信息技術(shù) 安全技術(shù) 帶附錄的數(shù)字簽名 第1部分：概述 - 政策法規(guī)

GB/T17902.1—2023/ISO/IEC14888-1:2008代替GB/T17902.1—1999信息技術(shù)安全技術(shù)帶附錄的數(shù)字簽名2023-03-17發(fā)布國家市場監(jiān)督管理總局發(fā)布國家標(biāo)準(zhǔn)化管理委員會GB/T17902.1—202前言 Ⅲ 12規(guī)范性引用文件 13術(shù)語和定義 1 35通則 46通用模型 47簽名機(jī)制和雜湊函數(shù)綁定方式的選項 58密鑰生成 59簽名過程 510驗證過程 7附錄A(資料性)關(guān)于雜湊函數(shù)標(biāo)識符 8參考文獻(xiàn) 9I本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則起草。本文件是GB/T17902《信息技術(shù)安全技術(shù)經(jīng)發(fā)布了以下部分：——第1部分：概述； 第2部分：基于身份的機(jī)制：本文件代替GB/T17902.1—1999《信息技術(shù)第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定帶附錄的數(shù)字簽名》的第1部分。GB/T17902已安全技術(shù)帶附錄的數(shù)字簽名第1部分：概——將原“概述”部分調(diào)整至第5章(見第5章，1999年版的第3章);值”“簽名方程”"簽名函數(shù)"及“賦值”等術(shù)語(見1999年版的第4章),增加了“抗碰撞雜湊函號以及“比較”的圖例(見1999年版的第5章),增加了“可選數(shù)據(jù)”的圖例(見4.3),并增加了——增加了“簽名機(jī)制和雜湊函數(shù)的綁定選項”一章，描述了簽名機(jī)制和雜湊函數(shù)綁定的幾類選項(見第7章);——將簽名過程內(nèi)容合并至第9章，并用通用模型，統(tǒng)一描述現(xiàn)有機(jī)制，較原內(nèi)容更具有普適性(見第9章，1999年版的第8章、第9章);——將驗證過程合并至第10章，并更新了通用模型描述現(xiàn)有機(jī)制，較原內(nèi)容更具有普適性(見第10章，1999年版的第9章)。本文件等同采用ISO/IEC14888-1:2008《信息技術(shù)安全技術(shù)帶附錄的數(shù)字簽名第1部分：本文件做了下列最小限度的編輯性改動：——第10章驗證簽名部分增加了注，便于理解。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC260)提出并歸口。本文件起草單位：中國科學(xué)院軟件研究所、成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司、北京數(shù)字認(rèn)證股份有限公司、中國電子技術(shù)標(biāo)準(zhǔn)化研究院、中國信息通信研究院。本文件及其所代替文件的歷次版本發(fā)布情況為：——1999年首次發(fā)布為GB/T17902.1—1999;——本次為第一次修訂。Ⅲ數(shù)字簽名機(jī)制是一類非對稱密碼機(jī)制，被廣泛用于實體鑒別、數(shù)據(jù)來源鑒別、數(shù)據(jù)完整性和抗抵賴服務(wù)。有兩種數(shù)字簽名機(jī)制：——若在驗證過程中，需要消息作為輸入的一部分，則此類機(jī)制稱為“帶附錄的數(shù)字簽名”,附錄計算需要使用雜湊函數(shù)；——若在驗證過程中，披露全部或是部分消息，則此類機(jī)制稱為“帶消息恢復(fù)的數(shù)字簽名”,簽名生成和驗證也會使用到雜湊函數(shù)。