信息認(rèn)證技術(shù)

1、明明 文文 明明 文文 加加 密密 算算 法法 解解 密密 算算 法法 信信 道道 攻擊者攻擊者 認(rèn)證的目的認(rèn)證的目的 o 認(rèn)證的目的有兩個方面： o 一是驗證信息的發(fā)送者和接受者是合法 的，而不是冒充的，即實體認(rèn)證，包括 信源、信宿的認(rèn)證和識別； o 二是驗證消息的完整性，驗證數(shù)據(jù)在傳 輸和存儲過程中是否被篡改、重放或延 遲等。 第三章第三章 信息認(rèn)證技術(shù)信息認(rèn)證技術(shù) o 3.1 Hash3.1 Hash函數(shù)和消息完整性函數(shù)和消息完整性 o 3.2 3.2 數(shù)字簽名技術(shù)數(shù)字簽名技術(shù) o 3.3 3.3 身份認(rèn)證技術(shù)身份認(rèn)證技術(shù) o 3.4 3.4 認(rèn)證的具體實現(xiàn)認(rèn)證的具體實現(xiàn) 3.1 Has

2、h函數(shù)和消息完整性函數(shù)和消息完整性 o 3.1.1 基本概念基本概念 o 3.1.2 常見的常見的Hash函數(shù)函數(shù) o 3.1.3 消息認(rèn)證碼消息認(rèn)證碼 3.1.1 基本概念基本概念 o 哈希（哈希（Hash）函數(shù)）函數(shù)（ “散列函數(shù)散列函數(shù)”或“雜湊函雜湊函 數(shù)數(shù)”）是可接受變長數(shù)據(jù)輸入，并生成定長數(shù)據(jù) 輸出的函數(shù)，輸出稱為輸入數(shù)據(jù)的哈希值哈希值、散列散列 碼碼或消息摘要消息摘要。由于哈希函數(shù)具有單向性的屬性， 有時也稱單向散列函數(shù)。有時把哈希值（消息摘 要、散列碼）稱為輸入數(shù)據(jù)的數(shù)字指紋數(shù)字指紋。 o 消息完整性消息完整性要求對接收的數(shù)據(jù)的任何改動都能被發(fā) 現(xiàn)。 o 哈希函數(shù)的主要功能主要

3、功能就是實現(xiàn)數(shù)據(jù)完整性的安全。 Hash函數(shù)基本概念（續(xù)）函數(shù)基本概念（續(xù)） o 表達式：哈希值以函數(shù)表達式：哈希值以函數(shù) h=H(x) 表示。表示。 其中，其中，x 是變長的消息，哈希值是變長的消息，哈希值 h，H 是一是一 個將任意長度的消息個將任意長度的消息 x 映射為一個較短定長映射為一個較短定長 的哈希值的哈希值 h 的函數(shù)，其效果圖如下所示。的函數(shù)，其效果圖如下所示。 o Hash函數(shù)一般滿足以下幾個基本需求： n 任意長度的輸入數(shù)據(jù)塊，固定長度的散列值； n 對于每一個給定輸入數(shù)據(jù) x，計算出它的哈希 值H(x)很容易； n 反過來，給定哈希值h，倒推出輸入數(shù)據(jù)x在 計算上不可行

4、； n 對于給定的消息x1和其哈希值H(x1)，找到滿 足x2 x1，且H(x2)H(x1)的x2在計算上不可行， 即抗弱碰撞（抗弱碰撞（Collision）性）性； n 找到任何滿足H(x1)H(x2)且x1 x2的消息 對（ x1， x2）在計算上是不可行的，即抗強碰抗強碰 撞性撞性。 Hash函數(shù)基本概念（續(xù)）函數(shù)基本概念（續(xù)） o Hash值的長度值的長度由算法的類型決定，與輸入的 消息大小無關(guān)，一般為128或者160位。常用 的單向Hash算法有MDS、SHA等。 o Hash函數(shù)可以按照其是否有密鑰控制分為兩 類：一類有密鑰控制有密鑰控制，為密碼Hash函數(shù)；另 一類無密鑰控制無密

