第4章身份認(rèn)證和數(shù)字簽名身份認(rèn)證技術(shù)數(shù)字簽名4.1身份認(rèn)證技術(shù)

4.1身份認(rèn)證技術(shù)身份認(rèn)證的概述非密碼的認(rèn)證機(jī)制基于密碼的認(rèn)證機(jī)制零知識(shí)證明技術(shù)4.1.1概述身份認(rèn)證是驗(yàn)證主體的真實(shí)身份與其所聲稱的身份是否符合的過(guò)程。認(rèn)證是最重要的安全服務(wù)之一（所有其它的安全服務(wù)都依賴于該服務(wù)）；認(rèn)證可以對(duì)抗假冒攻擊的威協(xié)；認(rèn)證可以用來(lái)確保身份，獲得對(duì)聲稱者所聲稱的事實(shí)的信任。認(rèn)證的結(jié)果只有兩個(gè)：符合和不符合。適用于用戶、進(jìn)程、系統(tǒng)、信息等。4.1.1概述身份認(rèn)證系統(tǒng)的組成：(1)出示證件的人，稱作示證者P(Prover)，又稱聲稱者(Claimant)。(2)驗(yàn)證者V（Verifier),檢驗(yàn)聲稱者提出的證件的正確性和合法性，決定是否滿足要求。4.1.1概述身份認(rèn)證的方法主要有：(1)聲稱者證明他知道某事或某物，例如口令；(2)聲稱者證明他擁有某事或某物，例如物理密鑰或卡；(3)聲稱者展示某些必備的不變特性，例如指紋；(4)聲稱者在某一特定場(chǎng)所（也可能在某一特定時(shí)間）提供證據(jù)；(5)驗(yàn)證者認(rèn)可某一已經(jīng)通過(guò)認(rèn)證的可信方。4.1.1概述身份認(rèn)證有多種認(rèn)證機(jī)制：非密碼認(rèn)證機(jī)制；基于密碼的認(rèn)證機(jī)制；基于認(rèn)證協(xié)議的認(rèn)證機(jī)制（該內(nèi)容于第6章詳細(xì)介紹）。4.1.2非密碼的認(rèn)證機(jī)制 1．口令認(rèn)證機(jī)制

2．基于地址的認(rèn)證機(jī)制

3．基于個(gè)人生理特征的認(rèn)證機(jī)制

4．個(gè)人認(rèn)證令牌4.1.2非密碼的認(rèn)證機(jī)制1.口令機(jī)制在某種程度上，口令或個(gè)人識(shí)別號(hào)（PIN）機(jī)制是最實(shí)用的一種機(jī)制?？诹钫J(rèn)證是最古老最簡(jiǎn)單的一種認(rèn)證方法，經(jīng)常作為系統(tǒng)的默認(rèn)設(shè)置?？诹钫J(rèn)證包括：可重用口令認(rèn)證；一次性口令認(rèn)證；挑戰(zhàn)應(yīng)答口令認(rèn)證；混合口令認(rèn)證。1.口令機(jī)制(1)可重用口令認(rèn)證可重用口令認(rèn)證一般采用客戶端認(rèn)證的方式，通常由申請(qǐng)使用系統(tǒng)資源的用戶發(fā)起。用戶請(qǐng)求服務(wù)器的認(rèn)證，然后被授權(quán)使用系統(tǒng)資源。常見(jiàn)的用戶登錄功能就是采用的可重用口令認(rèn)證。該認(rèn)證方式實(shí)現(xiàn)簡(jiǎn)單。1.口令機(jī)制可重用口令認(rèn)證口令系統(tǒng)有很多弱點(diǎn)，如口令泄露、口令猜測(cè)、線路竊聽(tīng)、危及驗(yàn)證者攻擊和重放攻擊?？诹钚孤妒侵肝词跈?quán)的人借助系統(tǒng)外普通網(wǎng)絡(luò)或系統(tǒng)操作獲取口令，主要是因?yàn)橛脩舻氖褂煤痛鎯?chǔ)不當(dāng)造成的，如：為防忘掉口令,把它寫到一不安全的地方；在一個(gè)未受保護(hù)的管理文件中存儲(chǔ)口令；合法用戶可通過(guò)打電話從系統(tǒng)管理者處獲得別人的口令。