1、第七章 數(shù)字簽名 1、 數(shù)字簽名的基本原理 2、 RSA 數(shù)字簽名 3、 ELGamal 數(shù)字簽名 4、 數(shù)字簽名標(biāo)準(zhǔn) DSS 5、附加功能的數(shù)字簽名與數(shù)字簽名的應(yīng)用 7. 1 數(shù)字簽名的基本原理 在密碼學(xué)中利用數(shù)字簽名和認(rèn)證技術(shù)來實(shí)現(xiàn)信息完整性、認(rèn)證性和不可否認(rèn)性等。 假定 A 發(fā)送一個(gè)對(duì)消息 M 的數(shù)字簽名給 B ， A 的數(shù)字簽名應(yīng)該滿足下述三個(gè)條件： （1）B 能夠證實(shí) A 對(duì)消息 M 的簽名； （可驗(yàn)證性） （2）任何人都不能偽造 A 的簽名； （不可偽造性） （3） 如果 A 否認(rèn)對(duì)消息M的簽名，可通過仲裁解決 A 與 B 之間的爭(zhēng)議。（不可否認(rèn)性、可仲裁性）Digital Sig

2、natureDigital Signature利用對(duì)稱鑰加密可以實(shí)現(xiàn)簽名，但需要一個(gè)可信第三方（TTPTrusted Third Party） 所以 一般的簽名指得是公鑰體制實(shí)現(xiàn)的簽名： 利用私鑰簽名；利用公鑰驗(yàn)證。 可以利用加密方案實(shí)現(xiàn)簽名，也可以直接設(shè)計(jì)簽名。知道A和B的密鑰！利用公鑰加密可實(shí)現(xiàn)簽名： 條件：當(dāng)解密和加密變換可以交換順序時(shí)；ABE是加密變換D是解密變換一般的數(shù)字簽名方案為：直接構(gòu)造的公鑰簽名體制。除了基本的簽名以外，還有附加功能的簽名，用于各種場(chǎng)合，例如： 盲簽名電子現(xiàn)金（匿名性）； 群簽名匿名選舉、拍賣； 代理簽名公司文件、代辦業(yè)務(wù)； 門限簽名秘密分享； 一次性簽名身份認(rèn)

3、證等。 等等。通常數(shù)字簽名方案包括三個(gè)部分：（1）密鑰生成：生成簽名者所需的密鑰；（2）簽名過程：簽名者選擇 mM，利用密鑰進(jìn)行簽名 s=S(m)， 輸出(m,s)；（3）驗(yàn)證過程：驗(yàn)證者獲得驗(yàn)證函數(shù)（方程），驗(yàn)證簽名， 如果驗(yàn)證方程成立，則承認(rèn)該簽名；否則拒絕。假定用戶 A 的公開鑰是 ，秘密鑰是 則 A 發(fā)送的對(duì)消息 M 的簽名是驗(yàn)證者收到后，可用 A 的公開鑰恢復(fù) M 7. 2、 RSA 數(shù)字簽名如果要求向 B 傳送加密消息的簽名，則 A 必須發(fā)送 （1）若你截獲由A發(fā)給B的密文C=86，試求明文M；（2）若A對(duì)消息M進(jìn)行簽名S，并發(fā)給B，試求簽名S；（3）若B收到了加密的簽名 ，求原來

4、的明文和 簽名是什么？如何判斷它的正確性？在一個(gè)RSA公鑰密碼體制中，已知A的公開密鑰是 B的公開密鑰是例：解：（1）（注意：為防止算錯(cuò)，應(yīng)對(duì)求逆結(jié)果進(jìn)行驗(yàn)證！）（2）（3）（2）如果消息 的簽名分別是 ，則任何知道 的人都可以偽造對(duì)于消息 的簽名 RSA簽名的安全性： (1) 對(duì)于任意 ，任何人都可以計(jì)算所以任何人都可以偽造對(duì)于隨機(jī)消息 x 的簽名；（3）當(dāng)消息較大時(shí)，先將消息進(jìn)行hash函數(shù)變換。同樣 前兩項(xiàng)的問題，也可以利用hash函數(shù)來解決 。7. 3、ELGamal 數(shù)字簽名一、密鑰生成算法產(chǎn)生一個(gè)隨機(jī)大素?cái)?shù) p，和一個(gè)乘法群 的生成元g；選擇一個(gè)隨機(jī)數(shù) x ，1 x p-2，計(jì)算y