5、鑰控制，為一般Hash函數(shù)。 3.1.2常見的常見的Hash函數(shù)函數(shù) o MD4算法 o MD5算法 o SHA算法 MD-4算法算法 o MD-4是Ron Rivest設(shè)計的單向散列 函數(shù) o MD表示消息摘要（Message Digest），對于不同長度的輸入消息 該算法產(chǎn)生128-位散列值 MD-4算法設(shè)計目標(biāo)算法設(shè)計目標(biāo) o 安全性。找到兩個具有相同散列值的消息在計算 上不可行，不存在比窮舉攻擊更有效的攻擊。 o 直接安全性。MD-4的安全性不基于任何假設(shè)，如 因子分解的難度。 o 速度。MD-4適用于軟件實現(xiàn)，基于32位操作數(shù) 的一些簡單位操作。 o 簡單性和緊湊性。MD-4盡可能簡

6、單，沒有大的數(shù) 據(jù)結(jié)構(gòu)和復(fù)雜的程序。 o 有利的Little-Endian結(jié)構(gòu)。MD-4最適合微處理 器結(jié)構(gòu)，更大型、速度更快的計算機要作必要的 轉(zhuǎn)化。 MD-5算法算法 以以512位分組來處位分組來處 理輸入的信息，每理輸入的信息，每 一分組又被劃分為一分組又被劃分為 16個個32位子分組，位子分組， 經(jīng)過了一系列的處經(jīng)過了一系列的處 理后，算法的輸出理后，算法的輸出 由由4個個32位分組組位分組組 成，將這成，將這4個個32位位 分組級聯(lián)后生成分組級聯(lián)后生成 128位散列值。位散列值。 MD-5算法的步驟算法的步驟 o 1數(shù)據(jù)填充與分組數(shù)據(jù)填充與分組 n （1 1）將輸入信息將輸入信息Y按

7、順序每按順序每512位一組進行分組：位一組進行分組： Y = Y 1， Y 2， Y n-1， Y n n （2 2）將信息將信息Y的的Y n長度填充為長度填充為448位。位。 o 當(dāng)當(dāng)Y n長度長度L（bit為單位）為單位） 448時，在信息時，在信息Y n后加一個后加一個“1”，然后再，然后再 填充填充512-L+447個個“0”，使最后的信息，使最后的信息Y n長度為長度為512位，位， Y n+1長度為長度為448位位 n （3 3）在填充后的在填充后的Y后面附加一個以后面附加一個以64位二進制表位二進制表 示的填充前的信息的長度。示的填充前的信息的長度。 o 2.初始化散列值初始化散

8、列值 n 在MD5算法中要用到4個32位變量，分別為 A、B、C、D，它們的初始值為： A = 0 x01234567 B = 0 x89abcdef C = 0 xfedcba98 D = 0 x76543210 n 在MD5算法過程中，這四個32位變量被稱為 鏈接變量，它們始終參與運算并形成最終的 散列值。 o 3.計算散列值計算散列值 n 1）將填充后的信息按每512位分為一塊（Block），每塊 按32位為一組劃分成16個分組，即 Yi = Yi0 ，Yi1 ，Yi2，Yi15，i = 1 n Xk= Yik，k= 0 15 n 2）分別對每一塊信息進行4輪計算。每輪定義一個如下所 示

9、的非線性函數(shù)： n 3）將A、B、C、D這四個變量分別復(fù)制到變量a、b、c、d 中。 )Z)X()YX()Z,Y,X(F )Z(Y()ZX()Z,Y,X(G ZYX)Z,Y,X(H )Z(X(Y)Z,Y,X(I 4）每輪進行16步迭代運算 n每步操作對a、b、c、d中的三個變量作一次非線性 函數(shù)運算 n將所得的結(jié)果與第四個變量、輸入信息的一個32位 的子分組Xk和一個常數(shù)Ti相加 n將所得的結(jié)果循環(huán)左移一個不定數(shù)s，并加上a、b、 c、d中的一個變量。 232abs（sin（i） 整數(shù)部分 )Z)X()YX()Z,Y,X(F )Z(Y()ZX()Z,Y,X(G ZYX)Z,Y,X(H )Z(X

