26十一月2022第三章數(shù)字簽名技術(shù)第1頁第三章數(shù)字簽名技術(shù)

內(nèi)容提要數(shù)字簽名概述

常規(guī)數(shù)字簽名方法特殊數(shù)字簽名方法數(shù)字簽名法律26十一月2022第三章數(shù)字簽名技術(shù)第1頁第三章數(shù)字26十一月2022第三章數(shù)字簽名技術(shù)第2頁本章要點數(shù)字簽名特點：難否認、可防假冒、可仲裁。數(shù)字簽名使用模式：智慧卡式、密碼式和生物測定式。常用數(shù)字簽名方案：RSA數(shù)字、Hash簽名、美國數(shù)字簽名標(biāo)準(zhǔn)、橢圓曲線數(shù)字簽名。特殊簽名方法：盲簽名、雙聯(lián)簽名、團體簽名、不可爭辯簽名、代理簽名、數(shù)字時間戳等。數(shù)字簽名法律的內(nèi)涵、立法原則、特點和現(xiàn)狀。26十一月2022第三章數(shù)字簽名技術(shù)第2頁本章要點數(shù)字26十一月2022第三章數(shù)字簽名技術(shù)第3頁數(shù)字簽名概述數(shù)字簽名的概念及特點

數(shù)字簽名的功能

數(shù)字簽名方案的分類

數(shù)字簽名使用模式

數(shù)字簽名使用原理

26十一月2022第三章數(shù)字簽名技術(shù)第3頁數(shù)字簽名概述26十一月2022第三章數(shù)字簽名技術(shù)第4頁數(shù)字簽名的概念及特點

數(shù)字簽名是通過一個單向函數(shù)對要傳送的信息進行處理得到的用以認證信息來源并核實信息在傳送過程中是否發(fā)生變化的一個字母數(shù)字串。數(shù)字簽名提供了對信息來源的確定并能檢測信息是否被篡改。

數(shù)字簽名的特點：數(shù)字簽名與書面文件簽名有相同之處，采用數(shù)字簽名能確認以下三點：第一，信息是由簽名者發(fā)送的；第二，信息自簽發(fā)后到收到為止未曾作過任何修改；第三，如果A否認對信息的簽名，可以通過仲裁解決A和B之間的爭議。因此數(shù)字簽名就可用來防止電子信息因易被修改而有人作偽，或冒用別人名義發(fā)送信息，或發(fā)出（收到）信件后又加以否認等情況發(fā)生。數(shù)字簽名和手寫簽名的區(qū)別：數(shù)字簽名隨文本的變化而變化，手寫簽字反映個人特征，是不變的；數(shù)字簽名與文本信息是不可分割的，而用手寫簽字是附加在文本之后的，與文本信息是分離的。

26十一月2022第三章數(shù)字簽名技術(shù)第4頁數(shù)字簽名的概26十一月2022第三章數(shù)字簽名技術(shù)第5頁數(shù)字簽名的功能（1）身份認證：收方通過發(fā)方的電子簽名能夠確認發(fā)方的確切身份，但無法偽造。（2）保密：雙方的通信內(nèi)容高度保密，第三方無從知曉。（3）完整性：通信的內(nèi)容無法被篡改。（4）不可抵賴：發(fā)方一旦將電子簽字的信息發(fā)出，就不能再否認。26十一月2022第三章數(shù)字簽名技術(shù)第5頁數(shù)字簽名的功26十一月2022第三章數(shù)字簽名技術(shù)第6頁數(shù)字簽名方案的分類1.基于數(shù)學(xué)難題的分類（1）基于離散對數(shù)問題的簽名方案，如ElGamal和DSA。（2）基于素因子分解問題的簽名方案，如RSA。（3）上述兩種的結(jié)合簽名方案。2.基于簽名用戶的分類（單個用戶和多個用戶）3.基于數(shù)字簽名所具有特性的分類（1）不具有自動恢復(fù)特性的數(shù)字簽名方案，如ElGamal。（2）具有消息自動恢復(fù)特性的數(shù)字簽名方案4.基于數(shù)字簽名所涉及的通信角色分類（1）直接數(shù)字簽名（僅涉及通信的源和目的兩方）（2）需仲裁的數(shù)字簽名（除通信雙方外，還有仲裁方）26十一月2022第三章數(shù)字簽名技術(shù)第6頁數(shù)字簽名方案26十一月2022第三章數(shù)字簽名技術(shù)第7頁數(shù)字簽名使用模式（1）智慧卡式（2）密碼式（3）生物測定式26十一月2022第三章數(shù)字簽名技術(shù)第7頁數(shù)字簽名使用26十一月2022第三章數(shù)字簽名技術(shù)第8頁數(shù)字簽名使用原理26十一月2022第三章數(shù)字簽名技術(shù)第8頁數(shù)字簽名使用26十一月2022第三章數(shù)字簽名技術(shù)第9頁利用散列函數(shù)進行數(shù)字簽名和驗證的文件傳輸過程（1）發(fā)送方首先用哈希函數(shù)從原文得到數(shù)字摘要，然后采用公開密鑰體系用發(fā)送方的私有密鑰對數(shù)字摘要進行簽名，并把簽名后的數(shù)字摘要附加在要發(fā)送的原文后面。（2）發(fā)送一方選擇一個秘密密鑰對文件進行加密，并把加密后的文件通過網(wǎng)絡(luò)傳輸?shù)浇邮辗?。?）發(fā)送方用接收方的公開密鑰對秘密密鑰進行加密，并通過網(wǎng)絡(luò)把加密后的秘密密鑰傳輸?shù)浇邮辗?。?）接收方使用自己的私有密鑰對密鑰信息進行解密，得到秘密密鑰的明文。（5）接收方用秘密密鑰對文件進行解密，得到通過加密的數(shù)字摘要。（6）接收方用發(fā)送方的公開密鑰對數(shù)字簽名進行解密，得到數(shù)字摘要的明文。（7）接收方用得到的明文和哈希函數(shù)重新計算數(shù)字摘要，并與解密后的數(shù)字摘要進行對比。如果兩個數(shù)字簽名是相同的，說明文件在傳輸過程中沒有被破壞。26十一月2022第三章數(shù)字簽名技術(shù)第9頁利用散列函數(shù)26十一月2022第三章數(shù)字簽名技術(shù)第10頁第三章數(shù)字簽名技術(shù)

