信息安全基础CS-IS.pptVIP

第十章 数字签名与认证协议 1 EIGamal签名方案 该方案是特别为签名的目的而设计的。1985年提出，很大程度上为Diffe-Hellman密钥交换算法的推广和变形。这个方案的改进已被美国NIST（国家标准和技术研究所）采纳作为数字签名标准。 方案：P为素数，FP中的离散对数问题是难处理的。取本原元??Fp*,消息集合M=Fp*，签名集合A=Fp*?Zp-1,定义K={（p,?,a,?)| ?= ?a(modp)},值p,?和?是公开的，a是保密的。 对K=( p,?,a,?)和一个（秘密）随机数k ?Zp-1*,对消息x ?M进行签名： SigK(x,k)=(?,?), 其中，?=?k(modp), ?=(x- ? ?)k-1(modp-1) 对x, ??Fp*和??Zp-1,验证签名定义为 Ver(x, ?,?)=真（true)???????x(modp) 对EIGamal签名方案安全性的讨论： 若Oscar在不知道a的情况下企图伪造一个给定消息x的签名： Sigoscar(x,k)=(?,?) (1)Oscar先选定一个?，然后企图找?，这样，他就必须解一个关于未知数?的方程： ??????x(modp) 这个方程是一个已知无可行解法的难处理问题！ (2)Oscar先选定一个? ，使其满足： ??????x(modp)，于是， ????-??x(modp)，这样，他就必须计算离散对数 log?(?-??x)=?,这自然是难处理的问题！ (3)若两者?, ?都被 Oscar首先选定,然后企图解出一个随机消息x,使得??????x(modp)，于是Oscar利用这种方式也不能伪造随机消息的签名。 (4) Oscar同时选择?, ?和x来伪造签名问题: 假设i和j是整数,0=I=p-2,0=j=p-2,且(j,p-1)=1,先完成下列计算: ???i?j(modp) ??-?j-1(modp-1) x=-?ij-1(modp-1) (其中j-1是用模p-1来计算的) 可以证实(?, ?)是一个消息x的有效签名: 例子:假设p=467,?=2和?=132,它们为Bob公开的签名方案中的参数。Oscar利用这些参数伪造对一随机信息x的签名： 选择i=99和j=179，那么j-1(modp-1)=151，计算出下列的x,?, ?: 那么（117，41）是消息331的一个有效签名。验证： 因此，这个伪造的签名有效！ （5）其他类型的伪造签名： Oscar依据Bob已签名的消息来做伪签名。假设(?, ?) 是一个消息x的有效签名，那么Oscar可以用此来伪签其它 消息： 设h,i,j为整数,0=h,i,j=p-2且 ,计算 （其中 是模p-1算出） 然后可验证出 因此 ， 为假消息 的一个有效签名 讨论两个问题： （1）用EIGamal方案计算一个签名时，使用的随机数k为什么不能泄露？ （2）若Bob用相同的值来签名不同的两份消息，Oscar能否攻破这个体制？ 2 数字签名标准 公布于1994年5月19日的联邦记录上，并于1994年12月1日采纳为标准DSS。DSS为EIGamal签名方案的改进。 DSS：p为512bit的素数，q为160比特的素数，且q|p-1, ??Fp*,且?为模p的q次单位根。消息集合P=Fp*，签名集合A=Fq?Fq,定义K={（p,?,a,?)| ?= ?a(modp)},值p,q,?和?是公开的，a是保密的。 取x?P,对K=( p,q,?,a,?)和一个（秘密）随机数k (1=k=q-1) ,定义 SigK(x,k)=(?,?), 其中，?=?k(modp)（modq), ?=(x+ ? ?)k-1(modq) 对x?Fp*和?,??Fq来说,按下述计算来验证签名的真伪： 注：1*.DSS的使用涉及到Smart卡的使用,要求短的签名。DSS以一个巧妙的方法修改了EIGamal方案，使得签名160bits消息产生一个320bit的签名，但是计算使用