GB/T 38647.1-2020 信息技术 安全技术 匿名数字签名 第1部分：总则

ICS35.040

L80

中华人民共和国国家标准

/—

GBT38647.12020

信息技术安全技术匿名数字签名

:

第部分总则

1

———

InformationtechnoloSecurittechniuesAnonmousdiitalsinatures

gyyqygg

:

Part1General

(/:,)

ISOIEC20008-12013MOD

2020-04-28发布

国家市场监督管理总局

发布

国家标准化管理委员会

/—

GBT38647.12020

目次

前言…………………………Ⅲ

引言…………………………Ⅳ

1范围………………………1

2规范性引用文件…………………………1

3术语和定义………………1

4符号………………………7

5群组公钥和多公钥的选择………………7

6总体要求…………………10

7采用群组公钥的机制……………………11

7.1一般模型……………11

7.2实体…………………11

7.3密钥生成过程………………………12

7.4群组签名过程………………………13

7.5群组签名验证过程…………………13

7.6群组成员打开过程…………………13

7.7群组签名连接过程…………………14

7.8群组签名撤销过程…………………14

8采用多公钥的机制………………………17

8.1一般模型……………17

8.2实体…………………17

8.3密钥产生过程………………………17

8.4环签名过程…………………………17

8.5环签名验证过程……………………17

参考文献……………………18

Ⅰ

/—

GBT38647.12020

前言

/《》:

信息技术安全技术匿名数字签名拟分为两个部分

GBT38647

———:;

第部分总则

1

———:。

第部分采用群组公钥的机制

2

本部分为/的第部分。

GBT386471

本部分按照/—给出的规则起草。

GBT1.12009

本部分使用重新起草法修改采用/:《信息技术安全技术匿名数字签名

ISOIEC20008-12013

:》。

第部分总则

1

/:,,。

本部分与相比结构上有调整增加了第章其他条编号依次修改

ISOIEC20008-120132

/:,

本部分与ISOIEC20008-12013相比存在技术性差异这些差异涉及的条款已通过在其外侧页边

(),:

空白位置的垂直单线进行了标示具体技术性差异及其原因如下

|

———();

增加了第章规范性引用文件见第章

22

———“”“”,(/:

删除了缩略语DAA和TPM与我国技术水平相适应见ISOIEC20008-12013的第3

章);

———,

第章第段段尾增加了不同类型的数字签名技术所支撑的不同类型的实体鉴别机制并给

64

()。

出了规范这些实体鉴别机制的国家标准见第章

6

Ⅲ

/—

GBT38647.12020

引言

/,:

GBT38647规定的机制使用了各种标准规定的密码算法例如

)可以使用抗碰撞密码杂凑函数来对已签名消息进行密码杂凑运算并计算签名;

a

),;

b需要证书验证公钥时可以使用传统的数字签名机制

),

c如果实体在执行该机制时需要数据通信作为其机制的一部分被鉴别可能需要使用传统的实

体鉴别机制;

),

d如果在匿名数字签名的机制中某些实体的信息需要被加密可能需要使用传统的非对称加密

机制来实现保护隐私和保密。

、、。

匿名数字签名机制可用于提供诸如实体鉴别数据源鉴别抗抵赖性和数据完整性服务数字签名

()。()

机制可以使私钥的拥有者或持有人单独或共同生成数字签名消息其对应的验证密钥或多个密钥

。:

可以被用于验证该消息的签名有效性数字签名机制满足

)攻击者需要拥有下列的一项或两项:

a

)验证密钥而不是签名密钥;

1

)攻击者适应性选择的一系列消息的签名集合。

2

)在以下情形下攻击者在计算上是不可行的:

b

)产生对新消息的有效的签名;

1

)恢复签名密钥;

2

),。

3在某些情况下在之前已签消息上产生不同的有效的签名

。,,

匿名数字签名是一种特殊类型的数字签名机制在匿名数字签名机制里给定数字签名一个包括

。,

验证方在内的未经授权的实体不能恢复签名方的标识或身份然而这样的机制仍然具有只有合法签

。,:

名方能够产生有效签名的特性对于参与匿名签名机制的授权实体有四种不同的情况

)授权的实体能够验证签名方的签名的机制;

a

)授权的实体只能具有连接同一个签名方创建的两个签名的能力但不能验证签名方身份的

b

机制;

)包含两个授权实体并符合前两种情况的机制;

c

)包含两个授权实体并不符合前两种情况的机制。

d

匿名数字签名的示例应用是实现匿名的实体鉴别。/中规定了匿名实体鉴别机制。

GBT34953.2

,,:

不同于传统的数字签名机制匿名数字签名机制是基于非对称密码技术并且涉及三个基本操作

)生成签名密钥和验证密钥的过程;

a

)使用签名密钥创建匿名数字签名的过程;

b

)使用验证密钥验证匿名数字签名的过程。

c

。

传统的数字签名和匿名数字签名之间的主要差异之一就是利用公钥进行签名验证的方法要验证

,,,

一个传统的数字签名验证者利用绑定签名方身份的验证密钥验证匿名数字签名时验证方使用的任

,。,

一群组公钥或多公钥它们不绑定于单个签名方采用群组公钥的匿名签名通常被称为群组签名而采

。()

用多公钥的匿名签名通常被称为环签名匿名签名机制提供的匿名强度即不愿透露姓名的程度取决

于群组的大小和公钥的数量。

,

在使用群组公钥的匿名数字签名的机制中可以对一个实体或一群组实体进行三个不同授权级别

Ⅳ

/—

GBT38647.12020

,:

