1數(shù)字簽名《現(xiàn)代密碼學(xué)》第八講2數(shù)字簽名的基本概念手寫(xiě)簽名與數(shù)字簽名的區(qū)別手寫(xiě)簽名是一種傳統(tǒng)的確認(rèn)方式，如寫(xiě)信、簽訂協(xié)議、支付確認(rèn)、批復(fù)文件等.手寫(xiě)簽名是所簽文件的物理組成部分；數(shù)字簽名必須與所簽文件捆綁在一起。手寫(xiě)簽名通過(guò)與標(biāo)準(zhǔn)簽名比較或檢查筆跡來(lái)驗(yàn)證，偽造簽名比較容易；數(shù)字簽名是通過(guò)公開(kāi)的驗(yàn)證算法來(lái)驗(yàn)證。好的數(shù)字簽名算法應(yīng)該偽造簽名十分困難。手寫(xiě)簽名不易復(fù)制；數(shù)字簽名是一個(gè)二進(jìn)制信息，十分容易復(fù)制，所以必須防止數(shù)字簽名重復(fù)使用。3數(shù)字簽名技術(shù)則可有效解決這一問(wèn)題,類(lèi)似于手書(shū)簽名，數(shù)字簽名應(yīng)具有以下性質(zhì)：①能夠驗(yàn)證簽名產(chǎn)生者的身份，以及產(chǎn)生簽名的日期和時(shí)間.②能保證被簽消息的內(nèi)容的完整性.③數(shù)字簽名可由第三方公開(kāi)驗(yàn)證，從而能夠解決通信雙方的上述爭(zhēng)議.數(shù)字簽名在網(wǎng)絡(luò)安全中提供數(shù)據(jù)完整性、數(shù)據(jù)源認(rèn)證性、數(shù)據(jù)不可否認(rèn)性等性質(zhì)數(shù)字簽名的基本概念4數(shù)字簽名的基本概念數(shù)字簽名算法滿(mǎn)足的條件：簽名是可以被確認(rèn)--接受者能夠核實(shí)發(fā)送者對(duì)消息的簽名.簽名是不可偽造--除了發(fā)送者，任何人（包括接受者）不能偽造消息的簽名.簽名是不可重用--同一消息不同時(shí)刻其簽名是有區(qū)別的.簽名是不可抵賴(lài)--發(fā)送者事后不能抵賴(lài)對(duì)消息的簽名，出現(xiàn)爭(zhēng)議時(shí)，第三方可解決爭(zhēng)端.5數(shù)字簽名的攻擊：惟密鑰攻擊：攻擊者只有用戶(hù)公開(kāi)的密鑰.已知消息攻擊：攻擊者擁有一些消息的合法簽名，但是消息不由他選擇.

選擇消息攻擊：攻擊者可以自由選擇消息并獲取消息的簽名.攻擊結(jié)果：完全破譯：攻擊者恢復(fù)出用戶(hù)的密鑰.一致偽造：攻擊者對(duì)于任意消息可以偽造其簽名.選擇性偽造：攻擊者可以對(duì)一個(gè)自己選取的消息偽造簽名.存在性偽造：攻擊者可以生成一些消息的簽名，但在偽造前對(duì)該消息一無(wú)所知.數(shù)字簽名的基本原理解密算法13.713-2ContinuedFigure13.1Digitalsignatureprocess13.813.2.1NeedforKeysFigure13.2AddingkeytothedigitalsignatureprocessAdigitalsignatureneedsapublic-keysystem.Thesignersignswithherprivatekey;theverifierverifieswiththesigner’spublickey.Note13.913.2.1ContinuedAcryptosystemusestheprivateandpublickeysofthereceiver:adigitalsignatureusestheprivateandpublickeysofthesender.Note13.1013.2.2SigningtheDigestFigure13.3Signingthedigest13.1113.3.4ConfidentialityAdigitalsignaturedoesnotprovideprivacy.Ifthereisaneedforprivacy,anotherlayerofencryption/