5、 是公開密鑰（或者（p，g，y）；私鑰是 x 。二、簽名算法設(shè) m 是待簽名的消息，選擇秘密隨機(jī)數(shù)k對(duì)消息m的簽名為三、簽名驗(yàn)證算法對(duì)于消息如果則簽名為有效簽名。例：設(shè) p11，g2是Z11的本原元，選 x8，則若 A 對(duì)消息 m=5 進(jìn)行簽名，秘密選取 k = 9簽名為（6，3）：B驗(yàn)證簽名： Schnorr簽名（Elgamal變形） 密鑰生成算法 a. 選擇素?cái)?shù)q，p, q|(p1)為整數(shù)； b. 選擇的唯一一個(gè)階為q的循環(huán)群 的生成元 選擇元素 ，計(jì)算 如果 1則重選。 c 選擇隨機(jī)整數(shù)a，1aq1 d. 計(jì)算 e. 公鑰為（p,q, ,y）,私鑰為a。 簽名算法： a. 選擇隨機(jī)整數(shù)k

6、，1kq1 b. 計(jì)算 c. A對(duì)m的簽名為（s，e）。 驗(yàn)證算法 a. 獲得A的可信的公鑰 （p,q, ,y）； b. 計(jì)算； c. 當(dāng)且僅當(dāng) e=e 接受該簽名。驗(yàn)證方程正確性的證明：如果簽名是A產(chǎn)生的，則7. 4、數(shù)字簽名標(biāo)準(zhǔn) DSS 美國(guó)NIST公布的聯(lián)邦信息處理標(biāo)準(zhǔn)FIPS 186，稱為數(shù)字簽名標(biāo)準(zhǔn)(DSS)，DSS使用hash算法SHA，給出一種新的數(shù)字簽名方法，即數(shù)字簽名算法DSA。DSS最初提出于1991年，根據(jù)公眾對(duì)于其安全性的反饋意見，1993年和1996年分別作了兩次修改。2000年頒布了該標(biāo)準(zhǔn)的擴(kuò)充版FIP 186-2，它的新版本中包括基于RSA和橢圓曲線密碼的數(shù)字簽名

7、方案。本節(jié)主要討論數(shù)字簽名算法DSA。 DSA簽名算法的過程 kp q gx q rs f2 f1MHMsrf3Hq f4y q gv比較圖8.3 DSA的框圖 7. 4 小節(jié)為：基于離散對(duì)數(shù)問題的一般數(shù)字簽名方案說明簽名有多種變化形式。7. 4 離散對(duì)數(shù)簽名方案 7. 4 基于離散對(duì)數(shù)問題的一般數(shù)字簽名方案基于有限域上離散對(duì)數(shù)問題的一般數(shù)字簽名方案描述如下：選取大素?cái)?shù)p 和q, q|(p - 1). 選取1 g p 滿足 p 和q 以及g 都公開.Alice 選取1 x q，計(jì)算 ，x 保密, y 公開簽名過程：Alice 秘密隨機(jī)選取整數(shù)1 k q, 首先計(jì)算再計(jì)算滿足 的s，則(r; s

8、) 就是Alice 對(duì)消息m 的簽名簽名驗(yàn)證過程：如果 成立，則Bob 確認(rèn)(r; s) 就是Alice 對(duì)消息m 的有效簽名7.5 俄羅斯數(shù)字簽名標(biāo)準(zhǔn) 1994年俄羅斯頒布了自己的數(shù)字簽名標(biāo)準(zhǔn)（GOST），1995年啟用，官方稱為GOST R34.1094。GOST算法使用的單向Hash函數(shù)H(x)是在分組密碼算法GOSY 78147.89基礎(chǔ)上建立的 (1) 算法參數(shù): DSA使用的參數(shù)如下 俄羅斯數(shù)字簽名標(biāo)準(zhǔn) (2) 簽名算法：設(shè)要簽名的消息為M，簽名過程如下 俄羅斯數(shù)字簽名標(biāo)準(zhǔn) (3) 驗(yàn)證算法：接收者收到（M，r，s）后，按以下步驟驗(yàn)證簽名的有效性 簽名應(yīng)用數(shù)字簽名（Digital

