DSS的数字签名算法.ppt

数 字 签 名 提供数据来源的真实性、数据内容的完整性、签名者的不可否认性以及匿名性等信息安全相关的服务和保障。 用于网络通信的安全以及各种用途的电子交易系统（如电子商务、电子政务、电子出版、网络学习、远程医疗等）中。 安全文件传输 Thank You ~ ~ 小结 方法四：该方法在rp条件下可行 先计算： 然后计算 ，使 满足 显然，可以通过中国剩余定理解除 。 检查验证同余式是否成立： 因此， 是消息 的有效签名，但它是伪造出来的，因为并没有使用签名的私有密钥。 如果在验证签名时检查rp，就足以阻止这种签名伪造攻击。 历史背景： 数字签名标准DSS（Digital Signature Standard）是由美国国家标准技术协会NIST于1991年8月公布，并于1994年12月1日正式生效的一项美国联邦信息处理标准。 6.5 数字签名标准DSS 实质： ——是ElGamal签名体制 但它运行在较大有限域的一个小的素数阶子群上，并且在这个有限域上，离散对数问题是困难的。 实现方法： 在对消息进行数字签名之前，DSS先使用安全的Hash算法SHA-1对消息进行Hash处理，然后再对所得的消息摘要签名。 DSS的数字签名算法 DSS数字签名标准使用的算法称为数字签名算法DSA（Digital Signature Algorithm），它是在ElGamal和Schnorr两个方案基础上设计出来的。 DSA的系统参数 ※ ※ ※ ※ 一个用户随机选取的整数 ，并计算出 ※ 一个Hash函数 H： 。 这些系统参数构成DSA的密钥空间： 其中， 为公开密钥，a是私有密钥。 这里的使用的是安全的Hash算法SHA-1 签名时： 对消息m生成数字签名时，随机选取一个秘密整数 ，并计算出： 就是消息m的数字签名，即 由此可见，DSA的签名空间为 ， 签名的长度比ElGamal体制短了许多。 验证者知道签名者的公开密钥 验证时： 对于一个消息-签名对 ，计算下面几个值并判定签名的真实性： 这是因为，如果 是消息 的有效签名，那么 DSA数字签名算法基本框图 m f 1 f 3 f 2 SHA-1 SHA-1 f 4 比 较 m p,q,g k a r q w 例 6.3 假设签名者的私有密钥为a=87，那么， 签名时： 假如该签名者要对一个消息摘要为SHA-1（m）=132的消息m签名，并且签名者选择的秘密随机数为k=79，则需要计算： 因此，（99,57）是消息m的签名 验证时： 计算： 所以， 说明以上签名是有效的。 DSA算法的评价 DSA算法不能用于数据加密，也不能用于密钥分配； DSA算法比RSA慢； DSA算法的密钥长度太短； DSA算法设计过程不公开，提供的分析时间不充分； DSS只是一个数字签名标准，当时还没法定的的公钥加密标准 验证签名时DSA比RSA慢10到40倍 密钥长度变化范围在512比特到1024比特之间 怀疑其中可能存在陷门，担心政府借机干扰公民的私隐 DSA算法的安全问题 主要有以下几个方面： 攻击秘密数k； 共用模数的危险； DSA的阈下信道； 攻击秘密数k k是签名者选取的秘密数，每次签名都需要一个新的 k，而且应是随机选取的。 情况一：若攻击者能够恢复一个签名者对消息签名时使用的秘密数k，则就可以导出签名者的签名私钥 a。 情况二：若一个签名者使用同一个秘密数k对两个不同的消息进行签名，那么攻击者只要能够截获这两个消息及其签名，则根本不需要求解 k就可以直接导出签名者的签名私钥a ，进而能够伪造该签名者的数字签名。 共用模数的危险 DSA算