密码学基础3课件.ppt

数字签名算法DSA RSA签名方案 RSA签名 A的公钥私钥对{KUa||KRa} A对消息M签名: SA=EKRa(M) 问题: 速度慢 信息量大 第三方仲裁时必须暴露明文信息 漏洞: EKRa(x?y)?EKRa(x)?EKRa(y) mod n 先做摘要: HM = hash(M) 再对HM签名SA=EKRa(HM) hash函数的无碰撞性保证了签名的有效性 思考题：请证明存在以上的漏洞，做了摘要之后漏洞还有吗？ 签名与加密 签名提供真实性(authentication) 加密提供保密性(confidentiality) “签名+加密”提供“真实性+保密性” 两种实现方式: (A?B) ?先签名,后加密: EKUb{M||SigA(M)} ?先加密,后签名: {EKUb(M)||SigA(EKUb(M))} 方式?的问题: 发生争议时,B需要向仲裁者提供自己的私钥 安全漏洞: 攻击者E截获消息,把SigA(EKUb(M))换成SigE(EKUb(M)),让B以为该消息来自E 保存信息多:除了M,SigA(EKUb(M)), 还要保存EKUb(M) (∵KUb可能过期) EIGamal签名方案 ElGamal于1985年提出,很大程度上为Diffe-Hellman密钥交换算法的推广和变形。 分为两种情形: p是大素数 ?q=p或者?q是p-1的大素因子 DSS(数字签名标准)是后者的一种变形,该方案是特别为签名的目的而设计的。这个方案的改进已被美国NIST（国家标准和技术研究所）采纳作为数字签名标准。 原根(primitive root) Euler定理表明,对两个互素的整数a,n, a?(n) ? 1 mod n 定义： 素数p的原根定义：如果a是素数p的原根，则数 a mod p, a2 mod p, … , ap-1 mod p 是不同的并且包含1到p-1的整数的某种排列。 离散对数 若a是素数p的一个原根,则对任意整数b,b?0 mod p,存在唯一的整数i, 1?i?(p-1),使得: b?ai mod pi称为b以a为基模p的指数(离散对数),记作inda,p(b) 离散对数的计算: y?gx mod p 已知g,x,p,计算y是容易的 已知y,g,p,计算x是困难的 数字签名标准 公布于1994年5月19日的联邦记录上，并于1994年12月1日采纳为标准DSS。DSS为EIGamal签名方案的改进。 DSS签名方案 DSS算法说明--算法参数 全局公开密钥分量 p 素数, 其中2L-1p2L,512?L1024,且L为64的倍数:即比特长度在512到1024之间,长度增量为64比特 q (p-1)的素因子, 其中2159q2160 g=h(p-1)/q mod p, 其中h是一整数,1h(p-1) 用户私有密钥 x 随机或伪随机整数, 其中0xq 用户公开密钥 y=gx mod p 用户每个报文的密数 k随机或伪随机整数, 其中0kq DSS算法的签名与验证过程 签名 r=(gkmod p)mod q s=[k-1(H(M)+xr)] mod q 签名=(r,s) 验证 w=(s?)-1 mod q u1=[H(M ?)w] mod q, u2=( r ?) w mod q v=[(gu1yu2)mod p] mod q TEST: v=r ? 符号: M 要签名的消息 H(M)使用SHA-1生成的M的散列码 M ?,r ?,s ? 接收到的M,r,s版本 DSS签名和验证 DSS的特点 DSS的签名比验证快得多 DSS不能用于加密或者密钥分配 s-1 mod q要存在 ? s ? 0 mod q,如果发生,接收者可拒绝该签名. 要求重新构造该签名,实际上, s ? 0 mod q的概率非常小 若p为512位, q为160位,而DSS只需要两个160位,即320位 一次数字签名 一次意味着只能签一个消息,当然可以进行若干次验证 Lamport 数字签名方案 Lamport方案缺陷:签名信息比较长. ?离散对数:p是1024位,则签名信息扩大1024倍 ?对称密码:密钥是128位,则签名信息扩大128倍 改进方案之一:Bos-Chaum签名方案 群签名方案 群中各个成员以群的名义匿名地签发消息.具备下列三个特性 ?只有群成员能代表所在的群签名 ?接收者能验证签名所在的群,但不知道签名者 ?需要时,可借助于群成员或者可信机构找到签名者 应用: 投标 盲签名 盲签名要求: ?消息内容对签名者不可见 ?签名被接收者泄漏后,签名者无法追踪签名 应用: 电子货币,电子选举 盲签名过程: 消息