第八单元 数字签名.pptVIP

第八章 数字签名 8.1思想 手写签名:Alice对一个文档利用手写签名后, 人们就可以验证她的签名,并且其他人很难模仿她的签名. 数字签名(digital signature),也称电子签名,就是对电子文档利用电子手段进行签名,电子签名必须至少具备手写签名的两个性质,即可验证性与不可伪造性. ！公钥密码体制可提供数字签名: 用私 钥d对文档签名， 用公钥e对签名进行验证。 一个数字签名方案包括3个部分 (1)密钥生成:产生公钥与私钥如公钥密码体制; (2)签名算法:利用私钥对文档签名; (3)验证算法:利用公钥对签名进行验证. 教科书式RSA数字签名 (1)密钥生成如RSA密码体制：n=pq,ed≡1mod(p-1)(q- 1),(n,e)是Alice的公钥,d是Alice的私钥; (2)签名算法:对文档m∈Zn,Alice计算s=md mod n，s就是Alice对文档m的签名(这里的签名就是RSA的解密程序); (3)验证算法:任何人在收到(m,s)后,可利用Alice的公钥验证签名,只要计算se modn,看结果是否等于m,①若相等,则签名是Alice的合法签名; ②若不相等,则签名非法. 8.2 数字签名的安全性 安全模型 (1) 攻击目标 完全攻破(total break)：Oscar找到私钥d. UB:Unbreakability 泛伪造(universal forgery)：Oscar可以对任何文档 产生合法的签名,即能通过验证算法的签名. UU:Universal Unforgeability 选择性伪造(selective forgery):Oscar能以不可忽略的概率对另外某个人选择的文档产生一个合法的签名. SU: Selective Unforgeability 存在性伪造(existential forgery):Oscar至少能为一 则文档签名. EU:Existential Unforgeability (2) 攻击类型 唯密钥攻击(key only attack):Oscar只拥有公钥. KOA 已知消息攻击(known message attack):Oscar拥有一些消息与相应的签名. KMA 选择消息攻击(chosen message attack):Oscar可以请求Alice对他选择的任意消息签名. CMA 安全模型关系图 EU SU UU UB KOA KMA CMA ！数字签名设计的最高安全要求是：设计的数字签名方案在选择消息攻击下不可存在性伪造（EU-CMA）. 对教科书式RSA签名的攻击： (1)惟密钥攻击下的存在性伪造； (2)已知消息攻击下的存在性伪造； (3)选择消息攻击下的泛伪造。 8.3 两类改进的RSA签名方案 可通过加盐或使用hash函数克服前面对 教科书式RSA签名方案的攻击. (1)加盐(添加冗余) 如，只对二进制展开型为w||w(其中w是0,1序列)的消息m进行签名.也可以利用其它的添加冗余方式.这种方法也被称是消息恢复签名方法. 带消息恢复的RSA数字签名 (1)密钥生成如RSA密码体制：n=pq， ed≡1mod(p-1)(q- 1),(n,e)是Alice的公钥,d是Alice的私钥. (2)签名算法: 利用一个公开的冗余函数R. [1]对文档D∈Zn,Alice计算R(D)= w||w, [2]计算s= (w||w) d mod n，s就是Alice对文档D的 签名. (3)验证算法:任何人在收到s后,可利用Alice的公钥验证签名,计算se modn,看结果是否具有w||w的形式, ①若有则签名是Alice的合法签名, ②若不具有,则签名非法. (2)先hash,后签名的方法 这种方法也被称是带附录的方法. 这是密码学界目前流行的方法. 带附录的RSA数字签名 (1)密钥生成如RSA密码体制：n=pq， ed≡1mod(p-1)(q- 1),(n,e)是Alice的公钥,d是Alice的私钥. (2)签名算法: 利用一个公开的密码学hash函数h,如SHA-1. [1]对文档D∈Zn,Alice先计算m=h(D） [2]计算s=md mod n，s就是Alice对文档D的签名. (3)验证算法:任何人在收到(D,s