基于EIGamal加密算法的非对称数字指纹体制

　　摘 要:将EIGamal公开密钥方案的思想用于非对称数字指纹体制的构造,提出一种不使用一般的安全多方计算协议的非对称数字指纹体制,该方案不仅具有较好的实现效率,还增加了用户的安全性,降低了发行商的风险,而且还能确定性地跟踪叛逆者。
　　关键词:EIGamal加密算法;数字签名;数字指纹;数字水印
　　中图分类号:TP309 文献标识码:A
　　文章编号:1004-373X(2010)03-047-02
　　
　　Asymmetric Digital Fingerprinting Scheme Based on EIGamal Encryption Algorithm
　　HE Shaofang
　　(Science College,Hu′nan Agricultural University,Changsha,410128,China)
　　Abstract:An asymmetric digital fingerprinting scheme based on the idea of EIGamal encryption algorithm that avoids using the general multiparty computations protocol is introduced.Furthermore,this scheme has rather efficient in implementation.It increases the safety of customs,reduces the risk of distributors and allows efficient deterministic traitor tracing.
　　Keywords:EIGamal encryption algorithm;digital sign;digital fingerprinting;digital watermark
　　
　　0 引 言
　　
　　数字水印技术和数字指纹技术是近几年发展起来的新型数字版权保护技术,数字水印是将相同的标识嵌入到同一个电子数据中,而数字指纹是将不同的标识嵌入到同一个电子数据中,数字指纹代表与用户(购买者)或与该次购买过程有关的信息。当发行商发现有被非法分发的授权信息时,可以根据其中所嵌的指纹信息追踪出非法用户。但是,传统的对称数字指纹体制[1,2]不能对非法分发者的行为进行确定,因为发行商也可以分发带有某用户指纹的拷贝以对该用户进行陷害。针对此问题,Pfitzmann和SchunterDI引入了非对称指纹的概念[3],当获得了非法拷贝时,发行商可以跟踪出非法分发者并能向审判者提供证据,此概念一经提出便引起了研究者的广泛关注[4-10]。本文基于EIGamal加密算法的思想构造了一种数字指纹体制。由于该体制主要采用的是对称密码体制中的加解密算法,而密钥的计算只需进行简单的指数取模再求乘积即可得到,因此具有较好的实现效率。另外,本方案的密钥由M(发行商)随机选取,增加了叛逆者陷害其他无辜用户的难度。由于用户的个人解密密钥对M不可见,M无法陷害无辜用户,这增加了用户的安全性。再者,本方案引入了第三方,避免使用一般的安全多方计算协议,并且较完全可信的第三方而言,降低了对其信任度的要求,从而降低了M的风险。
　　
　　1 基于离散对数的EIGamal公开密钥方案[11]
　　
　　密钥产生过程:任意选择一个素数q,g是Zp的一个生成元,再任意选择一个小于q的随机数x,计算y≡gxmod q,以(g,q,y)作为公开的密钥匙,x作为秘密密钥。
　　加密过程:设欲加密明文信息为m,随机选择一个与q-1互素的整数k,计算C1≡gk mod q,C2≡mgk mod q,密文为(C1,C2)。
　　解密过程:C2/Cx1 mod q。
　　
　　2 基本方案描述
　　
　　协议的参与实体有:发行商(M)、用户(B)、指纹分发中心(FIC)、法官(J);基本协议有:初始化协议、带指纹拷贝生成(即指纹嵌人)协议、跟踪协议、审判协议。
　　2.1 初始化协议
　　所有的实体产生经过认证的公钥和私钥对及相应的数字签名机制(如用户B的密钥对为(pkB,skB),相应的签名和验证函数为signskB,verpkB),并且公开他们相应的公钥和签名验证函数,各个实体之间的少量秘密信息传递可以通过该公钥密码体制进行,M将要发售的拷贝分成l个子块blockj,j=1,2,…,l。
　　2.2 指纹嵌入协议
　　(1) 设用户B是第i个向M和FIC提出购买申请的用户,则用户B(或称用户i)提交自己经过认证的公钥,对i用pkB签名得到signB,然后将(i,signB)发送给FIC。
　　(2) FIC收到用户i发来的(i,signB)后,检验签名,若通过,则为用户i随机选取一个l×k阶的矩阵A。
　　A=a11a12…a1k
　　a21a22…a2k
　　al1al2…alk
　　以A的各个行向量的元素(aj1,aj2,…,ajk),j=1,2,…,l,为系数,在FG(q)(q为素数)上构造l个多项式fj(x)=aj1+aj2x+…+ajkxk,j=1,2,…,l,设g是Zq的一个生成元,计算yj1=gaj1mod q,yj2=gaj2mod q,…,yjk=gajkmod q,j=1,2,…,l。
　　ej={q,g,yj1,yj2,…,yjk},j=1,2,…,l,e={e1,e2,…,el},FIC对e签名得到signFIC,然后将(e,signFIC)发送给发行商M,同时对fj(i)签名,然后将其连同签名发送给用户i,其中,fj(i)=aj1+aj2i+…+ajkik。
　　(3) 发行商M收到FIC发来的(e,signB,signFIC)后检验FIC及用户B的签名,若通过,则M为用户i秘密选取一组密钥{sj}及一组随机数{rj},j=1,2,…,l,将这组随机数作为指纹分别嵌入子块blockj,j=1,2,…,l中,得到拷贝pj,j=1,2,…,l,M选择一个对称密钥密码算法,用密钥组{sj}对带指纹的拷贝pj进行加密,得到加密块cipherj,j=1,2,…,l,再用密钥{ej}将{sj}加密,生成hj(sj,rj)=(grj,sjyrjj1,yrjj2,…,yrjjk)mod q,M对(hj(sj,rj),cipherj)签名,得到signM,将((hj(sj,rj),cipherj),signM)发送给用户i。