9、Signature）又稱公鑰數(shù)字簽名、電子簽章，是一種類似寫在紙上的普通的物理簽名，但是使用了公鑰加密領(lǐng)域的技術(shù)實(shí)現(xiàn)。數(shù)字簽名是用于鑒別數(shù)字信息的一種方法，一套數(shù)字簽名通常定義兩種互補(bǔ)的運(yùn)算：一個(gè)用于簽名，另一個(gè)用于驗(yàn)證。一般來說，數(shù)字簽名是附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，這些數(shù)據(jù)是對(duì)數(shù)據(jù)單元所作的數(shù)據(jù)變換。這種數(shù)據(jù)變換后的數(shù)據(jù)允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元的來源和數(shù)據(jù)單元的完整性并可以保護(hù)數(shù)據(jù)以防止被人（例如接收者）篡改偽造。數(shù)字簽名目前主要基于公鑰密碼體制，包括普通數(shù)字簽名和特殊數(shù)字簽名。普通數(shù)字簽名算法有RSA、ElGamal、Fiat-Shamir、Guillou- Quisquar

10、ter、Schnorr、Ong-Schnorr-Shamir、Des/DSA以及橢圓曲線數(shù)字簽名算法和有限自動(dòng)機(jī)數(shù)字簽名算法等。特殊數(shù)字簽名有盲簽名、代理簽名、群簽名、不可否認(rèn)簽名、公平盲簽名、門限簽名、具有消息恢復(fù)功能的簽名等。數(shù)字簽名與具體應(yīng)用環(huán)境密切相關(guān)，甚至美國(guó)聯(lián)邦政府制定了自己的數(shù)字簽名標(biāo)準(zhǔn)DSS。個(gè)人安全郵件證書個(gè)人安全郵件證書是數(shù)字簽名功能的一種典型應(yīng)用。個(gè)人安全電子郵件證書是依據(jù)x.509標(biāo)準(zhǔn)創(chuàng)建的數(shù)字安全證書，包含證書持有人的電子郵件地址、證書持有人的公鑰、頒發(fā)者（CA）以及頒發(fā)者對(duì)該證書的簽名。它通過結(jié)合數(shù)字證書和S/MIME技術(shù)對(duì)普通電子郵件做加密和數(shù)字簽名處理，從而確保

11、電子郵件內(nèi)容的安全性、機(jī)密性、發(fā)件人身份確認(rèn)性和不可抵賴性（不可偽造性）。個(gè)人安全郵件證書功能的實(shí)現(xiàn)決定于用戶使用的郵件系統(tǒng)是否支持相應(yīng)功能。目前，MS Outlook、Outlook Express、Foxmail及CA安全電子郵件系統(tǒng)均支持相應(yīng)功能。個(gè)人安全郵件證書手機(jī)軟件數(shù)字簽名技術(shù)智能手機(jī)的普及，隨之而來的是惡意軟件的危害問題。某些惡意軟件一旦植入智能手機(jī)中，有可能無法正常卸載而讓手機(jī)無法使用，而只好選擇重裝操作系統(tǒng)，而手機(jī)操作系統(tǒng)安裝不像普通電腦操作安裝那么方便。手機(jī)操作系統(tǒng)安裝可以通過“刷機(jī)”方式來操作，但其操作有危險(xiǎn)性，刷機(jī)操作的不正確往往導(dǎo)致手機(jī)報(bào)廢。正是考慮到此問題的嚴(yán)重性，

12、某些手機(jī)操作系統(tǒng)（如Symbian、Windows Mobile）提供商如采用數(shù)字簽名機(jī)制來確保手機(jī)的安全。 手機(jī)軟件簽名Symbian（“塞班”）S60 V3版開始強(qiáng)制要求軟件數(shù)字簽名，手機(jī)軟件簽名相當(dāng)于手機(jī)軟件實(shí)名制。通過軟件數(shù)字簽名，一旦用戶發(fā)現(xiàn)軟件有問題就可以找手機(jī)軟件開發(fā)商（軟件簽名者）；否則一旦手機(jī)軟件有問題，將由于無法證明軟件的來源而使得用戶沒有任何證據(jù)來向軟件開發(fā)商索賠。數(shù)字簽名機(jī)制可以保證手機(jī)用戶的合法權(quán)益，又在一定程度上保護(hù)了手機(jī)軟件開發(fā)商的利益。但由于手機(jī)軟件簽名使用較為麻煩，影響手機(jī)用戶體驗(yàn)，也常常受到一些使用者的反對(duì)。手機(jī)軟件簽名USB KEYUSB Key身份認(rèn)證方

