数字签名(新)讲述.ppt

* * * * * * * * * 1. 杂凑(Hash)函数是将任意长的数字串M映射成一个较短的定长输出数字串H的函数，以h表示，即h(M)。 h(M)易于计算，称H=h(M)为M的杂凑值，也称杂凑码。杂凑函数有时也称为哈希函数。 2. 若杂凑函数h为单向函数，则称其为单向杂凑函数。 在密码学中，我们关心的通常是单向杂凑函数。 3. 若单向杂凑函数h，在任意给定M的杂凑值H=h(M)下，找一M’使得h(M’)=H在计算上不可行，则称h为弱单向杂凑函数。 对单向杂凑函数h，若要找任意一对输入M1, M2, M1≠M2，使h(M1)=h(M2)在计算上不可行，则称h为强单向杂凑函数. 上述两个定义给出了杂凑函数的无碰撞(collision-free)性概念。弱单向杂凑，是在给定M下，考察与特定M的无碰撞性；而强单向函数在考察输入集中任意两个元素的无碰撞性 4. 单向迭代杂凑函数的设计理论 怎样的函数能够满足安全性要求，这是一个困难的理论问题，还不能给出一个充分条件，但迄今为止已得到不少有意义的必要条件，从理论上讲最重要的有两点：一个函数的单向性；二是函数映射的随机性；另外，还需要有抗差分分析能力，以及非线性性 5. 关于生日攻击 * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 七、ESIGN签名体制 n=p2q：大合数, 公开钥； p, q：两个大素数，作为秘密钥； M：消息空间 S：签名空间 k：安全参数（它的作用后面讨论） 用户选择秘密随机数r，0rpq 计算：H(M) 计算：w=大于等于[(H(M)-rk) mod n]/pq的最小整数 计算：s= r + [(w/krk-1) mod p] ×pq Sigk(M, k)=s 作为签名，将M和s送给对方。 体制参数 签名过程 收信人收到M和s； 计算：H(M)； 计算：srk mod n 计算：a，它是大于等于2n/3的最小整数 验证：Verk(H(M), s)=真? H(M) ≤sk 且sk mod n ﹤H(M)+2a 此算法可以采用预计算来提高签名速度 (1) 发方预计算：u=rk mod n; v=1/(krk-1) mod p (2) 计算w：w=大于等于[(H(M)-u) mod n]/pq的最小整数 计算s：s = r + (wv mod p) ×pq 通过预计算，可以使签名速度提高10倍。 k=2,3时, 被破解。作者建议k=8,16,32,64,128,256,1024 ESIGN签名算法 验证过程 讨论 ESIGN在美国、加拿大、英国、法国、德国和意大利申请了专利。 分析表明，此算法要比RSA，ElGamal及DSA速度快。 其安全性与RSA或Rabin体制同样安全。 ESIGN签名算法 讨论 八、Okamoto签名体制 p, q：大素数, p至少为512bit； q: (p-1)的素因子，且q长约140 bit g1, g2: 是全局公钥，与q同长的随机数; s1, s2: 是秘密钥，与q同长的随机数; M：消息空间，M∈ZP*； S：签名空间，为ZP* ×ZP-1； v：用户公钥，v≡g1-s1 g2-s2 mod p p, q, g1, g2, v为公钥， s1, s2为秘密钥。 用户选择两秘密随机数r1, r2，0r1, r2q 计算：e=H(g1r1 g2r2 mod p, M) 计算：y1=(r1 + es1) mod q 计算：y2=(r2 + es2) mod q Sigk(M, k)=S=(e, y1, y2) 为签名，将M和S 送给对方。 体制参数 签名过程 收信人收到M和S=(e, y1, y2) ； 验证：Verk(M, e, y1, y2)=真? H(g1y1 g2y2 vemod p，M) = e g1y1 g2y2 vemod p= g1 (r1 + es1) g2 (r2 + es2) (g1-s1 g2-s2)e mod p = g1 r1 g2 r2 mod p 所以： H(g1y1 g2y2 vemod p，M) = H(g1r1 g2r2 mod p, M) = e Okamoto签名算法 验证过程 讨论 九、OSS签名体制 n：大整数