數(shù)字簽名是公鑰密碼學(xué)發(fā)展過程中最重要的概念之一，它可以提供其他方法難以實現(xiàn)的安全性。下圖是產(chǎn)生和使用數(shù)字簽名過程的一般模型。第十三章–數(shù)字簽名Bob可以使用數(shù)字簽名生成算法對消息簽名，生成算法的輸入是消息和Bob的私鑰。其他任何用戶，如Alice能夠使用驗證算法來驗證簽名，驗證算法輸入時的消息、簽名和Bob的公鑰。下圖說明了數(shù)字簽名機制的本質(zhì)：第十三章–數(shù)字簽名特性消息認證可以保護信息交換雙方不受第三方的攻擊，但是它不能處理通信雙方自身發(fā)生的攻擊，這種攻擊可以由多種形式。例如，假定John使用消息加密(見12章)的某種方法給Mary發(fā)送一條認證消息?？紤]下面兩種情形：(1)Marry可以偽造一條消息并稱該消息發(fā)自John。Mary只需產(chǎn)生一條消息，用John和Mary共享的密鑰產(chǎn)生認證碼，并將認證碼附于消息之后。(2)John可以否定曾發(fā)送過某條消息。因為Mary可以偽造消息，所以無法證明John確實發(fā)送過該消息。13.1數(shù)字簽名簡介第十三章–數(shù)字簽名這兩種情形都是法律關(guān)注的。例如，對于第一種情形，在進行電子資金轉(zhuǎn)賬時，接收方可以增加轉(zhuǎn)賬資金，并聲稱這是來自發(fā)送方的轉(zhuǎn)賬資金額；對于第二種情形，股票經(jīng)紀人收到有關(guān)電子郵件消息，要他進行一筆交易，而這筆交易后來賠錢了，但是發(fā)送方可以偽稱從未發(fā)送過這條消息。在收發(fā)雙方不能完全信任的情況下，就需要除認證之外的其他方法來解決這些問題。數(shù)字簽名是解決這個問題的最好方法。數(shù)字簽名必須具有下列特征：它必須能驗證簽名者、簽名日期和時間。它必須能認證被簽的消息內(nèi)容。簽名應(yīng)能由第三方仲裁，以解決爭執(zhí)。因此，數(shù)字簽名具有認證功能。13.1數(shù)字簽名簡介攻擊和偽造參考文件給出了危害程度從高到低的下列攻擊類型。這里A代表其簽名方案遭受攻擊的用戶，C代表攻擊者。唯密鑰攻擊：C僅知道A的公鑰。已知消息攻擊：C掌握一些消息以及對應(yīng)的合法簽名。一般選擇消息攻擊：在攻擊A的簽名方案之前，C首先選擇一些消息，而無須知道A的公鑰。然后C對于這些選擇的消息從A處獲得合法簽名。該攻擊是一般性的，因為與A的公鑰無關(guān)，同樣的攻擊可用于其他用戶。定向選擇消息攻擊：同一般選擇消息攻擊類似，不同的是攻擊者選擇消息的時間是在C掌握A的公鑰之后，在簽名生成之前。適應(yīng)性選擇消息攻擊：允許C將A作為“oracle”進行輪詢。這意味著A可以被要求對于特定的消息簽名，而這些消息與C之前已獲得的<消息-簽名>對相關(guān)。13.1數(shù)字簽名簡介參考文獻還定義了何謂成功的攻擊簽名方案，即C能夠以一定的概率進行下列攻擊：完全破譯：C判斷出A的私鑰。通用偽造：C掌握一個有效的簽名方法，使得對于任意消息都能夠等價的構(gòu)造出合法簽名。選擇偽造：C對于所選特定消息能夠偽造出合法簽名。存在性偽造：C至少可以偽造出一個消息的合法簽名，但C不能控制該消息的選擇。這種偽造對于A的危害最低。13.1數(shù)字簽名簡介數(shù)字簽名需求根據(jù)剛才討論的基本特性和攻擊，數(shù)字簽名應(yīng)滿足下列條件：簽名必須是與消息相關(guān)的二進制位串。簽名必須使用發(fā)送方某些獨有的信息，以防偽造和否認。產(chǎn)生數(shù)字簽名比較容易。識別和驗證簽名比較容易。偽造數(shù)字簽名在計算上是不可行的。無論是從給定的數(shù)字簽名偽造消息，還是從給定的消息偽造數(shù)字簽名，在計算上都是不可行的。保存數(shù)字簽名的副本是可行的。安全Hash函數(shù)在基于前邊所述的數(shù)字簽名方案中被使用，提供了滿足上述條件的基礎(chǔ)。13.1數(shù)字簽名簡介直接數(shù)字簽名直接數(shù)字簽名指只涉及通信雙方(發(fā)送方和接收方)的數(shù)字簽名方案。假定接收方已知發(fā)送方的公鑰。用共享的秘鑰(對稱密碼)對整個消息和簽名加密，則可以獲得保密性。注意這里是先進行簽名，然后才執(zhí)行外層的加密，這樣在發(fā)生爭執(zhí)時，第三方可以查看消息及其簽名。若先對消息加密，然后才對消息的密文簽名，那么第三方必須知道解密密鑰才能讀取原始消息。但是簽名若在內(nèi)層進行，那么接收方可以存儲明文形式的消息及其簽名，已被將來解決爭執(zhí)時使用。13.1數(shù)字簽名簡介上述直接簽名方法都有這樣一個弱點，即這些方法的有效性依賴于發(fā)送方密鑰的安全性，如果發(fā)送方想否認以前曾發(fā)送過某條消息，那么他可以稱其私鑰已丟失或被盜用，其他人偽造了他的簽名。雖然在某種程度上這種威脅可能存在，但我們可以通過在私鑰的安全性方面進行管理和控制來阻止或至少減少這種情況的發(fā)生。例如，可以要求每條要簽名的消息都包含一個時間戳(日期和時間)，以及在密鑰被泄露后應(yīng)立即向管理中心報告。另一種可能的威脅是，X的私鑰可能在時刻T被盜用，但攻擊者可用X的簽名發(fā)一條消息并加蓋一個在T或T之前的時間戳。被廣泛接受的克服以上問題的方法是，使用數(shù)字證書的證書管理中心(CA)。13.1數(shù)字簽名簡介