　　(4) 用户i收到FIC经过签名的fj(i)及B发来的((hj(sj,rj),cipherj),signM)后,依次检验FIC及B的签名,若通过,则计算{sjyrjj1×(yrjj2)i×…×(yrjjk)ik}/(grj)fj(i),得到解密密钥组{sj},用它将cipherj解密得到带指纹的拷贝pj,j=1,2,…,l,最后将pj按顺序组成有用的拷贝P。
　　
　　2.3 跟踪协议
　　M若发现非法拷贝Pfound,执行相应的跟踪算法,从该拷贝中提取指纹,若提不出,则协议终止;否则提取出某一随机数列{rj′},j=1,2,…,l,M在销售记录中查找与之相等的{rj},然后输出相应的pkB及{sj},并将(({sj},{rj},j=1,2,…,l),signB)作为证据。
　　2.4 审判协议
　　M将pkB及(({sj},{rj},j=1,2,…,l),signB)提交给法官J,J用与pkB相应的验证函数verpkB验证signB是否为B对i的签名,若是则认为用户B是非法分发者,否则认为B是无辜的。
　　
　　3 正确性及安全性分析
　　
　　3.1 正确性分析
　　命题:用户i由收到的hj(sj,rj),cipherj及fj(i)通过计算得到的密钥组{sj}恰是M对拷贝块pj加密用的密钥。
　　证明:因为yj1=gaj1mod q,yj2=gaj2mod q,…,yjk=gajkmod q,j=1,2,…,l
　　
　　则:{sjyrjj1×(yrjj2)i×…×(yrjjk)ik}/(grj)fj(i)
　　={sj(gaj1)rj×(gaj2)rji×…×(gajk)rjik}/(grj)fj(i)
　　={sjgrj(aj1+aj2i+…+ajkik)}/(grj)fj(i)
　　={sjgrj•fj(i)}/(grj)fj(i)=sj, j=1,2,…,l
　　
　　3.2 安全性分析
　　(1) 发行商M的安全性
　　因为密钥组{sj}及随机数组{rj},j=1,2,…,l,都是发行商秘密随机选取的,所以未授权用户i无法伪造({sj},{rj},j=1,2,…,l),这保证了不诚实用户无法获得电子数据,发行商的利益得到了保障。另外,M公开的只是其拷贝的加密版本,FIC获得的只是用于解密的子密钥,并未获得原拷贝,这与完全利用可信的第三方比较,本文的方案减少了对可信方信任度的要求,这降低了M的风险,由于引入了第三方,这就避免了使用一般的安全多方计算协议[3],更有助于在实际中的应用。
　　(2) 用户的安全性
　　一方面,用户的个人解密密钥fj(i)对发行商M是不可见的,因此,M想要陷害无辜用户是不可能的。另一方面,对于用户来说,由于密钥组{sj}及随机数组{rj}由M秘密选取,其他任一用户都无法仿造({sj},{rj},j=1,2,…,l),因此无法诬陷诚实用户。
　　
　　4 结 语
　　
　　本文基于EIGamal加密算法的思想构造了一种数字指纹体制。由于该体制主要采用的是对称密码体制中的加解密算法,而密钥的计算只需进行简单的指数取模再求乘积即可得到,因此具有较好的实现效率。另外,本方案的密钥由M随机选取,增加了叛逆者陷害其他无辜用户的难度。由于用户的个人解密密钥对M不可见,M无法陷害无辜用户,这增加了用户的安全性。再者,本方案引入了第三方FIC,避免使用一般的安全多方计算协议,并且较完全可信的第三方而言,降低了对其信任度的要求,从而降低了M的风险。
　　
　　参考文献
　　[1]Blakley G R,Meadows C,Prudy C B.Finger-printing Long Forgiving Messages[A].Advances in Cryptogogy-CRYPTO′85[C].Berlin,1985:180-189.
　　[2]Boneh D,Shaw J.Collusion-secure Fingerprinting for Digital Data[J].IEEE Trans.on Inform.Theory,1997(44):1 897-1 905.
　　[3]Pfitzmann B,Schunter M.Asymmetric Fingerprinting[A].Advances in Cryptology-EUROCRYPT′96[C].Berlin:Springer,1996:84-95.
　　[4]Pfitzmann B,Waidner M.Asymmetric Fingerprinting for Large Collusions[A].Proc.of the 4th ACM Conf.on Computer and Communications Security[C].Zurich:ACM Press,1997:151-160.
　　[5]Pfitzmann B,Waidner M.Anonymous Fingerprinting[A].
　　Advances in Cryptology-EUROCRYPT′ 97[C].Berlin:Springer,1997:88-102.
　　[6]Camenisch J.Efficient Anonymous Fingerprinting with Group Signatures[A].Advances in Cryptology-Asiacrypt 2000[C].Berlin:Springer,2000:415-428.
　　[7]Memon N,Wong P W.A Buyer-seller Water-marking Protocol[J].IEEE Trans.on Image Processing,2001,10(4):643-649.
　　[8]Domingo-Ferrer J.Anonymous Fingerprinting Based on Committed Oblivious Transfer[A].Public Key Cryptography′99[C].Berlin:Springer,1999:43-52.
　　[9]吕述望,王彦,刘振华.非对称数字指纹技术[A].全国第四届信息隐藏研讨会论文集[C].北京:机械工业出版社,2002.
　　[10]Wang Y,Lu S W,Liu Z H.A New Asymmetric Fingerprinting Framework Based on Secret Sharing[A].Commucications and Multimedia Security[C].Dordrecht:Kluwer,2002:29-40.
　　[11]杨波.现代密码学[M].北京:清华大学出版社,2007.