Group Signature with Restrictive Linkability

Abstract

익명 서명 기법은 메시지에 대한 유효성을 제공하면서도 서명자의 신원을 노출하지 않도록 하는 서명 기법이다. 그룹 서명 기법은 익명 서명 기법 중 널리 사용되는 기법으로 1991년 Chaum등에 의해서 최초로 제안되었다. 그룹 서명 기법에서 서명자는 그룹을 대표하여 메시지에 대한 서명을 생성할 수 있으며, 검증자는 서명의 검증을 통해 그룹의 멤버가 메시지에 대해 서명했음을 확인할 수 있지만, 서명자가 구체적으로 누구인지는 알 수 없다. 또한 그룹 서명 기법에는 그룹 서명으로부터 구체적인 서명자를 확인할 수 있는 시스템에서 지정한 공개자가 존재한다. 공개자는 익명 서비스 제공 중 사건이나 사고, 분쟁 등이 발생한 경우에 서명자의 신원을 밝히는데 활용 될 수 있으며, 이를 익명인증 등의 많은 영역에서 활용 할 수 있다. 하지만 서명자 입장에서는 공개자가 자신의 익명 활동을 항상 침해 할 수 있기 때문에, 익명 서비스를 이용하는데 부담을 느낄 수 있다.

최근 몇년 간 그룹서명에서의 연결성(linkability)에 관한 연구가 진행되어 왔다. 연결성이란 두 서명 값이 주어졌을 때, 서명자의 신원은 파악할 수 없지만 두 서명 값이 같은 서명자가 생성한 것인지 아닌지를 판단 할 수 있는 특성을 의미한다. Hwang등은 연결자(linker)라는 새로운 신뢰기관(authority)를 추가한 연결성을 제공하는 효율성이 좋은 페어링 기반 그룹서명 기법을 제한하였다. 연결자는 시스템에 의해 지정되며, 키생성과정에서 만들어진 linking key를 비밀키로 가진다. 연결자는 언제나 서명값들에 대해 연결성을 체크 할 수 있으며, 이를 통해 시스템 관리등에 사용될수 있으므로 공개자(opener)의 부담을 덜어주는데 사용된다. 하지만 연결성에 관한 기존 연구들은 시스템 관리자가 서명자들을 관리하는 목적에 초점이 맞춰져 있었다. 서명자의 의도와 상관없이 연결자는 항상 모든 서명값에 대해서 연결성 테스트를 할 수 있었다.

하지만 연결성을 서명자가 원하는 방향으로 제어 할 수 있다면 그룹서명을 더 많은 곳에서 사용할 수 있다. 서명자가 연결자를 지정하거나, 특정 서명들에 대해서만 연결성을 지정할 수 있다면, 서명자가 연결성을 제공 하고 싶은 메시지들에 대해서만 서명자가 지정한 사람에게 제공할 수 있게되어 그룹서명의 활용 범위를 넓힐 수 있다. 본 연구에서는 그룹서명의 새로운 특성인 restrictive linkability (RL) 를 정의하고 이를 제공하는 그룹서명기법을 제안한다. 위에서 언급한 것과 같이 RL은 서명자가 연결성을 제공하는 서명과 그렇지 않은 서명을 지정할 수 있게 된다. 또한 서명자는 연결성을 제공하는 서명값에 대한 연결성을 테스트할 수 있는 연결자를 지정할 수 있게 된다. 우리는 그룹서명에서 이러한 특성을 제공하기 위해 연결성을 제공하고 싶은 서명값 생성시 랜덤하게 뽑은 값 linking index를 포함하여 서명을 생성하고, 연결성을 제공하고 싶지 않은 서명값 생성시에는 null값을 포함하여 서명한다. 또한 linking index와 서명자의 서명키를 이용하여 linking token을 만들어 연결성을 제공하고 싶은 사람에게 안전하게 전달하여 연결자로 지정한다.

Group signature allows a member of a group to anonymously sign a message on behalf of the group. A verifier can verify the authenticity of the signature. The verifier can determine that the signature was made by a member of the group, but cannot know the identity of the signer. In this case, however, a malicious signer can abuse the anonymity of group signature. To prevent this, group signature schemes have a designated authority called opener who can reveal the identity of the anonymous signer. Group signature scheme was firstly introduced by Chaum et al. and several group signature schemes have been proposed for many years. Recently, a number of researches concerning the basic group signature schemes with a differentiated linkability have been conducted to provide a more flexible service. Linkability is a capability to check whether two signatures are made by the same signer or not without exposing the identity of the signer. If the two signatures are made by the same signer, we say that they are linked. Hwang et al. and Mamun et al. proposed linkable group signature schemes with additional authority called a linker who can check whether two signatures are linked or not using his private key. However, existing researches focused on providing flexible services from the service provider's position. The systems are exposed to high possibilities of unnecessary breach of privacy. In this paper, we define a restrictive linkability for the anonymous services that require an adequate linkability with a minimum user-designated privacy exposure in anonymous services and propose an efficient group signature scheme providing restrictive linkability. Restrictive linkability enables that a signer can selectively generates linkable or un-linkable group signatures. It also enables that a signer chooses a linker who can check whether two group signatures are generated by the same signer or not. To achieve above property, we used a cryptographic random value linking index (LI). In the proposed group signature scheme with restrictive linkability, the signer can generate linkable group signatures (LGS) with LI if he wants; if not, he can generate unlinkable group signatures (ULGS) with null value. On ULGS, any entity (excepts the opener) cannot check whether the signatures are linked or not. On LGS, if there is a linker chosen by the signer of the signatures, then the linker can check whether the signatures are linked or not. The signer can choose a linker of the linkable group signatures by giving a linking token, which is related with LI, to an entity (linker). Through this, our scheme provides the restrictive linkability. Our scheme can be applied to various applications such as location-based service.