1.口令機(jī)制口令猜測(cè)是攻擊口令機(jī)制最常用的辦法，如用戶設(shè)置口令時(shí)傾向于用特定的字母串作口令、用短口令、在系統(tǒng)安裝時(shí)為標(biāo)準(zhǔn)用戶/賬戶名所設(shè)置的預(yù)設(shè)口令或者用戶的生日名字等作口令如果口令在網(wǎng)絡(luò)傳輸過(guò)程中沒(méi)有做任何的機(jī)密性措施，線路竊聽(tīng)可以快速的獲取到用戶的認(rèn)證口令。即使對(duì)口令做了簡(jiǎn)單的變換處理，仍然可能存在安全問(wèn)題。1.口令機(jī)制1.口令機(jī)制(2)一次性口令機(jī)制一次性口令認(rèn)證也被稱為會(huì)話認(rèn)證，認(rèn)證中的口令只能被使用一次，然后被丟棄，從而減少了口令被破解的可能性。在一次性口令認(rèn)證中，口令值通常是被加密的，避免明文形式的口令被攻擊者截獲。最常見(jiàn)的一次性口令認(rèn)證方案是S/Key和Token方案。1.口令機(jī)制(2)一次性口令機(jī)制S/Key口令基于MD4和MD5加密算法產(chǎn)生，采用客戶-服務(wù)器模式?？蛻舳素?fù)責(zé)用hash函數(shù)產(chǎn)生每次登陸使用的口令，服務(wù)器端負(fù)責(zé)一次性口令的驗(yàn)證，并支持用戶密鑰的安全交換。在認(rèn)證的預(yù)處理過(guò)程中，服務(wù)器將種子以明文形式發(fā)送給客戶端，客戶端將種子和密鑰拼接在一起得到S。然后，客戶端對(duì)S進(jìn)行hash運(yùn)算得到一系列一次性口令。S/Key保護(hù)認(rèn)證系統(tǒng)不受外來(lái)的被動(dòng)攻擊，但是無(wú)法阻止竊聽(tīng)者對(duì)私有數(shù)據(jù)的訪問(wèn)，無(wú)法防范攔截并修改數(shù)據(jù)包的攻擊，無(wú)法防范內(nèi)部攻擊。1.口令機(jī)制(2)一次性口令機(jī)制Token（令牌）口令要求在產(chǎn)生口令的時(shí)候使用認(rèn)證令牌。根據(jù)令牌產(chǎn)生的不同，又分為兩種方式：時(shí)間同步式和挑戰(zhàn)/應(yīng)答式。①時(shí)間同步式在這種方式中，服務(wù)器上存儲(chǔ)有用戶的種子密鑰，用來(lái)產(chǎn)生口令。用戶擁有的口令卡里同樣存儲(chǔ)有用戶的種子密鑰。進(jìn)行認(rèn)證時(shí)，用戶向系統(tǒng)提供PIN值以及由口令卡根據(jù)當(dāng)前時(shí)間計(jì)算的口令值。服務(wù)器將用戶提供的口令和自己計(jì)算所得的口令進(jìn)行對(duì)比，認(rèn)證用戶。1.口令機(jī)制時(shí)間同步式1.口令機(jī)制(2)一次性口令機(jī)制②挑戰(zhàn)/應(yīng)答式挑戰(zhàn)/應(yīng)答式也稱為詢問(wèn)/應(yīng)答，可以擴(kuò)張基于口令的方案，能大大地提高抵抗重放攻擊的能力，但通常通信代價(jià)很高。4.1.2非密碼的認(rèn)證機(jī)制2.基于地址的身份認(rèn)證基于地址的身份認(rèn)證機(jī)制是假定聲稱者的可鑒別性，是以呼叫的源地址為基礎(chǔ)的。在大多數(shù)的數(shù)據(jù)網(wǎng)絡(luò)中，呼叫地址的辨別都是可行的。在不能可靠的辨別地址時(shí)，可以用一個(gè)呼叫-回應(yīng)設(shè)備來(lái)獲取呼叫的源地址。一個(gè)驗(yàn)證者對(duì)每一個(gè)主體都保持一份合法呼叫地址的文件。