沙特国王大学学报基于圆锥曲线密码的电子支付系统的前向安全密文认证签密方案瑞努·玛丽·丹尼尔,以利亚·祝福·拉杰辛格,萨拉贾·塞拉斯计算机科学技术系,Karunya技术与科学学院,泰米尔纳德邦641114印度阿提奇莱因福奥文章历史记录:2017年11月10日收到2018年1月22日修订2018年2月10日接受在线提供2018年保留字:签密圆锥曲线密码学前向保密密文认证电子商务ProVerifA B S T R A C T签密是一种认证加密技术,同时建立消息的机密性,真实性,完整性和不可否认性。基于RSA假设的困难性和环Zn上圆锥曲线上的离散对数问题,提出了一个高效的签密方案.该协议确保前向保密性,以防发送方协议仍然是安全的,只要其中一个硬度假设成立。该方案在圆锥曲线上实现,这有利于有效的消息编码和解码,以及有效的点运算和求逆。基于圆锥曲线的RSA假设可以抵抗低公钥和低私钥指数攻击,这在原始RSA密码系统中很普遍该协议被用于设计一个B2C电子商务系统,具有抵抗重放攻击、中间人攻击、冒充攻击、服务器欺骗和双重消费的安全性使用自动密码验证工具ProVerif对该协议进行验证©2018作者制作和主办:Elsevier B.V.代表沙特国王大学这是一CC BY-NC-ND许可下的开放获取文章(http://creativecommons.org/licenses/by-nc-nd/4.0/)。1. 介绍在公钥密码系统中,消息的机密性、完整性、真实性和不可否认性是通过首先用发送者的私钥对消息进行签名,然后使用临时会话密钥对消息签名对进行加密来确保的。随后,在传输之前使用接收方的公钥对会话密钥进行加密。在接收到随机化的会话密钥和加密的消息签名对时,接收者使用其私钥检索会话密钥。然后,接收方使用会话密钥对加密的消息-签名对进行解密。最后,接收方确认真实性和完整性通过使用发送方的公钥验证签名来验证消息的有效性。为了降低传统的“先签名后加密”方法的成本* 通讯作者。电 子邮 件 地址 :renumarydaniel@karunya.edu.in ( R.M.Daniel ) , elijahble-ssing@karunya.edu(E.B. Rajsingh),salaja_cse@karunya.edu(S. Silas)。沙特国王大学负责同行审查制作和主办:Elsevier在单个逻辑步骤中实现加密和数字签名功能。Zheng的签密方案是基于有限域上的离散对数问题(DLP)的。后来,Zheng和Imai(1998)提出了一种基于椭圆曲线模拟DLP(ECDLP)的方案。理想情况下,签密方案必须确保以下安全属性:公开可验证性-公开可验证性意味着给定原始消息、密文组件和一些可选信息,外部实体可以验证消息的真实性,而无需接收者的私钥(Ahmed等人, 2010年)。密文认证接收方不需要向外部法官透露原始消息或私钥,以确保不可否认性。公共密文认证-公共密文认证意味着外部实体可以仅从密文组件验证消息来源,而无需接收方的任何干预。密文匿名性需要注意的是,公开密文认证和密文匿名不能同时实现。https://doi.org/10.1016/j.jksuci.2018.02.0041319-1578/©2018作者。制作和主办:Elsevier B.V.代表沙特国王大学这是一篇基于CC BY-NC-ND许可证的开放获取文章(http://creativecommons.org/licenses/by-nc-nd/4.0/)。可在ScienceDirect上获得目录列表沙特国王大学学报杂志首页:www.sciencedirect.com●●●●R.M. Daniel等人/Journal of King Saud University87前向保密-前向保密属性阻止拥有发送者秘密密钥的对手解密恶意加密的消息。1.1. 以前的工作Zheng(1997)提出的初始签密方案缺乏可公开验证性。