內(nèi)容提要數(shù)字簽名概述

常規(guī)數(shù)字簽名方法

特殊數(shù)字簽名方法數(shù)字簽名法律26十一月2022第三章數(shù)字簽名技術(shù)第10頁第三章數(shù)26十一月2022第三章數(shù)字簽名技術(shù)第11頁RSA數(shù)字簽名系統(tǒng)RSA算法中數(shù)字簽名技術(shù)實際上是通過一個哈希函數(shù)來實現(xiàn)的。數(shù)字簽名的特點是它代表了文件的特征，文件如果發(fā)生改變，數(shù)字簽名的值也將發(fā)生變化。不同的文件將得到不同的數(shù)字簽名。一個最簡單的哈希函數(shù)是把文件的二進制碼相累加，取最后的若干位。哈希函數(shù)對發(fā)送數(shù)據(jù)的雙方都是公開的。用RSA或其它公開密鑰密碼算法的最大方便是沒有密鑰分配問題（網(wǎng)絡(luò)越復(fù)雜、網(wǎng)絡(luò)用戶越多，其優(yōu)點越明顯）。因為公開密鑰加密使用兩個不同的密鑰，其中有一個是公開的，另一個是保密的。公開密鑰可以保存在系統(tǒng)目錄內(nèi)、未加密的電子郵件信息中、電話黃頁（商業(yè)電話）上或公告牌里，網(wǎng)上的任何用戶都可獲得公開密鑰。而私有密鑰是用戶專用的，由用戶本身持有，它可以對由公開密鑰加密信息進行解密。26十一月2022第三章數(shù)字簽名技術(shù)第11頁RSA數(shù)字26十一月2022第三章數(shù)字簽名技術(shù)第12頁RSA數(shù)字簽名的步驟（1）使用散列編碼將發(fā)送文件加密產(chǎn)生固定長的數(shù)字摘要。（2）發(fā)送方用自己的專用密鑰對摘要進行再加密，形成數(shù)字簽名。（3）將原文和加密的摘要同時傳給對方。（4）接收方用發(fā)送方的公共密鑰對摘要解密，同時對收到的文件用散列編碼加密產(chǎn)生同一摘要。（5）將解密后的摘要和收到的文件再接收方重新加密產(chǎn)生的摘要互相對比驗證。26十一月2022第三章數(shù)字簽名技術(shù)第12頁RSA數(shù)字26十一月2022第三章數(shù)字簽名技術(shù)第13頁Hash簽名Hash簽名是最主要的數(shù)字簽名方法，也稱之為數(shù)字摘要法（DigitalDigest）或數(shù)字指紋法（DigitalFingerPrint）。它與RSA數(shù)字簽名是單獨的簽名不同，該數(shù)字簽名方法是將數(shù)字簽名與要發(fā)送的信息緊密聯(lián)系在一起，它更適合于電子商務(wù)活動。將一個商務(wù)合同的個體內(nèi)容與簽名結(jié)合在一起，比合同和簽名分開傳遞，更增加了可信度和安全性。Hash函數(shù)主要用于完整性校驗和提高數(shù)字簽名的有效性。比較典型的Hash算法有MD2、MD4、MD5、SHA-1算法等。美國將SHA-1作為Hash標(biāo)準(zhǔn)，歐盟RIPE計劃中采用IRIPE-MD算法、RIPEMAC，俄羅斯國家標(biāo)準(zhǔn)中采用GOST算法。26十一月2022第三章數(shù)字簽名技術(shù)第13頁Hash簽26十一月2022第三章數(shù)字簽名技術(shù)第14頁一個Hash函數(shù)滿足：①H可以作用于一個任意長度的數(shù)據(jù)塊；②H產(chǎn)生一個固定長度的輸出；③H(x)對任意給定的x計算相對容易，無論是軟件還是硬件實現(xiàn)；④對任意給定碼h，找到x滿足H(x)=h具有計算不可行性；⑤對任意給定的數(shù)據(jù)塊x，找到滿足H(y)=H(x)的y具有計算不可行性；⑥找到任意數(shù)據(jù)對(x,y)，滿足H(x)=H(y)是計算不可行的。26十一月2022第三章數(shù)字簽名技術(shù)第14頁一個Has26十一月2022第三章數(shù)字簽名技術(shù)第15頁用Hash函數(shù)實驗簽名的方案發(fā)送方X：準(zhǔn)備消息M，計算其散列碼H(M)，用X的私鑰對散列值構(gòu)成簽名Kx-1[H(M)]，并將消息M及簽名Kx-1[H(M)]發(fā)送給Y接收方Y(jié)：對收到的消息M′計算用H(M′)，利用公鑰解密Kx-1[H(M)]，然后比較Kx[Kx-1[H(M)]]和H(M′)，如果Kx[Kx-1[H(M)]]＝H(M′)，則簽名得到驗證。26十一月2022第三章數(shù)字簽名技術(shù)第15頁用Hash26十一月2022第三章數(shù)字簽名技術(shù)第16頁美國數(shù)字簽名標(biāo)準(zhǔn)（DSA）數(shù)字簽名算法（DigitalSignatureAlgorithm，DSA）是Schnorr和ElGamal簽名算法的變種，由美國國家標(biāo)準(zhǔn)化技術(shù)研究院（NIST）和國家安全局共同開發(fā)。DSA是基于離散對數(shù)的難度。

26十一月2022第三章數(shù)字簽名技術(shù)第16頁美國數(shù)字簽26十一月2022第三章數(shù)字簽名技術(shù)第17頁一、DSA算法參數(shù)說明DSA算法中應(yīng)用了下述參數(shù)：p：Lbits長的素數(shù)。L是64的倍數(shù)，范圍是512到1024；q：p-1的160bits的素因子；g：g=hp-1modp，h滿足h<p-1,h(p-1)/qmodp>1；x：1<x<q，x為私鑰；y：y=gxmodp，(p,q,g,y)為公鑰；H(x)：單向Hash函數(shù)。在DSS中選用安全散列算法(SecureHashAlgorithm，SHA)。p,q,g：可由一組用戶共享，但在實際應(yīng)用中，使用公共模數(shù)可能會帶來一定的威脅。26十一月2022第三章數(shù)字簽名技術(shù)第17頁一、DSA26十一月2022第三章數(shù)字簽名技術(shù)第18頁二、簽名及驗證協(xié)議簽名及驗證協(xié)議如下：①P產(chǎn)生隨機數(shù)k，k<q；②P計算r=(gkmodp)modq和s=(k-1(H(m)+xr))modq簽名結(jié)果是(m,r,s)。③驗證時計算

w=s-1modq計算u1=(H(m)*w)modq計算u2=(r*w)modq計算v=((gu1*yu2)modp)modq若v=r，則認為簽名有效。26十一月2022第三章數(shù)字簽名技術(shù)第18頁二、簽名及26十一月2022第三章數(shù)字簽名技術(shù)第19頁DSS簽名和驗證26十一月2022第三章數(shù)字簽名技術(shù)第19頁DSS簽名26十一月2022第三章數(shù)字簽名技術(shù)第20頁橢圓曲線數(shù)字簽名算法（ECDSA）橢圓曲線加密系統(tǒng)是一種運用RSA和DSA來實施的

