Schnorr签名方案的两种伪签名算法及其安全性分析.docx

第18卷第5期2007 年 10月中原工学院学报J OU RNAL OF ZHON GYUAN UN IV ERSIT Y OF TECHNOLOGYVol. 18 No.5Oct. ,2007文章编号 :1671 - 6906 (2007) 05 - 0045 - 03Schnorr签名方案的两种伪签名算法及其安全性分析邓从政(凯里学院数学与计算机科学系,贵州凯里556000)摘要:介绍了ElGamal数字签名方案的一个变种———Schnorr签名方案,该方案具有随机性,初始化过程简单,签名 算法计算量小,速度快,能检测和防止签名者伪造签名,具有较低的通信成本.在密码卡中具有大量的应用.本文给出了 选择消息下对Schnorr签名方案的两种伪签名算法,其一是攻击者假冒签名者进行签名;其二是给出了一种私钥攻击方 法 ,其攻击性不依赖于离散对数的求解问题,最后对整个签名系统的安全性进行了评估和分析.关 键 词: Schnorr签名方案;离散对数;伪签名;安全性分析中图分类号 : TP391文献标识码:A数字签名技术在信息安全,包括身份认证、数据完 整性、不可否认性以及匿名性等方面都有重要应用,特 别是在大型网络安全通信中的密钥分配、认证以及电 子商务系统中具有重要作用,它是实现电子贸易、电子 支票、电子货币、电子购物、电子出版及知识产权保护 等系统安全的重要保证. 在很多情况下,一则消息可能 仅仅被加密或解密一次,因此使用当时被认为是安全 的密码体制来加密消息是能够满足需求的. 另一方面, 一则被签名的消息可能是合同或遗嘱这样的起法律效应的文档,它有可能在消息被签名多年之后仍需验证.因此相对于密码体制而言,在签名方案的安全方面采 取更多的措施是很重要的. 因为 El Gamal签名方案不足够的安全性.本文对Schnorr签名体制进行了分析, 发现 Schnorr签名体制在选择消息的情况下是不安全 的,不仅可以假冒签名者进行签名,而且可以求出签名 者的私钥,攻击性不依赖于离散对数的求解问题.1 Schnorr签名方案1989 年 Schnorr提出的基于离散对数的数字签名方案是一种随机化的签名机制 ,设 p 和 q 是满足p≡1 mod q的两个素数,一般取p≈21024. q≈2160.2Schnorr 签名体制对 El Gamal签名方案以独特的方式 进行了修改,使得长度为logq 比特的消息签名有长度比离散对数问题更安全,这就要求使用一个大的模.为了满足当前的安全性需求,大多数人认为模的长度至为2logq 比特的签名,但是它的计算是在zp 上进行2少需要1024比特,在将来甚至更长.一个1024比特的的.它是通过工作在z3上的 q 元子群来实现的.该方p3模导致ElGamal签名有2048比特.但是在现实应用 中,对其中许多都包括智能卡使用的潜在应用而言,需 要的是短签名.1989年,Schnorr提出了一种ElGamal签名方案的一个变形方案,其签名长度被大大地缩短了.Schnorr签名方案,该方案具有随机性,初始化过 程简单,签名算法计算量小,速度快,能检测和防止签 名者伪造签名,具有较低的通信成本,有较高的安全性 和实用性,在密码卡中具有大量的应用,因此必须具有案的安全性是基于这样的思想:在特定的zp 子群上求解离散对数是安全的. Schnorr 签名中的密钥与El2Gamal签名方案中的相似,但是Schnorr将Hush函 数直接集成到了其签名算法中.下面是签名方案的完整描述.1. 1 系统参数0现取α是模p同余1的q次根,设α0是zp上的本原元,定义α=α(p-1)/qmod p,假定收稿日期 :2007 - 07 - 18作者简介:邓从政(1970-),男,湖北孝感人,硕士,讲师.·46 ·中原工学院学报2007 年 第 18卷h:{0,1}3→zq是安全的Hush函数.设p,q是大 素数, p≡1 odeq,q是大于等于160bit的整数,p是17079 4567 - 96 mod 101 ≡2518;(10)验证签名:verk (x,(96,79)) =trueΖh(x‖p大于 1024 bit 的整数且使得在 z3上求解离散对数困2518) = 96;否则为假冒签名.难,P={0,1}3,A=zq ×zq ,定义参数系统 K = { ( p , q , z ,α,β) |β=αa modp}其中1≤a≤q-1,(p,q,α,β) 是公钥,a是私钥.1.2签名算法对于参数系统K={(p,q,a,α,β)|β=αamod p} (1)选择一个秘密的随机数k,1≤k≤q- 1;(2) 计算αk ;(3)进行Hush函数运算γ=h(x‖αk