第16講 數(shù)字簽名

數(shù)字簽名的基本概念RSA數(shù)字簽名方案DSA數(shù)字簽名方案密碼協(xié)議概述身份證明技術(shù)概述第六章數(shù)字簽名與密碼協(xié)議本章重點(diǎn)及難點(diǎn)

主要內(nèi)容：基于RSA算法的數(shù)字簽名技術(shù)，DSS數(shù)字簽名標(biāo)準(zhǔn)、密碼協(xié)議基本概念、身份證明技術(shù)重點(diǎn)：DSA數(shù)字簽名標(biāo)準(zhǔn)算法難點(diǎn)：DSA數(shù)字簽名算法、密碼協(xié)議概念密碼學(xué)及信息安全的主要任務(wù)：保密和認(rèn)證認(rèn)證的主要目的：實(shí)體認(rèn)證和消息認(rèn)證主要認(rèn)證技術(shù)數(shù)字簽名：實(shí)現(xiàn)身份認(rèn)證、數(shù)據(jù)完整性及不可否認(rèn)性的重要工具雜湊函數(shù)：認(rèn)證算法的重要組成部分

身份證明：證實(shí)或識(shí)別實(shí)體的身份密碼協(xié)議：密鑰建立協(xié)議、認(rèn)證建立協(xié)議、認(rèn)證的密鑰建立協(xié)議(1)表示簽名者對(duì)消息的認(rèn)可;(2)他人可識(shí)別和驗(yàn)證出是誰的簽名;(3)他人無法偽造和更改簽名，即

(A)無法憑空造出一個(gè)簽名;(B)對(duì)一個(gè)文件的簽名不能復(fù)制或篡改成對(duì)另一個(gè)文件的簽名;(4)可仲裁性:出現(xiàn)爭(zhēng)議時(shí)第三方可仲裁。一、數(shù)字簽名概述1、手書簽名的目的和作用仲裁的內(nèi)容:

(1)簽名者是否在抵賴、否認(rèn)其簽名;(2)簽名是否是偽造的。簽名的實(shí)現(xiàn)方式：

就是在原文件上追加一定的筆跡信息，并使二者形成一個(gè)整體。對(duì)電子文檔的簽名也應(yīng)達(dá)到同樣的目的。（1）簽名應(yīng)與文件是一個(gè)不可分割的整體;

實(shí)現(xiàn)：對(duì)消息進(jìn)行某種變換完成簽名；使簽名是報(bào)文或待簽名的文件的函數(shù)。（2）簽名者事后不能否認(rèn)自己的簽名；

實(shí)現(xiàn)：簽名是通過發(fā)方所獨(dú)有的秘密信息來完成，并且該秘密信息對(duì)應(yīng)惟一公開的驗(yàn)證信息，使簽名者不能抵賴自己的簽名。2、數(shù)字簽名應(yīng)滿足的條件（3）接收者能驗(yàn)證簽名，而任何其他人都不能偽造簽名；

實(shí)現(xiàn)：簽名必須與特定的公開信息相對(duì)應(yīng)，使收方能夠驗(yàn)證；簽名應(yīng)與簽名者獨(dú)有的秘密信息密切相關(guān)，使其他人不能偽造。（4）當(dāng)雙方關(guān)于簽名的真?zhèn)伟l(fā)生爭(zhēng)執(zhí)時(shí)，一個(gè)法官或第三方能解決雙方之間發(fā)生的爭(zhēng)執(zhí)。

實(shí)現(xiàn)：簽名對(duì)應(yīng)的驗(yàn)證密鑰應(yīng)由可信的第三方確認(rèn)并公布。當(dāng)發(fā)生爭(zhēng)執(zhí)時(shí)，靠法律解決爭(zhēng)端。

(1)利用特殊的公鑰加密算法實(shí)現(xiàn)。

并非所有的公鑰加密算法都能實(shí)現(xiàn)數(shù)字簽名，只有滿足

的公鑰密碼算法，才能實(shí)現(xiàn)數(shù)字簽名。其中D是脫密算法，E是加密算法。（2）利用專門設(shè)計(jì)的數(shù)字簽名算法實(shí)現(xiàn)。3、數(shù)字簽名方案的分類

