第7章 数字签字捍葱峦密码协议02update20130515New.pptVIP

第7章 数字签字和密码协议;基于离散对数问题的数字签字体制是数字签字体制中最为常用的一类，其中包括ElGamal签字体制、DSA签字体制、Okamoto签字体制等。;1. 离散对数签字体制 ElGamal、DSA、Okamoto等签字体制都可归结为离散对数签字体制的特例。 (1) 体制参数 p：大素数； q：p-1或p-1的大素因子； g：g∈RZ*p，且gq≡1(mod p)，其中g∈R Z*p表示g是从Z*p中随机选取的，其中Z*p=Zp-{0}； x：用户A的秘密钥，1xq； y：用户A的公开钥，y≡gx(mod p)。;(2) 签字的产生过程 对于待签字的消息m，A执行以下步骤： ① 计算m的杂凑值H(m)。 ② 选择随机数k：1kq，计算r≡gk(mod p)。 ③ 从签字方程ak≡b+cx(mod q)中解出s。方程的系数a、b、c有许多种不同的选择方法，表7.1给出了这些可能选择中的一小部分，以(r, s)作为产生的数字签字。（见168页表7.1）;Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd.;(3) 签字的验证过程 接收方在收到消息m和签字(r, s)后，可以按照以下验证方程检验： ;2. ElGamal签字体制 (1) 体制参数 (g，p为公开参数) p：大素数； g：Z*p的一个生成元； x：用户A的秘密钥，x∈RZ*p； y：用户A的公开钥，y≡gx(mod p)。;(2) 签字的产生过程 对于待签字的消息m，A执行以下步骤： ① 计算m的杂凑值H(m)。 ② 选择随机数k：k∈Z*p，计算r≡gk(mod p)。 ③ 计算s≡(H(m)-xr)k-1(mod p-1)。 以(r,s)作为产生的数字签字。;(3) 签字验证过程 接收方在收到消息m和数字签字(r, s)后，先计算H(m)，并按下式验证： 正确性可由下式证明：;3. Schnorr签字体制 (1) 体制参数 p：大素数，p≥2512； q：大素数，q|(p-1)，q≥2160； g：g∈RZ*p,且gq≡1(mod p)； x：用户A的秘密钥，1xq； y：用户A的公开钥，y≡gx(mod p)。;(2) 签字的产生过程 对于待签字的消息m，A执行以下步骤： ① 选择随机数k：1kq，计算r≡gk(mod p)。 ② 计算e=H(r, m)。 ③ 计算s≡xe+k(mod q)。 以(e, s)作为产生的数字签字。;(3) 签字验证过程 接收方在收到消息m和数字签字(e, s)后，先计算r′≡gsy-e(mod p)，然后计算H(r′,m)，并按下式验证 其正确性可由下式证明：; 在很多情况下，用户都需证明??己的身份，如登录计算机系统、存取电子银行中的账目数据库、从自动出纳机ATM(automatic teller machine)取款等。传统的方法是使用通行字或个人身份识别号PIN(personal identification number)来证明自己的身份，这些方法的缺点是检验用户通行字或PIN的人或系统可使用用户的通行字或PIN冒充用户。 ; 交互证明系统由两方参与，分别称为证明者（prover，简记为P）和验证者（verifier，简记为V），其中P知道某一秘密（如公钥密码体制的秘密钥或一平方剩余x的平方根），P希望使V相信自己的确掌握这一秘密。交互证明由若干轮组成，在每一轮，P和V可能需根据从对方收到的消息和自己计算的某个结果向对方发送消息。比较典型的方式是在每轮V都向P发出一询问，P向V做出一应答。所有轮执行完后，V根据P是否在每一轮对自己发出的询问都能正确应答，以决定是否接受P的证明。; 交互证明和数学证明的区别是： 数学证明的证明者可自己独立地完成证明，而交互证明是由P产生证明、V验证证明的有效性来实现，因此双方之间通过某种信道的通信是必需的。 交互证明系统须满足以下要求： ① 完备性: 如果P知道某一秘密，V将接受P的证明。 ② 正确性: 如果P能以一定的概率使V相信P的证明，则P知道相应的秘密。;1. 协议及原理 设n=pq，其中p和q是两个不同的大素数，x是模n的平方剩余，y是x的平方根。又设n和x是公开的，而p、q和y是保密的。证明者P以y作为自己的秘密。4.1.8节已证明，求解方程y2≡x mod n与分解n是等价的。因此他人不知n的两个素因子p、q而计算y是困难的。P和验证者V通过交互证明协议，P向V证明自己掌握秘密y，从而证明了自己的身份。;协议如下： ① P随机选r(0rn)，计算a≡