第16講 數(shù)字簽名

數(shù)字簽名的基本概念RSA數(shù)字簽名方案DSA數(shù)字簽名方案密碼協(xié)議概述身份證明技術概述第六章數(shù)字簽名與密碼協(xié)議本章重點及難點

主要內容：基于RSA算法的數(shù)字簽名技術，DSS數(shù)字簽名標準、密碼協(xié)議基本概念、身份證明技術重點：DSA數(shù)字簽名標準算法難點：DSA數(shù)字簽名算法、密碼協(xié)議概念密碼學及信息安全的主要任務：保密和認證認證的主要目的：實體認證和消息認證主要認證技術數(shù)字簽名：實現(xiàn)身份認證、數(shù)據(jù)完整性及不可否認性的重要工具雜湊函數(shù)：認證算法的重要組成部分

身份證明：證實或識別實體的身份密碼協(xié)議：密鑰建立協(xié)議、認證建立協(xié)議、認證的密鑰建立協(xié)議(1)表示簽名者對消息的認可;(2)他人可識別和驗證出是誰的簽名;(3)他人無法偽造和更改簽名，即

(A)無法憑空造出一個簽名;(B)對一個文件的簽名不能復制或篡改成對另一個文件的簽名;(4)可仲裁性:出現(xiàn)爭議時第三方可仲裁。一、數(shù)字簽名概述1、手書簽名的目的和作用仲裁的內容:

(1)簽名者是否在抵賴、否認其簽名;(2)簽名是否是偽造的。簽名的實現(xiàn)方式：

就是在原文件上追加一定的筆跡信息，并使二者形成一個整體。對電子文檔的簽名也應達到同樣的目的。（1）簽名應與文件是一個不可分割的整體;

實現(xiàn)：對消息進行某種變換完成簽名；使簽名是報文或待簽名的文件的函數(shù)。（2）簽名者事后不能否認自己的簽名；

實現(xiàn)：簽名是通過發(fā)方所獨有的秘密信息來完成，并且該秘密信息對應惟一公開的驗證信息，使簽名者不能抵賴自己的簽名。2、數(shù)字簽名應滿足的條件（3）接收者能驗證簽名，而任何其他人都不能偽造簽名；

實現(xiàn)：簽名必須與特定的公開信息相對應，使收方能夠驗證；簽名應與簽名者獨有的秘密信息密切相關，使其他人不能偽造。（4）當雙方關于簽名的真?zhèn)伟l(fā)生爭執(zhí)時，一個法官或第三方能解決雙方之間發(fā)生的爭執(zhí)。

實現(xiàn)：簽名對應的驗證密鑰應由可信的第三方確認并公布。當發(fā)生爭執(zhí)時，靠法律解決爭端。

(1)利用特殊的公鑰加密算法實現(xiàn)。

并非所有的公鑰加密算法都能實現(xiàn)數(shù)字簽名，只有滿足

的公鑰密碼算法，才能實現(xiàn)數(shù)字簽名。其中D是脫密算法，E是加密算法。（2）利用專門設計的數(shù)字簽名算法實現(xiàn)。3、數(shù)字簽名方案的分類

設計方法：用戶A將其私鑰kd作為其簽名密鑰,將對應的公鑰ke作為其簽名識別密鑰；用戶A對文件m的簽名過程：

(1)利用簽名密鑰kd對m執(zhí)行脫密變換D，得到簽名;(2)簽名者將文件m及其簽名sign(m)一起公布。

基于公鑰算法設計的數(shù)字簽名仲裁:

與簽名識別過程相同。

利用用戶A的簽名識別密鑰ke對簽名sign(m)執(zhí)行加密變換E,得到若它與m相等，則判斷Sign(m)是用戶A對文件m的簽名；否則，Sign(m)不是用戶A對文件m的簽名。用戶B對簽名的識別過程：

記用戶A的參數(shù)為（NA，eA,dA），用戶B的參數(shù)為（NB，eB,dB），E為加密算法，D為脫密算法。二、RSA數(shù)字簽名方案（一）實現(xiàn)保密通信的RSA算法加密：脫密：A的簽名：驗證：（二）實現(xiàn)數(shù)字簽名的RSA算法由于與eA