10、(Y)Z,Y,X(I 32位移位寄存器，循環(huán)左移一個不定數(shù)s o3.計算散列值計算散列值 n 4輪循環(huán)操作完成之后，將A、B、C、D分別加 上a、b、c、d，即 A=A+a B=B+b C=C+c D=D+d n 這里的加法是模232加法 n 然后用下一512位分組數(shù)據(jù)繼續(xù)運行算法，最后 的輸出是A、B、C和D的級聯(lián)。 其他算法其他算法 o SHA(Secure Hash Algorithm)是美國國家標(biāo)準(zhǔn)與技術(shù)研究 所（NIST）提出，于1993年作為聯(lián)邦信息處理標(biāo)準(zhǔn)（FIPS 180）發(fā)布的，1995年又發(fā)布了其修訂版（FIPS 180-1）， 通常稱為SHA-1 。該算法的輸入消息長度小

11、于264bit，最終 的輸出結(jié)果值為160bit。 o SHA-1與MD-4相比較而言有兩項改進： n 增加了擴展變換，對窮舉攻擊更有抵抗力。 n 將前一輪的輸出加到下一輪，這樣增加了雪崩效應(yīng)。 o 2001年，NIST發(fā)布FIPS 180-2，新增了三個哈希函數(shù)，分 別為SHA-256，SHA-384，SHA-512，其散列值的長度分 別為256,384,512。 o GOST算法，SNEFRU算法等。另外可將標(biāo)準(zhǔn)分組算法通過 級連、迭代也能構(gòu)造出優(yōu)秀的Hash算法。 指明文或密鑰的少量變化會引起密文的很大變化指明文或密鑰的少量變化會引起密文的很大變化. 對于對于Hash碼，雪崩效應(yīng)是指少量

12、消息位的變化會碼，雪崩效應(yīng)是指少量消息位的變化會 引起信息摘要的許多位變化。引起信息摘要的許多位變化。 3.1.3消息認(rèn)證碼消息認(rèn)證碼 o 消息認(rèn)證碼（MAC，Messages Authentication Codes）， 是與密鑰相關(guān)的的單向Hash函數(shù)，也稱為消息鑒別碼 或是消息校驗和。MAC與單向Hash函數(shù)一樣，但是還 包括一個密鑰。 o 不同的密鑰會產(chǎn)生不同的散列值，這樣就能在驗證發(fā)送 者的消息是否被篡改的同時，驗證是由誰發(fā)送的。 o MAC既可以用于用戶之間鑒別文件，也可以用于單個用 戶鑒定其文件是否被篡改。 o 將單向Hash函數(shù)變成MAC的一個簡單的辦法是用對稱 算法加密Has

13、h值。相反將MAC變成單向Hash函數(shù)則只 需將密鑰公開。 消息認(rèn)證碼的實現(xiàn)示意圖消息認(rèn)證碼的實現(xiàn)示意圖 哈希函數(shù)的應(yīng)用哈希函數(shù)的應(yīng)用 o消息認(rèn)證 o數(shù)字簽名 o口令的安全性 o文件的完整性 o密碼協(xié)議的應(yīng)用 o 在網(wǎng)絡(luò)通信和電子商務(wù)中很容易發(fā)生如下問題。在網(wǎng)絡(luò)通信和電子商務(wù)中很容易發(fā)生如下問題。 1否認(rèn)，發(fā)送信息的一方不承認(rèn)自己發(fā)送過否認(rèn)，發(fā)送信息的一方不承認(rèn)自己發(fā)送過 某一信息。某一信息。 2偽造，接收方偽造一份文件，并聲稱它來偽造，接收方偽造一份文件，并聲稱它來 自某發(fā)送方的。自某發(fā)送方的。 3冒充，網(wǎng)絡(luò)上的某個用戶冒充另一個用戶冒充，網(wǎng)絡(luò)上的某個用戶冒充另一個用戶 接收或發(fā)送信息。接收

