13-数字签名(下)教程.pptVIP

普通数字签名 容易进行复制 任何人都可以进行签名的验证 应用：公开声明、宣传广告 缺点：版权保护 不可否认签名 不可否认签名(Undeniable Signatures) 指数字签名能够被证明是有效的，但是没有签名者的同意，接收者不能正确进行签名验证。 这类签名的验证过程，需要签名者的合作。 问题——如何防止签名者抵赖？ 不可否认签名 不可否认签名 (David Chaum,Hans van Antwerpen, SJ Amsterdam) 签名算法 验证算法 否认协议 签名者可执行否认协议证明签名为“假” 签名者如果不执行否认协议则表明签名为“真” 不可否认签名 不可否认签名 参数准备 随机选择大素数p、q，其中p=2q+1，即p是安全素数(参见第5章公钥密码参数p138、p147等) 选择 的q阶生成元α， 参数(p, α)公开 随机选取整数 ，计算 签名者的公钥是 ，私钥是 。 不可否认签名 不可否认签名 签名算法 设待签名的消息为M， 用户的签名为： 签名者把签名S发送给接收者 不可否认签名 不可否认签名 验证算法 接收者选择随机数 接收者计算 ，并发送给签名者 签名者计算 ，并保留(保密) 签名者计算 ，并发送给接收者 接收者判定签名是否满足： 不可否认签名 不可否认签名 验证算法的证明 根据 ， ， 可得 不可否认签名 不可否认签名 攻击者伪造签名的成功概率 攻击者穷举签名者的私钥 私钥的取值空间是[1,q-1] 攻击者随机猜测正确的概率 伪造签名成功的概率不超过 不可否认签名 不可否认签名 如果签名者想抵赖合法签名——验证算法 接收者选择随机数 接收者计算 ，并发送给签名者 签名者计算 ，并保留(保密) 签名者计算 ，并发送给接收者 接收者判定签名是否满足： 不可否认签名 不可否认签名 如果签名者想抵赖合法签名——验证算法 方法1：签名者拒绝参与验证算法 方法2：签名者发送给接收者假的 即 方法3：签名者忠实地配合执行验证算法，但不认可签名S 不可否认签名 不可否认签名 否认协议(Disavowal Protocol) 接收者选择随机数 接收者计算 ，并发送给签名者 签名者计算 ，并保留(保密) 签名者计算 ，并发送给接收者 接收者判定签名是否满足： 如果满足，则验证签名通过；否则重复上述过程 不可否认签名 不可否认签名 否认协议(Disavowal Protocol) 接收者选择随机数 接收者计算 ，并发送给签名者 签名者计算 ，并保留(保密) 签名者计算 ，并发送给接收者 接收者判定签名是否满足： 如果满足，则验证签名通过；否则接收者继续判断 不可否认签名 不可否认签名 否认协议(Disavowal Protocol) 接收者判断 如果上式成立，说明签名者(高概率地)没有说谎(提供了真实的d，D)，签名S确实为假 如果上式不成立，说明签名者在配合验证过程应答有误，签名S不能被否认 不可否认签名 不可否认签名 否认协议(Disavowal Protocol) 证明：(无论签名S为真或假) 同理 不可否认签名 不可否认签名 否认协议(Disavowal Protocol) 证明：(无论签名S为真或假) ， 因此 由于随机数 签名者并不知道，所以签名者无法刻意选择 d，D使得上式成立 如果签名者应答d，D有误，上式成立概率 不可否认签名 在普通数字签名中，签名者总是先知道数据的内容后才实施签名，这是通常的办公事务所需要的。但有时却需要某个人对某数据签名，而又不能让他知道数据的内容。称这种签名为盲签名（