這種機(jī)制最大的困難時(shí)在一個(gè)臨時(shí)的環(huán)境里維持一個(gè)連續(xù)的主機(jī)和網(wǎng)絡(luò)地址的聯(lián)系。地址的轉(zhuǎn)換頻繁、呼叫-轉(zhuǎn)發(fā)或者重定向引起了一些主要問(wèn)題?；诘刂返纳矸菡J(rèn)證機(jī)制自身不能被作為鑒別機(jī)制，但可以作為其他機(jī)制的有用補(bǔ)充。4.1.2非密碼的認(rèn)證機(jī)制3.基于個(gè)人生理特征的身份認(rèn)證機(jī)制基于生物特征的身份認(rèn)證技術(shù)是利用人體的生理或行為特征進(jìn)行身份認(rèn)證的技術(shù)，即根據(jù)人體各器官或個(gè)人行為具有唯一性、人各不同的特性來(lái)認(rèn)證身份。常見(jiàn)的生物特征識(shí)別技術(shù)主要有：指紋識(shí)別；聲音識(shí)別；手跡識(shí)別；視網(wǎng)膜掃描；虹膜識(shí)別；掌型識(shí)別和掌紋識(shí)別等。人臉識(shí)別和指紋認(rèn)證是發(fā)展比較早也比較成熟的身份認(rèn)證手段。4.1.2非密碼的認(rèn)證機(jī)制4.個(gè)人認(rèn)證令牌密碼技術(shù)不適合在個(gè)人認(rèn)證中直接應(yīng)用，人類不易記住長(zhǎng)的隨機(jī)密鑰向量。當(dāng)有一個(gè)可相互信任的器件時(shí)，口令機(jī)制和基于密碼技術(shù)的機(jī)制可以方便地結(jié)合起來(lái)使用。常用的方法是人首先使用口令向器件認(rèn)證他自己，然后器件使用密碼技術(shù)向最終的驗(yàn)證者認(rèn)證它自己。有兩種情況：一種是從口令推導(dǎo)密鑰；另一種是使用智能卡。4.個(gè)人認(rèn)證令牌(1)口令推導(dǎo)密鑰口令推導(dǎo)密鑰即從一個(gè)身份串和口令值產(chǎn)生一個(gè)56比特的DES密鑰的過(guò)程。這類似于應(yīng)用一個(gè)單向函數(shù)保護(hù)口令，產(chǎn)生的值用于密碼系統(tǒng)的密鑰。為防止保護(hù)的口令被泄漏，從身份-口令到密鑰的變化必須被秘密完成，需要一可信終端。4.個(gè)人認(rèn)證令牌(2)智能卡由一個(gè)或多個(gè)集成電路芯片組成，并封裝成便于人們攜帶的卡片，在集成電路中具有微電腦CPU和存儲(chǔ)器，智能卡具有暫時(shí)或永久的數(shù)據(jù)存儲(chǔ)能力，其內(nèi)容可供外部讀取或供內(nèi)部處理和判斷之用，同時(shí)還具有邏輯處理功能，用于識(shí)別和響應(yīng)外部提供的信息和芯片本身判定路線和指令執(zhí)行的邏輯功能。用于認(rèn)證目的的智能卡的使用與擁有者輸入的PIN有關(guān)。即使卡被丟失或被盜，PIN也可保證智能卡的安全。4.個(gè)人認(rèn)證令牌

(2)智能卡4.1.3基于密碼的認(rèn)證機(jī)制基于密碼的認(rèn)證機(jī)制的原理是使驗(yàn)證者信服聲稱者所聲稱的身份，因?yàn)槁暦Q者知道某一秘密密鑰。鑒別方式又分為了單向認(rèn)證、雙向認(rèn)證和有可信第三方參與的認(rèn)證。4.1.3基于密碼的認(rèn)證機(jī)制1.采用對(duì)稱密碼的認(rèn)證機(jī)制基于對(duì)稱密碼算法的鑒別依靠一定協(xié)議下的數(shù)據(jù)加密處理；通信雙方共享一個(gè)密鑰（通常存儲(chǔ)在硬件中），該密鑰在詢問(wèn)-應(yīng)答協(xié)議中處理或加密信息交換。單向認(rèn)證雙向認(rèn)證4.1.3基于密碼的認(rèn)證機(jī)制2.