第9章 数字签名.ppt

* * ElGamal数字签名 ElGamal数字签名 ElGamal的密钥生成：选择一个大的素数p。选择g为域GF(p)的本原元素。选择正整数x。计算y=gx(modp)。 Alice的公钥是（p，g，y），私钥是x。 签名方案是上述的签名方案(二)，额外使用一个公开的杂凑函数H。设Alice欲发消息m给Bob。 * * ElGamal数字签名 （1） Alice用H将消息m进行处理，得h=H(m)。 （2） Alice选择秘密随机数k，满足 0kp-1，且(k, p-1)=1， 计算 r=gk(modp)； s=(h-xr)k-1(mod (p－1))。 （3） Alice将(m，r，s)发送给Bob。 * 计算机科学与技术学院 * * * Schnorr数字签名 Alice拥有3个正整数(p，q，g)，向自己的通信伙伴公开。其中： p是模数（即将要进行(modp)模数运算），它是一个素数，值的范围在2511到2512之间（即p是一个长度为512的比特串）。 q也是模数（即将要进行(modq)模数运算），它是一个素数， 2159 q （即q是一个长度不小于160的比特串），并且q是p-1的一个因子。 g是域GF(p)的元素，且gq=1(modp)。 * * Schnorr数字签名 Alice选择x，其中1xq。 Alice计算y=gx(modp)。 Alice的公钥是(p，q，g，y)， Alice的私钥是x。 签名方案是上述的签名方案(二)，额外使用一个公开的杂凑函数H， H的输出长度是160比特。设Alice欲发消息m给Bob。 * * Schnorr数字签名 （1）Alice选择秘密随机数k，满足0kq，计算 r=gk(modp)； e=H(r, m)； s=k＋xe(modq)。 （3） Alice将(m，e，s)发送给Bob。 （4） Bob用Alice的公钥，计算r’=gsy-e(mod p)。检验是否 e=H(r’, m)。 若是则(m，e，s)是Alice发送的签名消息。 * * Schnorr数字签名 Schnorr签名与ElGamal签名的不同点： ? 在ElGamal体制中， g为域GF(p)的本原元素；而在Schnorr体制中， g只是域GF(p)的阶为q的元素，而非本原元素。因此，虽然两者都是基于离散对数的困难性，然而ElGamal的离散对数阶为p-1， Schnorr的离散对数阶为qp-1。 从这个角度上说， ElGamal的安全性似乎高于Schnorr 。 * * 签名长度比较： Schnorr比ElGamal签名长度短。 ElGamal：(m，r，s)，其中r的长度为|p|， s的长度为|p-1|。 Schnorr： (m，e，s)，其中e的长度为|q|， s的长度为|q|。 在Schnorr签名中， r=gk(modp)可以预先计算，k与m无关，因而签名只需一次modq乘法及减法。所需计算量少，速度快，适用于灵巧卡采用。 数据签名标准DSS 1991年，美国政府颁布了数字签名标准DSS（Digital Signature Standard） 和DES一样，DSS也引起了激烈的争论。反对者认为：密钥太短、效率不如RSA高、不能实现数据加密并怀疑NIST在DSS中留有后门 随后，美国政府对其做了一些改进 目前DSS的应用已经十分广泛，并被一些国际标准化组织采纳为国际标准 2000年，美国政府将RSA和椭圆曲线密码引入到数字签名标准中，进一步丰富了DSS算法 * 计算机科学与技术学院 * DSS算法描述 * 计算机科学与技术学院 * * 计算机科学与技术学院 * M || M H Sig S r H Ver PKG+ SKG PKA PKG+ k 比较 数字签名算法DSA * 计算机科学与技术学院 * DSA签名生成过程 * 计算机科学与技术学院 * DSA签名验证过程 * 计算机科学与技术学院 * ECDSA签名算法 * 计算机科学与技术学院 * * 计算机科学与技术学院 * 基于身份的签名方案 * 计算机科学与技术学院 * Cha-Cheon的基于身份的数字签名方案 ? * 计算机科学与技术学院 * * * 其它签名算法 GOST签名标准，为俄国采用的数字签名标准，自1995启用，正式称为GOST R34.10-94。算法与Schnorr模式下的ElGamal签名及NIST的DSA很相似。算法中也有一个类似于SHA的杂凑函数H(x)，其标准号为GOST R34. 11-94。 ESIGN签名体制。 日本NTT的T. Okamoto等设计的签名方案。宣称在密钥签名长度相同条件下，至少和RSA，DSA一样安全，且比它们都快。 OSS签名体制，Ong，Schnor