宽带无线IP标准工作组。
本部分主要起草人杜志强、李琴、黄振海、颜湘、曹军、刘科伟、赵晓荣、张国强、李志勇、李冬、陶洪波、刘景莉、赵旭东、李冰、许玉娜、傅强、龙昭华、潇、熊克琦、铁满霞、方华、林德欣、黄奎刚、于光明、吴冬宇、高德龙、张变玲、朱正美、王月辉、赵慧。日
GB/T38647.1—2020
GB/T38647规定的机制使用了各种标准规定的密码算法,例如:可以使用抗碰撞密码杂凑函数来对已签名消息进行密码杂凑运算并计算签名;a)
需要证书验证公钥时,可以使用传统的数字签名机制;c
如果实体在执行该机制时需要数据通信作为其机制的一部分被鉴别,可能需要使用传统的实体鉴别机制;
d)如果在匿名数字签名的机制中某些实体的信息需要被加密,可能需要使用传统的非对称加密机制来实现保护隐私和保密。
匿名数字签名机制可用于提供诸如实体鉴别、数据源鉴别、抗抵赖性和数据完整性服务。数字签名机制可以使私钥的拥有者(或持有人)单独或共同生成数字签名消息。其对应的验证密钥(或多个密钥可以被用于验证该消息的签名有效性。数字签名机制满足:a)攻击者需要拥有下列的一项或两项:1)验证密钥而不是签名密钥;
2)攻击者适应性选择的一系列消息的签名集合。b)在以下情形下攻击者在计算上是不可行的:1)产生对新消息的有效的签名;2)恢复签名密钥;
3)在某些情况下,在之前已签消息上产生不同的有效的签名。名数字签名是一种特殊类型的数字签名机制。在匿名数字签名机制里,给定数字签名,一个包括验证方在内的未经授权的实体不能恢复签名方的标识或身份。然而,这样的机制仍然具有只有合法签名方能够产生有效签名的特性。对于参与匿名签名机制的授权实体,有四种不同的情况a)授权的实体能够验证签名方的签名的机制;授权的实体只能具有连接同一个签名方创建的两个签名的能力但不能验证签名方身份的b)
机制;
包含两个授权实体并符合前两种情况的机制:c)
d)包含两个授权实体并不符合前两种情况的机制。匿名数字签名的示例应用是实现匿名的实体鉴别。GB/T34953.2中规定了匿名实体鉴别机制。不同于传统的数字签名机制,名数字签名机制是基于非对称密码技术,并且涉及三个基本操作:a)生成签名密钥和验证密钥的过程;b)使用签名密钥创建匿名数字签名的过程;c)使用验证密钥验证匿名数字签名的过程。传统的数字签名和匿名数字签名之间的主要差异之一就是利用公钥进行签名验证的方法。要验证一个传统的数字签名,验证者利用绑定签名方身份的验证密钥,验证匿名数字签名时,验证方使用的任一群组公钥或多公钥,它们不绑定于单个签名方。采用群组公钥的匿名签名通常被称为群组签名,而采用多公钥的匿名签名通常被称为环签名。匿名签名机制提供的匿名强度即不愿透露姓名的程度取决于群组的大小和公钥的数量。
在使用群组公钥的匿名数字签名的机制中,可以对一个实体或一群组实体进行三个不同授权级别M
的撤销,包括以下三种可能:
整组撤销,即整个群组被撤销。a
GB/T38647.1—2020
撤销某一群组成员的成员资格。其结果是已撤销的成员不能再授权代表群组去创建群签名;b)
签名验证方可以撤销群组成员创建的某种匿名签名类型的权限。经过这种撤销后,已被申请撤销的成员仍能够代表群组去创建其他匿名签名>
1范围
信息技术
安全技术诺名数字签名
第1部分:总则
GB/T38647.1—2020
GB/T38647的本部分规定了名签名机制的定义,选择和总体要求,以及以下两种匿名签名机制的通用模型、实体集和部分流程:a)采用群组公钥的签名机制;
b)采用多公钥的签名机制。
本部分适用于指导匿名数字签名机制的设计、实现与应用。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T15843(所有部分)信息技术安全技术实体鉴别GB/T34953.2信息技术安全技术
匿名实体鉴别
GB/T38647.2信息技术安全技术
3术语和定义
下列术语和定义适用于本文件。3.1
匿名数字签名
匿名数字签名
anonymousdigitalsignature
第2部分:基于群组公钥签名的机制第2部分:采用群组公钥的机制
可以使用一个群组公钥或多个公钥进行验证的签名,未经授权的实体不能通过该签名(包括签名的验证方)追踪到签名方的可区分标识符。注:匿名数字签名也可称为匿名签名或简称为数字签名或签名。3.2