14、或發(fā)送信息。 4篡改，信息在網(wǎng)絡(luò)傳輸過程中已被篡改，篡改，信息在網(wǎng)絡(luò)傳輸過程中已被篡改， 或接收方對收到的信息進行篡改或接收方對收到的信息進行篡改 用數(shù)字簽名（用數(shù)字簽名（Digital SignatureDigital Signature）可以有效地解決這些問題。）可以有效地解決這些問題。 數(shù)字簽名就是主要用于對數(shù)字信息進行的簽名，以防止信息數(shù)字簽名就是主要用于對數(shù)字信息進行的簽名，以防止信息 被偽造或篡改等。被偽造或篡改等。 3.2 數(shù)字簽名技術(shù)數(shù)字簽名技術(shù) o 3.2.1 數(shù)字簽名的基本概念數(shù)字簽名的基本概念 o 3.2.2 常用的數(shù)字簽名體制常用的數(shù)字簽名體制 o 3.2.3 盲簽名和

15、群簽名盲簽名和群簽名 3.2.1 數(shù)字簽名的基本概念 o 數(shù)字簽名在信息安全，包括身份認(rèn)證、數(shù)據(jù) 完整性、不可否認(rèn)性以及匿名性等方面有重 要應(yīng)用，特別是在大型網(wǎng)絡(luò)安全通信中的密 鑰分配、認(rèn)證及電子商務(wù)系統(tǒng)中具有重要作 用。數(shù)字簽名是實現(xiàn)認(rèn)證的重要工具。 1、數(shù)字簽名與手寫簽名的不同、數(shù)字簽名與手寫簽名的不同 o 簽名簽名：手寫簽名是被簽文件的物理組成部分； 數(shù)字簽名是連接到被簽消息上的數(shù)字串?dāng)?shù)字串。 o 傳輸方式傳輸方式：數(shù)字簽名和所簽名的消息能夠在通 信網(wǎng)絡(luò)中傳輸。手寫簽名使用傳統(tǒng)的安全方式 傳輸。 o 驗證驗證：手寫簽名是通過將它與真實的簽名進行 比較來驗證；而數(shù)字簽名是利用已經(jīng)公開的驗

16、證算法來驗證。 o 數(shù)字簽名的復(fù)制是有效的；而手寫簽名的復(fù)制數(shù)字簽名的復(fù)制是有效的；而手寫簽名的復(fù)制 是無效的。是無效的。 o 手寫簽字是模擬的，且因人而異。數(shù)字簽字是0 和1的數(shù)字串，因消息而異。 2 2、數(shù)字簽名的含義、數(shù)字簽名的含義 o 所謂數(shù)字簽名（Digital Signature），也稱電子簽名， 是指附加在某一電子文檔中的一組特定的符號或代碼符號或代碼， 它是利用數(shù)學(xué)方法和密碼算法對該電子文檔進行關(guān)鍵信關(guān)鍵信 息息提取并進行加密加密而形成的，用于標(biāo)識簽發(fā)者的身份以 及簽發(fā)者對電子文檔的認(rèn)可，并能被接收者用來驗證該 電子文檔在傳輸過程中是否被篡改或偽造。 o 聯(lián)合國貿(mào)法會電子簽名示

17、范法定義為： “在數(shù)據(jù)電文中以電子形式所含、所附或在邏輯上與數(shù) 據(jù)電文有聯(lián)系的數(shù)據(jù)，它可用于鑒別與數(shù)據(jù)電文相 關(guān)的簽名人和表明簽名人認(rèn)可數(shù)據(jù)電文所含信息?！?o 數(shù)字簽名應(yīng)該能夠在數(shù)據(jù)通信過程中識別通信雙方的真 實身份，保證通信的真實性以及不可抵賴性，起到與手 寫簽名或者蓋章同等作用。 3 3、數(shù)字簽名的特性、數(shù)字簽名的特性（ 1/2 1/2 ） o 簽名是可信的簽名是可信的：任何人都可以方便地驗證簽名 的有效性。 o 簽名是不可偽造的簽名是不可偽造的：除了合法的簽名者之外， 任何其他人偽造其簽名是困難的。這種困難性 指實現(xiàn)時計算上是不可行的。 o 簽名是不可復(fù)制的簽名是不可復(fù)制的：對一個消息

