第5章节2节数字签名.pptVIP

第二节数字签名 主讲：何业锋 数字签名产生的背景 现实中存在的问题： 伪造：接收者伪造一份文件，声称是对方发送的 抵赖：发送者事后不承认自己发送过某个文件 冒充：某个用户冒充另一个用户发送文件 篡改：攻击者对文件进行局部的篡改 在数字化信息世界里，传统的手写签名和印章已经难以发挥作用，因此迫切需要具有手写和印章功能的数字化签名方法---即数字签名。 数字签名的定义 数字签名是附加在消息后的字符串，它可以用来认证消息的来源并鉴别消息完整性。 一个数字签名体制由以下要素组成： 随机参数空间，R 密钥空间， K 消息空间， M 签名空间， S 密钥生成算法 签名生成算法 签名验证算法 数字签名的特性 签名是可信的 签名是不可伪造的 签名是不可复制的 签名的消息是不可改变的 签名是不可抵赖的 数字签名的实现方法 （1）用对称加密算法进行数字签名 例如hash签名 局限：接收方必须拥有用户密钥的副本以检验签名 缺点：存在伪造签名的可能。 （2）用非对称加密算法进行数字签名 优点：由于只有签名者知道自己的私钥，签名的接收者不能伪造签名。 RSA数字签名 RSA签名的密钥生成： 1、选择大素数 和 。 2、计算 和 。 3、随机选取数 , 满足 。 4、利用扩展的欧几里得算法计算惟一的整数 ， 满足 。 公钥是 ；私钥是 。 RSA数字签名 签名： 计算 消息 的签名为 。 验证： 若等式 成立，则认为签名有效，否则认为签名无效。 人为小参数的RSA签名 密钥生成： （1）选取素数p=7927,q=6997. （2）计算n=pq ? （3）选择e=5。 （4）可以求得d 则公钥为(n,e),私钥为d。 人为小参数的RSA签名 签名： 要对消息m名，计算： 验证： 计算 有关RSA签名的可能攻击 1、利用整数的因子分解直接求私钥。 要求：选择p和q使得分解n是计算不可行的任务。 2、对消息m，直接求满足验证等式 的s。 3、 利用RSA的乘性质 要求：增加非乘性的冗余函数R。 Rabin数字签名 密钥生成： 1、选择大素数p和q。 2、计算n=pq。 公钥是n；私钥是(p,q). Rabin公钥签名 签名： 计算 的一个平方根s. 消息m的签名即为s. 验证： 若等式 成立，则认为签名有效，否则认为签名无效。 有关Rabin签名的可能攻击 1、利用整数的因子分解 要求：选择p和q使得分解n是计算不可行的任务。 2、利用Rabin 的乘性质 要求：冗余函数R是非乘性的。 ElGamal数字签名 ElGamal数字签名是由T.ElGamal在1985年提出的，直到现在仍是一个安全性能良好的数字签名方案。 其安全性基于有限域上离散对数这一难题。 ElGamal数字签名 密钥生成： 1、选择大素数 ，选择 。 2、随机选择 ，计算 公钥： 私钥： ElGamal数字签名 签名： 1、随机选择 2、计算 3、计算s，满足 消息m的签名： 验证：如果 认可签名有效。 ElGamal签名的安全性分析1 可能的攻击： 1、攻击者想设法求出私钥 法1：由 求 法2：已知m,r,s,从 求 2、针对消息m,攻击者想伪造满足等式 的签名(r,s) ---归结为求离散对数问题。 ElGamal签名的安全性分析2 细节要求： 1、若s=0，则必须重新选择k,再重新计算签名；否则会泄露签名者的私钥。 要求每次签名使用不同的随机数k,否则也会泄露签名者的私钥。 DSS数字签名 1991年8月，美国国家标准与技术研究所（NIST）提出了一个数字签名算法（DSA）。 现在DSA已经成为一个美国联邦信息处理标准，