第7章数字签字和密码协议-zhp.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 每一次签名都要使用一个新的K，如果攻击者能够恢复一个签名者对消息签名时使用的参数K，就可以导出签名者的私钥x,进一步的威胁是，如果签名者使用同一个参数K对两个不同的消息 进行签名，那么攻击者只要能够截获这两个消息及其签名，则根本不需要求解k可以直接导出签名者的私钥x，进而伪造该签名者的数字签名。 * * * * * * * * * * * * * * * * * * * * * * * 比赛开始前A、B协商好用以表示52张牌的消息w1,w2,…,w52，协议中设A为发牌人，并设给每人发5张牌。协议如下： ① B先洗牌，然后用EB对52个消息分别加密，将加密结果EB(wi)发送给A。 ② A从收到的52个加密的消息中随机选5个EB(wi)，并发送给B，B用自己的解密变换DB对这5个值解密，解密后的值作为发给自己的一副牌。因为B的加密变换EB和解密变换DB都是保密的，所以A无法知道B手中的牌。 ③ A另选5个EB(wi)，用EA加密后发送给B。 ④ B用DB对收到的值解密后再发送给A，A用DA对收到的值解密后作为发给自己的一副牌，这是因为B发送给A的值是 DB(EA(EB(wi)))=DB(EB(EA(wi)))=EA(wi) 其中用到加密变换的交换律。 下面考虑该协议是否满足发牌过程的4个要求。 对第②个要求，B可在协议的第③步检查A发来的5个值是否和第②步发来的5个值有重复。为满足第4个要求，可在比赛结束后公开所有的加密变换和解密变换，双方都可检查对方的牌看是否有欺诈。对第①个和第③个要求来说，关键在于加密变换EB的强度，由EB(wi)可能得不出wi，但有可能得出wi的部分信息。例如，wi是一个比特串，则有可能从EB(wi)得出wi的最后一个比特，因此A可将52个值EB(w1),EB(w2),…,EB(w52)分成两个子集，A在发牌时可将发给B的牌集中在某一子集中，因此使得第①个和第③个要求无法满足。 在计算机网络中，实现真正的掷硬币是不可能的，但执行一个掷硬币协议是可能的。 一般来说，一个投硬币协议需要满足以下三个条件： （1）A和B各有50%的机会获胜 （2）规定双方中任何一方欺骗则认为其失败 （3）协议结束后，A，B双方都知识结果。 7.6.2 掷硬币协议 1. 采用平方根掷硬币 协议如下： ① A选择两个大素数p、q，将乘积n=pq发送给B。 ② B在1和n/2之间，随机选择一个整数u，计算z≡u2 mod n，并将z发送给A。 ③ A计算模n下z的4个平方根±x和±y（因A知道n的分解，所以可做到），设x’是x mod n和-x mod n中较小者，y’是y mod n和-y mod n中较小者，则由于1un/2，所以u为x’和y’之一。 ④ A猜测u=x’或u=y’，或者A找出最小的i使得x’的第i个比特与y’的第i个比特不同，A猜测u的第i个比特是0还是1。A将猜测发送给B。 ⑤ B告诉A猜测正确或不正确，并将u的值发送给A。 ⑥ A公开n的因子。 分析： 因u是B随机选取的，A不知道u，所以要猜测u只能是计算模n下z的4个平方根，猜中的概率是1/2。 考虑B如何能欺骗A，如果B在A猜测完后能够改变u的值，则A的猜测必不正确，A可通过 检查出B是否改变了u的值，所以B要想改变u的值就只能在x’和y’之间进行。而B若掌握x’和y’，就可通过gcd{x’-y’, n}或gcd{x’+y’, n}求出p和q，说明B的欺骗与分解n是等价的。 例7.6 本例是采用平方根掷硬币的一个具体实现过程： ① A取p=3,q=7，将n=21发送给B。 ② B在1和21/2之间，随机选择一个整数u=2，计算z≡22 mod n≡4并将z=4发送给A。 ③ A计算模21下z=4的4个平方根x=2,-x=19,y=5, -y=16，取x’=2，y’=5。 ④ A猜测u=5并将猜测发送给B\. ⑤ B告诉A猜测不正确，并将u=2发送给A，A检验u=2在1和21/2之间且满足4≡22 mod 21，A知道自己输了。 ⑥ A公开n=21的因子p=3,q=7，B检验n=pq，知道自己赢了。 2. 利用单向函数掷硬币 设A、B都知道某一单向函数f(x)，但都不知道该函数的逆函数，协议如下： ① B选择一个随机数x，求y=f(x)并发送给A。 ② A对x的奇偶性进行猜测，并将结果告诉B。 ③ B告诉A猜测正确或不正确，并将x发送给A。 由于A不知道f(x)的逆函数，因此无法通过B发过来的y得出x