18、的簽名不能通 過復(fù)制變?yōu)榱硪粋€消息的簽名。如果一個消息 的簽名是從別處復(fù)制的，則任何人都可以發(fā)現(xiàn) 消息與簽名之間的不一致性，從而可以拒絕簽 名的消息。 同一消息不同時刻其簽名是有區(qū) 別的 3 3、數(shù)字簽名的特性（、數(shù)字簽名的特性（2/22/2） o 簽名的消息是不可改變的簽名的消息是不可改變的：經(jīng)簽名的消息 不能被篡改。一旦簽名的消息被篡改，則 任何人都可以發(fā)現(xiàn)消息與簽名之間的不一 致性。 o 簽名是不可抵賴的簽名是不可抵賴的：簽名者不能否認(rèn)自己 的簽名。出現(xiàn)爭議時，第三方可解決爭端； 4 4、數(shù)字簽名技術(shù)的功能、數(shù)字簽名技術(shù)的功能 o 數(shù)字簽名可以解決否認(rèn)、偽造、篡改及冒充 等問題，具體要求

19、為： n 發(fā)送者事后不能否認(rèn)發(fā)送的報文簽名 n 接收者能夠核實發(fā)送者發(fā)送的報文簽名、 接收者不能偽造發(fā)送者的報文簽名、接收 者不能對發(fā)送者的報文進行部分篡改 n 網(wǎng)絡(luò)中的某一用戶不能冒充另一用戶作為 發(fā)送者或接收者。 5、數(shù)字簽名方案的組成、數(shù)字簽名方案的組成 數(shù)字簽名方案是由五元組組成的，數(shù)字簽名方案是由五元組組成的， 即即M,S,K,Sig,Ver M:明文空間；明文空間； S:簽名空間；簽名空間； K:密鑰空間；密鑰空間； Sig:簽名算法；簽名算法； Ver:驗證算法；驗證算法； 6、數(shù)字簽名原理、數(shù)字簽名原理 消息 Hash函數(shù) 消息摘要 發(fā)方A 相等？ 收方B 加密算法 私鑰A 簽

20、名 消息 加密的 消息摘要 簽名 消息 Hash函數(shù) 消息摘要 解密算法 公鑰A 簽名有效 y 簽名無效 n 7 7、數(shù)字簽名的實現(xiàn)方法、數(shù)字簽名的實現(xiàn)方法 o 用對稱加密算法進行數(shù)字簽名 o 用非對稱加密算法進行數(shù)字簽名 用對稱加密算法進行數(shù)字簽名（用對稱加密算法進行數(shù)字簽名（HashHash簽名簽名 ） o 該簽名不屬于強計算密集型算法，應(yīng)用較廣泛 o 使用這種較快Hash算法,可以降低服務(wù)器資源 的消耗,減輕中央服務(wù)器的負(fù)荷 o Hash的主要局限是接收方必須持有用戶密鑰 的副本以檢驗簽名, 因為雙方都知道生成簽名 的密鑰，較容易攻破，存在偽造簽名的可能 用非對稱加密算法進行數(shù)字簽名和驗

21、證用非對稱加密算法進行數(shù)字簽名和驗證 1 發(fā)送方首先用公開的單向函數(shù)對報文進行一次變換， 得到數(shù)字簽名，然后利用私有密鑰對數(shù)字簽名進行加密 后附在報文之后一同發(fā)出。 2 接收方用發(fā)送方的公開密鑰對數(shù)字簽名進行解密變換， 得到一個數(shù)字簽名的明文。發(fā)送方的公鑰是由一個可信 賴的技術(shù)管理機構(gòu)即驗證機構(gòu)（CA: Certification Authority）發(fā)布的。 3 接收方將得到的明文通過單向函數(shù)進行計算，同樣得 到一個數(shù)字簽名，再將兩個數(shù)字簽名進行對比，如果相 同，則證明簽名有效，否則無效。 3.2.23.2.2常用的數(shù)字簽名體制常用的數(shù)字簽名體制 o 用非對稱加密算法實現(xiàn)的數(shù)字簽名技 術(shù)最常

