Chúng ta mô tả sự liên minh tấn công trên sơ đồ của Camenisch và Stadler. Sự tấn công này đƣợc đƣa ra bởi Ateniese và Tsudik [8]. May thay sơ đồ có thể dễ dàng đƣợc sửa đổi để ngăn chặn nó. Vì vậy sự tấn công không có bất cứ một giá trị thực tiễn quan trọng nào. Tuy nhiên nó có một số giá trị về mặt lý thuyết vì có thể chỉ ra một thiếu sót tiềm tàng trong sơ đồ.
Một sự liên minh tấn công xảy ra khi có sự tụ họp của một số thành viên nhóm (có thể gồm cả ngƣời quản lý nhóm) cấu kết và phối hợp các khoá hội viên bí mật của họ, để họ có thể sinh ra một chữ ký nhóm hợp lý cho một thông điệp riêng biệt, mà khó có thể phát hiện ra đƣợc. Chữ ký này là khó có thể phát hiện bằng tri giác, mà thủ tục Open sẽ thất bại để nhận ra một thành viên nhóm riêng biệt khi đƣa cặp thông điệp và chữ ký nhƣ một đầu vào.
Một sự tấn công nguy hiểm hơn là sự liên minh có thể cùng nhau gian lận sinh ra một chữ ký của một thành viên trong nhóm. Thủ tục Open sẽ nhận ra thành viên cụ thể khi đƣa cặp thông điệp và chữ ký là đầu vào. Hiện tại chƣa tìm thấy sự tấn công kiểu này với sơ đồ CS97.
Sự chống cự liên minh trong sơ đồ Camenisch và Stadler dựa trên sự phỏng đoán lý thuyết số sau đây:
Phỏng đoán 4.4.1:
Giả sử (n, e) là một khoá công khai RSA hợp lệ và cho a Zn sao cho việc tính Logarit rời rạc với cơ số a là khó thể thực hiện được. Cũng giả sử rằng chúng ta được cho quyền sử dụng một Oracle mà với bất cứ một giá trị y đã chọn nào sinh ra một giá trị v thoả mãn đẳng thức sau:
ve ≡ 1+ay
(mod n)
Nếu không biết sự phân tích của n thì khó để tính một cặp số nguyên khác (y‟, v‟) mà thoả mãn đẳng thức này. Ở đây y‟ phải khác bất cứ y nào mà đã cho trước đây khi hỏi Oracle.
Đáng tiếc, phỏng đoán này là sai. Tuy nhiên, dù phỏng đoán là sai, sơ đồ có thể vẫn an toàn.
Chúng ta chỉ ra làm thế nào 3 cá nhân (Alice, Greg và Joe) có thể mở một cuộc liên minh tấn công thành công chống lại sơ đồ của Camenisch và Stadler. Hãy xem xét sự tấn công sau đây:
1) Alice ra nhập nhóm với khoá bí mật y và nhận lại chứng chỉ thành viên A = (ay +1)d (mod n) từ ngƣời quản lý nhóm, ở đây A = ayd(1+a-y)d (mod n). 2) Greg ra nhập nhóm với khoá bí mật -y và nhận lại chứng chỉ thành viên G = (a-y +1)d (mod n) từ ngƣời quản lý nhóm.
3) Joe ra nhập nhóm với khoá bí mật y.c, ở đó c là đƣợc chọn ngẫu nhiên, và nhận lại chứng chỉ thành viên J = (acy
+1)d (mod n) từ ngƣời quản lý nhóm. 4) Bây giờ 3 ngƣời dùng các giá trị của họ để nhận đƣợc một giá trị mới C:
C := J.(A.G-1)-c (mod n)
Thấy rằng giá trị C mới này là một chứng chỉ thành viên nhóm hợp lệ tƣơng ứng với ngƣời dùng có khoá bí mật –cy.
Điều này suy ra từ điều sau đây:
J.(A.G-1)-c = J.(ayd(1+a-y)d.(1+a-y)-d)-c (mod n) = J.a-cdy (mod n)
= (acy+1)d.a-cdy (mod n) = (a-cy+1)d (mod n). Do đó (a-cy
+1)d (mod n) là một chứng chỉ hội viên nhóm hợp lệ với khoá bí mật –cy. Vì vậy 3 thành viên nhóm có thể cùng nhau để sinh ra một khoá bí mật mới và sinh ra một chứng chỉ hội viên tƣơng ứng khoá bí mật đó, hơn nữa ngƣời quản lý nhóm không biết về khoá mới này. Thành viên giả mạo với “tƣ cách” đại diện nhóm bằng khoá bí mật này mà khó có thể bị phát hiện.