杨波, 《现代密码学(第2版)》07.pptVIP

7.2.2 数字签字算法DSA DSA是在ElGamal和Schnorr两个签字方案（见下一节）的基础上设计的，其安全性基于求离散对数的困难性。 算法描述如下： (1) 全局公开钥 p：满足2L-1p2L 的大素数，其中512≤L≤1024且L是64的倍数。 q：p-1的素因子，满足2159q2160 ，即q长为160比特。 g：g≡h(p-1)/q mod p，其中h是满足1hp-1且使得h(p-1)/q mod p1的任一整数。 (2) 用户秘密钥x x是满足0xq的随机数或伪随机数。 (3) 用户的公开钥y y≡gx mod p。 (4) 用户为待签消息选取的秘密数k k是满足0kq的随机数或伪随机数。 (5) 签字过程 用户对消息M的签字为(r, s)， 其中r≡(gk mod p) mod q, s≡[k-1(H(M)+xr)] mod q，H(M)是由SHA求出的杂凑值。 (6) 验证过程 设接收方收到的消息为M′，签字为(r′,s′)。计算 w≡(s′)-1 mod q, u1≡[H(M′)w] mod q u2≡r′ w mod q, v≡[(gu1yu2) mod p] mod q 检查 ，若相等，则认为签字有效。这是因为若(M′,r′,s′) = (M, r, s)，则 算法的框图如图7.3所示，其中的4个函数分别为 s