第8章 數(shù)字簽名

第八章

數(shù)字簽名基本概念數(shù)字簽名是認(rèn)證的重要工具為什么需要數(shù)字簽名報(bào)文認(rèn)證用以保護(hù)雙方之間的數(shù)據(jù)交換不被第三方侵犯；但它并不保證雙方自身的相互欺騙。假定A發(fā)送一個(gè)認(rèn)證的信息給B，雙方之間的爭(zhēng)議可能有多種形式：B偽造一個(gè)不同的消息，但聲稱是從A收到的。A可以否認(rèn)發(fā)過該消息，B無法證明A確實(shí)發(fā)了該消息數(shù)字簽名的特性

數(shù)字簽名實(shí)際上是一個(gè)把數(shù)字形式的消息和某個(gè)源發(fā)實(shí)體相聯(lián)系的數(shù)據(jù)串，把它附加在一個(gè)消息或完全加密的消息上，以便于消息的接收方能夠鑒別消息的內(nèi)容，并證明消息只能源發(fā)于所聲稱的發(fā)送方。數(shù)字簽名滿足的條件數(shù)字簽名的目的是保證信息的完整性和真實(shí)性，即消息內(nèi)容沒有被篡改，而且簽名也沒有被篡改，消息只能始發(fā)于所聲稱的發(fā)方。一個(gè)完善的簽名方案應(yīng)滿足以下三個(gè)條件：

①簽名者事后不能否認(rèn)或抵賴自己的簽名。

②其他任何人均不能偽造簽名，也不能對(duì)接收或發(fā)送的信息進(jìn)行篡改、偽造和冒充。

③若當(dāng)事雙方對(duì)簽名真?zhèn)伟l(fā)生爭(zhēng)執(zhí)時(shí)，能夠在公正的仲裁者面前通過驗(yàn)證簽名來確定其真?zhèn)?。?shù)字簽名的設(shè)計(jì)要求簽名必須是依賴于被簽名信息的比特模式；簽名必須使用某些對(duì)發(fā)送者是唯一的信息，以防止雙方的偽造與否認(rèn)；必須相對(duì)容易生成該數(shù)字簽名；必須相對(duì)容易識(shí)別和驗(yàn)證該數(shù)字簽名；偽造該數(shù)字簽名在計(jì)算復(fù)雜性意義上具有不可行性，既包括對(duì)一個(gè)已有的數(shù)字簽名構(gòu)造新的消息，也包括對(duì)一個(gè)給定消息偽造一個(gè)數(shù)字簽名；在存儲(chǔ)器中保存一個(gè)數(shù)字簽名備份是現(xiàn)實(shí)可行的。數(shù)字簽名方案的描述一個(gè)數(shù)字簽名方案由兩部分組成：帶有陷門的數(shù)字簽名算法（SignatureAlgorithm）和驗(yàn)證算法（VerificationAlgorithm）。數(shù)字簽名方案的定義是：設(shè)M是消息的有限集合，S是簽名的有限集合，K是密鑰的有限集合，則數(shù)字簽名算法是一個(gè)映射：

sig：M×K→S，s＝sigk(m)驗(yàn)證算法也是一個(gè)映射：五元組{M，S，K，sig，ver}就稱為一個(gè)簽名算法。

數(shù)字簽名的應(yīng)用歸納起來，一個(gè)數(shù)字簽名方案的應(yīng)用一般包括三個(gè)過程：（1）系統(tǒng)初始化過程：產(chǎn)生數(shù)字簽名方案中用到的所有系統(tǒng)和用戶參數(shù)，有公開的，也有秘密的。（2）簽名產(chǎn)生過程：在此過程用戶利用給定的簽名算法和參數(shù)對(duì)消息產(chǎn)生簽名，這種簽名過程可以公開也可以不公開，但一定包含僅簽名者才擁有的秘密信息（簽名密鑰）。（3）簽名驗(yàn)證過程：驗(yàn)證者利用公開的驗(yàn)證方法和參數(shù)對(duì)給定消息的簽名進(jìn)行驗(yàn)證，得出簽名的有效性。兩類數(shù)字簽名函數(shù)數(shù)字簽名的執(zhí)行方式有兩類：直接數(shù)字簽名方式和具有仲裁的數(shù)字簽名方。直接數(shù)字簽名直接方式是指數(shù)字簽名的執(zhí)行過程只有通信雙方參與，并假定雙方有共享的秘密密鑰，或者接收一方知道發(fā)方的公開密鑰。直接數(shù)字簽名有一些共同的缺點(diǎn)：方案的有效性依賴于發(fā)送方秘密密鑰的安全性。直接數(shù)字簽名(1)A