匿名强度anonymitystrength
由未经授权的实体可以从给定签名来确定真实签名方的概率导出的数字。注:匿名强度为n意味着未经授权的实体可以以1/n的概率从一个签名正确猜测真实签名方。3.3
抗碰撞密码杂函数collision-resistanthash-function满足下列特性的密码杂函数:找到可以映射到同一个输出的任意两个不同的输入在计算上是不可行的。
注:计算上的可行性取决于特定的安全需求和环境。3.4
数据元素dataelement
整数、比特串、整数的集合或比特串的集合。1
GB/T38647.1—2020
可区分标识符
distinguishingidentifier
用来明确区分实体的信息。
域domain
在单一安全策略下操作的实体的集合。示例:由单一机构或使用同一安全策略的一组机构创建的公钥证书。3.7
域参数domainparameter
域内所有实体通用的、已知的和可访问的数据元素。3.8
绑定证据evidenceofbinding
用来呈现证明签名方和签名之间密码绑定的数据元素,它是群组成员打开过程的输出。3.9
证据评估过程evidenceevaluationprocess输入绑定证据、群组签名和群组公钥,输出证据评估结果(有效的或无效的)的过程。注:输入到证据评估过程中的群组签名是有效的,已被群组签名验证过程成功验证过。3.10
证据评估方evidenceevaluator
检查绑定证据有效性的实体。
在单一成员管理策略下操作的实体集合注:一个群组包括多个群组成员,每个群组成员都有一个成员证书,该证书是在群组成员发布过程中由群组成员发布方创建的。
群组成员groupmember
拥有群组成员证书并能代表群组创建群组签名的实体。3.13
月groupmemberprivatekey
群组成员私钥
作为群组成员签名密钥一部分的私有数据元素,该元素特定于群组成员并且只能在群组成员发布过程和群组签名过程中使用。
群组成员签名密钥
groupmembersignaturekey
规定了群组成员的数据元素的集合,包含群组成员私钥和群组成员证书,仅由群组成员在群组签名过程中使用。
群组成员证书
groupmembershipcredential
特定于群组成员的数据元素,通过使用群组成员发布密钥而具有不可伪造性,由群组成员在群组签名过程使用。
注1:群组成员证书也称群组证书。注2:群组成员证书是群组成员签名密钥的一部分。2
群组成员发布方
groupmembershipissuer
创建群组成员证书的实体。
注:群组成员发布方也称群组发布方或发布方。3.17
群组成员发布密钥groupmembershipissuingkeyGB/T38647.1-2020
群组成员发布方专有的私有数据元素,并且在群组发布过程中只能够由发布方使用。注:群组成员发布密钥也称为群组发布密钥或发布密钥。3.18
群组成员发布过程groupmembershipissuingprocess输入群组成员发布密钥、群组公钥、群组公共参数和可区分标识符(可选的)同时输出群组成员签名密钥的过程。
注1:群组成员发布过程也称发布过程。注2:群组成员发布过程在文献中也被称为群组成员加入过程或简称为加入过程。3.19
全局撤销globalrevocation
群组签名撤销过程,通过更新群组公钥、其他的群组公共参数和/或群组中使用的撤销列表,使某些之前合法的群组成员变为非法,达到撤销签名密钥的效果。注1:使用全局撤销的撤销列表也称为群组全局撤销列表。注2:群组成员签名密钥可以在全局撤销列表中被更新。3.20
groupmembershipopener
群组成员打开方
从一个群组签名来确定签名方标识的实体。注:群组成员打开方也称为群组打开方或打开方。3.21
群组成员打开密钥
groupmembershipopeningkey
特定于群组成员打开方的私有数据元素,并且只由打开方在群组成员打开过程中使用。注:群组成员打开密钥也称为群组打开密钥或打开密钥,3.22
群组成员打开过程groupmembershipopeningprocess输入群组签名、群组成员打开密钥、群组公钥和群组公共参数同时输出签名方可区分标识符的过程,可选的还可以输出签名方和签名之间绑定的证据。注1:群组成员打开过程也叫打开过程,注2:需要打开过程中输入有效的群组签名,这意味着该签名已经通过群组签名验证过程被成功验证。3.23
