信息安全问题的思考和对策.ppt

密 码 学 （第十二讲） 数字签名(2) 张焕国 武汉大学计算机学院 目 录 1、密码学的基本概念 2、古典密码 3、数据加密标准（DES） 4、高级数据加密标准（AES） 5、中国商用密码（SMS4） 6、分组密码的应用技术 7、序列密码 8、习题课：复习对称密码 9、公开密钥密码（1） 目 录 10、公开密钥密码（2） 11、数字签名（1） 12、数字签名（2） 13、HASH函数 14、认证 15、密钥管理 16、PKI技术 17、习题课：复习公钥密码 18、总复习/检查：综合实验 三、利用ELGamal密码实现数字签名 2、利用ELGamal密码实现数字签名： ⑴密钥选择 选P是一个大素数，p-1有大素数因子，α是一个模p的本原元，将p和α公开。 用户随机地选择一个整数x作为自己的秘密的解密钥，1x≤p-2 。 计算 y≡αx mod p，取y 为自己的公开的加密钥。 三、利用ELGamal密码实现数字签名 ⑵ 产生签名 设明文消息m加签名，0≤m≤p-1,其签名过程如下： 用户A随机地选择一个整数 k，1kp-1，且（k，p-1）=1； 计算r＝αk mod p 计算s＝（m－xr）k-1 mod p-1 取（r，s）作为m的签名,并以m,r,s的形式发给用户B。 三、利用ELGamal密码实现数字签名 ⑶ 验证签名 用户B接收：m,r,s 用户B用A的公钥y验证：αm＝yrrs mod p， 是否成立，若成立则签名为真，否则签名为假。 签名的可验证性可证明如下： 因为s＝（m－xr）k-1 mod p-1， 所以 m＝xr +ks mod p-1， 故αm＝αxr+ks＝(αx)r(αk)s=yrrs mod p , 故签名可验证。 三、利用ELGamal密码实现数字签名 ⑶ 验证签名 安全性 从公开密钥求私钥是离散对数问题。 p-1要有大素数因子,否则易受攻击。 为了安全，随机数k应当是一次性的。否则时间一长，k将可能泄露。因为， x＝(m-ks)r-1 mod p-1， 如果知道了m，便可求出保密的解密钥。 三、利用ELGamal密码实现数字签名 ⑶ 验证签名 安全性 如果k重复使用，如用k签名m1和m2。于是， m1＝xr+ks1 mod p-1， m2＝xr+ks2 mod p-1， 于是，(s1-s2)k=(m1- m2) mod p-1 如果知道了m1和m2，便可求出k，进而求出保密的解密钥。 由此可知，不要随便给别人签名。 不要直接对m签名，而是对HASH(m)签名。 三、利用ELGamal密码实现数字签名 3、 ELGamal密码签名的应用 美国数字签名标准（DSS）的签名算法DSA是它的一种变形。 安全，方便。 缺点：由于取（r，s）作为m的签名，所以数字签名的长度是明文的两倍。数据扩张严重。 四、利用椭圆曲线密码实现数字签名 一个椭圆曲线密码由下面的六元组描述： T=p,a,b,G,n,h 其中，p为大于3素数，p确定了有限域GF（p）；元素a,b∈GF(p),a和b确定了椭圆曲线；G为循环子群E1的生成元，n为素数且为生成元G的阶，G和n确定了循环子群E1。 y2=x3+ax+b mod p 四、利用椭圆曲线密码实现数字签名 d为用户的私钥，公开钥为Q点，Q=dG 。 1、产生签名 选择一个随机数k，k∈{1,2,···,n-1}； 计算点R（x R ,y R）=kG，并记 r= x R ； 利用保密的解密钥d计算： s＝(m－dr)k-1 mod n ； 以r,s作为消息m的签名，并以m，r，s的形式传输或存储。 四、利用椭圆曲线密码实现数字签名 2、验证签名 计算s-1 mod n； 利用公开的加密钥 Q 计算 U（x U ,y U）= s-1(mG-rQ)； 如果x U =r，则r,s是用户A对m的签名。 证明：因为s＝(m –dr) k-1 mod n ，所以 s-1=(m–dr)-1 k mod n， 所以U（x U ,y U）=(m –dr)-1 k （mG- rQ） =(m –dr)-1 （mkG- krdG）= (m –dr)-1 (mR- rdR) ＝(m –dr) –1 R（m-dr）=R（x R ,y R）。 所以 x U =x R=r . 四、利用椭圆密码实现数字签名 3、椭圆曲线密码签名的应用 2000年美国政府已将椭圆曲线密码引入数字签名标准DSS。 安全，密钥短、软硬件实现节省资源等特点。 五、盲签名 在普通数字签名中，签名者总是先知道数据的内容后才实施签名，这是通常的办公事务所需要的。但有时却