13、式是近幾年發(fā)展起來的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。USB Key作為一種USB接口的硬件設(shè)備，內(nèi)置了單片機(jī)或智能卡芯片，有一定的存儲(chǔ)空間，可以存儲(chǔ)用戶的密鑰或數(shù)字證書，利用USB Key內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。由于用戶私鑰保存在密碼鎖中，理論上使用任何方式都無法讀??；如果用戶密碼被泄漏，只要USB Key本身不被盜用也是安全的。基于USB Key身份認(rèn)證系統(tǒng)主要有兩種應(yīng)用模式：一是基于挑戰(zhàn)/響應(yīng)的認(rèn)證模式；二是基于PKI體系的認(rèn)證模式，該模式目前廣泛運(yùn)用在電子政務(wù)、網(wǎng)上銀行等領(lǐng)域。7.5 附加功能

14、的數(shù)字簽名 存在多種附加不同功能的簽名方案，如盲簽名、代理簽名、群簽名等等，數(shù)字簽名的作用強(qiáng)大和靈活，對(duì)于它的研究和應(yīng)用是一個(gè)非常活躍領(lǐng)域。 下面介紹幾種。（1）盲簽名（blind signature）：a、接受者首先將消息進(jìn)行盲變換，再將變盲的消息送給簽名者；b、簽名者對(duì)盲消息進(jìn)行簽名，送給接受者；c、接受者對(duì)簽名進(jìn)行脫盲變換，得到對(duì)原來消息的簽名。 盲簽名就像將消息放在一個(gè)信封里，送給簽名者簽名，簽名者在信封上用復(fù)寫紙簽名，之后將信紙取出，得到簽名。盲簽名可實(shí)現(xiàn)消息的匿名性，用于電子現(xiàn)金和選舉等。 ChaumCha82在1982年提出盲簽名思想，其形式由三個(gè)函數(shù)組成：一個(gè)簽名函數(shù)s和其逆s

15、，s（s（x）=x，簽名函數(shù)只有簽名者知道，其逆是公開的；一個(gè)計(jì)算函數(shù)c和其逆c,二者只有消息提供者知道，且c(s(c(x)=s(x)，c（x）和s不暴露x的任何信息；一個(gè)檢查冗余的謂詞r，用以檢查充分的冗余性，以使搜索有效簽名是不可實(shí)現(xiàn)的。盲簽名的過程為： 消息提供者P隨機(jī)選擇x，使r（x）成立，將c（x）交給簽名者S；S用s對(duì)c(x)簽名，將s(c(x)交給P； P應(yīng)用c脫盲，產(chǎn)生c(s(c(x)=s(x)； 任何人可以用S的公鑰s檢驗(yàn)s(x)是S的簽名，檢查r(s(s(x)成立。 其結(jié)果是：S不知道簽名是何時(shí)所簽。例如：基于RSA的盲簽名 假設(shè)簽名者 為B，消息提供者為 A。 對(duì)消息m，

16、簽名子者B一無所知。簽名后B對(duì)消息 m和簽名同樣一無所知。 B的RSA的公鑰為（n，e），私鑰為d，k是A選擇 的秘密值， 盲簽名過程為：1、盲化：A計(jì)算 并送給B；2、簽名：B計(jì)算 并送給A；3、脫盲：A計(jì)算 得到B關(guān)于m的盲簽名。（2）onetime簽名 這種簽名方案至多只能簽一個(gè)消息。否則簽名將能被偽造。簽名產(chǎn)生和驗(yàn)證很有效，適用于計(jì)算量小的場(chǎng)合，如chipcards。（3）不可否認(rèn)簽名（undeniable ） 這種簽名的驗(yàn)證過程需要簽名者參加。如軟件公司對(duì)產(chǎn)品的不可否認(rèn)簽名，只有公司參加才能證明可信性。（4）多重簽名（multi ） 這是多個(gè)簽名者對(duì)同一個(gè)消息共同進(jìn)行簽名，可以是有序

