10章数字签名.pptVIP

第10章 数字签名 数字签名特点： 签名不可伪造； 签名是可靠的； 签名不可重用； 签名不可改变； 签名不可抵赖。 定义10.0.1：一个签名方案是一个5元组（M,A, K,S,V）,满足如下的条件： （1）M是一个可能消息的有限集； （2）A是一个可能签名的有限集； （3）密钥空间K是一个可能密钥的有限集； （4）对每一个k=（k1，k2）K，都对应一个签名算法Sig S和验证算法Ver V。每一个Sig: M－A和Ver: M－ A{TRUE ,FALSE}是一个对每一个消息x M和每一个签名y A满足下列方程的函数： Ver(x,y)= （5）对每一个k，函数Sig和Ver都是多项式时间可计算的函数。Ver是一个公开函数，k1称作公钥；而Sig是一个秘密函数，k2称作私钥，由用户秘密地保存。 10.1基于RSA和离散对数的签名体制 10.1.1RSA签名方案 带加密的签名 先签名再加密 先加密再签名 10.1.2 EIGAMAL签名方案及其一般化的模型 EIGAMAL签名方案的安全性分析 （1）本方案是基于离散对数问题的。 （2）对于随机数k应注意两方面的情况.首先，k不能泄露，其次，随机数不能重复使用。 （3）伪造签名攻击。 一般ELGAMAL签名方案 （1）系统初始化 （2）签名方程 Ax=Bk+Cmod(p-1) （3）验证方程 yA=rBgC mod p 10.1.3 DSS 10.1.4Lamport签名方案 10.1.5不可否认签名方案 否认协议如下： A随机选取e1 ，e2∈ Z. A计算c=ye1 βe2 mod p且把它传给B B计算d=c modp，并将其传给A． A证实d≠xe1αe2modp． A随机选取f1 ,f2 ∈ Z. A计算c’= yf1 βf2 modp且把它传给B B计算d’=c’ modp，并将其传给A A验证d’≠xf1αf2modp ． A推出y是伪造的当且仅当 (d α-e2)f1=( d’ α-f2 )e1mod p 不可否认签名方案的安全性分析 定理10.1.1：当y≠xamod p时，则A接受y作为x的真正签名的概率为1/q。 定理10.1.2：若y≠xamod p 且A和B都遵守否认协议，则(dα-e2)f1=(d’α-f2 )e1mod p 定理10.1.3： 若y=xamod p且A遵守否认协议，又 d≠xe1αe2mod p ,d’≠xf1αf2modp 则(dα-e2)f1=(d’α-f2 )e1mod p成立的概率为1-1/q 。 10.1.6故障停止式签名方案 系统参数 签名算法：对于k={（γ1,γ2,a1,a2,b1,b2）}和待签消息x ∈Z,定义Sig(x)=(y1,y2), y1=a1+xb1 modq y2=a2+xb2 modq 消息对(y1,y2)即为生成的签名。 验证算法：对y=(y1,y2) ∈ Z×Z,我们有 Ver( x,y)=TRUE γ1γ2x=αy1βy2modp 伪造证明算法 10.1.7 Schnorr数字签名方案 系统参数 签名算法　 对于待签消息m∈Z，选择随机数k(1kq),计算r=gkmodp, e=h(r,m), 从签名方程s=k-xe modq中解出s，消息对（e,s）即为生成的签名。 验证算法　收方在收到消息m和数字签名(e,s)后　计算r’=gsyemodp则 　 Ver(m,(e,s))=TRUE h(r’,m)=e Schnorr数字签名方案的安全性分析 （1）EIGAMAL系统中g为Zp中的本原元，而于Schnorr系统中则不是。从安全的角度来看，EIGAMAL安全性较高,这是因为本原元的阶为 p-1 ，而Schnorr系统中g的的阶为q(2160)，在此阶下，基于离散对数问题的体制是否安全有待进一步研究。 （2）Schnorr系统的签名文较短，e的长度由函数h决定。s的长度小于|q|。若h的输出长度为128位，|q|为160位，则其签名长度为288位，比EIGAMAL系统的1024位小. （3）Schnorr首先提出r= gkmod p可以事先计算，由于k是与m无关的随机数，故Schnorr系统在签名中只需一次乘法及减法(模运算)，比EIGAMAL系统快很多。因此，Schnorr数字签名方案特别适合于智能卡的应用。 10.2 群签名 一般说来，群签名方案由组、组成员（签名者）、签名接受者（签名验证者）和权威(Authority)或GC(Group Center)组成，具有如下特点：