密码学基础第6章 数字签名.pptVIP

　　在人们的日常生活中，为了表达事件的真实性并使文件核准、生效，常常需要当事人在相关的纸质文件上手书签字或盖上表示自己身份的印章。在数字化和网络化的今天，大量的社会活动正在逐步实现电子化和无纸化，活动参与者主要是在计算机及其网络上执行活动过程，因而传统的手书签名和印章已经不能满足新形势下的需求，在这种背景下，以公钥密码理论为支撑的数字签名技术应运而生。 　　数字签名是对以数字形式存储的消息进行某种处理，产生一种类似于传统手书签名功效的信息处理过程。它通常将某个算法作用于需要签名的消息，生成一种带有操作者身份信息的编码。通常将执行数字签名的实体称为签名者，所使用的算法称为签名算法，签名操作生成的编码称为签名者对该消息的数字签名。消息连同其数字签名能够在网络上传输，可以通过一个验证算法来验证签名的真伪以及识别相应的签名者。 　　类似于手书签名，数字签名至少应该满足三个基本要求：　　(1) 签名者任何时候都无法否认自己曾经签发的数字签名；　　(2) 收信者能够验证和确认收到的数字签名，但任何人都无法伪造别人的数字签名；　　(3) 当各方对数字签名的真伪产生争议时，通过仲裁机构(可信的第三方)进行裁决。 　　数字签名与手书签名也存在许多差异，大体上可以概括为：　　(1) 手书签名与被签文件在物理上是一个整体，不可分离；数字签名与被签名的消息是可以互相分离的比特串，因此需要通过某种方法将数字签名与对应的被签消息绑定在一起。　　　　(2) 在验证签名时，手书签名是通过物理比对，即将需要验证的手书签名与一个已经被证实的手书签名副本进行比较，来判断其真伪。验证手书签名的操作也需要一定的技巧，甚至需要经过专门训练的人员和机构(如公安部门的笔迹鉴定中心)来执行。而数字签名却能够通过一个严密的验证算法准确地被验证，并且任何人都可以借助这个公开的验证算法来验证一个数字签名的真伪。安全的数字签名方案还能够杜绝伪造数字签名的可能性。 　　(3) 手书签名是手写的，会因人而异，它的复制品很容易与原件区分开来，从而容易确认复制品是无效的；数字签名的拷贝与其原件是完全相同的二进制比特串，或者说是两个相同的数值，不能区分谁是原件，谁是复制品。因此，必须采取有效的措施来防止一个带有数字签名的消息被重复使用。比如，Alice向Bob签发了一个带有他的数字签名的数字支票， 允许Bob从Alice的银行账户上支取一笔现金，那么这个数字支票必须是不能重复使用的，即Bob只能从Alice的账户上支取指定金额的现金一次，否则Alice的账户很快就会一无所有，这个结局是Alice不愿意看到的。 　　从上面的对比可以看出，数字签名必须能够实现与手书签名同等的甚至更强的功能。为了达到这个目的，签名者必须向验证者提供足够多的非保密信息，以便验证者能够确认签名者的数字签名；但签名者又不能泄露任何用于产生数字签名的机密信息，以防止他人伪造他的数字签名。因此，签名算法必须能够提供签名者用于签名的机密信息与验证者用于验证签名的公开信息，但二者的交叉不能太多，联系也不能太直观，从公开的验证信息不能轻易地推测出用于产生数字签名的机密信息。这是对签名算法的基本要求之一。 　　一个数字签名体制一般包含两个组成部分，即签名算法(Signature Algorithm)和验证算法(Verificaton Algorithm)。签名算法用于对消息产生数字签名，它通常受一个签名密钥的控制，签名算法或者签名密钥是保密的，由签名者掌握；验证算法用于对消息的数字签名进行验证，根据签名是否有效验证算法能够给出该签名为“真”或者“假”的结论。验证算法通常也受一个验证密钥的控制，但验证算法和验证密钥应当是公开的，以便需要验证签名的人能够方便地验证。 　　数字签名体制(Signature Algorithm System)是一个满足下列条件的五元组 (M，S，K，SIG，VER)，其中：　　(1) M代表消息空间，它是某个字母表中所有串的集合。　　(2) S代表签名空间，它是所有可能的数字签名构成的集合。　　(3) K代表密钥空间，它是所有可能的签名密钥和验证密钥对(sk，vk)构成的集合。　　(4) SIG是签名算法，VER是验证算法。对于任意的一个密钥对(sk，vk)∈K，每一个消息m∈M和签名s∈S，签名变换SIG：M×K|sk→S 和验证变换VER:M×S×K|vk→{true，false}是满足下列条件的函数： 　　由上面的定义可以看出，数字签名算法与公钥加密算法在某些方面具有类似的性质，甚至在某些具体的签名体制中，二者的联系十分紧密，但是从根本上来讲，它们之间还是有本质的不同。比如对消息的加解密一般是一次性的，只要在消息解密之前是安全的就行了；而被签名的消息可能是一个具体法定效用的文件