采用非對(duì)稱密碼的認(rèn)證機(jī)制公鑰認(rèn)證要求每個(gè)用戶首先產(chǎn)生一對(duì)由公鑰和私鑰組成的密鑰對(duì)，并存儲(chǔ)在文件中。每個(gè)密鑰對(duì)由密鑰產(chǎn)生裝置產(chǎn)生，通常是1024到2048比特。用戶把公鑰公布出來(lái)，而私鑰由本人保存。單向認(rèn)證雙向認(rèn)證4.1.3基于密碼的認(rèn)證機(jī)制3．采用第三方認(rèn)證機(jī)制信任的第三方認(rèn)證也是一種通信雙方相互認(rèn)證的方式，但是認(rèn)證過(guò)程必須借助一個(gè)雙方都能信任的第三方，一般而言可以是政府機(jī)構(gòu)或者其他可信賴的機(jī)構(gòu)。當(dāng)兩端欲進(jìn)行連線時(shí)，彼此必須先通過(guò)信任第三方的認(rèn)證，然后才能互相交換密鑰進(jìn)行通信。采用第三方認(rèn)證機(jī)制4.1.4零知識(shí)證明技術(shù)零知識(shí)證明技術(shù)可使信息的擁有者無(wú)需泄露任何信息就能夠向驗(yàn)證者或任何第三方證明它擁有該信息。在網(wǎng)絡(luò)認(rèn)證中，已經(jīng)提出了零知識(shí)技術(shù)的一些變形，例如，F(xiàn)FS方案，F(xiàn)S方案和GQ方案。一般地，驗(yàn)證者頒布大量的詢問(wèn)給聲稱者，聲稱者對(duì)每個(gè)詢問(wèn)計(jì)算一個(gè)回答，而在計(jì)算中使用了秘密信息。通過(guò)檢查這些回答消息（可能需要使用公鑰），驗(yàn)證者可以充分高的信任水平相信生成者的確擁有秘密信息（雖然無(wú)信息泄露）。大部分技術(shù)要求傳輸?shù)臄?shù)據(jù)量較大，并且要求一個(gè)更復(fù)雜的協(xié)議，需要一些協(xié)議交換。4.1.4零知識(shí)證明技術(shù)零知識(shí)證明技術(shù)的原理如下例：有一個(gè)洞，設(shè)P若知道咒語(yǔ)，可打開(kāi)C和D之間的秘密門，不知道者都將走向死胡同中。（1）V站在A點(diǎn)；（2）P進(jìn)入洞中任一點(diǎn)C或D；（3）當(dāng)P進(jìn)洞之后，V走到B點(diǎn)；（4）V叫P：從左邊出來(lái)或從右邊出來(lái)（5）P按要求實(shí)現(xiàn)；（6）P和V重復(fù)執(zhí)行n次。若P不知咒語(yǔ)，只有50%的機(jī)會(huì)猜中V的要求，協(xié)議執(zhí)行n次，則只有2-n的機(jī)會(huì)完全猜中，若n=16，則若每次均通過(guò)V的檢驗(yàn)，V受騙機(jī)會(huì)僅為1/65536。4.1.4零知識(shí)證明技術(shù)最簡(jiǎn)單的零知識(shí)證明：?jiǎn)栴}要求：假如P想說(shuō)服V，使V相信他確實(shí)知道n的因數(shù)p和q，但不能告訴V最簡(jiǎn)單的步驟：①V隨機(jī)選擇一整數(shù)x，計(jì)算x4modn的值，并告訴P；②P求x2modn并將它告訴V；③V驗(yàn)證x4modn；V知道求x2modn等價(jià)于n的因數(shù)分解，若不掌握n的因數(shù)p和q，求解很困難。Fiat-Shamir協(xié)議就是采用的零知識(shí)證明。Fiat-Shamir協(xié)議4.2數(shù)字簽名