群组公钥
月grouppublickey
与群组成员发布密钥数学上相关的公共数据元素,它涉及群组成员发布过程、群组签名过程、群组签名验证过程和采用群组公钥的名签名机制的其他过程(可选)。注:在一些启用撤销功能的机制里群组公钥可能要被更新。3.24
群组公共参数
grouppublicparameter
特定于群组并直可以被群组内所有实体访问的数据元素,它涉及采用群组公钥的匿名签名机制的所有过程。
GB/T38647.12020
群组签名groupsignature
群组签名过程产生的数据元素。3.26
群组签名连接方
5groupsignaturelinker
确定两个匿名签名是否连接的实体,即它们是否由同一个签名方创建。注1:群组签名连接方也称连接方。注2:根据该机制,连接方可能拥有也可能不拥有连接密钥。3.27
群组签名连接基groupsignaturelinkingbase特定于群组签名连接方的公共数据元素(可选的),如果需要使用这个数据元素去连接由同一个签名方创建的多个签名,则该数据元素将参与群组签名的过程。注1:群组签名连接基也称连接基。注2:连接基有时在文献中称为基。连接基用于GB/T38647.2中规范的直接匿名验证技术。3.28
群组签名连接密钥
groupsignaturelinkingkey
特定于群组签名连接方的私有数据元素并且只能由连接方在群组签名连接过程使用。注:群组签名连接密钥也称连接密钥,3.29
群组签名连接过程
groupsignaturelinkingprocess输入两个匿名签名、群组公共参数和群组签名连接密钥(可选的)并且输出签名连接结果(连接或不连接)的过程。
注1:群组签名连接过程也叫连接过程。注2:在一些标准中,例如GB/T38647.2.使用群组签名连接密钥的连接过程提供了本地连接能力。注3:在同一个签名密钥下创建的不同的签名是连接的:在两个不同的签名密钥下创建的不同签名是不连接的,未使用同一连接过程需要的参数创建的两个的签名也是不连接的,例如,它们是由两个不同的群组签名连接基创建的。
群组签名过程groupsignatureprocess输入消息、群组成员签名密钥、群组公钥、群组公共参数和连接基(可选的)并且输出群组签名的过程。
注:群组签名过程也称为签名过程,3.31
群组签名验证过程9
groupsignatureverificationprocess输入群组签名消息,群组公钥和群组公共参数同时输出群组签名验证结果(有效或无效)的过程。注:群组签名验证过程也称为验证过程。3.32
群组签名撤销列表
groupsignaturerevocationlist可以用来识别由未授权的群组成员所创建匿名签名的签名方身份的数据元素。注1:群组签名撤销列表包括内容类型的范围、撤销的群组成员私销、撤销的群组成员证书的组件和之前创建的部分或全部的签名。
注2:根据该机制,群组签名撤销列表可以作为群组公钥撤销列表、群组全局撤销列表或验证方局部撤销列表。4
群组签名撤销过程
groupsignaturerevocationprocess撤销授权群组成员创建特定类型群组签名的过程GB/T38647.1—2020
注:群组签名撤销过程包括整个群组的撤销、群组等级的全局撤销或群组签名验证方的局部撤销。3.34
群组签名消息9
groupsignedmessage
签名本身是群组签名并且可选的包含连接基的签名消息。3.35
杂凑码hash-code
密码杂凑函数输出的比特串。
注:关于该术语的文献包含了与密码杂凑代码具有相同或相似含义的各种术语。例如,修改检测代码、操作检测代码、摘要、密码杂凌结果、密码杂凌值和版权标记。3.36
杂凑函数hash-functionbZxz.net
将比特串映射为固定长度的比特串的函数,该函数满足下列两个特性:a)对于给定输出,找到映射为该输出的输入,在计算上是不可行的;b)对于给定输入,找出映射为同一输出的第二个输入,在计算上是不可行的。注:计算上的可行性取决于特定安全要求和环境。3.37
密钥key
控制密码变换操作的符号序列。注:操作的实例包括加密、解密、密码校验函数计算、签名生成或签名验证。3.38
局部撤销localrevocation