數(shù)字簽名方法。基于橢圓曲線的數(shù)字簽名具有與RSA數(shù)字簽名和DSA數(shù)字簽名基本上相同的功能，但實施起來更有效，因為橢圓曲線數(shù)字簽名在生成簽名和進行驗證時要必RSA和DSA來得快。橢圓曲線數(shù)字簽名還可以用在一些較小、對資源有一定限制得設(shè)備如智能卡（含有微處理器芯片得塑料片）中。26十一月2022第三章數(shù)字簽名技術(shù)第20頁橢圓曲線數(shù)26十一月2022第三章數(shù)字簽名技術(shù)第21頁第三章數(shù)字簽名技術(shù)

內(nèi)容提要數(shù)字簽名概述

常規(guī)數(shù)字簽名方法特殊數(shù)字簽名方法

數(shù)字簽名法律26十一月2022第三章數(shù)字簽名技術(shù)第21頁第三章數(shù)26十一月2022第三章數(shù)字簽名技術(shù)第22頁特殊數(shù)字簽名方法盲簽名雙聯(lián)簽名團體簽名不可爭辯簽名多重簽名方案代理簽名數(shù)字時間戳26十一月2022第三章數(shù)字簽名技術(shù)第22頁特殊數(shù)字簽26十一月2022第三章數(shù)字簽名技術(shù)第23頁盲簽名一般數(shù)字簽名中，總是要先知道文件內(nèi)容而后才簽署，這正是通常所需要的。但有時需要某人對一個文件簽名，但又不讓他知道文件內(nèi)容，稱為盲簽名，它是由Chaum在1983年最先提出的。在選舉投票和數(shù)字貨幣協(xié)議中會使用到。利用盲變換可以實現(xiàn)盲簽名。盲簽名的基本原理：

（1）A取一文件并以一隨機值乘之，稱此隨機值為盲因子（2）A將此盲文件發(fā)送給B；（3）B對盲文件簽名；（4）A以盲因子除之，得到B對原文件的簽名Chaum將盲變換看做是信封，盲文件是對文件加個信封，而去掉盲因子的過程是打開信封的過程。文件在信封中時無人可讀，而在盲文件上簽名相當(dāng)于在復(fù)寫紙信封上簽名，從而得到了對起文件（信封內(nèi)容）的簽名。26十一月2022第三章數(shù)字簽名技術(shù)第23頁盲簽名一26十一月2022第三章數(shù)字簽名技術(shù)第24頁用RSA算法實現(xiàn)盲簽名第一個盲簽名是Chaum在1985年用RSA算法實現(xiàn)的。下面設(shè)定簽名者B的公鑰參數(shù)為e，私鑰參數(shù)為d，而模為n。下面A讓B進行盲簽名，簽署消息M：(1)A盲變換：選用盲因子k，1＜k＜M，計算：t=Mkemodn，將t傳送給B(2)B簽名：B對t進行簽名，計算S(t)=td=(Mke)dmodn，將簽名S(t)傳送給A；(3)A取得簽名：A計算后取得簽名S=td/kmodn＝Mdmodn26十一月2022第三章數(shù)字簽名技術(shù)第24頁用RSA算26十一月2022第三章數(shù)字簽名技術(shù)第25頁雙聯(lián)簽名在一次電子商務(wù)活動過程種可能同時有兩個有聯(lián)系的消息M1和M2，要對它們同時進行數(shù)字簽名。例如，客戶A有兩個消息，一個是送銀行B的有關(guān)付款帳號信息，即消息M1，另一個是給廠商C的定購信息即消息M2；但要求交送銀行B的數(shù)字簽名不應(yīng)知道M2，送廠商C的數(shù)字簽名不應(yīng)知道M1。雙聯(lián)簽名的使用方法如下:（1）客戶A將給銀行的信息M1和給廠商的信息M2分別生產(chǎn)報文摘要MD1和MD2（2）客戶A將MD1和MD2合在一起生產(chǎn)MD，并簽名（3）客戶A將M1、MD2和MD發(fā)送給銀行，將M2、MD1和MD發(fā)送給廠商26十一月2022第三章數(shù)字簽名技術(shù)第25頁雙聯(lián)簽名26十一月2022第三章數(shù)字簽名技術(shù)第26頁團體簽名團體簽名具有以下特性：①只有該團體內(nèi)的成員能對消息簽名；②簽名的接收者能夠證實消息是該團體的有效簽名。③簽名的接收者不能決定是該團體內(nèi)哪一個成員簽的名；④在出現(xiàn)爭議時，簽名能夠被“打開”，以揭示簽名者的身份。采用單向Hash函數(shù)，團體簽名是容易實現(xiàn)的：①A對文件的hash簽名。②B對文件的hash簽名。③B將他的簽名交給A。④A把文件、簽名和B的簽名發(fā)給C。⑤C驗證A和B的簽名。A和B能同時或順序地完成①和②，在⑤C可以只驗證其中一人的簽名而不用驗證另一人的簽名。