相對應的dA是A所獨有，因此c一定來自A，又因為eA是公開的，則m不能保密。將m和c一起發(fā)送，作為簽名（m，c）。（三）RSA簽名與加密的結合由于RSA算法滿足E(D(m))=D(E(m))=m，因此可實現(xiàn)帶有簽名的保密通信。如果要實現(xiàn)帶有簽名的保密通信，只需將兩個用戶的加、脫密變換結合在一起即可。由于在變換過程中用到兩個模數(shù)，為了使逆變換唯一，需區(qū)分兩個模數(shù)的大小（先小后大），具體處理如下。1、當NA<NB時，先簽名，后加密（1）用戶A先用自己的保密密鑰dA對消息m進行簽名，得到：（2）A再用用戶B的公開密鑰eB對簽名y進行加密，得到：然后將既簽名，又加密了的c發(fā)送給用戶B；（3）B收到c后，先進行變換：再用A的公開密鑰作變換：從而驗證簽名來自A。2、當NA>NB時，先加密，后簽名（1）用戶A先用B的公開密鑰eB對消息m進行加密，得到：（2）A再用自己的保密密鑰dA對y進行簽名，得到：然后將既簽名，又加密了的c發(fā)送給用戶B；（3）B收到c后，先進行變換：再用自己的保密密鑰作變換：從而驗證簽名來自A。數(shù)字簽名的一般過程報文報文摘要雜湊函數(shù)對摘要的簽名報文公布簽名者的身份生成一個簽名，并公布恰當信息使第三方能夠驗證簽名。三、數(shù)字簽名標準算法DSA

1991年8月，美國國家標準技術研究所（NIST）提出了DSA(DigitalSignatureAlgorithm)算法，將其與SHA用作數(shù)字簽名標準DSS(DigitalSignatureStandard)。

1994年5月公布DSA算法；1994年12月DSA算法被正式采納為DSS。離散對數(shù)問題：對于等式y(tǒng)=gxmodp給定g，x和p，計算y比較簡單,而給定g，y和p，當p很大時，計算x是計算上不可行的，此問題稱為離散對數(shù)問題。通常用loggy表示x，稱為y的離散對數(shù)。（一）DSA算法的安全性基礎DSA算法的安全性基礎是基于有限域上離散對數(shù)問題的難解性。DSS與RSA的簽字方式比較RSA算法既能用于加密和簽字，又能用于密鑰交換。DSS使用的算法只能提供數(shù)字簽字功能。（二）DSA算法1、DSA參數(shù)選?。?）選取大素數(shù)p；（p是L比特的大素數(shù)，L至少為512比特，并且是64的倍數(shù)）（2）選取素數(shù)q；(q是p-1的一個160比特的素數(shù)因子)（3）選取整數(shù)g=h(p-1)/qmodp;（g>1；其中1<h<p-1）（4）隨機選取整數(shù)x；（0<x<q）（5）計算y=gxmodp；公開參數(shù)：p,q,g；公開密鑰：y；保密密鑰：x設用戶A要對消息m進行簽名，則：（1）A秘密選取一個小于q的隨機數(shù)k；（2）A計算：則其簽名為（r，s）2、簽名過程注：H(m)是算法選定的雜湊函數(shù)，可將任意長的輸入變換為定長的輸出；k-1是kmodq的逆元。（1）收方B計算（2）如果v=r，則B確認(r,s)是A對m的簽名，否則簽名無效。3、驗證過程注：消息m不保密，可以明傳，供對方驗證簽名時使用。（3）可以證明，如果(r,s)是A對m的簽名，則一定有因為則從而其他簽字體制（一）基于離散對數(shù)問題的數(shù)字簽名體制ElGamal簽字體制DSA簽字體制Okamoto簽字體制（二）基于大數(shù)分解問題的數(shù)字簽名體制Fiat-Shamir簽字體制Guillou-Quisquater簽字體制（三）基于身份的數(shù)字簽名體制盲簽名一般數(shù)字簽名中，總是要先知道文件的內容而后簽名。但是有時我們需求某人對一個文件簽字，但又不希望他知道文件的內容，稱這種簽名為盲簽名。群簽名群體密碼學（Group-OrientedCrytography）1987年由Desmedt提出。主要研究面向社團或群體中所有成員需要的密碼體制。在群體密碼學中，有一個公用的公鑰，群體外面的人可以用它向群體發(fā)送加密消息，密文收到后要由群體內部成員的子集共同進行解密。群簽名（GroupSignature）是面向群體密碼學的一個課題，其特點是只有群體中的成員能代表群體簽名；接收到簽名的人可以用公鑰驗證群簽名，但不能知道該簽名是由哪個成員所簽；發(fā)生爭議時可由群體中的成員或TTP識別群簽名的簽名者。所謂協(xié)議（protocol）就是兩個或兩個以上的參與者為完成某項任務所采取的一系列步驟。四、密碼協(xié)議概述三個要素：1）有序性：每一步驟必須依次執(zhí)行。2）兩個或兩個以上參與方3）完成某項任務或實現(xiàn)某種目的（1）參與者都必須了解協(xié)議，事先知道所要完成的步驟；（2）參與者都必須同意并遵循協(xié)議；（3）協(xié)議的每一步都明確定義，不會引起誤解；（4）協(xié)議必須是完整的，對每種可能情