现代密码学原理与应用课件作者宋秀丽第6章节.ppt

(3) 验证算法 接收者B在接收到消息M和数字签名(r, s)后，对签名的验证过程如下： ① 验证r和s是否是区间[1, n-1]中的整数，若不是则拒绝签名； ② 同样用SHA-1算法计算消息摘要h(M)； ③计算u1≡h(M)·s-1 (mod n) 和u2 ≡ rs-1 (mod n)； ④ 用签名者A的公钥Q计算：(x2, y2)= u1·G + u2·Q，取v ≡ x2 (mod n)； ⑤ 若v=r，接受签名，否则拒绝签名。 2. ECDSA的安全性 由于椭圆曲线数字签名算法（ECDSA）是椭圆曲线密码（ECC）的基本原理在数字签名中的应用，故ECC的安全性就是ECDSA的安全性。 ECDSA的安全目标是，在现有软硬件条件下使用选择明文攻击签名不可伪造。对一个合法用户A发动此类攻击的攻击者的攻击目标是：在获取A在攻击者所选择的消息集上的签名之后，能获取A在某一单条消息上的有效签名。 Pointcheval和Stern已经证明：基于椭圆曲线离散对数问题且所使用的Hash函数是随机函数的前提下，对于选择明文攻击，ECDSA在现有的情况下是不可伪造的。Brown也证明了在基本群为普通群且所使用的Hash函数是抗碰撞的前提下，ECDSA本身是安全的。 6.7 特殊的数字签名方案 不可否认的签名最主要的一个特点是如果没有签名者的合作，签名的有效性就得不到验证。只要签名者参与了验证，那么签名者既不能使验证者接受一个无效的签名，也不能使验证者相信一个有效签名是无效的。这就防止了由签名者签署的消息在没有经过他本人同意而被复制和分发的可能性。一旦接收者对签名的验证通过，签名者就没有理由否认。不可否认的签名是由Chaum和van Antwerpen在1989年提出来。 6.7.1 不可否认的签名 群签名是一种特殊的数字签名。一般来说，群签名系统由组、组成员（签名者）、签名接受者（签名验证者）和群管理员组成，它具有以下特点： (1) 用户组中每位合法用户都能独立对消息产生签名； (2) 签名的接受者能验证签名的有效性； (3) 签名的接受者不能辨认是谁的签名； (4) 一旦发生争执，权威或组中所有成员的联合可以辨认签名者。 由于群签名不仅提供签名的匿名性而且实现了匿名控制功能，因此群签名方案可以被广泛地应用于企业管理、电子商务、电子政务、军事等领域。 6.7.2 群签名 代理签名是指用户由于某种原因指定某个代理代替自己签名。 在代理签名中，原始签名者可以将其数字签名的权利委托给代理签名人，让代理人代替他行使签名权。当验证者验证代理签名时，既能验证这个签名的有效性，也能确信这个签名是原始签名者认可的签名。 一个代理签名方案至少包括四个过程、即初始化过程，数字签名权利的委托过程、代理签名的产生过程和代理签名的验证过程。在电子商务、移动通信、电子拍卖、移动代理、电子选举等方面，代理签名都有着重要的应用。 6.7.3 代理签名 数字签名 由于消息摘要通常比消息本身小的多，因此对消息摘要进行数字签名在处理上比直接对消息本身签名高效得多，所以数字签名通常是对消息摘要进行操作。 基于Hash函数的数字签名，其优点是： ? 对Hash值进行签名可以取得更短的签名； ? 计算更快； ? 更容易管理签名，签名集中在一个分组中，不会形成多个分组签名。 6.8 Hash函数的应用 2. 生成程序或文档的“数字指纹” 可以基于Hash函数变换得到程序或文档的Hash值输出，即“数字指纹”。 可与放在安全地方的原有“指纹”进行对比，这样可发现病毒或入侵者对程序或文档的修改。即使用Hash函数生成数据的Hash值，并与保存的原有数值进行比较，如果相等，说明数据是完整的，否则，表明数据已经被篡改过。 3. 用于安全存储口令 如果基于Hash函数生成口令的Hash值，然后在系统中保存用户的ID和他的口令的Hash值，而不是口令本身，这有助于改善系统的安全性。 6.9 数字签名的应用 1. 数字签名在电子商务上的应用 数字签名技术是保证信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性的一种有效的解决方案，是电子商务安全性的重要部分。 2. 数字签名在防止软件盗版中的应用 随着软件产业的发展，盗版问题越来越严重，一般的软件产品都是采用注册机的方式来防止盗版，但是普通注册机的注册方式很容易被破解，将椭圆曲线数字签名应用到这一领域，将极大地增强注册机的抗攻击能力。 3. 数字签名在电子政务中的应用 在电子政务系统实现过程中电子公文在网