13.2ElGamal數(shù)字簽名方案第十三章–數(shù)字簽名

13.2ElGamal數(shù)字簽名方案

13.2ElGamal數(shù)字簽名方案

13.3Schnorr數(shù)字簽名方案第十三章–數(shù)字簽名

13.3Schnorr數(shù)字簽名方案

13.3Schnorr數(shù)字簽名方案美國國家標準與技術(shù)研究所(NIST)發(fā)布的聯(lián)邦信息處理標準FIPS186，稱為數(shù)字簽名算法(DSA)。DSA方法DSA使用的是只能提供數(shù)字簽名功能的算法。與RSA不同，DSA雖然是一種公鑰密碼算法，但是不能用于加密或密鑰交換。下圖對用DSA產(chǎn)生數(shù)字簽名和用RSA產(chǎn)生數(shù)字簽名這兩種方法進行了對比。13.4數(shù)字簽名標準第十三章–數(shù)字簽名在RSA方法中，Hash函數(shù)的輸入時要簽名的消息，輸出是定長的Hash碼，用發(fā)送方的私鑰將該Hash碼加密形成簽名，然后發(fā)送消息及其簽名。接收方收到消息，計算Hash碼。接收方用發(fā)送方的公鑰對簽名解密，如果計算出的Hash碼與解密出的結(jié)果相同，則認為簽名是有效的。因為只有發(fā)送方擁有私鑰，所以只有發(fā)送方能夠產(chǎn)生有效的簽名。13.4數(shù)字簽名標準

13.4數(shù)字簽名標準數(shù)字簽名算法DSA是建立在求離散對數(shù)之困難性以及ElGamal和Schnorr最初提出的方法之上的。下圖為對DS