帶附錄的數(shù)字簽名在GB/T17902中進(jìn)行了規(guī)范，帶消息恢復(fù)的數(shù)字簽名在ISO10118中進(jìn)行了規(guī)范，雜湊函數(shù)則是在GB/T18238(所有部分)中進(jìn)行了規(guī)范。GB/T17902《信息技術(shù)安全技術(shù)帶附錄的數(shù)字簽名》由三個部分組成?！?部分：概述。目的在于規(guī)范通用的帶附錄數(shù)字簽名的整體框架和通用模型?！?部分：基于身份的機(jī)制。目的在于規(guī)范基于身份的帶附錄數(shù)字簽名機(jī)制?！?部分：基于證書的機(jī)制。目的在于規(guī)范基于證書的數(shù)字簽名機(jī)制。IN信息技術(shù)安全技術(shù)帶附錄的數(shù)字簽名GB/T17902規(guī)定了幾種對任意長度消息進(jìn)行簽名的帶附錄的數(shù)字簽名機(jī)制。本文件包括帶附錄的數(shù)字簽名的一般原理與要求，同時也包括GB/T17902各部分用到的定義與證書和密鑰管理等相關(guān)技術(shù)不在本文件的規(guī)范范圍內(nèi)。更多此類信息見GB/T16264.8—注：計算是否可行依賴于具體的安全需求和環(huán)境。示例：由單一機(jī)構(gòu)或一組采用同一安全策略的機(jī)構(gòu)創(chuàng)建的公鑰證書。對域中所有實體都是公共的且已知或可訪問的數(shù)據(jù)元。1散列碼雜湊函數(shù)輸出的比特串。散列函數(shù)將任意比特串映射到固定長度比特串的函數(shù)，滿足下面兩個特征： 對于給定輸出，找出映射為該輸出的輸入，在計算上是不可行的；——對于給定輸入，找出映射為同一輸出的第二個輸入，在計算上是不可行的。分配給某一實體，用于對其標(biāo)識的數(shù)據(jù)元序列(包括實體的可區(qū)分標(biāo)識符)。密鑰對keypair由一個簽名密鑰和一個驗證密鑰組成的對，即：——簽名密鑰是完全或部分保密的、只由被簽名者使用的數(shù)據(jù)元集合；——驗證密鑰是能夠完全公開、供任何驗證者使用的數(shù)據(jù)元集合。消息message任意長度的比特串。整數(shù)、比特串或雜湊函數(shù)。簽名過程產(chǎn)生的一個或多個數(shù)據(jù)元。簽名過程中實體所特有的且只能由該實體使用的私有數(shù)據(jù)元集合。以消息、簽名密鑰和域參數(shù)作為輸入，給出簽名作為輸出的過程。2由簽名、無法從簽名恢復(fù)的消息部分和一個可選文本字段組成的一組數(shù)據(jù)元。注：在本文件中，整個消息被包含在已簽消息中并且消息的任何部分都不能從簽名中恢復(fù)。驗證密鑰verificationkey在數(shù)學(xué)上與實體的簽名密鑰相關(guān)，并由驗證方在驗證過程中使用的公開數(shù)據(jù)元集合。驗證過程verificationprocess輸入簽名消息、驗證密鑰和域參數(shù)，輸出簽名驗證結(jié)果(有效或無效)的過程。4.1符號下列符號適用于GB/THKMR注：R也被稱為證據(jù)。RSXYZ2雜湊碼隨機(jī)數(shù)發(fā)生器消息簽名的第一部分重新計算的簽名第一部分簽名的第二部分簽名密鑰驗證密鑰域參數(shù)集合簽名AmodN在0到N-1中的唯一整數(shù)B,使得N能整除A—BA=B(modN)在GB/T17902所有部分中的整數(shù)(或位、字節(jié))以最左側(cè)為最高有效位。下列圖例適用于GB/T17902的所有部分。 