decryptionmustbeapplied.Figure13.5AddingconfidentialitytoadigitalsignatureschemeNote13.1213.3.3NonrepudiationFigure13.4UsingatrustedcenterfornonrepudiationNonrepudiationcanbeprovidedusingatrustedparty.Note13.13SigningandVerifying13.5.1ContinuedFigure13.7RSAdigitalsignaturescheme13.14RSASignatureontheMessageDigest13.5.1ContinuedFigure13.8TheRSAsignatureonthemessagedigest15PKCSv2.2簽名過(guò)程21數(shù)字簽名標(biāo)準(zhǔn)DSS數(shù)字簽名標(biāo)準(zhǔn)（DigitalSignatureStandard，簡(jiǎn)稱(chēng)DSS）規(guī)定了用于產(chǎn)生與證實(shí)一個(gè)數(shù)字簽名的一整套算法包括數(shù)字簽名和消息鑒別兩部分功能不能提供保密功能DSS的數(shù)字簽名算法DSA-1發(fā)送方確定全局公開(kāi)密鑰KUG：p,q,g素?cái)?shù)p，素?cái)?shù)q是p-1的因子g=h(p-1)/qmodq,h是整數(shù)發(fā)送方確定公鑰和私鑰私鑰：隨機(jī)數(shù)x，滿(mǎn)足1<x<p公鑰：y=gxmodp發(fā)送方簽名:(r,s)r=(gkmodp)modqs=(k-1(H(M)+xr)modqDSS的數(shù)字簽名算法DSA-2發(fā)送簽名(r,s)和消息M接收方收到簽名(r’,s’)和消息M’不能保證傳輸過(guò)程中沒(méi)有被改動(dòng)接收方驗(yàn)證w=(s’)-1modqu1=[H(M′)w]modqu2=(r′)wmodqv=[(gu1yu2)modp]modqv=r’?25RSA簽名與DSA簽名的異同26RSA簽名與DSA簽名的異同RSA算法既能用于加密和簽名，又能用于密鑰交換;DSS使用的算法只能提供數(shù)字簽名功能.RSA算法是確定算法，相同消息，其簽名相同;DSA是非確定算法，它有隨機(jī)輸入，相同消息簽名不同.RSA的安全性基于分解因子；DSA的安全性基于離散對(duì)數(shù)27282930群(組)簽名群簽名就是一個(gè)群體中一個(gè)成員可以以匿名的方式代表整個(gè)群體對(duì)消息進(jìn)行簽名，一旦發(fā)生爭(zhēng)論，從消息的群簽名中權(quán)威者（組長(zhǎng)）可以辨別簽名者。在實(shí)際中有廣泛的應(yīng)用。特點(diǎn)匿名性可跟蹤性盲簽名盲數(shù)字簽名是一種特殊的數(shù)字簽名，當(dāng)用戶(hù)A發(fā)送消息m給簽名者B時(shí)，一方面要求B對(duì)消息簽名，另一方面又不讓B知道消息的內(nèi)容，也就是簽名者B所簽的消息是經(jīng)過(guò)盲化處理的。盲簽名除具有一般數(shù)字簽名的特點(diǎn)外，還有下面兩個(gè)特征：簽名者無(wú)法知道所簽消息的具體內(nèi)容，雖然他為這個(gè)消息簽了名。（匿名性）即使后來(lái)簽名者見(jiàn)到這個(gè)簽名時(shí)，也不能將之與盲消息對(duì)應(yīng)起來(lái)。（不可跟蹤性）雙重?cái)?shù)字簽名所謂雙重?cái)?shù)字簽名就是在有的場(chǎng)合，發(fā)送者需要寄出兩個(gè)相關(guān)信息給接收者，對(duì)這兩組相關(guān)信息，接收者只能解讀其中一組，另一組只能轉(zhuǎn)送給第三方接收者，不能打開(kāi)看其內(nèi)容。這時(shí)發(fā)送者就需分別加密兩組密文，做兩組數(shù)字簽名，故稱(chēng)雙重