22、用的是DSS和RSA簽名,下面分別 做簡單介紹： 1.RSA數(shù)字簽名 2.DSS數(shù)字簽名 1、RSA數(shù)字?jǐn)?shù)字簽名方案簽名方案 o 簽名算法 n 1.利用一個安全的Hash函數(shù)h來產(chǎn)生消息摘 要h(m)。 n 2.用簽名算法計算簽名s=Sigk(m)=h(m)d mod n。 o 驗證算法 n 1.首先利用一個安全的Hash函數(shù)h計算消息 摘要h(m)。 n 2.用檢驗等式h(m) mod n=se mod n 是 否成立，若相等簽名有效，否則，簽名無效。 RSA數(shù)字簽名流程圖數(shù)字簽名流程圖 o 初始化： n 假設(shè)A選取p = 13，q = 11，e = 13，則有n = pq = 143，(n

23、) = (p-1)(q-1) = 1210 = 120。求解ed = 13d 1(mod 120) 得d = 37。 因此A的公鑰為（n = 143,e = 13）；私鑰為d = 37。 o 簽名過程： n 假定消息m的Hash值h(m) = 16，則計算m簽名s = h(m)d mod n =1637 mod 143 = 3。 o 驗證過程： n 接受者B收到簽名后，計算se mod n = 313 mod 143 = 16，h(m) modn = 16 mod 143 = 16，等式h(m) mod n = se mod n成立，因此， B驗證此簽名有效。 RSA數(shù)字簽名方案(舉例) 安全

24、性分析 顯然，由于只有簽名者知道 d，由RSA體制知道，其他 人不能偽造簽名，但可易于證實所給任意M,S對，其是否為 消息M和相應(yīng)簽名構(gòu)成的合法對。RSA簽名過程下圖3.1。 DSS數(shù)字?jǐn)?shù)字簽名方案簽名方案 o Digital Signature Algorithm(DSA)是 Schnorr和ElGamal簽名算法的變種，被美國 NIST作為DSS(Digital SignatureStandard) 數(shù)字簽名標(biāo)準(zhǔn)。 o DSS是由美國國家標(biāo)準(zhǔn)化研究院和國家安全局 共同開發(fā)的。由于它是由美國政府頒布實施的， 主要用于與美國政府做生意的公司，其他公司 則較少使用，它只是一個簽名系統(tǒng)，而且美國

25、政府不提倡使用任何削弱政府竊聽能力的加密 軟件，認(rèn)為這才符合美國的國家利益。 3.2.3盲簽名和群簽名盲簽名和群簽名 這一部分介紹兩種特殊的簽名方法: 一、盲簽名 二、群簽名 1.盲簽名盲簽名 o 一般的數(shù)字簽名中，總是要先知道了文件內(nèi) 容后才簽署，但有時需要對一個文件簽字， 而且不想讓簽名者知道文件的內(nèi)容，稱這樣 的簽名為盲簽名（Blind Signature）。在在 無記名投票無記名投票選舉和選舉和數(shù)字貨幣數(shù)字貨幣系統(tǒng)中往往需要系統(tǒng)中往往需要 這種盲簽名。這種盲簽名。 o 利用盲變換可以實現(xiàn)盲簽名 盲簽名與普通簽名相比有兩個顯著的特點：盲簽名與普通簽名相比有兩個顯著的特點： 簽名者不知道所

26、簽署的數(shù)據(jù)內(nèi)容簽名者不知道所簽署的數(shù)據(jù)內(nèi)容； 在簽名被接收者泄露后，簽名者不能追在簽名被接收者泄露后，簽名者不能追 蹤簽名。蹤簽名。即：如果把簽名的數(shù)據(jù)給簽名即：如果把簽名的數(shù)據(jù)給簽名 者看，他確信是自己的簽名，但他無法者看，他確信是自己的簽名，但他無法 知道什么時候?qū)κ裁礃拥拿?shù)據(jù)施加簽知道什么時候?qū)κ裁礃拥拿?shù)據(jù)施加簽 名而得到此簽名數(shù)據(jù)。名而得到此簽名數(shù)據(jù)。 （1 1）盲簽名）盲簽名之之完全盲簽名完全盲簽名 o 現(xiàn)在假設(shè)B擔(dān)任仲裁人的角色，A要求 B簽署一個文件，但并不想讓他知道文 件的內(nèi)容，而且B也沒必要知道文件的 內(nèi)容，他只需要確保在需要時能進行 公正的仲裁。 完全盲簽名的具體過程完

27、全盲簽名的具體過程 1)盲變換 A將要進行簽名的文件和一個隨機數(shù)相乘，該 隨機數(shù)稱為盲因子。這實際完成了原文件的 隱藏。隱藏完的文件被稱為盲文件。 2) A將該盲文件送給B. 3)簽名. B對該盲文件簽名。 4)解盲變換 A對簽過字的盲文件除以用到的盲因子，就得 到B對原文件的簽名. 完全盲簽名的特點完全盲簽名的特點 o 首先B對文件的簽名是合法的，和傳統(tǒng) 的簽名具有相同的屬性。 o B不能將所簽文件與實際文件聯(lián)系起來， 即使他保存所有曾簽過的文件，也不 能獲得所簽文件的真實內(nèi)容。 （2 2）盲簽名之）盲簽名之盲簽名盲簽名 o 完全盲簽名可以使A令B簽任何內(nèi)容的 文件，這對B顯然是很危險的.

28、o 為了避免惡意的使用，采用“分割 選擇”技術(shù) o B能知道所簽為何物，但他因為協(xié)議規(guī) 定的限制條件，無法進行對自己有利 的欺詐，或者說進行欺詐所需代價超 過其獲利。 (3)盲簽名在電子選舉中的應(yīng)用盲簽名在電子選舉中的應(yīng)用 o 設(shè)選民設(shè)選民B不想讓選舉管理中心不想讓選舉管理中心A知道其選票知道其選票 的內(nèi)容，但選票又必須經(jīng)過管理中心的內(nèi)容，但選票又必須經(jīng)過管理中心A簽名簽名 以確認(rèn)身份后才能有效。因此，選民以確認(rèn)身份后才能有效。因此，選民B填好填好 選票選票v后，對選票后，對選票v進行盲變換進行盲變換T后得到后得到T(v)， 然后對其進行簽名得到然后對其進行簽名得到s=SigB(T(v)。B

29、將（將（I(B),T(v),s）發(fā)給）發(fā)給A，其中，其中I(B)是選是選 民民B的身份信息。的身份信息。 o 當(dāng)選舉管理中心當(dāng)選舉管理中心A收到收到B發(fā)出的發(fā)出的 （I(B),T(v),s）后，它要進行檢查：）后，它要進行檢查： o （1）B有無權(quán)力參加選舉，如有無權(quán)力參加選舉，如B無權(quán)參加選無權(quán)參加選 舉，則不對舉，則不對B的選票簽名；否則進行（的選票簽名；否則進行（2）；）； o （2）B是否申請過對選票進行簽名，若已經(jīng)是否申請過對選票進行簽名，若已經(jīng) 申請過，則不對申請過，則不對B的選票簽名；否則進行的選票簽名；否則進行 （3）；）； (3)盲簽名在電子選舉中的應(yīng)用盲簽名在電子選舉中的應(yīng)

30、用 o （3）s=SigB(T(v)是否是選票是否是選票T(v)的的 有效簽名。若不是，則不對有效簽名。若不是，則不對B的選票的選票T(v) 簽名。否則，對簽名。否則，對B的選票簽名進行簽名的選票簽名進行簽名 s=SigA(T(v),并把并把s發(fā)送給選民發(fā)送給選民B。 最后選舉管理中心最后選舉管理中心A宣布獲得宣布獲得B對選票簽對選票簽 名的總?cè)藬?shù)，并公布包括（名的總?cè)藬?shù)，并公布包括（I(B),T(v),s） 的一張表。的一張表。 (3)盲簽名在電子選舉中的應(yīng)用盲簽名在電子選舉中的應(yīng)用 o 投票之前，每個選民都要驗證投票之前，每個選民都要驗證A對其的選對其的選 票簽名是否有效。若無效，票簽名是