26十一月2022第三章數(shù)字簽名技術(shù)第26頁團體簽名26十一月2022第三章數(shù)字簽名技術(shù)第27頁一個簡單的團體簽名協(xié)議介紹一個簡單的協(xié)議來完成團體簽名。該協(xié)議使用了一個可信賴的第三方，假設(shè)該團體有n個成員下面簡單的描述該協(xié)議的步驟：(1)第三方產(chǎn)生nxm對密鑰(公鑰私鑰對)；然后給每一個成員m對互異的密鑰(2)第三方把nxm個公鑰用隨機的順序加以公開，作為團體的公鑰表；并要第三方記住每—個成員對應(yīng)哪m對密鑰(3)當(dāng)團體中某—個成員簽名時，從自己的m個私鑰中隨機選擇一個，進行簽名(4)而驗證簽名時，用該團體的公鑰表進行簽名認證即可(5)當(dāng)發(fā)生爭議時，第三方知道密鑰對與成員之間的對應(yīng)關(guān)系，所以可以確定出簽名者是團體中哪一個成員當(dāng)然，上述協(xié)議的較大缺陷在于需要—個第三方。26十一月2022第三章數(shù)字簽名技術(shù)第27頁一個簡單的26十一月2022第三章數(shù)字簽名技術(shù)第28頁無可爭辯簽名不可爭辯簽名是在沒有簽名者自己的合作下不可能驗證簽名的簽名。無可爭辯簽名是為了防止所簽名文件被復(fù)制，有利于產(chǎn)權(quán)擁有者控制產(chǎn)品的散發(fā)。不可爭辯簽名1989年由Chaum和Antwerpen引入，這類簽名有一些特點，適用于某些應(yīng)用，如電子出版系統(tǒng)，以利于對知識產(chǎn)權(quán)的保護。在簽名人合作下才可能驗證簽名，又會給簽名者一種機會，在不利于他時可拒絕合作，因而不具有“不可否認性”。不可爭辯簽名除了一般簽名體制中的簽名算法和驗證算法（或協(xié)議）外，還需要第三個組成部分，即否認協(xié)議；簽名者利用不可爭辯簽名可向法庭或公眾證明一個偽造的簽名的確是假的；但如果簽名者拒絕參與執(zhí)行否認協(xié)議，就表明簽名真的由他簽署。26十一月2022第三章數(shù)字簽名技術(shù)第28頁無可爭辯簽26十一月2022第三章數(shù)字簽名技術(shù)第29頁多重簽名多重數(shù)字簽名的目的是將多個人的數(shù)字簽名匯總成一個簽名數(shù)據(jù)進行傳送，簽名收方只需驗證一個簽名便可確認多個人的簽名。多重數(shù)字簽名方案可分為兩類：有序多重數(shù)字簽名方案廣播多重數(shù)字簽名方案。設(shè)U1，U2，…，Un為n個簽名者，他們的密鑰分別為xi，相應(yīng)的公鑰為yi=gximodp（i=1，2，…，n）。他們所形成的對消息m的n個簽名分別為（ri，si），其中ri=gkimodp和si=xim+kirmodp-1（i=1，2，…，n），這里r＝rimodp，形成的簽名（ri，si）滿足方程gsi=yimrirmodp。n個簽名人最后形成的多重簽名為：（m，r，s）=（m，rimodp，simodp-1），它滿足方程gs=ymrrmodp，其中y=yimodp。26十一月2022第三章數(shù)字簽名技術(shù)第29頁多重簽名26十一月2022第三章數(shù)字簽名技術(shù)第30頁代理簽名代理簽名（ProxySignature）是指定某人代替自己簽署，也稱為委托簽名。由此就引來問題，如何在不把自己的私鑰給代理人的情況下，而使代理人又替代自己完成簽名的功能。代理簽名一般應(yīng)具有如下特點：可區(qū)分性，代理簽名與某人的通常簽名是可以區(qū)分的不可偽造性，只有原來的簽名者和所托付的代理人可以建立合法的代理簽名代理簽名的差異，代理簽名者不可能制造一個合法的代理簽名，而不被檢查出來其是一個代理簽名可證實性，從代理簽名中，驗證者能夠相信原始的簽名者認同了這份簽名的消息可識別性，原始簽名者可以從代理簽字結(jié)果中識別出代理簽名者的身份不可抵賴性，代理簽名者不能事后抵賴他所建立的已被認可的代理簽名代理簽名從授權(quán)的程度上來劃分，可以分為三類：完全授權(quán)、部分授權(quán)、許可授權(quán)26十一月2022第三章數(shù)字簽名技術(shù)第30頁代理簽名26十一月2022第三章數(shù)字簽名技術(shù)第31頁數(shù)字時間戳如果在簽名時加上一個時間標(biāo)記，即是有數(shù)字時間戳（digitaltimestamp）的數(shù)字簽名。DTS是網(wǎng)上電子商務(wù)安全服務(wù)項目之一，能提供電子文件的日期和時間信息的安全保護，由專門機構(gòu)提供。時間戳（time-stamp）是一個經(jīng)加密后形成的憑證文檔，它包括三個部分：①需加時間戳的文件的摘要（digest）；②DTS收到文件的日期和時間；③DTS的數(shù)字簽名。26十一月2022第三章數(shù)字簽名技術(shù)第31頁數(shù)字時間戳26十一月2022第三章數(shù)字簽名技術(shù)第32頁獲得數(shù)字時間戳的過程26十一月2022第三章數(shù)字簽名技術(shù)第32頁獲得數(shù)字時26十一月2022第三章數(shù)字簽名技術(shù)第33頁數(shù)字時間戳協(xié)議必須具有如下性質(zhì)①數(shù)據(jù)本身必須有時間標(biāo)記，而與它所用的物理媒介無關(guān)。②不存在哪怕改變文件的1個比特而文件時間戳卻沒有明顯變化的情形。③不可能用不同于當(dāng)前日期和時間的日期和時間來簽署文件。26十一月2022第三章數(shù)字簽名技術(shù)第33頁數(shù)字時間戳26十一月2022第三章數(shù)字簽名技術(shù)第34頁第三章數(shù)字簽名技術(shù)