數(shù)據(jù)過程主過程3可選主過程數(shù)據(jù)流可選數(shù)據(jù)流另一個可選數(shù)據(jù)流兩條數(shù)據(jù)流，其中至少一條是必備的5通則GB/T17902描述的機(jī)制基于非對稱密碼技術(shù)。非對稱數(shù)字簽名機(jī)制由以下三個基本操作組成。a)生成密鑰對的過程，稱為密鑰生成過程。每一個密鑰對都由一個簽名密鑰和對應(yīng)的一個驗證密鑰組成。b)使用簽名密鑰簽名的過程，也被稱為簽名過程：1)對一個給定消息和簽名密鑰，若獲得兩個相同簽名的概率是可忽略的，則稱運(yùn)算是概率2)對一個給定消息和簽名密鑰，生成的所有簽名都相同，則稱運(yùn)算是確定性的。c)使用驗證密鑰驗證簽名的過程，也被稱為驗證過程。驗證一個數(shù)字簽名需要使用簽名者的驗證密鑰。因此，驗證者要能將正確的驗證密鑰與簽名者關(guān)聯(lián)起來，或是要和簽名者的(部分)標(biāo)識數(shù)據(jù)關(guān)聯(lián)起來。這種關(guān)聯(lián)由驗證密鑰自身提供的，稱這種機(jī)制是6通用模型帶附錄的數(shù)字簽名機(jī)制包含以下過程：——密鑰生成過程；——簽名過程；——驗證過程。在簽名過程中，簽名者對一個給定的消息計算數(shù)字簽名。這個數(shù)字簽名和一個可選的文本字段構(gòu)成附錄，附錄附加在消息上形成已簽消息，如圖1所示。消息M消息M根據(jù)實際應(yīng)用，有多種生成附錄并附加在消息上的方法。這些方法能使驗證者將消息和正確簽名關(guān)聯(lián)起來。驗證者在驗證簽名之前，獲得簽名對應(yīng)的正確的簽名驗證密鑰。這對于成功驗證簽名非常重要?？蛇x的文本字段可用于向驗證者傳遞簽名者的標(biāo)識數(shù)據(jù)，或是用于鑒別驗證密鑰信息的數(shù)據(jù)。某些情況下，簽名者的標(biāo)識數(shù)據(jù)可作為消息M的一部分，以獲得簽名的保護(hù)。數(shù)字簽名機(jī)制應(yīng)滿足以下的要求：a)只給定驗證密鑰，而不給定簽名密鑰，產(chǎn)生任一消息的有效簽名在計算上是不可行的；b)簽名者產(chǎn)生的簽名不能用于生成新消息及其對應(yīng)的有效簽名，也不可用來恢復(fù)簽名密鑰；c)找到簽名相同但內(nèi)容不同的兩個消息在計算上是不可行的，即使對簽名者在計算上也是不可4注：計算上的可行性依賴于用戶的具體安全要求和環(huán)境7簽名機(jī)制和雜湊函數(shù)綁定方式的選項使用本文件中的數(shù)字簽名機(jī)制需要選擇一個抗碰撞雜湊函數(shù)。在使用中應(yīng)將雜湊函數(shù)與簽名機(jī)制綁定使用。否則，攻擊者可使用一個弱雜湊函數(shù)(不是實際使用的)偽造簽名。已有一系列方式實現(xiàn)此類綁定。以下方法按照偽造簽名風(fēng)險從低到高排列。a)當(dāng)使用特定簽名機(jī)制時要求使用特定的雜湊函數(shù)。在簽名驗證過程中應(yīng)只使用此雜湊函數(shù)。b)允許使用一套雜湊函數(shù)，在證書的域參數(shù)里明確指定使用的雜湊函數(shù)。在證書管理域內(nèi)，驗證者在簽名驗證過程中只使用證書指定的雜湊函數(shù)進(jìn)行簽名驗證。但是在域外，會因為證書機(jī)構(gòu)不遵循用戶的策略而產(chǎn)生風(fēng)險。例如，域外的證書機(jī)構(gòu)簽發(fā)一個允許使用其他雜湊函數(shù)的證書，簽名偽造的問題可能出現(xiàn)。在這種情況下，一個被誤導(dǎo)的驗證者將無法確定采用何種雜湊函數(shù)進(jìn)行驗證。c)允許使用一組可選的雜湊函數(shù)，并通過除b)之外的方式指定使用哪一個雜湊函數(shù)。例如，通過消息或是雙方協(xié)商指定雜湊函數(shù)。