因此,在郑Bao和Deng(1998)修改了Zheng相反,接收方必须向外部实体生成这种性质被称为公共可验证性。该协议是在有限域中实现的,基于强间隙Diffie-Hellman(Gap-DH)假设。然而,公共可验证性属性不适合于需要通过防火墙进行内容过滤的应用,因为外部实体的验证在预期接收者解密密文之前是不可能的。Gamage等人(1999)提出了第一个具有公开密文认证性质的签密方案。在Gamage的方案中该协议基于标准的计算Diffie-Hellman(CDH)假设。显然,该协议缺乏密文匿名性,因为对手可以执行随机检查来检测消息来源(Chow等人,2003年)。因此,公开密文认证属性对于诸如电子商务的应用是不期望的,其中发送者的身份必须被保留。上述协议都没有提供前向保密性。Chow等人在椭圆曲线上提出了一个具有公开密文认证性质的前向安全签密方案。然而,由于昂贵的双线性对运算,该协议招致更高的计算复杂度。随后,Han等人(2004)基于椭圆曲线离散对数问题(ECDLP)提出了一个具有密文认证和密文匿名的前向安全签密方案该协议提供了比Chow等人更好的效率。的计划,因为它不涉及双线性对计算。随后,提出了几种具有公共可验证性的基于前向安全椭圆曲线的协议(Bala等人,2013; Hwang等人,2005; Hwang和Sung,2011; Toorani和Shirazi , 2009;Xiang-Xu 等 人 ,2005 年 ) 。 Mohamed 和Elkamchouchi(2009)提出了一个前向安全的具有公开密文认证的签密方案基于ECDLP,无需任何配对计算。随后,提出了具有前向保密和公开密文认证的类似构造(Iqbal和Afzal,2013; Mohapatra,2010)。最近,Chaudhry等人(2016)设计了一个基于ECDLP的签密的高效电子商务系统,然而,该协议缺乏前向保密性以及基本的公共可验证性。1.2. 动机算法中私钥和短暂秘密的棘手性可以归结为底层硬度假设的棘手性。所有先前讨论的签密方案的安全性都依赖于个体的硬度假设。如果攻击者成功地解决了硬度假设,他就可以简单地计算单个用户的私钥,该系统(Gutub等人,2017年)。Elkamchouchi,Nasr and Ismail(2009)提出了一个前向安全的具有公开可验证性的代理签密方案,该方案基于有限域上的多重因子分解问题(IFP)和离散对数问题(DLP)。然而,该协议是使用由四个素数组成的复合模数设计的,这使得它效率低下。模数大小必须至少为4096位,以抵抗通过椭圆曲线方法的因子分解攻击(Ciet等人,2002; Hinek,2008)。此外,该协议缺乏密文认证,因此,原始消息必须暴露给外部验证者以进行争议修正。本文提出了一种新的基于圆锥RSA(CBRSA)假设的高效签密方案,同时提出了圆锥曲线DLP(CCDLP)方案,该方案除了保证机密性、真实性、不可否认性和完整性外,还保证了公开可验证性、密文认证性、密文匿名性和前向保密性。每个用户都有一对私钥,分别对应于CBRSA和CCDLP。加密的临时会话密钥只能由拥有两个专用密钥的授权接收方检索。此外,有效的签名只能由拥有两个私钥的用户创建。同时解决两个困难假设的概率是可以忽略的,因此,该协议提供了更好的安全性。所提出的方案与文献中现有的原型的安全属性的比较在表1中提供。该方案是在圆锥曲线上实现的,与椭圆曲线相比,它有利于有效的消息编码和解码,以及高效的点运算和求逆。我们推导出的理论证明所提出的方案的安全性对低指数攻击流行的原始RSA密码系统。表1与文献中其他签密方案的安全性比较。