4.2數(shù)字簽名數(shù)字簽名概述直接數(shù)字簽名待仲裁的數(shù)字簽名數(shù)字簽名方案有特殊用途的數(shù)字簽名4.2.1概述信息認(rèn)證用以保護(hù)雙方之間的數(shù)據(jù)交換不被第三方侵犯；但它并不能保證雙方自身的相互欺騙。假定A發(fā)送一個(gè)認(rèn)證的信息給B，雙方之間的爭(zhēng)議可能有多種形式：B偽造一個(gè)不同的信息，但聲稱是從A收到的；A可以否認(rèn)發(fā)過(guò)該信息，B無(wú)法證明A確實(shí)發(fā)了該信息；B對(duì)接收到的信息進(jìn)行了修改；C冒充A或者B發(fā)送或者接收保存。數(shù)字簽名可以解決以上爭(zhēng)端。數(shù)字簽名就是利用一套規(guī)則對(duì)數(shù)據(jù)進(jìn)行計(jì)算的結(jié)果，用此結(jié)果能確認(rèn)簽名者的身份和數(shù)據(jù)的完整性（美國(guó)DSS對(duì)數(shù)字簽名的解釋）。4.2.1概述數(shù)字簽名（又稱公鑰數(shù)字簽名、電子簽章）是一種類似寫在紙上的普通的物理簽名，但是使用了公鑰加密領(lǐng)域的技術(shù)實(shí)現(xiàn)，用于鑒別數(shù)字信息的方法。一套數(shù)字簽名通常定義兩種互補(bǔ)的運(yùn)算，一個(gè)用于簽名，另一個(gè)用于驗(yàn)證。數(shù)字簽名，就是只有信息的發(fā)送者才能產(chǎn)生的別人無(wú)法偽造的一段數(shù)字串，這段數(shù)字串同時(shí)也是對(duì)信息的發(fā)送者發(fā)送信息真實(shí)性的一個(gè)有效證明。數(shù)字簽名是非對(duì)稱密鑰加密技術(shù)與數(shù)字摘要技術(shù)的應(yīng)用。數(shù)字簽名應(yīng)滿足三個(gè)基本條件①簽名者不能否認(rèn)自己的簽名；②接收者能夠驗(yàn)證簽名，而其他任何人都不能偽造簽名；③當(dāng)簽名的真?zhèn)伟l(fā)生爭(zhēng)執(zhí)時(shí)，存在一個(gè)仲裁機(jī)構(gòu)或第三方能夠解決爭(zhēng)執(zhí)。4.2.1概述數(shù)字簽名有兩種功效：一是能確定消息確實(shí)是由發(fā)送方簽名并發(fā)出來(lái)的，因?yàn)閯e人假冒不了發(fā)送方的簽名。二是數(shù)字簽名能確定消息的完整性。數(shù)字簽名根據(jù)簽名方式可以分為：直接數(shù)字簽名(directdigitalsignature)和仲裁數(shù)字簽名(arbitrateddigitalsignature)。4.2.2直接數(shù)字簽名（1）采用公開(kāi)密鑰的數(shù)字簽名使用發(fā)送方的私鑰K’a對(duì)消息M進(jìn)行數(shù)字簽名（此時(shí)并沒(méi)有對(duì)消息進(jìn)行加密，因?yàn)槿魏稳硕伎梢垣@得公鑰對(duì)消息M進(jìn)行查看）4.2.2直接數(shù)字簽名（2）具有保密功能的公鑰數(shù)字簽名4.2.2直接數(shù)字簽名（3）采用消息摘要的數(shù)字簽名使用消息摘要的數(shù)字簽名（不需要對(duì)整個(gè)消息進(jìn)行簽名，速度更快）直接數(shù)字簽名的問(wèn)題直接數(shù)字簽名方案：僅涉及通信雙方。簽名方案的有效性依賴于發(fā)送方的私密密鑰的安全性；發(fā)送方要抵賴發(fā)送某一消息時(shí)，可能會(huì)聲稱其私有密鑰丟失或被竊，且他人偽造了他的簽名。4.2.3帶仲裁的數(shù)字簽名帶仲裁的數(shù)字簽名是通過(guò)引入仲裁者來(lái)解決直接簽名方案的問(wèn)題。