內(nèi)容提要數(shù)字簽名概述

常規(guī)數(shù)字簽名方法特殊數(shù)字簽名方法數(shù)字簽名法律26十一月2022第三章數(shù)字簽名技術(shù)第34頁第三章數(shù)26十一月2022第三章數(shù)字簽名技術(shù)第35頁數(shù)字簽名法律的內(nèi)涵聯(lián)合國《電子商務(wù)示范法》第7條規(guī)定："如法律要求要有一個人簽字，則對于一項數(shù)據(jù)電文而言，倘若情況如下，即滿足了該項要求：①使用了一種方法，鑒定了該人的身份，并且表明該人認可了數(shù)據(jù)電文內(nèi)含的信息；②從所有各種情況看來，包括根據(jù)任何相關(guān)協(xié)議，所用方法是可靠的，對生成或傳遞數(shù)據(jù)電文的目的來說也是適當(dāng)?shù)摹?6十一月2022第三章數(shù)字簽名技術(shù)第35頁數(shù)字簽名法26十一月2022第三章數(shù)字簽名技術(shù)第36頁已經(jīng)頒布的數(shù)字簽名法律聯(lián)合國貿(mào)易法律委員會1996年的《電子商務(wù)示范法》和2000年的《電子簽名統(tǒng)一規(guī)則》歐盟的《電子簽名統(tǒng)一框架指令》德國1997年的《信息和通用服務(wù)法》意大利1997年的《數(shù)字簽名法》俄羅斯1995年的《俄羅斯聯(lián)邦信息法》美國2000年的《國際與國內(nèi)商務(wù)電子簽章法》加拿大1999年的《統(tǒng)一電子商務(wù)法》日本的《電子簽名與認證服務(wù)法》韓國1999年的《電子商務(wù)基本法》新加坡1998年的《電子交易法》26十一月2022第三章數(shù)字簽名技術(shù)第36頁已經(jīng)頒布的26十一月2022第三章數(shù)字簽名技術(shù)第37頁數(shù)字簽名法律的立法模式（1）限制立法模式（2）全面立法模式（3）最小化立法模式26十一月2022第三章數(shù)字簽名技術(shù)第37頁數(shù)字簽名法26十一月2022第三章數(shù)字簽名技術(shù)第38頁電子簽名立法原則一、“技術(shù)中立”原則二、功能等同方法三、當(dāng)事人自治原則（合同自由原則）四、合理性原則26十一月2022第三章數(shù)字簽名技術(shù)第38頁電子簽名立26十一月2022第三章數(shù)字簽名技術(shù)第39頁全球電子簽名立法特點一、迅速二、兼容三、法律的制定及時有力地推動了電子商務(wù)、信息化和相關(guān)產(chǎn)業(yè)的發(fā)展26十一月2022第三章數(shù)字簽名技術(shù)第39頁全球電子簽26十一月2022第三章數(shù)字簽名技術(shù)第40頁我國電子簽名立法現(xiàn)狀我國電子簽名法律的起草機構(gòu)是中國電子信息產(chǎn)業(yè)發(fā)展研究院（CCID）據(jù)了解，目前我國已經(jīng)有30多家認證機構(gòu)，發(fā)放的數(shù)字證書也已經(jīng)達到50多萬份，但由于沒有電子簽章的相關(guān)法規(guī)，這些活動和文件缺乏最基本的法律保障。作為電子政務(wù)發(fā)展的重要組成部分，我國第一部《電子簽名條例》現(xiàn)已到了草案階段，并正在廣泛征求意見。26十一月2022第三章數(shù)字簽名技術(shù)第40頁我國電子簽26十一月2022第三章數(shù)字簽名技術(shù)第41頁第三章數(shù)字簽名技術(shù)

內(nèi)容提要數(shù)字簽名概述

常規(guī)數(shù)字簽名方法特殊數(shù)字簽名方法數(shù)字簽名法律26十一月2022第三章數(shù)字簽名技術(shù)第1頁第三章數(shù)字26十一月2022第三章數(shù)字簽名技術(shù)第42頁本章要點數(shù)字簽名特點：難否認、可防假冒、可仲裁。數(shù)字簽名使用模式：智慧卡式、密碼式和生物測定式。常用數(shù)字簽名方案：RSA數(shù)字、Hash簽名、美國數(shù)字簽名標(biāo)準(zhǔn)、橢圓曲線數(shù)字簽名。特殊簽名方法：盲簽名、雙聯(lián)簽名、團體簽名、不可爭辯簽名、代理簽名、數(shù)字時間戳等。數(shù)字簽名法律的內(nèi)涵、立法原則、特點和現(xiàn)狀。26十一月2022第三章數(shù)字簽名技術(shù)第2頁本章要點數(shù)字26十一月2022第三章數(shù)字簽名技術(shù)第43頁數(shù)字簽名概述數(shù)字簽名的概念及特點

數(shù)字簽名的功能

數(shù)字簽名方案的分類

數(shù)字簽名使用模式

數(shù)字簽名使用原理

26十一月2022第三章數(shù)字簽名技術(shù)第3頁數(shù)字簽名概述26十一月2022第三章數(shù)字簽名技術(shù)第44頁數(shù)字簽名的概念及特點

數(shù)字簽名是通過一個單向函數(shù)對要傳送的信息進行處理得到的用以認證信息來源并核實信息在傳送過程中是否發(fā)生變化的一個字母數(shù)字串。數(shù)字簽名提供了對信息來源的確定并能檢測信息是否被篡改。

數(shù)字簽名的特點：數(shù)字簽名與書面文件簽名有相同之處，采用數(shù)字簽名能確認以下三點：第一，信息是由簽名者發(fā)送的；第二，信息自簽發(fā)后到收到為止未曾作過任何修改；第三，如果A否認對信息的簽名，可以通過仲裁解決A和B之間的爭議。因此數(shù)字簽名就可用來防止電子信息因易被修改而有人作偽，或冒用別人名義發(fā)送信息，或發(fā)出（收到）信件后又加以否認等情況發(fā)生。數(shù)字簽名和手寫簽名的區(qū)別：數(shù)字簽名隨文本的變化而變化，手寫簽字反映個人特征，是不變的；數(shù)字簽名與文本信息是不可分割的，而用手寫簽字是附加在文本之后的，與文本信息是分離的。