方案前向保密可公开验证性密文认证密文匿名性■公开密文认证假设(Bao(一九九八年)没有是的没有是的没有Gap-DH(Gamage'99)没有是的是的没有是的CDH(Chow(二零零三年)是的是的是的没有是的MDBDH(Han(2004年)是的是的是的是的没有ECDLP(黄'05)是的是的没有是的没有ECDLP(Xiang-Xu'05)没有是的没有是的没有ECDLP(Xiang-Xu'05)是的没有没有是的没有ECDLP(Toorani'09)是的是的没有是的没有ECDLP(Elkam'09)是的是的没有是的没有IFP、DLP(Moham'09)是的是的是的没有是的ECDLP(Mohapat'10)是的是的是的没有是的ECDLP(艾哈迈德'10)没有是的没有是的没有CDH(黄'11)是的是的没有是的没有CDH(Bala 13)是的是的没有是的没有ECDLP(伊克巴尔'13)是的是的是的没有是的ECDLP(Chaudhry'16)没有没有没有是的没有ECDLP我们的方案是的是的是的是的没有CBRSA、CCDLP■ 密文匿名性和公开密文认证是互斥的属性。●88R.M. Daniel等人/Journal of King Saud University.ΣðÞðÞMMð Þ ð Þ¼ ð Þð ð Þpð Þ¼ ðÞ¼ð Þpp1-1页所提出的方案被用来保护一个B2C模式的电子商务系统。使用自动化软件工具ProVerif验证可达性属性和对应性论文的其余部分组织如下:第2节简要介绍了圆锥曲线密码学。在第三节中给出了所提出的签密方案.第4节提供了详细的安全分析。第5节对该方案的效率进行了评估。第6节探讨了该协议在以下方面的适用性:确保电子商务系统安全。建议的电子付款计划是显 然 , t32H 和 加 法 运 算 是 可 交 换 的 . 此 外 , 对 于 任 何P<$t<$2Cp<$a;b<$;,负元素可以定义为,PO-PO;P-t-Pt6等式(4)因此,在本发明中,C p a;b;;P O形成有限阿贝尔群,与基数ityjCa;bj<$p-。一个人,在哪里,a“”表示Legen,见第6.1节。该协议的安全性对严重的-在6.2节中讨论了各种攻击场景。在第6.3节中提供了所提出的电子商务应用程序的详细数值模拟。第6.4节讨论了ProVerif工具用于方案确认的适用性。第7节提供了结论性意见。ProVerif代码包含在附录中以供参考。2. 圆锥曲线密码圆锥曲线密码学的概念是由曹(1998,1999)在张(1996)提出有限域上的圆锥曲线群形成可加阿贝尔群之后提出的由于群运算的简单性,经典dre符号因此,8Pt2 C pa; b,jC pa; bjPt PO和k:Pt意味着重复添加Ptk次(也称为标量乘法)。对于消息m2H=f0g,曲线Pmba-m2a-;yba-m2a上的对应点可由消息编码公式xm ba-;yba-m2a得到。可以使用等式x-1ymmodpm从Pm解码消息。2.2.环Zn上的圆锥曲线设 Zn表示模n剩余类环.Zn上的圆锥曲线表示为:同余方程Cna;b:y2ax2-bxmod n,其中n<$pq,a;b<$2Zn且n与a和b互质。设p和q是大的不同的奇素数,使得,a a像RSA这样的密码系统(Chen和Song,2007; Bellini和Murru,2016)、Diffie-Hellman密钥交换(Zheng Fu,1998)和El-Gamal加密方案(Zhang等人,2004),以及大量的签名方案(Lin等人,2009;Lu等人,2005; Shi和Xiong,2013; Song和Chen,2009)。 Dai等人(2001)证明了圆锥曲线群上的DLP可以归结为有限域的乘法群上的DLP。尽管如此,圆锥曲线群仍然作为密码工具被广泛研究,因为它支持有效的消息编码和解码,以及有效的点运算和逆运算。2.1. 有限域F_p设F ωp表示p阶有限域Fp的乘法群,其中p是奇素数.那么,F p <$f 0;1;. ;1000-1000g且F ωp<$FP=f0g。