B:M||ESKa[H(M)]，提供了認(rèn)證與簽名：只有A具有SKa進(jìn)行加密;傳輸中無法被篡改；任何第三方可以用PKa

驗(yàn)證簽名直接數(shù)字簽名(1’)A

B:EKUb[M||ESKa[H(M)]]， 提供了：1.保密性，利用KUb2.認(rèn)證與簽名，利用KRa

先簽名在加密vs先加密在簽名?直接數(shù)字簽名的缺點(diǎn)驗(yàn)證模式依賴于發(fā)送方的保密密鑰；發(fā)送方要抵賴發(fā)送某一消息時(shí)，可能會(huì)聲稱其私有密鑰丟失或被竊，從而他人偽造了他的簽名。通常需要采用與私有密鑰安全性相關(guān)的行政管理控制手段來制止或至少是削弱這種情況，但威脅在某種程度上依然存在。改進(jìn)的方式例如可以要求被簽名的信息包含一個(gè)時(shí)間戳（日期與時(shí)間），并要求將已暴露的密鑰報(bào)告給一個(gè)授權(quán)中心。如X的私有密鑰確實(shí)在時(shí)間T被竊取，敵方可以偽造X的簽名并附上早于或等于時(shí)間T的時(shí)間戳。仲裁數(shù)字簽名具有仲裁的數(shù)字簽名是在通信雙方的基礎(chǔ)上引入了第三方仲裁者參與。通常的做法是所有從發(fā)送方X到接收方Y(jié)的簽名消息首先送到仲裁者A，A將消息及其簽名進(jìn)行一系列測(cè)試，以檢查其來源和內(nèi)容，然后將消息加上日期并與已被仲裁者驗(yàn)證通過的指示一起發(fā)給Y。仲裁者在這一類簽名模式中扮演極敏感和關(guān)鍵的角色，所以要求：所有的參與者必須極大地相信這一仲裁機(jī)制工作正常。（trustedsystem）仲裁數(shù)字簽名技術(shù)對(duì)稱加密，仲裁者可以看到消息內(nèi)容。該方案的前提是每個(gè)用戶都有與仲裁者共享的秘密密鑰簽名過程如下：1)XA：M||EKxa[IDx||H(M)]2)AY：EKay[IDx||M||EKxa[IDx||H(M)]||T]X與A之間共享密鑰Kxa，Y與A之間共享密鑰Kay方案必須要求：(1)發(fā)送者X必須確信仲裁者A不會(huì)泄露Kxa，也不會(huì)產(chǎn)生虛假的數(shù)字簽名；(2)接收方Y(jié)必須確信仲裁者A只有在散列碼正確且發(fā)送方X的數(shù)字簽名被證實(shí)的情況下才發(fā)送；(3)通信雙方必須確信仲裁者A能公平的解決爭(zhēng)端。解決糾紛：Y：向A發(fā)送EKay[IDx||M||EKxa[IDx||H(M)]]