通常的做法是：所有從發(fā)送方A到接收方B的簽名消息首先送到仲裁者Y，Y將消息及其簽名進(jìn)行一系列測(cè)試，以檢查其來(lái)源和內(nèi)容，然后將消息加上日期并與已被仲裁者驗(yàn)證通過(guò)的指示一起發(fā)給B。思考：A還能否認(rèn)他的簽名嗎？仲裁者在這一類簽名模式中扮演敏感和關(guān)鍵的角色。所有的通信方必須充分信任仲裁機(jī)構(gòu)。仲裁者是除通信雙方之外，值得信任的公正的第三方；“公正”意味著仲裁者對(duì)參與通信的任何一方?jīng)]有偏向；“值得信任”表示所有人都認(rèn)為仲裁者所說(shuō)的都是真實(shí)的，所做的都是正確的。例：律師、銀行、公證人（現(xiàn)實(shí)生活）；在計(jì)算機(jī)網(wǎng)絡(luò)中，由可信機(jī)構(gòu)的某臺(tái)計(jì)算機(jī)充當(dāng)。4.2.3帶仲裁的數(shù)字簽名4.2.3帶仲裁的數(shù)字簽名（1）對(duì)稱加密，仲裁能看到消息IDA：發(fā)送方A的標(biāo)識(shí)符；簽名：EKAY[IDA‖||H（M）]；KAY:A和Y共享的對(duì)稱密鑰解決糾紛的過(guò)程：B：向Y發(fā)送EKYB[IDA||M||EKAY[IDA||H(M)]]Y：用KYB恢復(fù)IDA，M，和簽名EKAY[IDA||H(M)]，然后用KAY解密簽名并驗(yàn)證哈希值，從而驗(yàn)證A的簽名4.2.3帶仲裁的數(shù)字簽名（2）對(duì)稱加密，仲裁不能看到消息AB之間共享的密鑰KAB對(duì)消息進(jìn)行加密，仲裁Y看不到消息的明文。雙方仍然要高度信任Y。簽名：EKAY[IDA‖H（EKAB[M]）]4.2.3帶仲裁的數(shù)字簽名（3）公開(kāi)密鑰加密，仲裁不能看到消息仲裁Y通過(guò)EKRA[IDA‖EKUB（EKRA[M]）]進(jìn)行解密，可以確信消息一定來(lái)自于A（因?yàn)锳才有KRA）。簽名：EKRA[IDA‖EKUB（EKRA[M]）]本簽名方案比上述兩個(gè)方案具有以下優(yōu)點(diǎn)：①在通信之前各方之間無(wú)須共享任何信息，從而避免了結(jié)盟欺騙的發(fā)生；②即使KRA暴露，只要KRY未暴露，不會(huì)有日期錯(cuò)誤標(biāo)定的消息被發(fā)送；③從A發(fā)送給B的消息的內(nèi)容對(duì)Y和任何其他人是保密的。4.2.4數(shù)字簽名方案用的數(shù)字簽名方案主要有：利用公鑰密碼體制實(shí)現(xiàn)的數(shù)字簽名；結(jié)合hash函數(shù)和公鑰密碼體制的數(shù)字簽名方案。不管采用哪種數(shù)字簽名方案，都需要用到公鑰密碼體制的數(shù)字簽名，如：RSA數(shù)字簽名方案、EIGamal簽名方案等。4.2.4數(shù)字簽名方案1.RSA簽名方案（1）參數(shù)設(shè)置①秘密選取兩個(gè)大參數(shù)，計(jì)算n=pq,φ(n)=(p-1)(q-1)；②隨機(jī)選取正整數(shù)1<e<φ(n)，滿足gcd(φ(n),e)=1，e為公開(kāi)密鑰；③計(jì)算d，滿足d=e-1modφ(n)，d為私有密鑰。（2）簽名算法對(duì)于消息m∈Zn,簽名為:S=Sig(m)=mdmodn。（3）驗(yàn)證算法驗(yàn)證者計(jì)算：m′=Semodn，并判斷m′和m是否相等。4.2.4數(shù)字簽名方案2.EIGamal簽名方案ElGamal于1985年提出，很大程度上為Diffe-Hellman密鑰交換算法的推廣和變形。分為兩種情形:p是大素?cái)?shù)，?q=p或者?q是p-1的大素因子。