仿射平面A2<$FP<$A上的圆锥曲线,记为Cp<$a;b<$A,可以用以下方程表示,Cpa;b:y2ax2-bxmodp;a;b2Fωp1很明显,原点O= 0;O = 0,满足等式(1)。(一).将y^xt代入Eq.(1),对于xb¼xa-t2;a;b2Fωp2如果a-t2,则从等式(2)我们得到,x¼ba-t2-1;y¼bta-t2-13对任意t2Fp ,使得t2- a,设P <$t <$p表示Cp <$a ; b <$p上的一点,其坐标为<$x ; y <$p,满足式(1). (三)、然后,映射P:H!C pa;b表示从点集H<$ft2Fp;t2- a g [ f O g]到C p a ; b的双射,其中t - O和O <$ft 0 ; 0。 1表示乘法逆。加法运算可以在曲线Cpa; b的元素上定义,使用方程:(4)和(5)。p 如果np=1,则基数为jCna;bj可以计算为Nn<$lcmjCpa;bj;jCqa;bj <$lcm2r;2s 2rs,其中lcm表示用于计算最小公倍数的函数。因此,给定Pt2C na;b,N nPt<$PO。关于更多细节,请参考(Biao等人,2009年)。1. 设e是与N互素的随机数.计算d,使得ed 1mod N n。对于Pm2Cna;b,设PcePm,则dPc edP m P m:基于二次曲线的RSA假设指出,给定Pc;e),没有概率多项式时间对手可以计算Pm,使得Pc ePm,具有不可忽略的优势。RSA假设的难解性是以IFP为基础的。2. 圆锥曲线DLP(CCDLP)指出,给定Pm2Cna;b和Pck:Pm,没有概率多项式时间对手可以计算k2ZωNn 具有不可忽视的优势。3. 一个具有密文认证的所提出的签密方案使用Zn上的圆锥曲线设计,n是一个复合模,难以分解。所有通信实体决定安全参数k,其确定组元素和密钥的大小例如,在云环境中,云服务提供商(CSP)选择安全参数以及曲线参数a和b。这形成系统公共参数(PP)。表2描述了系统中使用的符号假设用户A是发送者,用户B是发送者。作为预期的接收者,该协议使用四种算法来执行: fPr A; Pu Ag,提取物B; PPB; fPr B; Pu Bg,SigncryptPrA;PuB;M !Unsigncrypt 和 UnsigncryptPrB;PuA;Unsigncrypt! M.表2系统中使用的符号说明8Pt2Cpa;b;t2H;PtPOPtPt 4对于每一个P<$t1<$;P<$t2< $2Cp <$a;b<$,P <$t1;t2< $2H和P <$t1;t2<$第1页第2页第3页第5页符号含义hash哈希函数安全哈希函数,hash:f 0; 1 gω! ff 0; 1 gl1; f 0; 1 gl2 g使用长度为k1的进行对称加密和解密11,例如,AESt3¼(t1t2at1t2-1modp;t1t2-KHk2n:使用长度为l2的密钥k2的带PP¼ fk;a;b公共参数= {安全参数,曲线参数}O;不超过1千克不超过2千克0fIDA;IDBg用户A、用户BfPr A; Pu Ag用户A的{私钥,公钥}R.M. Daniel等人/Journal of King Saud University89..- 是的 ΣΣðÞ一ð Þ ð ÞeK22这样,ed 1/4kN2001年。那么对于1d3n4,<
2 rs<$$>p<$1n<$q<$1n。方程ed<$k:Nn<$1意味着,kNned。<对于1eNn,不等式kNned成立当且仅当,kd。<<<< 给定qp2q,我们知道,npq>q2.<<因此,q7时,该系统仍能抵抗低私钥指数攻击。H4.3. 前向保密假设对手已经获得私钥分量x A; d A; N nA发送者A。不过,攻击者可以-不从所存储的元组中恢复先前由受损用户A签密的任何消息c;s;s. 来解密包含原始消息的密文分量C,攻击者必须检索临时会话密钥V。如果不知道预期接收方的私钥,则无法从% s4.4. 