設(shè)計(jì)方法：用戶A將其私鑰kd作為其簽名密鑰,將對(duì)應(yīng)的公鑰ke作為其簽名識(shí)別密鑰；用戶A對(duì)文件m的簽名過程：

(1)利用簽名密鑰kd對(duì)m執(zhí)行脫密變換D，得到簽名;(2)簽名者將文件m及其簽名sign(m)一起公布。

基于公鑰算法設(shè)計(jì)的數(shù)字簽名仲裁:

與簽名識(shí)別過程相同。

利用用戶A的簽名識(shí)別密鑰ke對(duì)簽名sign(m)執(zhí)行加密變換E,得到若它與m相等，則判斷Sign(m)是用戶A對(duì)文件m的簽名；否則，Sign(m)不是用戶A對(duì)文件m的簽名。用戶B對(duì)簽名的識(shí)別過程：

記用戶A的參數(shù)為（NA，eA,dA），用戶B的參數(shù)為（NB，eB,dB），E為加密算法，D為脫密算法。二、RSA數(shù)字簽名方案（一）實(shí)現(xiàn)保密通信的RSA算法加密：脫密：A的簽名：驗(yàn)證：（二）實(shí)現(xiàn)數(shù)字簽名的RSA算法由于與eA

相對(duì)應(yīng)的dA是A所獨(dú)有，因此c一定來自A，又因?yàn)閑A是公開的，則m不能保密。將m和c一起發(fā)送，作為簽名（m，c）。（三）RSA簽名與加密的結(jié)合由于RSA算法滿足E(D(m))=D(E(m))=m，因此可實(shí)現(xiàn)帶有簽名的保密通信。如果要實(shí)現(xiàn)帶有簽名的保密通信，只需將兩個(gè)用戶的加、脫密變換結(jié)合在一起即可。由于在變換過程中用到兩個(gè)模數(shù)，為了使逆變換唯一，需區(qū)分兩個(gè)模數(shù)的大小（先小后大），具體處理如下。1、當(dāng)NA<NB時(shí)，先簽名，后加密（1）用戶A先用自己的保密密鑰dA對(duì)消息m進(jìn)行簽名，得到：（2）A再用用戶B的公開密鑰eB對(duì)簽名y進(jìn)行加密，得到：然后將既簽名，又加密了的c發(fā)送給用戶B；（3）B收到c后，先進(jìn)行變換：再用A的公開密鑰作變換：從而驗(yàn)證簽名來自A。2、當(dāng)NA>NB時(shí)，先加密，后簽名（1）用戶A先用B的公開密鑰eB對(duì)消息m進(jìn)行加密，得到：（2）A再用自己的保密密鑰dA對(duì)y進(jìn)行簽名，得到：然后將既簽名，又加密了的c發(fā)送給用戶B；（3）B收到c后，先進(jìn)行變換：再用自己的保密密鑰作變換：從而驗(yàn)證簽名來自A。數(shù)字簽名的一般過程報(bào)文報(bào)文摘要雜湊函數(shù)對(duì)摘要的簽名報(bào)文公布簽名者的身份生成一個(gè)簽名，并公布恰當(dāng)信息使第三方能夠驗(yàn)證簽名。三、數(shù)字簽名標(biāo)準(zhǔn)算法DSA

1991年8月，美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所（NIST）提出了DSA(DigitalSignatureAlgorithm)算法，將其與SHA用作數(shù)字簽名標(biāo)準(zhǔn)DSS(DigitalSignatureStandard)。

