第5章-数字签名课件.pptVIP

RSA数字签名方案存在以下缺陷： ① 任何人都可以伪造某签名者对于随机消息m的签名s。其方法是先选取s，再用该签名者的公钥(e,n)计算 。s就是该签名者对消息m的签名。 现代密码学 电子科技大学 ② 如果敌手知道消息 和 的签名分别是 和 ，则敌手可以伪造 的签名 ，这是因为在RSA签名方案中，存在以下性质： ③ 由于在RSA签名方案中，要签名的消息 ，所以每次只能对位长的消息进行签名。然而，实际需要签名的消息可能比n大，解决的办法是先对消息进行分组，然后对每组消息分别进行签名。这样做的缺点是签名长度变长，运算量增大。 克服上述缺陷的方法之一是在对消息进行签名前先对消息做Hash变换，然后对变换后的消息进行签名。即签名为： 验证时，先计算h（m），再检查等式： 是否成立。 现代密码学 电子科技大学 5.3 ElGamal数字签名 现代密码学 电子科技大学 5.3 ElGamal数字签名算法 1．参数与密钥生成 ① 选取大素数p, 是一个本原元。p和g公开。 ② 随机选取整数x,1≤x≤p?2，计算 ③ 公钥为y，私钥为x。 现代密码学 电子科技大学 2．签名 对于消息m，首先随机选取一个整数k, 1≤k≤p?2 ，然后计算： 则m的签名为(r, s)，其中h为Hash函数。 5.3 ElGamal数字签名算法 3．验证 对于消息签名对(m, (r, s))，如果： 则(r, s)是m的有效签名。 5.3 ElGamal数字签名算法 5.4 DSS数字签名标准 现代密码学 电子科技大学 5.4 DSS数字签名标准 1．参数与密钥生成 ① 选取大素数p，满足 ＜p＜ ，其中512≤L≤1024且L是64的倍数。显然，p是L位长的素数，L从512到1024且是64的倍数。 ② 选取大素数q，q是p?1的一个素因子且 ，即q是160位的素数且是p?1的素因子。 现代密码学 电子科技大学 1．参数与密钥生成 ③ 选取一个生成元 ，其中h是一个整数，满足1＜h＜p?1并且 。 ④ 随机选取整数x，0＜x＜q，计算 。 ⑤ p、q和g是公开参数，y为公钥，x为私钥。 5.4 DSS数字签名标准 2．签名 对于消息m，首先随机选取一个整数k , 0＜k＜q，然后计算： 则m的签名为(r, s)，其中h为Hash函数，DSS规定Hash函数为SHA-1。 现代密码学 电子科技大学 5.4 DSS数字签名标准 3．验证 对于消息签名对(m, (r, s))，首先计算： 然后验证： 如果等式成立，则(r, s)是m的有效签名；否则签名无效。 DSS的框图下图所示，其中的4个函数分别为： 现代密码学 电子科技大学 5.5 其他数字签名5.5.1 基于离散对数问题的数字签名 现代密码学 电子科技大学 1．离散对数签名方案 ElGamal签名方案、DSA签名方案、Schnorr签名方案都可以归结为离散对数签名方案的特例。 现代密码学 电子科技大学 1．离散对数签名方案 （1）参数与密钥生成 p：大素数。 q：p ?1或p ? 1的大素因子。 g： ，且 ，其中 表示g 是从 中随机选取的，这里的 。 x：用户A的私钥，1＜x＜q。 y：用户A的公钥，y ? g x mod p。 1．离散对数签名方案 （2）签名 对于消息m，A执行以下步骤： ① 计算的m的Hash值h(m)。 ② 随机选择整数k,1＜k＜q。 ③ 计算r ? gk mod p。 ④ 从签名方程：ak ?(b+cx)mod q中解出s，其中方程的系数a、b、c有多种选择，表5-1给出了一部分可能的选择