使签名验证方根据群组签名撤销列表拒绝无效群组签名的群组签名撤销过程注1:本地撤销过程中使用的群组签名撤销列表可以由验证方本身或者由其他资源(例如,它可能是验证方采用的群组全局撤销列表的一部分)生成。注2:在本地撤销过程中使用的群组签名撤销列表也称为验证方本地撤销列表,3.39
message
任意长度的比特串。
parameter
整数、比特串或函数。
潜在签名方
potentialsigner
在环签名过程中公钥被真实的签名方使用的实体。3.42
环ring
由真实签名方和潜在签名方(或签名方)组成的实体集合。3.43
环公共参数
ringpublicparameter
特定于环的数据元素可供采用多公钥的匿名签名机制所有过程中涉及的所有实体访问。5
GB/T38647.1—2020
环签名ringsignature
环签名过程产生的数据元素。
环签名过程ringsignatureprocess输入消息、真实签名方的签名密钥、潜在签名方的公钥以及环公共参数,输出环签名的过程。3.46
环签名验证过程ringsignatureverificationprocess输入环签名消息、真实签名方的公钥、潜在签名方以及环公共参数,输出环签名验证结果为有效或无效的过程。
环签名消息ringsingedmessage
采用环签名产生的签名消息。
securitystrength
安全强度
衡量破解密码算法或系统所需工作量(运算的数量)的数字。注:安全强度用比特来表示。安全强度为b比特意味着破解系统需要阶为2°的运算。安全强度的常用值为80比特、112比特、128比特、192比特和256比特。3.49
signature
签名生成过程产生的一个或多个数据元素。注:签名也称为数字签名。
月signaturekey
签名密钥
特定于一个实体的一套私有数据元素,仅由该实体在签名过程使用。注:签名密钥有时也称为个人签名密钥。在GB/T38647和其他标准如ISO/IEC9796-2和GB/T15851.3-2018中两者存在的意义相同。
签名密钥对
signaturekeypair
由一个签名密钥和一个验证密钥组成的密钥对,其中:a)签名密钥应该部分或完全保密,并且只能由签名方使用;b)
验证密钥可以是公开的,并且可以由任意验证方使用。3.52
签名过程
signatureprocess
输入消息、
签名密钥和域参数,输出签名的过程。3.53
签名消息
signedmessage
由签名、不能由签名来恢复的部分消息和可选文本字段组成的数据元素集合。3.54
signer
签名方
生成数字签名的实体。
真实签名方
truesigner
代表环创建环签名的实体。
注:真实签名方也叫签名方。
验证密钥verificationkey
GB/T38647.1—2020
与实体签名密销数学上相关的公共数据元素集合并直由验证方在验证过程中使用。注:验证密钥有时也被称为公共验证密钥,在GB/T38647和其他标准如ISO/IEC9796-2和GB/T15851.3一2018中两者存在的意义相同。
星verificationprocess
验证过程
输入签名消息,验证密钥和域参数,输出签名验证结果(有效或无效)的过程。3.58
验证方verifier
检查签名有效性的实体。
注:验证方也称为签名验证方
4符号
下列符号适用于本文件。
数据。
:程序。
:可选数据。
程序的实体。
图书馆
从一个程序到另一个程序的数据传递.数据流。
:可选数据流。
5群组公钥和多公钥的选择
在传统数字签名机制中,如图1所示,一个签名私钥和一个验证公钥形成签名密钥对。在签名过程中,签名方使用签名私钥去创建给定消息的签名。在验证过程中,验证方使用公开验证密钥去验证这个签名是否为对应的私钥签署的。如果验证方确认签名确实是对应于验证密钥的签名密钥创建的,则验证方输出:有效;否则输出:无效。因此,从验证方角度来看,签名是通过验证公钥与签名方绑定的,验证公销作为签名方的可区分标识符。在匿名数字签名机制中,一个签名密钥和一个验证密钥形成签名密钥对,其中一个用在签名过程而另一个用在验证过程的方式并不是必要的。在本部分中规定了两类采用不同验证密钥的暨名签名机制的原则和要求,一类是采用群组公钥的机制,另一类是采用多公钥的机制。7
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。