驗證過程應(yīng)只使用由該方式指定的雜湊函數(shù)。然而，存在攻擊者通過使用其他雜湊函數(shù)偽造簽名的風(fēng)險(具體攻擊方法見附錄A)。注：在c)中提及的“除b)之外的方式”包括通過雜湊函數(shù)標(biāo)識符的方式。雜湊函數(shù)標(biāo)識符與雜湊碼拼接成雜湊令牌包含在簽名中。在此方式下，即使驗證者接受的簽名使用了弱雜湊函數(shù)(能夠通過雜湊碼找到對應(yīng)輸入的雜湊函數(shù)),對于不同的消息，攻擊者也不能重用這個簽名。但是，正如參考文獻(xiàn)[9]中所述(見附錄A),使用該類弱雜湊函數(shù)，攻擊者依然能夠通過針對包含此弱雜湊函數(shù)標(biāo)識符的簽名，找到對應(yīng)的消息。數(shù)字簽名機(jī)制的用戶宜綜合考慮不同綁定方式的技術(shù)優(yōu)勢和開銷，進(jìn)行風(fēng)險評估。風(fēng)險評估還宜考慮偽造簽名的開銷。8密鑰生成數(shù)字簽名機(jī)制的密鑰生成過程包括以下兩個步驟：a)生成域參數(shù)；b)生成簽名密鑰和驗證密鑰。第一個步驟只在建立域時執(zhí)行一次。第二個步驟，針對域內(nèi)的每個簽名者分別執(zhí)行，密鑰生成過程的輸出是簽名密鑰X和驗證密鑰Y。對于一組指定的域參數(shù)，避免X的值與之前使用的值相同。注：域參數(shù)和密鑰的有效性驗證不在本文件的規(guī)定范疇內(nèi)。9簽名過程9.1通則簽名過程需要以下數(shù)據(jù)元：——域參數(shù)集合Z;——簽名密鑰X;——消息M;——雜湊函數(shù)標(biāo)識符hid(可選);5——其他文本t(可選)。雜湊函數(shù)的標(biāo)識符能夠用于綁定簽名機(jī)制和雜湊函數(shù)，具體內(nèi)容見第7章。帶附錄的數(shù)字簽名機(jī)制的簽名過程由以下步驟組成：——計算簽名；——構(gòu)建附錄；——構(gòu)建已簽消息。9.2計算簽名該過程的輸入為消息M,簽名密鑰X以及域參數(shù)集合Z。輸出為簽名三，2由第一部分R和第二部分S組成，第二部分是否存在取決于簽名機(jī)制，見圖2。9.3構(gòu)建附錄附錄由簽名和可選文本字段構(gòu)成，記為(2,t)。文本字段可包含一個證書，該證書的作用是用密碼機(jī)制關(guān)聯(lián)驗證密鑰和簽名者的標(biāo)識數(shù)據(jù)。9.4構(gòu)建已簽消息已簽消息由消息M和附錄構(gòu)成，即M,(Z,t)。簽名密鑰X簽名密鑰X計算簽名簽名2E構(gòu)建附錄(2,t)構(gòu)建已簽消息已簽消息文本t消息M圖2簽名過程610驗證過程驗證過程需包含以下數(shù)據(jù)元：——域參數(shù)集合Z;——驗證密鑰Y;——消息M;——標(biāo)識數(shù)據(jù)Id(可選);——使用中的雜湊函數(shù)標(biāo)識符hid[若沒有使用其他方式確定(見第7章)];——其他文本t(可選)。驗證過程的輸入為消息M,域參數(shù)Z,驗證密鑰Y,簽名三以及與簽名機(jī)制對應(yīng)的標(biāo)識數(shù)據(jù)Id。驗證過程的輸出是驗證簽名結(jié)果的布爾值：是(接受)/否(拒絕)。整個過程見圖3。整個驗證過程由以下函數(shù)組合之一構(gòu)成：a)簽名打開、計算雜湊值并比較；b)簽名打開、恢復(fù)消息代表和驗證恢復(fù)的消息代表；c)恢復(fù)證據(jù)、恢復(fù)賦值、重新計算預(yù)簽名、重新計算證據(jù)、驗證證據(jù)。