密文认证和匿名在关于消息真实性的争议的情况下,接收方必须向外部验证方提供元组c;k2;s。验证器验证消息来源,如下所示:1. 计算KHk2ckIDAkIDBrKoyama等人,1991),易受Hastad广播攻击(Kurosawa等人,Wiener attack(Pinch,1995). 研究已经证明,基于IFP的密码系统 在EZ n ,需 要存 在的点与秩 序Nn<$lcmjEFpj;jEFqj(Wen-yu and Qi,2005)。然而,这一要求是不能达到一般的椭圆曲线在Zn。如第4.2节所示,基于圆锥曲线的RSA假设可以抵抗低指数攻击和共模攻击。此外,在C<$Z n <$N上实现的密码系统的计算复杂度低于在E<$Z n<$N上实现的密码系统的计算复杂度。在这方面,圆锥曲线在Zn,理想地提供了一个有效的和安全的代数结构实现的签密方案的基础上IFP和DLP。表3比较了每种方案在签密、解密和验证过程中的计算复杂度。该方案是有效的签密方案相比,基于DLP在Fp和ECDLP。 这是由于所提出的方案不涉及昂贵的配对计算、群取幂或相对昂贵的椭圆曲线点运算(Dai等人,2001; Lin等人, 2009年)。此外,圆锥曲线提供有效的消息编码和解码。所提出的方案的时间复杂度主要归因于2007年)。因此,256位椭圆曲线群的安全性大致相当于3072位有限域(Barker,2016)。这n12d 2 3<乘法(Ghelman等人, 2013,2012年; Gutub,2010年,2006年,2005)和逆(Gutub,2007; Gutub和Ferreira,2004)。.R.M. Daniel等人/Journal of King Saud University91no2表3与其他签密方案的计算开销、存储开销和底层组结构进行了比较方案计算开销签密实现的存储开销解签密验证密文大小验证组件大小(Bao(Han(Xiang-Xu(Elkam(Moham(MohapatEFp)EFp)(Ahmed(Iqbal(ChaudhryExp-Exponentiation,mM-Modular Multiplication,M-Multiplication of group elements,SM-Scalar Multiplication,Pair-Bilinear Pairing,PA-Point Addition,N/A- Does notsupport public verifiability property.j- AES密码中的块数,f0; 1gω-消息大小,l1-密钥k1的长度,l2-密钥k2的长度。 F p-有限域,E<$F p)-F p上的椭圆曲线,Z n -剩余类环,C <$Z n)-Z n上的圆锥曲线.简单的圆锥曲线标量乘法和模乘法。实验模拟表明,圆锥曲线标量乘法和求逆的执行时间可以忽略不计(Li和Li,2013)。便宜的散列函数的计算成本以及对称消息加密和解密没有被考虑用于比较。由于密文中不包含圆锥曲线群元素,因此该方案在空间复杂度方面是有效的。与文献中支持密文认证的类似方案相比,外部验证者解决争议所需的验证组件的大小被最小化,从而增加了存储和通信效率。6. 该方案在一个云电子商务系统电子商务通过互联网促进商业交易,是市场精明的公司保持竞争优势和提高收入的基础促使客户在网络世界中做出决策的基本动力是客户体验、可用性、信任和安全性。制造商和批发商正在努力提供更大的选择灵活性、透明度、最佳价格和动态可扩展性,以维持其不断增长的客户群。当然,云计算被证明是一个开放的利益盘营销巨头,以及新进入者。与云相关的服务可减轻公司的资本和运营成本,提供数据管理、可扩展性和快速服务交付。