杨波, 《现吹您密码学(第2版)》07.pptVIP

7.2.2 数字签字算法DSA DSA是在ElGamal和Schnorr两个签字方案（见下一节）的基础上设计的，其安全性基于求离散对数的困难性。 算法描述如下： (1) 全局公开钥 p：满足2L-1p2L 的大素数，其中512≤L≤1024且L是64的倍数。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. q：p-1的素因子，满足2159q2160 ，即q长为160比特。 g：g≡h(p-1)/q mod p，其中h是满足1hp-1且使得h(p-1)/q mod p1的任一整数。 (2) 用户秘密钥x x是满足0xq的随机数或伪随机数。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. (3) 用户的公开钥y y≡gx mod p。 (4) 用户为待签消息选取的秘密数k k是满足0kq的随机数或伪随机数。 (5) 签字过程 用户对消息M的签字为(r, s)， 其中r≡(gk mod p) mod q, s≡[k-1(H(M)+xr)] mod q，H(M)是由SHA求出的杂凑值。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. (6) 验证过程 设接收方收到的消息为M′，签字为(r′,s′)。计算 w≡(s′)-1 mod q, u1≡[H(M′)w] mod q u2≡r′ w mod q, v≡[(gu1yu2) mod p] mod q 检查 ，若相等，则认为签字有效。这是因为若(M′,r′,s′) = (M, r, s)，则 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 算法的框图如图7.3所示，其中的4个函数分别为 s≡f1[H(M), k, x, r, q]≡[k-1(H(M)+xr)] mod q r =f2(k, p, q, g)≡(gk mod p) mod q w =f3(s′,q)≡(s′)-1 mod q v =f4(y, q , g, H(M′), w, r′) ≡[(g(H(M′)w) mod qyr′w mod q) mod p] mod q Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 图7.3 DSA的框图 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 由于离散对数的困难性，敌手从r恢复k或从s恢复x都是不可行的。 还有一个问题值得注意，即签字产生过程中的运算主要是求r的模指数运算r=(gk mod p) mod q，而这一运算与待签的消息无关，因此能被预先计算。事实上，用户可以预先计算出很多r和k-1以备以后的签字使用，从而可大大加快产生签字的速度。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 7.3 其他签字方案 7.3.1 基于离散对数问题的数字签字体制 基于离散对数问题的数字签字体制是数字签字体制中最为常用的一类，其中包括ElGamal签字体制、DSA签字体制、Okamoto签字体制等。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 1. 离散对数签字体