1994年5月公布DSA算法；1994年12月DSA算法被正式采納為DSS。離散對(duì)數(shù)問題：對(duì)于等式y(tǒng)=gxmodp給定g，x和p，計(jì)算y比較簡(jiǎn)單,而給定g，y和p，當(dāng)p很大時(shí)，計(jì)算x是計(jì)算上不可行的，此問題稱為離散對(duì)數(shù)問題。通常用loggy表示x，稱為y的離散對(duì)數(shù)。（一）DSA算法的安全性基礎(chǔ)DSA算法的安全性基礎(chǔ)是基于有限域上離散對(duì)數(shù)問題的難解性。DSS與RSA的簽字方式比較RSA算法既能用于加密和簽字，又能用于密鑰交換。DSS使用的算法只能提供數(shù)字簽字功能。（二）DSA算法1、DSA參數(shù)選?。?）選取大素?cái)?shù)p；（p是L比特的大素?cái)?shù)，L至少為512比特，并且是64的倍數(shù)）（2）選取素?cái)?shù)q；(q是p-1的一個(gè)160比特的素?cái)?shù)因子)（3）選取整數(shù)g=h(p-1)/qmodp;（g>1；其中1<h<p-1）（4）隨機(jī)選取整數(shù)x；（0<x<q）（5）計(jì)算y=gxmodp；公開參數(shù)：p,q,g；公開密鑰：y；保密密鑰：x設(shè)用戶A要對(duì)消息m進(jìn)行簽名，則：（1）A秘密選取一個(gè)小于q的隨機(jī)數(shù)k；（2）A計(jì)算：則其簽名為（r，s）2、簽名過程注：H(m)是算法選定的雜湊函數(shù)，可將任意長(zhǎng)的輸入變換為定長(zhǎng)的輸出；k-1是kmodq的逆元。（1）收方B計(jì)算（2）如果v=r，則B確認(rèn)(r,s)是A對(duì)m的簽名，否則簽名無效。3、驗(yàn)證過程注：消息m不保密，可以明傳，供對(duì)方驗(yàn)證簽名時(shí)使用。（3）可以證明，如果(r,s)是A對(duì)m的簽名，則一定有因?yàn)閯t從而其他簽字體制（一）基于離散對(duì)數(shù)問題的數(shù)字簽名體制ElGamal簽字體制DSA簽字體制Okamoto簽字體制（二）基于大數(shù)分解問題的數(shù)字簽名體制Fiat-Shamir簽字體制Guillou-Quisquater簽字體制（三）基于身份的數(shù)字簽名體制盲簽名一般數(shù)字簽名中，總是要先知道文件的內(nèi)容而后簽名。但是有時(shí)我們需求某人對(duì)一個(gè)文件簽字，但又不希望他知道文件的內(nèi)容，稱這種簽名為盲簽名。群簽名群體密碼學(xué)（Group-OrientedCrytography）1987年由Desmedt提出。主要研究面向社團(tuán)或群體中所有成員需要的密碼體制。在群體密碼學(xué)中，有一個(gè)公用的公鑰，群體外面的人可以用它向群體發(fā)送加密消息，密文收到后要由群體內(nèi)部成員的子集共同進(jìn)行解密。群簽名（GroupSignature）是面向群體密碼學(xué)的一個(gè)課題，其特點(diǎn)是只有群體中的成員能代表群體簽名；接收到簽名的人可以用公鑰驗(yàn)證群簽名，但不能知道該簽名是由哪個(gè)成員所簽；發(fā)生爭(zhēng)議時(shí)可由群體中的成員或TTP識(shí)別群簽名的簽名者。所謂協(xié)議（protocol）就是兩個(gè)或兩個(gè)以上的參與者為完成某項(xiàng)任務(wù)所采取的一系列步驟。四、密碼協(xié)議概述三個(gè)要素：1）有序性：每一步驟必須依次執(zhí)行。2）兩個(gè)或兩個(gè)以上參與方3）完成某項(xiàng)任務(wù)或?qū)崿F(xiàn)某種目的（1）參與者都必須了解協(xié)議，事先知道所要完成的步驟；（2）參與者都必須同意并遵循協(xié)議；（3）協(xié)議的每一步都明確定義，不會(huì)引起誤解；（4）協(xié)議必須是完整的，對(duì)每種可能情