17、的；也可以是同時(shí)的。（5）代理簽名： 一個(gè)被稱為原始簽名人的用戶，可將他的簽名的權(quán)利委托給一個(gè)被成為代理簽名人的用戶。代理簽名人可代表原始簽名人對(duì)消息簽名。同一般簽名一樣，代理簽名可公開驗(yàn)證。（6）群簽名： 一個(gè)群成員可代表整個(gè)群對(duì)消息進(jìn)行簽名，可 用群公鑰公開驗(yàn)證，但不知道哪個(gè)群成員簽的名。只有群管理者（被授權(quán)者）可以確定簽名的成員。群簽名的定義比較完整的群簽名方案包括以下步驟AM02：系統(tǒng)建立：一個(gè)概率算法，輸入安全參數(shù)，輸出初始群公鑰和群管理者GM的私鑰；加入：用戶與GM之間的協(xié)議。用戶U從GM獲取關(guān)系證書，成為群成員，并保存關(guān)系證書的秘密。GM刷新確定群狀態(tài)的信息；撤銷：一個(gè)確定算法，

18、輸入需撤銷的用戶關(guān)系證書，輸出GM的刷新信息；刷新：一個(gè)確定算法，當(dāng)有加入和撤銷發(fā)生時(shí)，群成員做刷新工作；簽名：一個(gè)概率算法，輸入消息、群公鑰、關(guān)系證書和相應(yīng)的成員秘密，輸出群成員對(duì)消息的簽名；驗(yàn)證：一個(gè)確定算法，驗(yàn)證者用群公鑰驗(yàn)證群簽名的有效性；打開：一個(gè)確定算法，輸入消息、有效群簽名、群公鑰和GM的私鑰，確定簽名者的身份。群簽名方案的安全要求有：正確性：每一個(gè)由群成員經(jīng)“簽名”步驟產(chǎn)生的群簽名，必須被“驗(yàn)證”步驟接受 ；不可偽造性： 只有群成員可以以群的名義簽名；匿名性： 給出一個(gè)有效群簽名，除了GM，其他任何人確定實(shí)際的簽名者是計(jì)算困難的（非分離的情況）；不可連接性： 除了GM，其他任何

19、人確定兩個(gè)群簽名是否由同一個(gè)成員產(chǎn)生，是計(jì)算困難的；不可誣陷性： GM和不誠(chéng)實(shí)成員子集的合作，不能以一個(gè)誠(chéng)實(shí)成員名義產(chǎn)生簽名；可跟蹤性：GM總能夠確認(rèn)一個(gè)有效群簽名的實(shí)際簽名者（非分離的情況）；抗合謀性： 群成員的合謀子集不能產(chǎn)生一個(gè)GM不能跟蹤的簽名。群簽名舉例 這個(gè)群簽名方案有以下幾個(gè)特點(diǎn)：群簽名依賴所有成員。若缺少任何一個(gè)會(huì)員的合作，則無法生成合法的群簽名。群簽名的長(zhǎng)度不會(huì)受全體成員人數(shù)的影響，為一固定值。驗(yàn)證群簽名的計(jì)算量也不會(huì)隨成員人數(shù)的增減而變化。數(shù)字簽名的應(yīng)用1、基本方案的應(yīng)用 公開密鑰加密方法的一個(gè)主要優(yōu)點(diǎn)是提供了數(shù)字簽名的實(shí)現(xiàn)手段。數(shù)字簽名將簽名者身份和消息綁定在一起，使得信

20、息的接收者能夠驗(yàn)證信息來源的真實(shí)性，還能夠驗(yàn)證信息是否完整。因此，公鑰數(shù)字簽名可以提供身份驗(yàn)證和數(shù)據(jù)完整性保證。數(shù)字簽名還提供了不可抵賴的特性，該特性能夠保證信息的發(fā)送者無法否認(rèn)自己確實(shí)發(fā)送了這個(gè)信息。這些特性如同加密功能一樣是整個(gè)密碼系統(tǒng)的最基本功能。 其中數(shù)字簽名最主要的應(yīng)用之一是大規(guī)模網(wǎng)絡(luò)中公鑰證書，證書是TTP將用戶身份和公鑰綁定的一種手段，這樣在其后某個(gè)時(shí)間，其他用戶可以確定一個(gè)公鑰而不需TTP的協(xié)助。 數(shù)字簽名的目的和手寫簽名一樣，然而手寫簽名很容易仿造，數(shù)字簽名和手寫簽名相比的優(yōu)勢(shì)在于它幾乎不可能被仿造，而且它在確認(rèn)簽名者身份的同時(shí)還能保證信息內(nèi)容的完整性。 2、附加功能的數(shù)字簽名有各自的用處。 例如： 盲簽名用于電子