26十一月2022第三章數(shù)字簽名技術(shù)第4頁數(shù)字簽名的概26十一月2022第三章數(shù)字簽名技術(shù)第45頁數(shù)字簽名的功能（1）身份認證：收方通過發(fā)方的電子簽名能夠確認發(fā)方的確切身份，但無法偽造。（2）保密：雙方的通信內(nèi)容高度保密，第三方無從知曉。（3）完整性：通信的內(nèi)容無法被篡改。（4）不可抵賴：發(fā)方一旦將電子簽字的信息發(fā)出，就不能再否認。26十一月2022第三章數(shù)字簽名技術(shù)第5頁數(shù)字簽名的功26十一月2022第三章數(shù)字簽名技術(shù)第46頁數(shù)字簽名方案的分類1.基于數(shù)學(xué)難題的分類（1）基于離散對數(shù)問題的簽名方案，如ElGamal和DSA。（2）基于素因子分解問題的簽名方案，如RSA。（3）上述兩種的結(jié)合簽名方案。2.基于簽名用戶的分類（單個用戶和多個用戶）3.基于數(shù)字簽名所具有特性的分類（1）不具有自動恢復(fù)特性的數(shù)字簽名方案，如ElGamal。（2）具有消息自動恢復(fù)特性的數(shù)字簽名方案4.基于數(shù)字簽名所涉及的通信角色分類（1）直接數(shù)字簽名（僅涉及通信的源和目的兩方）（2）需仲裁的數(shù)字簽名（除通信雙方外，還有仲裁方）26十一月2022第三章數(shù)字簽名技術(shù)第6頁數(shù)字簽名方案26十一月2022第三章數(shù)字簽名技術(shù)第47頁數(shù)字簽名使用模式（1）智慧卡式（2）密碼式（3）生物測定式26十一月2022第三章數(shù)字簽名技術(shù)第7頁數(shù)字簽名使用26十一月2022第三章數(shù)字簽名技術(shù)第48頁數(shù)字簽名使用原理26十一月2022第三章數(shù)字簽名技術(shù)第8頁數(shù)字簽名使用26十一月2022第三章數(shù)字簽名技術(shù)第49頁利用散列函數(shù)進行數(shù)字簽名和驗證的文件傳輸過程（1）發(fā)送方首先用哈希函數(shù)從原文得到數(shù)字摘要，然后采用公開密鑰體系用發(fā)送方的私有密鑰對數(shù)字摘要進行簽名，并把簽名后的數(shù)字摘要附加在要發(fā)送的原文后面。（2）發(fā)送一方選擇一個秘密密鑰對文件進行加密，并把加密后的文件通過網(wǎng)絡(luò)傳輸?shù)浇邮辗?。?）發(fā)送方用接收方的公開密鑰對秘密密鑰進行加密，并通過網(wǎng)絡(luò)把加密后的秘密密鑰傳輸?shù)浇邮辗健＃?）接收方使用自己的私有密鑰對密鑰信息進行解密，得到秘密密鑰的明文。（5）接收方用秘密密鑰對文件進行解密，得到通過加密的數(shù)字摘要。（6）接收方用發(fā)送方的公開密鑰對數(shù)字簽名進行解密，得到數(shù)字摘要的明文。（7）接收方用得到的明文和哈希函數(shù)重新計算數(shù)字摘要，并與解密后的數(shù)字摘要進行對比。如果兩個數(shù)字簽名是相同的，說明文件在傳輸過程中沒有被破壞。26十一月2022第三章數(shù)字簽名技術(shù)第9頁利用散列函數(shù)26十一月2022第三章數(shù)字簽名技術(shù)第50頁第三章數(shù)字簽名技術(shù)

內(nèi)容提要數(shù)字簽名概述

常規(guī)數(shù)字簽名方法

特殊數(shù)字簽名方法數(shù)字簽名法律26十一月2022第三章數(shù)字簽名技術(shù)第10頁第三章數(shù)26十一月2022第三章數(shù)字簽名技術(shù)第51頁RSA數(shù)字簽名系統(tǒng)RSA算法中數(shù)字簽名技術(shù)實際上是通過一個哈希函數(shù)來實現(xiàn)的。數(shù)字簽名的特點是它代表了文件的特征，文件如果發(fā)生改變，數(shù)字簽名的值也將發(fā)生變化。不同的文件將得到不同的數(shù)字簽名。一個最簡單的哈希函數(shù)是把文件的二進制碼相累加，取最后的若干位。哈希函數(shù)對發(fā)送數(shù)據(jù)的雙方都是公開的。用RSA或其它公開密鑰密碼算法的最大方便是沒有密鑰分配問題（網(wǎng)絡(luò)越復(fù)雜、網(wǎng)絡(luò)用戶越多，其優(yōu)點越明顯）。因為公開密鑰加密使用兩個不同的密鑰，其中有一個是公開的，另一個是保密的。公開密鑰可以保存在系統(tǒng)目錄內(nèi)、未加密的電子郵件信息中、電話黃頁（商業(yè)電話）上或公告牌里，網(wǎng)上的任何用戶都可獲得公開密鑰。而私有密鑰是用戶專用的，由用戶本身持有，它可以對由公開密鑰加密信息進行解密。26十一月2022第三章數(shù)字簽名技術(shù)第11頁RSA數(shù)字26十一月2022第三章數(shù)字簽名技術(shù)第52頁RSA數(shù)字簽名的步驟（1）使用散列編碼將發(fā)送文件加密產(chǎn)生固定長的數(shù)字摘要。（2）發(fā)送方用自己的專用密鑰對摘要進行再加密，形成數(shù)字簽名。（3）將原文和加密的摘要同時傳給對方。（4）接收方用發(fā)送方的公共密鑰對摘要解密，同時對收到的文件用散列編碼加密產(chǎn)生同一摘要。（5）將解密后的摘要和收到的文件再接收方重新加密產(chǎn)生的摘要互相對比驗證。26十一月2022第三章數(shù)字簽名技術(shù)第12頁RSA數(shù)字26十一月2022第三章數(shù)字簽名技術(shù)第53頁Hash簽名Hash簽名是最主要的數(shù)字簽名方法，也稱之為數(shù)字摘要法（DigitalDigest）或數(shù)字指紋法（DigitalFingerPrint）。它與RSA數(shù)字簽名是單獨的簽名不同，該數(shù)字簽名方法是將數(shù)字簽名與要發(fā)送的信息緊密聯(lián)系在一起，它更適合于電子商務(wù)活動。將一個商務(wù)合同的個體內(nèi)容與簽名結(jié)合在一起，比合同和簽名分開傳遞，更增加了可信度和安全性。Hash函數(shù)主要用于完整性校驗和提高數(shù)字簽名的有效性。比較典型的Hash算法有MD2、MD4、MD5、SHA-1算法等。美國將SHA-1作為Hash標(biāo)準(zhǔn)，歐盟RIPE計劃中采用IRIPE-MD算法、RIPEMAC，俄羅斯國家標(biāo)準(zhǔn)中采用GOST算法。26十一月2022第三章數(shù)字簽名技術(shù)第13頁Hash簽26十一月2022第三章數(shù)字簽名技術(shù)第54頁一個Hash函數(shù)滿足：①H可以作用于一個任意長度的數(shù)據(jù)塊；②H產(chǎn)生一個固定長度的輸出；③H(x)對任意給定的x計算相對容易，無論是軟件還是硬件實現(xiàn)；④對任意給定碼h，找到x滿足H(x)=h具有計算不可行性；⑤對任意給定的數(shù)據(jù)塊x，找到滿足H(y)=H(x)的y具有計算不可行性；⑥找到任意數(shù)據(jù)對(x,y)，滿足H(x)=H(y)是計算不可行的。26十一月2022第三章數(shù)字簽名技術(shù)第14頁一個Has26十一月2022第三章數(shù)字簽名技術(shù)第55頁用Hash函數(shù)實驗簽名的方案發(fā)送方X：準(zhǔn)備消息M，計算其散列碼H(M)，用X的私鑰對散列值構(gòu)成簽名Kx-1[H(M)]，并將消息M及簽名Kx-1[H(M)]發(fā)送給Y接收方Y(jié)：對收到的消息M′計算用H(M′)，利用公鑰解密Kx-1[H(M)]，然后比較Kx[Kx-1[H(M)]]和H(M′)，如果Kx[Kx-1[H(M)]]＝H(M′)，則簽名得到驗證。26十一月2022第三章數(shù)字簽名技術(shù)第15頁用Hash26十一月2022第三章數(shù)字簽名技術(shù)第56頁美國數(shù)字簽名標(biāo)準(zhǔn)（DSA）數(shù)字簽名算法（DigitalSignatureAlgorithm，DSA）是Schnorr和ElGamal簽名算法的變種，由美國國家標(biāo)準(zhǔn)化技術(shù)研究院（NIST）和國家安全局共同開發(fā)。DSA是基于離散對數(shù)的難度。