的撤销包括以下三种可能

),。

a整组撤销即整个群组被撤销

)。;

b撤销某一群组成员的成员资格其结果是已撤销的成员不能再授权代表群组去创建群签名

)。,

c签名验证方可以撤销群组成员创建的某种匿名签名类型的权限经过这种撤销后已被申请

撤销的成员仍能够代表群组去创建其他匿名签名。

Ⅴ

/—

GBT38647.12020

信息技术安全技术匿名数字签名

:

第部分总则

1

1范围

/、,

GBT38647的本部分规定了匿名签名机制的定义选择和总体要求以及以下两种匿名签名机制

、:

的通用模型实体集和部分流程

)采用群组公钥的签名机制;

a

)采用多公钥的签名机制。

b

、。

本部分适用于指导匿名数字签名机制的设计实现与应用

2规范性引用文件

。,

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,()。

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

/()

所有部分信息技术安全技术实体鉴别

GBT15843

/:

信息技术安全技术匿名实体鉴别第部分基于群组公钥签名的机制

GBT34953.22

/:

信息技术安全技术匿名数字签名第部分采用群组公钥的机制

GBT38647.22

3术语和定义

下列术语和定义适用于本文件。

3.1

匿名数字签名anonmousdiitalsinature

ygg

,(

可以使用一个群组公钥或多个公钥进行验证的签名未经授权的实体不能通过该签名包括签名的

)。

验证方追踪到签名方的可区分标识符

:。

注匿名数字签名也可称为匿名签名或简称为数字签名或签名

3.2

匿名强度anonmitstrenth

yyg

由未经授权的实体可以从给定签名来确定真实签名方的概率导出的数字。

:意味着未经授权的实体可以以/的概率从一个签名正确猜测真实签名方。

注匿名强度为

n1n

3.3

抗碰撞密码杂凑函数collision-resistanthash-function

:

满足下列特性的密码杂凑函数找到可以映射到同一个输出的任意两个不同的输入在计算上是不

可行的。

:。

注计算上的可行性取决于特定的安全需求和环境

3.4

数据元素dataelement

、、。

整数比特串整数的集合或比特串的集合

1

/—

GBT38647.12020

3.5

可区分标识符distinuishinidentifier

gg

用来明确区分实体的信息。

3.6

域domain

在单一安全策略下操作的实体的集合。

:。

示例由单一机构或使用同一安全策略的一组机构创建的公钥证书

3.7

域参数domainarameter

p

、。

域内所有实体通用的已知的和可访问的数据元素

3.8

绑定证据evidenceofbinding

,。

用来呈现证明签名方和签名之间密码绑定的数据元素它是群组成员打开过程的输出

3.9

证据评估过程evidenceevaluationrocess

p

、,()。

输入绑定证据群组签名和群组公钥输出证据评估结果有效的或无效的的过程

:,。

注输入到证据评估过程中的群组签名是有效的已被群组签名验证过程成功验证过

3.10

证据评估方evidenceevaluator

检查绑定证据有效性的实体。

3.11

群组rou

gp

在单一成员管理策略下操作的实体集合。

:,,

注一个群组包括多个群组成员每个群组成员都有一个成员证书该证书是在群组成员发布过程中由群组成员发

布方创建的。

3.12

群组成员roumember

gp

拥有群组成员证书并能代表群组创建群组签名的实体。

3.13

群组成员私钥roumemberrivateke

gppy

,

作为群组成员签名密钥一部分的私有数据元素该元素特定于群组成员并且只能在群组成员发布

过程和群组签名过程中使用。

3.14

群组成员签名密钥roumembersinatureke

gpgy

,,

规定了群组成员的数据元素的集合包含群组成员私钥和群组成员证书仅由群组成员在群组签名

过程中使用。

3.15

群组成员证书roumembershicredential

gpp

,,

特定于群组成员的数据元素通过使用群组成员发布密钥而具有不可伪造性由群组成员在群组签

名过程使用。

:。

注群组成员证书也称群组证书

1

:。

注群组成员证书是群组成员签名密钥的一部分

2

2

/—

GBT38647.12020

3.16

群组成员发布方roumembershiissuer

gpp

创建群组成员证书的实体。

:。

注群组成员发布方也称群组发布方或发布方

3.17

群组成员发布密钥roumembershiissuinke

gppgy

,。

群组成员发布方专有的私有数据元素并且在群组发布过程中只能够由发布方使用

:。

注群组成员发布密钥也称为群组发布密钥或发布密钥

3.18

群组成员发布过程roumembershiissuinrocess

gppgp

、、()

输入群组成员发布密钥群组公钥群组公共参数和可区分标识符可选的同时输出群组成员签名

密钥的过程。

:。

注群组成员发布过程也称发布过程

1

:。

注群组成员发布过程在文献中也被称为群组成员加入过程或简称为加入过程

2

3.19

全局撤销lobalrevocation

g

,、/,

群组签名撤销过程通过更新群组公钥其他的群组公共参数和或群组中使用的撤销列表使某些

,。

之前合法的群组成员变为非法达到撤销签名密钥的效果

:。

注使用全局撤销的撤销列表也称为群组全局撤销列表

1

:。

注群组成员签名密钥可以在全局撤销列表中被更新

2

3.20

群组成员打开方roumembershioener

gppp

从一个群组签名来确定签名方标识的实体。

:。

注群组成员打开方也称为群组打开方或打开方

3.21

群组成员打开密钥roumembershioeninke

gpppgy

,。

特定于群组成员打开方的私有数据元素并且只由打开方在群组成员打开过程中使用

:。

注群组成员打开密钥也称为群组打开密钥或打开密钥

3.22

群组成员打开过程roumembershioeninrocess

gpppgp

、、

输入群组签名群组成员打开密钥群组公钥和群组公共参数同时输出签名方可区分标识符的过

,。

程可选的还可以输出签名方和签名之间绑定的证据

: