《密碼學》06 數字簽名

密碼學第六章數字簽名數字簽名概述1RSA數字簽名方案2數字簽名標準算法DSA3第六章數字簽名

(1)表示簽名者對消息的認可;(2)他人可識別和驗證出是誰的簽名;(3)他人無法偽造和更改簽名，即

(A)無法憑空造出一個簽名;(B)對一個文件的簽名不能復制或篡改成對另一個文件的簽名;(4)可仲裁性:出現爭議時第三方可仲裁。1、手書簽名的目的和作用一、數字簽名概述仲裁的內容:

(1)簽名者是否在抵賴，否認簽名;(2)驗證者是否在欺詐，偽造簽名。簽名的實現方式：

就是在原文件上追加一定的筆跡信息，并使二者形成一個整體。對電子文檔的簽名也應達到同樣的目的。一、數字簽名概述

數字簽名是使以數字形式存儲的文件信息經過特定密碼變換生成數據，作為相應文件的簽名，使文件信息的接收者能夠驗證信息確實來自合法用戶，以及確認信息發(fā)送者身份。2、數字簽名的簡單定義形象地說：它通常是跟隨在正文數據后的“尾巴”，別人可以通過“尾巴”證明這段正文確實是作者的“原著”，卻創(chuàng)造不出和作者相同的“作品”，而作者不能抵賴，說那段正文不是他的著作。一、數字簽名概述（1）簽名應與文件是一個不可分割的整體;

實現：對消息進行某種變換完成簽名；使簽名是報文或待簽名的文件的函數。（2）簽名者事后不能否認自己的簽名；

實現：簽名是通過發(fā)方所獨有的秘密信息來完成，并且該秘密信息對應惟一公開的驗證信息，使簽名者不能抵賴自己的簽名。3、數字簽名應滿足的條件一、數字簽名概述（3）接收者能驗證簽名，而任何其他人都不能偽造簽名；

實現：簽名必須與特定的公開信息相對應，使收方能夠驗證；簽名應與簽名者獨有的秘密信息密切相關，使其他人不能偽造。（4）當雙方關于簽名的真?zhèn)伟l(fā)生爭執(zhí)時，一個法官或第三方能解決雙方之間發(fā)生的爭執(zhí)。

實現：簽名對應的驗證密鑰應由可信的第三方確認并公布。當發(fā)生爭執(zhí)時，靠法律解決爭端。

一、數字簽名概述(1)

簽名實現：對消息進行某種變換完成簽名;

(2)

識別和驗證:

利用簽名者的公開信息(簽名識別密鑰)和文件的公開性;

(3)簽名不能偽造:

簽名應與簽名者獨有的秘密信息(簽名密鑰)密切相關;

(4)

可仲裁性:靠法律解決爭端。簽名者的簽名識別密鑰應由可信的第三方確認并公布。法律介入：在發(fā)證中心和認證中心(仲裁中心)認可、參與下解決爭端。4、如何達到簽名的目的一、數字簽名概述

(1)利用特殊的公鑰密碼算法實現。

并非所有的公鑰密碼算法都能實現數字簽名，只有滿足

的公鑰密碼算法，才能實現數字簽名。其中D是脫密算法，E是加密算法。（2）利用專門設計的數字簽名算法實現。5、數字簽名方案的分類一、數字簽名概述

設計方法：用戶A將其私鑰kd作為其簽名密鑰,將對應的公鑰ke作為其簽名識別密鑰；

用戶A對文件m的簽名過程：

(1)利用簽名密鑰kd對m執(zhí)行脫密變換D，得到簽名;(2)簽名者將文件m及其簽名sign(m)一起公布。

基于公鑰算法設計的數字簽名一、數字簽名概述仲裁:

與簽名識別過程相同。

利用用戶A的簽名識別密鑰ke對簽名sign(m)執(zhí)行加密變換E,得到若它與m相等，則判斷Sign(m)是用戶A對文件m的簽名；否則，Sign(m)不是用戶A對文件m的簽名。用戶B對簽名的驗證過程：一、數字簽名概述

記用戶A的參數為（NA，eA,dA），用戶B的參數為（NB，eB,dB），E為加密算法，D為脫密算法。RSA數字簽名方案（一）實現保密通信的RSA算法加密：脫密：二、RSA數字簽名方案A的簽名：驗證：（二）實現數字簽名的RSA算法由于與eA

相對應的dA是A所獨有，因此c一定來自A，又因為eA是公開的，則m不能保密。將m和c一起發(fā)送，作為簽名（m，c）。二、RSA數字簽名方案（三）RSA簽名與加密的結合

如果要實現帶有簽名的保密通信，只需將兩個用戶的加、脫密變換結合在一起即可。由于在變換過程中用到兩個模數，為了使逆變換唯一，需區(qū)分兩個模數的大小，具體處理如下：由于RSA算法滿足E(D(m))=D(E(m))=m，因此可實現帶有簽名的保密通信。二、RSA數字簽名方案1、當NA<NB時，先簽名，后加密（1）用戶A先用自己的保密密鑰dA對消息m進行簽名，得到：（2）A再用用戶B的公開密鑰eB對簽名y進行加密，得到：然后將既簽名，又加密了的c發(fā)送給用戶B；（3）B收到c后，先進行變換：再用A的公開密鑰作變換：從而驗證簽名來自A。二、RSA數字簽名方案2、當NA>NB時，先加密，后簽名（1）用戶A先用B的公開密鑰eB對消息m進行加密，得到：（2）A再用自己的保密密鑰dA對y進行簽名，得到：然后將既簽名，又加密了的c發(fā)送給用戶B；（3）B收到c后，先進行變換：再用自己的保密密鑰作變換：從而驗證簽名來自A。二、RSA數字簽名方案

解:因為NA＝39

<55

＝

NB

，所以對消息

m=6

應該先簽名，后加密。此時NA＝pA×qA

＝3×13＝39，eA＝5，因此例:設用戶A，B要應用RSA進行簽名加密，用戶A的公開密鑰為(39，5)，用戶B的公開密鑰為(55,7)，求用戶A向用戶B傳送的對消息m=6的保密簽名。eA＝5與互素，故可解模方程，二、RSA數字簽名方案利用擴展的歐幾里德算法計算12

＝

5×2+25

＝

2×2+11＝

5

-2×22＝

12

-5×21

＝

5

-2×(

12

-5×2)＝

5

×

5

-

12

×2可得，即dA＝5，二、RSA數字簽名方案第一步，用戶A先用自己的保密密鑰dA

＝5對消息m=6進行簽名，得到：第二步，用戶A

再用用戶

B

的公開密鑰

eB

＝7

對簽名

15

進行加密，得到：所以用戶A向用戶B傳送的對消息m=6的保密簽名為5二、RSA數字簽名方案3、仲裁問題當A、B之間因A的簽名的真實性問題發(fā)生爭執(zhí)時，可通過可信的第三方S，用如下方法解決。（1）當NA<NB時（c=EB(

DA(m)）B向S提供：m和x=DB(c)；實際上DB(c)=DA(m)S計算EA(x)記為m1；若m=m1，則簽名來自A，否則簽名是偽造的。二、RSA數字簽名方案（2）當NA>NB時（c=DA(EB(m))）B向S提供：m和c=DA(EB(m))；S計算EB(m)=x；

計算EA(c)=x1;(實際上EA(c)=EB(m))若x=x1，則簽名來自A，否則簽名是偽造的。二、RSA數字簽名方案(1)利用用戶A的簽名識別密鑰ke，任意給定y,任何人都可計算出：x=yemodn，因而可以偽造對消息x的簽名y。注意:文件x是哪個值，偽造者無法控制。雖然可偽造（文件—簽名）對，但這里的文件x可能是毫無意義的隨機數。第三者無法偽造出想要的文件的簽名。

（四）RSA數字簽名的缺點二、RSA數字簽名方案(2)如果用戶A對文件x1和文件x2的簽名分別為y1和y2,由于(x1x2)dmodn=[(x1dmodn)(x2dmodn)]modn故任何第三方知道x1,x2,y1,y2，都可偽造出用戶A對文件x1x2modn的簽名y1y2modn。注意:

文件x1x2modn

是哪個值偽造者無法控制。二、RSA數字簽名方案(3)對長文件的簽名若采取電碼本方式逐塊簽名,則(A)簽名變長,簽名速度慢;(B)會遭遇替換攻擊（重新組合和替換文件塊）。

解決方案:

先將文件壓縮成一個摘要,再對摘要簽名。二、RSA數字簽名方案數字簽名的一般過程報文報文摘要雜湊函數對摘要的簽名報文公布簽名者的身份生成一個簽名，并公布恰當信息使第三方能夠驗證簽名。二、RSA數字簽名方案

1991年8月，美國國家標準技術研究所（NIST）提出了DSA(DigitalSignatureAlgorithm)，將其用作數字簽名標準DSS(DigitalSignatureStandard)。

1994年5月公布DSA算法；1994年12月DSA算法被正式采納。三、數字簽名標準算法DSA（一）DSA算法的安全性基礎：有限域上離散對數問題的難解性。三、數字簽名標準算法DSA（二）DSA算法1、DSA參數選取（1）選取大素數p；（p是L比特的大素數，L至少為512比特，并且是64的倍數）（2）選取素數q；(q是p-1的一個160比特的素數因子)三、數字簽名標準算法DSA（3）選取整數g=h(p-1)/qmodp;（g>1；其中1<h<p-1）（4）隨機選取整數x；（0<x<q）（5）計算y=gxmodp；公開參數：p,q,g；公開密鑰：y；保密密鑰：x三、數字簽名標準算法DSA設用戶A要對消息m進行簽名，則：（1）A秘密選取一個小于q的隨機數k；（2）A計算：則其簽名為（r，s）2、簽名過程注：H(m)是算法選定的雜湊函數，可將任意長的輸入變換為定長的輸出；k-1是kmodq的逆元。三、數字簽名標準算法DSA（1）收方B計算（2）如果v=r，則B確認(r,s)是A對m的簽名，否則簽名無效。3、驗證過程注