2密码学基础解说.pptVIP

* * * k=s^(-1)(H(M)+xr) mod q k=a+bx mod q g^k=g^(a+bx mod q) mod p * s+xe=r mod q * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * EIGamal签名方案 该方案是特别为签名的目的而设计的。1985年提出，很大程度上为Diffie-Hellman密钥交换算法的推广和变形。这个方案的改进已被美国NIST（国家标准和技术研究所）采纳作为数字签名标准。方案的安全性依赖于求离散对数的困难性。 * 公钥：p:素数， gp（p,g可由一组用户共享） y=gx (mod p) 私钥：xp 签名：k:随机选取，与p-1互素， a（签名）=g k mod p， b（签名）满足 M = (xa+kb) mod ( p-1) (即有：b = ( M- xa)k-1 mod (p-1) ) 验证：如果 ya ab (mod p ) = gM (mod p)，则签名有效。 EIGamal签名方案 * 全局公钥（p，q，g） p为512～1024bit的大素数， q是（p－1）的素因子，为160比特的素数， g:=h(p-1)/q mod p, 且1h(p-1),使得 h(p-1)/q mod p 1 用户私钥x：x为0xq内的随机数 用户公钥y：y=gx mod p 数字签名标准DSS * 用户每个消息用的秘密随机数k：0kq; 签名过程：对报文M，签名为（r，s） r = (gk mod p) mod q s = (k-1(H(M) + xr) ) mod q 验证： w ＝ s-1 mod q a = ( H(M)w ) mod q b = rw mod q v = ( ( ga , yb) mod p) mod q Ver（M，r，s）＝ 真 if v = r 数字签名标准DSS * Schnorr签名 令待签消息为M，对给定的M做下述运算： 任选一秘密随机数k∈Zq 计算签名S = ( e, s) r ≡ gk mod p s ? k - xe mod q 式中e = H ( r || M )。 验证签名S = ( e, s) r’ ≡ gs ye mod p而后计算H( r’|| M)。 验证H( r’|| M) = e Okamoto签名体制 (1) 体制参数 p：大素数，且p ? 2512； q：大素数，q | (p ? 1)，且q ? 2512； g1、g2：两个与q同长的随机数； x1、x2：用户A的私钥，两个小于q的随机数； y：用户A的公钥，(mod p) Okamoto签名体制 (2) 签名的产生过程 对于待签名的消息m，A执行一下步骤： 选择两个小于q的随机数k1、k2 ? RZq*； 计算杂凑值：e = H( , m)； 计算：s1 = (k1 + e x1) (mod q) ； 计算：s2 = (k2 + e x2) (mod q) ； 以( e, s1, s2 )作为对m的数字签名 Okamoto签名体制 收方在收到消息m和数字签名(e, s1, s2)后，通过一下步骤来验证签名的有效性： 计算 ； 计算e’ = H(v, m)； 验证：Ver (y, (e, s1, s2), m) = True ? e’ = e； 其正确性可通过下式证明 基于椭圆曲线的数字签名算法ECDSA 椭圆曲线数字签名算法 （ECDSA：Elliptic Curve Digital Signature Algorthm）和RSA与DSA的功能相同，并且数字签名的产生与验证速度要比RSA和DSA快 基于椭圆曲线的数字签名算法ECDSA 设待签的消息为m；全局参数D = (q, FR, a, b, G, n, h)，还有签名者的公钥私钥对(Q, d)。 签名的算法步骤描述如下： (1) 选择一个随机数k，k ? [1, n ? 1]； (2) 计算k G = (x1, y1)； (3) 计算r = x1 mod n；如果r = 0，则回到步骤(1)； (4) 计算k ? 1 mod n； (5) 计算e = SHA1 (m)； (6) 计算s = k ? 1(e + d r) mod n，如果s = 0，则回到步骤(1)； (7) 对消息的签名为(r, s)。 最后签名者就可以把消息m和签名(r, s)发送给接收者 基于椭圆曲线的数字签名算法ECDSA 当接收者收到消息m和