26十一月2022第三章數(shù)字簽名技術(shù)第16頁美國數(shù)字簽26十一月2022第三章數(shù)字簽名技術(shù)第57頁一、DSA算法參數(shù)說明DSA算法中應(yīng)用了下述參數(shù)：p：Lbits長的素數(shù)。L是64的倍數(shù)，范圍是512到1024；q：p-1的160bits的素因子；g：g=hp-1modp，h滿足h<p-1,h(p-1)/qmodp>1；x：1<x<q，x為私鑰；y：y=gxmodp，(p,q,g,y)為公鑰；H(x)：單向Hash函數(shù)。在DSS中選用安全散列算法(SecureHashAlgorithm，SHA)。p,q,g：可由一組用戶共享，但在實際應(yīng)用中，使用公共模數(shù)可能會帶來一定的威脅。26十一月2022第三章數(shù)字簽名技術(shù)第17頁一、DSA26十一月2022第三章數(shù)字簽名技術(shù)第58頁二、簽名及驗證協(xié)議簽名及驗證協(xié)議如下：①P產(chǎn)生隨機數(shù)k，k<q；②P計算r=(gkmodp)modq和s=(k-1(H(m)+xr))modq簽名結(jié)果是(m,r,s)。③驗證時計算

w=s-1modq計算u1=(H(m)*w)modq計算u2=(r*w)modq計算v=((gu1*yu2)modp)modq若v=r，則認為簽名有效。26十一月2022第三章數(shù)字簽名技術(shù)第18頁二、簽名及26十一月2022第三章數(shù)字簽名技術(shù)第59頁DSS簽名和驗證26十一月2022第三章數(shù)字簽名技術(shù)第19頁DSS簽名26十一月2022第三章數(shù)字簽名技術(shù)第60頁橢圓曲線數(shù)字簽名算法（ECDSA）橢圓曲線加密系統(tǒng)是一種運用RSA和DSA來實施的

數(shù)字簽名方法?；跈E圓曲線的數(shù)字簽名具有與RSA數(shù)字簽名和DSA數(shù)字簽名基本上相同的功能，但實施起來更有效，因為橢圓曲線數(shù)字簽名在生成簽名和進行驗證時要必RSA和DSA來得快。橢圓曲線數(shù)字簽名還可以用在一些較小、對資源有一定限制得設(shè)備如智能卡（含有微處理器芯片得塑料片）中。26十一月2022第三章數(shù)字簽名技術(shù)第20頁橢圓曲線數(shù)26十一月2022第三章數(shù)字簽名技術(shù)第61頁第三章數(shù)字簽名技術(shù)

內(nèi)容提要數(shù)字簽名概述

常規(guī)數(shù)字簽名方法特殊數(shù)字簽名方法

數(shù)字簽名法律26十一月2022第三章數(shù)字簽名技術(shù)第21頁第三章數(shù)26十一月2022第三章數(shù)字簽名技術(shù)第62頁特殊數(shù)字簽名方法盲簽名雙聯(lián)簽名團體簽名不可爭辯簽名多重簽名方案代理簽名數(shù)字時間戳26十一月2022第三章數(shù)字簽名技術(shù)第22頁特殊數(shù)字簽26十一月2022第三章數(shù)字簽名技術(shù)第63頁盲簽名一般數(shù)字簽名中，總是要先知道文件內(nèi)容而后才簽署，這正是通常所需要的。但有時需要某人對一個文件簽名，但又不讓他知道文件內(nèi)容，稱為盲簽名，它是由Chaum在1983年最先提出的。在選舉投票和數(shù)字貨幣協(xié)議中會使用到。利用盲變換可以實現(xiàn)盲簽名。盲簽名的基本原理：