A：用Kay恢復(fù)IDx，M，和簽名（EKxa[IDx||H(M)]），然后用Kxa解密簽名并驗(yàn)證Hash值.仲裁數(shù)字簽名在這種模式下Y不能直接驗(yàn)證X的簽名，Y認(rèn)為A的消息已認(rèn)證，只因?yàn)樗鼇碜訟。因此，雙方都需要高度相信A:X必須信任A沒有暴露Kxa，并且沒有生成錯(cuò)誤的簽名EKxa[IDx||H(M)]。Y必須信任A僅當(dāng)散列值正確并且簽名確實(shí)是X產(chǎn)生的情況下才發(fā)送的EKay[IDx||M||EKxa[IDx||H(M)]||T]。雙方都必須信任A處理爭(zhēng)議是公正的。只要A遵循上述要求，則X相信沒有人可以偽造其簽名；Y相信X不能否認(rèn)其簽名。上述情況還隱含著A可以看到X給Y的所有信息，因而所有的竊聽者也能看到。仲裁數(shù)字簽名技術(shù)對(duì)稱加密，仲裁者不能看到消息內(nèi)容。該方案的前提是每個(gè)用戶都有與仲裁者共享的秘密密鑰，而且兩兩用戶間也有共享密鑰。數(shù)字簽名過程如下：(1)XA：IDx||EKxy[M]||EKxa[IDx||H(EKxy[M])](2)AY：EKay[IDx||EKxy[M]||EKxa[IDx||H(EKxy[M])]||T]本方案雖然對(duì)消息M提供了保密性，但是仍存在與方案一相同的問題：(1)仲裁者和發(fā)送方可以合謀來否認(rèn)曾經(jīng)發(fā)送過的消息(2)仲裁者和接收方可以合謀來偽造發(fā)送方發(fā)的簽名。仲裁數(shù)字簽名技術(shù)公鑰加密，仲裁者不能看到消息內(nèi)容。該方案的前提是每個(gè)用戶都能安全獲取仲裁者和其它用戶的公開密鑰。數(shù)字簽名過程如下：(1)XA：IDx||EKRx[IDx||EKUy(EKRx[M])](2)AY：EKRa[IDx||EKUy[EKRx[M]]||T]KRx是用戶X的私鑰，KUy是用戶Y的公鑰。這種內(nèi)部、雙重加密的消息對(duì)A以及對(duì)除Y以外的其它人都是安全的。本模式比上述兩個(gè)模式具有以下好處：1、在通信之前各方之間無須共享任何信息，從而避免了聯(lián)手作弊；2、即使KRx暴露，只要KRa未暴露，不會(huì)有錯(cuò)誤標(biāo)定日期的消息被發(fā)送；3、從X發(fā)送給Y的消息的內(nèi)容對(duì)A和任何其他人是保密的?；赗SA的數(shù)字簽名基于RSA公鑰密碼體制的數(shù)字簽名方案通常稱為RSA數(shù)字簽名方案。RSA數(shù)字簽名體制的基本算法可以表述如下：1.密鑰的生成（與加密系統(tǒng)一樣）

公鑰Pk={e,n};私鑰Sk={d,p,q}。2.簽名過程(用d,n)

用戶A對(duì)消息M∈Zn進(jìn)行簽名，計(jì)算S=Sig(H(M))=H(M)dmodn；并將S附在消息M后作為對(duì)用戶對(duì)消息M的簽名。3.驗(yàn)證過程(用e,n)

給定(M，S)，Ver（M，S）為真，當(dāng)且僅當(dāng)H(M)=Se（modn)成立RSA簽名中注意的問題(1)上述RSA數(shù)字簽名算法采用了對(duì)整個(gè)消息進(jìn)行簽名的方法，由于公開密鑰密碼體制一般速度都比較慢，這樣當(dāng)消息比較長(zhǎng)時(shí)，整個(gè)簽名與驗(yàn)證過程都會(huì)相當(dāng)?shù)穆?2)RSA數(shù)字簽名算法的安全性取決于RSA公開密鑰密碼算法的安全性（基于大整數(shù)分解的困難性）。如果消息M1、M2的簽名分別是S1和S2，則任何知道M1，S1，M2，S2的人都可以偽造對(duì)消息M1M2的簽名S1S2，這是因?yàn)樵赗SA的數(shù)字簽名方案中，

Sig(M1M2)=Sig(M1)Sig(M2)。(4)任何人都可以通過獲取某一用戶的公鑰e，并對(duì)某一Y∈Zn計(jì)算M=Yemodn來偽造該用戶對(duì)隨機(jī)消息M的簽名Y，聲稱Y是該用戶對(duì)消息M的數(shù)字簽名，因?yàn)閟ig(M)=Md

＝(Ye)d

＝Y(jié)modn。

Elgamal數(shù)字簽名方案ElGamal數(shù)字簽名方案是T.ElGamal在1985年發(fā)表關(guān)于ElGamal公開密鑰密碼時(shí)給出的兩個(gè)方案之一。簽名過程如下：(1)系統(tǒng)初始化過程，同加密算法，用來設(shè)置系統(tǒng)公共參數(shù)和用戶的密鑰。公鑰為（p，g，y），私鑰為（x：1≤x＜p－1），其中有y=gxmodp(2)簽名過程,給定消息M，簽名者A將進(jìn)行