随着B2C和B2B模式通过云计算获得优势,一个关键的关注领域是电子支付的安全性Chaum(1983)提出了使用盲签名的基本电子支付模型,随后,引入了许多其他电子支付框架(Chen等人,2014; Eslami和Talebi,2011; Lysyanskaya和Ramzan,1998; Yen等人,2012;Zhang等人,2011年)。然而,正如Yang,Chang和Chen(2013)所指出的,现有电子支付系统中的签名方案无法保持密文匿名性。他们提出了一种有效的认证加密方案,该方案具有密文匿名性、机密性和完整性。此外,该协议被用来设计一个电子支付系统,具有防止重放攻击的安全性,双重支出、服务器欺骗和假冒攻击。最近,Chaudhry et al.(2016)证明了该系统对冒充攻击是脆弱的。Chaudhry等人临时制定了该方案,以确保杨,张和陈声称的所有安全属性。尽管如此,我们发现乔杜里等人。的电子支付系统缺乏前向保密性和可公开验证性。这意味着如果发送者的私钥被泄露,则可以检索所有先前加密的消息。另一个主要的问题是,为了解决争议,接收者必须向外部验证者提供他的私钥。不可避免地,接收者必须更新他的密钥,并在每次争议解决后公布新的公共参数。我们提出了一个电子支付系统,确保公平交易,客户匿名,前向保密性和解决争议的密文认证。此外,我们证明了该系统还提供了抵抗模仿攻击,重放攻击,双重支出和服务器欺骗。通过ProVerif验证了协议的安全性。ProVerif代码包含在附录中以供参考。6.1. 系统设计对于系统设计,我们采用了Yang等人的工作流。(2013)电子支付系统。该协议包括建立阶段、购买阶段、支付阶段、交换阶段和转移阶段。6.1.1. 系统设置阶段在该阶段中,确定曲线参数和安全参数此外,本发明还的散列功能散列:f 0; 1 g ω!定义f0; 1gl1;f 0; 1gl2,使得l1表示对称加密/解密函数的密钥k1fEk1:;Dk1:g,l2表示密钥k2的长度。散列函数KHk:哈希函数H1:f 0; 1 g ω!f 0; 1 gL也被定义,其中,L表示顺序信息的长度。 客户、商家和银行等通信实体分别执行第3.1节中的密钥提取算法,以导出其公钥-私钥对。每个实体作为Pr i¼xi;di;N ni。还有,Yi¼xi Gimod ni,92R.M. Daniel等人/Journal of King Saud UniversityðÞPðÞCfkgðÞei dimod Nni1. PiM表示消息M在5上的编码。将元组c1;s1;s1;T1发送到银行。曲线C nia;bn.实体i的标识表示为ID i。图1示出了系统的工作流程。6.1.2. 购买阶段购买阶段是在客户选择某些电子产品时启动的。客户从商家的网站获得商品 然后,客户生成要发送到银行,使用以下步骤:1. 选择一个随机整数v 1,使得v12ZωnB.2. 计算a1v 1GBmodnB,如果a11/40,返回到步骤1,否则,确定散列值a1 1/4k1; k2。3. 计算总价格P<$pricei并生成订单信息OI <$H1GIkPkID B。 消息到的银行是M111/4ID CkOIkPkk1kT1k,其中T1表示当前时间邮票4. Computec1¼Ek1PBM1,r1½KHk2c1kIDCkIDB,s1¼v 1eBY BB1和B2是1/4dCx-C1r1的整数倍。元组c1;s1;s1;T1被称为支付指令,其指定要转移到商家的金额6.1.3. 支付阶段在接收到加密的支付指令c1;s1;s1;T1时,客户,本行将密文解密如下:1. Unsigncrypt解签密码Pr B; Pu C; Pu c1; s1解签密码!M12. 获取M111/4ID CkOIkPkk1kT1k。银行收益当且仅当k1可以验证T1成功解签后,银行从相应客户的账户中扣除金额P并将其转移到临时账户。此外,到期期限Exp由银行选择。银行使用如Lu等人中的圆锥曲线数字签名算法为数据OI Exp创建数字签名DS。(2000年)的第10/2000号决议。