清华大学出版社第6章数字签名技术(免费阅读).pptVIP

课程主要内容 第1章 密码学概述 第2章 古典密码技术 第3章 分组密码 第4章 公钥密码体制 第5章 散列函数与消息鉴别 第6章 数字签名技术 第7章 密钥管理技术 第8章 身份鉴别技术 第9章 序列密码 第10章 密码技术应用 第六章 数字签名技术 本章主要内容 数字签名概述 基于公钥密码体制的典型数字签名方案 RSA数字签名方案 ElGamal数字签名方案 数字签名标准DSS 基于椭圆曲线密码的数字签名算法ECDSA 特殊数字签名方案 不可否认签名 盲数字签名 群签名 第6章 数字签名技术 6.1数字签名概述 数字签名的特性 数字签名实际上是一个把数字形式的消息和某个源发实体相联系的数据串，把它附加在一个消息或完全加密的消息上，以便于消息的接收方能够鉴别消息的内容，并证明消息只能源发于所声称的发送方。 1.数字签名的目的和要求 数字签名的目的是保证信息的完整性和真实性，即消息内容没有被篡改，而且签名也没有被篡改，消息只能始发于所声称的发方。 一个完善的签名方案应满足以下三个条件： ①签名者事后不能否认或抵赖自己的签名。 ②其他任何人均不能伪造签名，也不能对接收或发送的信息进行篡改、伪造和冒充。 ③若当事双方对签名真伪发生争执时，能够在公正的仲裁者面前通过验证签名来确定其真伪。 第6章 数字签名技术 第6章 数字签名技术 第6章 数字签名技术 第6章 数字签名技术 sig：M×K→S，s＝sig k (m) 数字签名方案的描述 数字签名方案的定义是：设M是消息的有限集合，S是签名的有限集合，K是密钥的有限集合，则数字签名算法是一个映射： 验证算法也是一个映射： 为了实现数字签名要求，当事双方应首先达成有关协议，数字签名协议中包括签名的产生、验证及纠纷的解决方法等内容。一般来说，数字签名方案还应满足以下要求： ⑴签名是不可伪造的。 ⑵签名是不可抵赖的。 ⑶签名是可信的。 ⑷签名是不可复制的。 ⑸签名的消息是不可篡改的。 一个数字签名方案由两部分组成：带有陷门的数字签名算法（Signature Algorithm）和验证算法（Verification Algorithm）。 归纳起来，一个数字签名方案的应用一般包括三个过程： （1）系统初始化过程：产生数字签名方案中用到的所有系统和用户参数，有公开的，也有秘密的。 （2）签名产生过程：在此过程用户利用给定的签名算法和参数对消息产生签名，这种签名过程可以公开也可以不公开，但一定包含仅签名者才拥有的秘密信息（签名密钥）。 （3）签名验证过程：验证者利用公开的验证方法和参数对给定消息的签名进行验证，得出签名的有效性。 五元组{M，S，K，sig，ver}就称为一个签名算法。 数字签名的执行方式 数字签名的执行方式有两类：直接数字签名方式和具有仲裁的数字签名方。 1. 直接方式 直接方式是指数字签名的执行过程只有通信双方参与，并假定双方有共享的秘密密钥，或者接收一方知道发方的公开密钥。 直接数字签名有一些共同的缺点：方案的有效性依赖于发送方秘密密钥的安全性。 2. 具有仲裁的方式 具有仲裁的数字签名是在通信双方的基础上引入了第三方仲裁者参与。 下面给出几个需要仲裁者的数字签名方案。其中S表示发送方，R表示接收方，A是仲裁者，M是传送的消息。 方案一 对称加密，仲裁者可以看到消息内容 该方案的前提是每个用户都有与仲裁者共享的秘密密钥。数字签名过程如下： (1) S→A：M||EKSA[IDS||H(M)] (2) A→R：EKAR[IDS||M||EKSA[IDS||H(M)]||T] 其中E是对称密钥加密算法，KSA和KAR分别是仲裁者A与发送方S、接收方R的共享密钥，H(M)是M的散列值，T是时间戳，IDS是S的身份标识。 从上面过程中可以看出，A的存在可以解决直接数字签名可能产生的问题。这时仲裁者起着关键的作用，这必须要求： (1)发送者S必须确信仲裁者A不会泄露KSA，也不会产生虚假的数字签名； (2)接收方R必须确信仲裁者A只有在散列码正确且发送方S的数字签名被证实的情况下才发送； (3) 通信双方必须确信仲裁者A能公平的解决争端。 注：该方案中消息以明文方式发送，未提供机密性保护。 方案二：对称加密，仲裁者不能看到消息内容 该方案的前提是每个用户都有与仲裁者共享的秘密密钥，而且两