DSS(數(shù)字簽名標(biāo)準(zhǔn))是后者的一種變形，該方案是特別為簽名的目的而設(shè)計(jì)的。這個(gè)方案的改進(jìn)已被美國(guó)NIST（國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所）采納作為數(shù)字簽名標(biāo)準(zhǔn)。4.2.4數(shù)字簽名方案2.EIGamal簽名方案DSS使用SHA作為散列函數(shù)，安全性基于計(jì)算離散對(duì)數(shù)的困難性。（1）DSS算法說(shuō)明--算法參數(shù)全局公開(kāi)密鑰分量:①p:素?cái)?shù),其中2L-1<p<2L,512≤L<1024,且L為64的倍數(shù):即比特長(zhǎng)度在512到1024之間,長(zhǎng)度增量為64比特；②q:(p-1)的素因子,其中2159<q<2160；③g=h(p-1)/qmodp,其中h是一整數(shù),1<h<(p-1)；用戶私有密鑰:x隨機(jī)或偽隨機(jī)整數(shù),其中0<x<q用戶公開(kāi)密鑰：（y,g,p）,其中y=gxmodp4.2.4數(shù)字簽名方案2.EIGamal簽名方案（2）DSS算法的簽名過(guò)程用戶每個(gè)報(bào)文的密鑰：k隨機(jī)或偽隨機(jī)整數(shù)，其中0<k<q簽名：r=(gkmodp)modqs=[k-1(H(M)+xr)]modq簽名=(r,s)發(fā)送簽名（r,s）和消息其中符號(hào)的含義分別為:M要簽名的消息；H(M)使用SHA-1生成的M的散列碼；M′,r′,s′接收到的M,r,s版本。4.2.4數(shù)字簽名方案2.EIGamal簽名方案（3）DSS算法的驗(yàn)證過(guò)程驗(yàn)證：w=(s′)-1modqu1=[H(M′)w]modq,u2=(r′)wmodqv=[(gu1yu2)modp]modqTEST:v=r′4.2.4數(shù)字簽名方案2.EIGamal簽名方案（4）實(shí)例假設(shè)取q=101,p=78*9+1=7879。3為7879的一個(gè)本原元，所以能取g=378(mod7879)=170為模p的q次單位根；假設(shè)x=75，那么y=gx(mod7879)=4567?，F(xiàn)在，假設(shè)Bob想簽名一個(gè)消息m=1234，且他選擇了隨機(jī)值k=50，可算得k-1(mod101)=99，簽名算出:r=(17050(mod7879)(mod101)=2518(mod101)=94s=(1234+75*94)*99(mod101)=97簽名后的信息為：12349497。驗(yàn)證：w=97-1(mod101)=25，U1=1234*25(mod101)=45，U2=94*25(mod101)=27，(17045*456727(mod7879))(mod101)=2518(mod101)=94因此該簽名是有效的。4.2.4數(shù)字簽名方案2.EIGamal簽名方案（5）DSS的特點(diǎn)DSS的簽名比驗(yàn)證快得多；DSS不能用于加密或者密鑰分配；若p為512位，q為160位，而DSS只需要兩個(gè)160位，即320位。4.2.4數(shù)字簽名方案2.EIGamal簽名方案（6）DSS使用中的問(wèn)題：s≠0S-1modq要存在s≠0modq，如果發(fā)生，接收者可拒絕該簽名，要求重修構(gòu)造該簽名。實(shí)際上，s≡0modq的概率非常小（2-160）。因?yàn)橛脩舢a(chǎn)生的簽名s=0，會(huì)泄露私鑰：S=0=k-1[H(m)+xr]modqX=-H(m)r-1modq不能將簽名所使用的隨機(jī)