域參數(shù)集合Z域參數(shù)集合ZM標(biāo)識數(shù)據(jù)ld計算驗證函數(shù)是(接受)/否(拒絕)驗證密鑰Y圖3驗證過程7(資料性)關(guān)于雜湊函數(shù)標(biāo)識符如第7章所述，使用GB/T17902中描述的數(shù)字簽名機(jī)制宜選擇抗碰撞雜湊函數(shù)。為保證驗證過GB/T17902允許通過“雜湊令牌”符與一個雜湊碼拼接組成，用于綁定雜湊函數(shù)與數(shù)字簽名機(jī)制。如果雜湊函數(shù)標(biāo)識符通過此類方式包然而，正如在參考文獻(xiàn)[10]中詳細(xì)討論的，如果一個驗證者被欺騙并相信簽名生成時采用了某個處的“弱”的是指雜湊函數(shù)缺乏單向性，即找到一個輸入使其輸出是某個給定的雜湊碼在計算上是可行的。(缺乏單向性的雜湊函數(shù)可能引起的安全風(fēng)險，促使將雜湊函數(shù)標(biāo)識符以雜湊令牌的形式包含在簽在參考文獻(xiàn)[10]中描述了兩類攻擊方法。a)在攻擊者能夠完全控制簽名中的雜湊令牌值的情況下，攻擊者在某個隨機(jī)生成的簽名中嵌入弱雜湊函數(shù)的雜湊函數(shù)標(biāo)識符。攻擊者通過弱雜湊函數(shù)反向計算獲得消息M,從而形成消息M和它的簽名。在此種情況中，即使弱雜湊函數(shù)只是對一部分雜湊碼存在脆弱性，依然有可能偽造該部分雜湊碼對應(yīng)消息的簽名。b)在某些允許使用長雜湊函數(shù)標(biāo)識符的情況下，攻擊者生成一個隨機(jī)簽名并嘗試計算信息代表T(正常情況下，信息代表T是利用驗證密鑰從簽名中計算出的比特串)。如果攻擊者找到一個滿足條件的T,使得T的形式滿足T=Pad||HID||H(其中Pad是一個常量的比特串，HID是隨機(jī)生成的雜湊函數(shù)標(biāo)識符但是在結(jié)構(gòu)上與雜湊函數(shù)標(biāo)識符相同，H是消息輸出的雜湊碼)。攻擊者通過攻擊弱雜湊函數(shù)，從H中反算出某個消息M。當(dāng)Pad的長度不足且簽名機(jī)在此類攻擊中，攻擊成功的前提是攻擊者能夠使驗證者相信簽名使用了某個新隨機(jī)生成但符合語法結(jié)構(gòu)的雜湊函數(shù)標(biāo)識符。湊函數(shù)找到一個對應(yīng)此雜湊碼的消息。由此，攻擊者成功偽造了一個新簽名。因此除了拼接雜湊函數(shù)在GB/T17902中的大多數(shù)的數(shù)字簽名機(jī)制需要在域參數(shù)中指定所使用的雜湊函數(shù)(如第7章a)項中所描述],或者簽名機(jī)制自身指定可供選擇的雜湊函數(shù)(如第7章b)項中所描述]。數(shù)字簽名機(jī)制的使用者宜綜合考慮不同方式的開銷和優(yōu)勢，進(jìn)行風(fēng)險評估。此項評估包含評估偽造簽名的開銷。8[1]GB/T15851.3信息技術(shù)安全技術(shù)帶消息恢復(fù)的數(shù)字簽名方案第3部分：基于離散對數(shù)的機(jī)制(GB/T15851.3—2018,ISO9796-3:2006,MOD)[2]GB/T16264.8—2005信息技術(shù)開放系統(tǒng)互連目錄第8部分：公鑰和屬性證書框架(ISO/IEC9594-8:2001.IDT)[3]GB/T18238(所有部分)信息技術(shù)安全技術(shù)散列函數(shù)[ISO/IEC10118(所有部分)][4]GB/T25069—2022信息安全技術(shù)術(shù)語[5]ISO/IEC9796-2:2010Informationtechnology—Securitytechniques—Digitalsignatureschemesgivingmessagerecovery—Part2:Integerfactorizationbasedmechanisms[6]ISO/IEC9798-3IT