发送给客户的消息为M2¼DSkExpkk1kT2。Fig. 1.拟议电子支付系统的工作流程。Pri;PuiPri-表示实体i的公钥-私钥对。R.M. Daniel等人/Journal of King Saud University93CðÞðÞðÞCð Þ ðÞPK¼ ¼ ð k kÞfkgPðÞ¼¼最后银行计算c2¼E k1P CM2和使用相同的会话密钥k1;k2k银行将OIkExp;DSg的数据存储在其存储库中。6.1.4. 交换阶段在接收到密文元组c2;r2;T2时,客户如下所示地解签密:1. 解密Dk1c2PCM2并检查KHk2c2kIDBkIDCr2。2. 获得M21/4DSkExpkk1kT2。当且仅当以下情况下,客户方可继续k1,T2和r2可以交叉验证。验证后,客户获得DS和Exp,并创建付款凭证,以转移给商家,如下所示:1. 选择一个随机整数v 2,使得v 22ZωnM.2. 计算a2v2GMmodnM,如果a2¼0,则返回步骤1,否则,确定ha2G Mmod nM01;k02G。3. 发送给商家的消息是M31/4IDBkDSkExpkGIkk01kT3n,其中T3表示当前时间戳。4. 计算c31/4Ek01PMM3,r31/4KHk02c3kIDCkIDM,s31/4v 2eMYM也就是说,s3¼dCx-C1r3modNn。5. 元组“tuple”c3;s3;s3;T3“将被发送给商家。商家在获得元组c3;s3;s3;T3时,如下所示对密文进行解签密:1. Unsigncrypt解密Pr M; Pu C; Pu c3; s3; s3密码!M32. 获取M3¼ID BkD SkEx pkG Ikk01kT3。商人收益,如果和6.2.1. 重放攻击假设攻击者拦截了元组c1;s1;s1;T1由客户转入银行。如果元组在稍后的时间段用于重放攻击,则银行从T1 的值。如果签名s1被插入到另一个密文元组c;s;s;T中,则函数UnsigncryptPrB;PuC;c;s;s1将失败。6.2.2. 中间人攻击假设消息c1;s1;s1;T1被截获并发送发送到银行的最近时间戳为T0。即使这样,银行在验证从加密消息c1恢复的时间戳期间检测到攻击。6.2.3. 假冒攻击只要私钥xC;dC中至少有一个,不明假设一个对手试图模仿一个客户创建一个有效的密文给银行。对手执行以下步骤:1. 反之,r,y选择一个随机整数, v 被选择,使得,v 12ZωnB.2. 计算a1v1GBmodnB,如果a1¼0,则返回步骤1,否则,确定ha1G Bmod n B。3. 计算M1 11/4IDCkOIkPk1kT1k,其中T1表示当前时间戳,fOIkPg是一些随机值。4. 计算c1¼Ek1PBM1,r1¼KHk2c1kIDCkIDB,s1¼v1eBY Bmodn b攻击者可以创建假的攻击者c1;s1,但不能创建有效的攻击者c 1; s 1。s1½dCx-C1r1modNn,除非他同时获得只有当k01和T3被交叉验证时。然后,商家计算P价格i,OI H1GI P IDB,并计算OI Exp。它使用Bank的公钥验证签名DS。如果签名有效,则商家发送加密的货物M41/4吨DMkG Ik货物Sk01kT4吨交付给客户。计算,c41/4Ek0PCM4和r41/4KHk0c4kIDMkIDC,使用共享的ses-客户编号xC;dC。6.2.4. 双重支出银行存储元组DS;OI Exp,直到它完成对商家的支付或中止该过程并将钱返还给客户。在支付完成之后,银行删除元组fDS;OIkExpg。因此,它不能被重新-12由商家或对手使用抵抗力翻倍选择键:k01;k02。 将元组c4;r4;T4发送给客户。6.1.5. 转移阶段客户通过以下步骤从商家处获得货物:1. 解密Dk01c4PCM4并检查K Hk02c4kIDMkI DCr4。2. 获取M41/4I DMk
我的内容管理
展开
