5.6一次性签名.pptVIP

5.6 一次性签名 5.7 失败—停止数字签名 * * 一次性签名是至多能签一个消息的签名方案。如果签 多个消息，敌手就可以伪造签名。这里每签一个消息就需要 一个新的公私钥对。一次性签名方案的签名和验证都十分有 效。 ? 签名方案 密钥生成 单向函数 Lamport 在Y中随机选取 为私钥 计算 ， 及单向函数为公钥。 签名算法 对明文 的签名是 验证算法 若 包含在公钥中， 则签名合法 例如： 素数 p=7879 ,3 是 的本原元素。定义 ，令 k=3. 私钥 公钥 及 对消息 x= 011 的签名为（4285，2467，735）。对方 验证时计算 .它们都在公钥中，所以签名合法。 对手虽然不能从 求出 ，但是用这个方法对两 个不同的消息签名时，对手就能伪造出另一个消息的签名。 例如上例中对手知道011和101的签名分别是 和 ，显然 和 分别是 111 和 001 的签名。 ———— Fail-stop Fail-Stop数字签名最早是1990年由B.Pfitzmann M.Waidner提出的。它允许实体A证明“声称是A的签名”实 际上是伪造的签名。其做法是展示“该签名机制所基于的假 设已受到威胁”。Fail-Stop数字签名的好处在于即使一个非 常强的对手可能伪造一个签名，但可以察觉出是伪造的， 与此同时不再使用该签名机制。所以称为“失败而后停止 ”更恰当一些。Fail-Stop数字签名应具有如下性质: (1) 如果签名者依据该机制签署一个消息，则验证者 能验证签名并接受它. (2)伪造者没有指数运算能力就不可能构造“能通过验 证算法的一批签名。 (3) ? 如果伪造者以高概率成功地构造出一个能通过 验证算法的签名，那么真正的签名者可以给出“该签名是伪 造的”的证明。 (4)签名者不能自己构造出一些签名，而后又断言他们 是伪造的。以次保证接收者的安全 Fail-Stop数字签名由签名算法、验证算法、“伪造”证明 算法组成。其中“伪造”证明算法是对伪造签名的一种证明。 1992年E.Heyst T.P.Pedersen 提出的 Fail-Stop数 字签名算法，它是一次性签名，即一个密钥只能用来签名一 次。该数字签名的基本思想是：每个可能的公钥有许多私钥 与之对应，然而签名者只知道其中之一，并用它作签名。 窃听者搜集被签名的信息，试图从中发现签名者的私 钥。由于私钥很多，所以成功的概率可以忽略不计。 窃听者使用他自己生成的密钥伪造一个信息的签名， 这个签名与签名者的签名不同。 可信中心密钥生成 p, q=(p-1)/2是素数，选择p使 上的离 散对数问题是难解问题。 是q阶元 中心选定并公开， 由可信中心选定对任 何人保密。 由可信 签名者的密钥生成 对实体A选择