（1）A取一文件并以一隨機值乘之，稱此隨機值為盲因子（2）A將此盲文件發(fā)送給B；（3）B對盲文件簽名；（4）A以盲因子除之，得到B對原文件的簽名Chaum將盲變換看做是信封，盲文件是對文件加個信封，而去掉盲因子的過程是打開信封的過程。文件在信封中時無人可讀，而在盲文件上簽名相當(dāng)于在復(fù)寫紙信封上簽名，從而得到了對起文件（信封內(nèi)容）的簽名。26十一月2022第三章數(shù)字簽名技術(shù)第23頁盲簽名一26十一月2022第三章數(shù)字簽名技術(shù)第64頁用RSA算法實現(xiàn)盲簽名第一個盲簽名是Chaum在1985年用RSA算法實現(xiàn)的。下面設(shè)定簽名者B的公鑰參數(shù)為e，私鑰參數(shù)為d，而模為n。下面A讓B進行盲簽名，簽署消息M：(1)A盲變換：選用盲因子k，1＜k＜M，計算：t=Mkemodn，將t傳送給B(2)B簽名：B對t進行簽名，計算S(t)=td=(Mke)dmodn，將簽名S(t)傳送給A；(3)A取得簽名：A計算后取得簽名S=td/kmodn＝Mdmodn26十一月2022第三章數(shù)字簽名技術(shù)第24頁用RSA算26十一月2022第三章數(shù)字簽名技術(shù)第65頁雙聯(lián)簽名在一次電子商務(wù)活動過程種可能同時有兩個有聯(lián)系的消息M1和M2，要對它們同時進行數(shù)字簽名。例如，客戶A有兩個消息，一個是送銀行B的有關(guān)付款帳號信息，即消息M1，另一個是給廠商C的定購信息即消息M2；但要求交送銀行B的數(shù)字簽名不應(yīng)知道M2，送廠商C的數(shù)字簽名不應(yīng)知道M1。雙聯(lián)簽名的使用方法如下:（1）客戶A將給銀行的信息M1和給廠商的信息M2分別生產(chǎn)報文摘要MD1和MD2（2）客戶A將MD1和MD2合在一起生產(chǎn)MD，并簽名（3）客戶A將M1、MD2和MD發(fā)送給銀行，將M2、MD1和MD發(fā)送給廠商26十一月2022第三章數(shù)字簽名技術(shù)第25頁雙聯(lián)簽名26十一月2022第三章數(shù)字簽名技術(shù)第66頁團體簽名團體簽名具有以下特性：①只有該團體內(nèi)的成員能對消息簽名；②簽名的接收者能夠證實消息是該團體的有效簽名。③簽名的接收者不能決定是該團體內(nèi)哪一個成員簽的名；④在出現(xiàn)爭議時，簽名能夠被“打開”，以揭示簽名者的身份。采用單向Hash函數(shù)，團體簽名是容易實現(xiàn)的：①A對文件的hash簽名。②B對文件的hash簽名。③B將他的簽名交給A。④A把文件、簽名和B的簽名發(fā)給C。⑤C驗證A和B的簽名。A和B能同時或順序地完成①和②，在⑤C可以只驗證其中一人的簽名而不用驗證另一人的簽名。

26十一月2022第三章數(shù)字簽名技術(shù)第26頁團體簽名26十一月2022第三章數(shù)字簽名技術(shù)第67頁一個簡單的團體簽名協(xié)議介紹一個簡單的協(xié)議來完成團體簽名。該協(xié)議使用了一個可信賴的第三方，假設(shè)該團體有n個成員下面簡單的描述該協(xié)議的步驟：(1)第三方產(chǎn)生nxm對密鑰(公鑰私鑰對)；然后給每一個成員m對互異的密鑰(2)第三方把nxm個公鑰用隨機的順序加以公開，作為團體的公鑰表；并要第三方記住每—個成員對應(yīng)哪m對密鑰(3)當(dāng)團體中某—個成員簽名時，從自己的m個私鑰中隨機選擇一個，進行簽名(4)而驗證簽名時，用該團體的公鑰表進行簽名認證即可(5)當(dāng)發(fā)生爭議時，第三方知道密鑰對與成員之間的對應(yīng)關(guān)系，所以可以確定出簽名者是團體中哪一個成員當(dāng)然，上述協(xié)議的較大缺陷在于需要—個第三方。26十一月2022第三章數(shù)字簽名技術(shù)第27頁一個簡單的26十一月2022第三章數(shù)字簽名技術(shù)第68頁無可爭辯簽名不可爭辯簽名是在沒有簽名者自己的合作下不可能驗證簽名的簽名。無可爭辯簽名是為了防止所簽名文件被復(fù)制，有利于產(chǎn)權(quán)擁有者控制產(chǎn)品的散發(fā)。不可爭辯簽名1989年由Chaum和Antwerpen引入，這類簽名有一些特點，適用于某些應(yīng)用，如電子出版系統(tǒng)，以利于對知識產(chǎn)權(quán)的保護。在簽名人合作下才可能驗證簽名，又會給簽名者一種機會，在不利于他時可拒絕合作，因而不具有“不可否認性”。不可爭辯簽名除了一般簽名體制中的簽名算法和驗證算法（或協(xié)議）外，還需要第三個組成部分，即否認協(xié)議；簽名者利用不可爭辯簽名可向法庭或公眾證明一個偽造的簽名的確是假的；但如果簽名者拒絕參與執(zhí)行否認協(xié)議，就表明簽名真的由他簽署。26十一月2022第三章數(shù)字簽名技術(shù)第28頁無可爭辯簽26十一月2022第三章數(shù)字簽名技術(shù)第69頁多重簽名多重數(shù)字簽名的目的是將多個人的數(shù)字簽名匯總成一個簽名數(shù)據(jù)進行傳送，簽名收方只需驗證一個簽名便可確認多個人的簽名。多重數(shù)字簽名方案可分為兩類：有序多重數(shù)字簽名方案廣播多重數(shù)字簽名方案。設(shè)U1，U2，…，Un為n個簽名者，他們的密鑰分別為xi，相應(yīng)的公鑰為yi=gximodp（i=1，2，…，n）。他們所形成的對消息m的n個簽名分別為（ri，si），其中ri=gkimodp和si=xim+kirmodp-1（i=1，2，…，n），這里r＝rimodp，形成的簽名（ri，si）滿足方程gsi=yimrirmodp。n個簽名人最后形成的多重簽名為：（m，r，s）=（m，rimodp，simodp-1），它滿足方程gs=ymrrmodp，其中y=yimodp。26十一月2022第三章數(shù)字簽名技術(shù)第29頁多重簽名26十一月2022第三章數(shù)字簽名技術(shù)第70頁代理簽名代理簽名（ProxySignature）是指定某人代替自己簽署，也稱為委托簽名。由此就引來問題，如何在不把自己的私鑰給代理人的情況下，而使代理人又替代自己完成簽名的功能。代理簽名一般應(yīng)具有如下特點：可區(qū)分性，代理簽名與某人的通常簽