第八章数字签名.pptVIP

* 强盲签名 强盲签名又称为完全盲签名，它的原始定义是指签名者在文件上签名是有效的，但不能把签署文件的行为与签署了的文件相关联，即无法建立Sign(R(m))到Sign(m)的联系。正是这些特点实现了不可追踪性(untraceable)和匿名性（anonymous），也是盲签名的重要特色。它主要应用于电子商务中，诸如电子现金的使用和电子投票等有匿名性要求的领域。完全盲签名的研究已经比较成熟，如盲RSA签名和盲Schnorr签名方案是主要的实现方案。下面以最早的RSA盲签名实现方案为例，介绍强盲签名方案。 * 强盲签名(RSA) 设签名人S有公钥(e,n)，私钥d，要对用户U的文件m进行完全盲签名。 (1) U选取随机整数k∈[1,n]，盲化m为：t=mke mod n，并将t发给S。 (2) S签名t： 。 (3) U对t去盲： 。 s是文件m最终的签名，易证 ，所以 。s的效果相当于签名人S直接对m签名，但S不知道m的内容。这个协议中，由于S不知道k，不能从td得到s，从而得不到m。 * 强盲签名(DSA) 设U签名的接受者，S为签名者，其拥有公私钥对(x,y)，其中y=gx mod p，m为待签名的文件，U和S的签名过程如下： U S 签名请求 r * 强盲签名(DSA)（正确性） * 弱盲签名 所谓弱盲签名方案是指签名者S仅知道Sign(R(m))而不知道Sign(m)，但一旦公开Sign(m),S可以建立两者间的联系，即S能把盲签名Sign(R(m))的行为与文件m的内容关联起来。如果把文件m看作是一个电子现金，则用户U使用这个电子现金支付给商家，再由商家到银行兑付时，银行就可以从签名Sign(m)中了解是U消费的，从而可以追踪U的行为，这显然不满足不可跟踪性。但是从另一角度看，这种方案可以用于遗嘱、合同等电子公证，在一段时间内保护信息秘密，在合适的场合公布有关内容及用户身份。 * 弱盲签名(举例) 设U签名的接受者，S为签名者，其拥有公私钥对(x,y)，其中y=gx mod p，m为待签名的文件，U和S的签名过程如下： U S 签名请求 r * 弱盲签名(举例)（正确性） * 盲签名在电子投票中的应用 * 群(组)签名 1991年，Chaum和Heyst首次提出群签名方案（Group Signature）。群签名方案允许组中合法用户以用户组的名义签名，具有签名者匿名、只有权威者才能辨认签名者等多种特点，在实际中有广泛的应用。 特点： 只有组中成员才能代表组为消息签名，签名为群签名。 消息接收者可以验证群签名的有效性，但不能辨别签名者。 一旦发生争论，从消息的群签名权威（组长）可以辨别签名者。 * 群签名方案(初始化) 组中每一用户Ui随机选择xi∈[1,q-1], i=1,2,…,t，并计算yi=gxi mod p ,那么用户Ui的私钥为xi 和公钥为yi，同样，GC（组长）随机选择xT∈[1,q-1],并计算yT=gxT mod p，GC的私钥为xT 和公钥为yT 。 对于组中每一用户Ui，GC随机选择ki∈[1,q-1],计算： * 群签名方案 GC将(ri,si)发送到组中用户Ui ，Ui 收到(ri,si)，验证等式： 如果等式成立，(ri,si)是GC对用户Ui 身份的有效签名。 对于组中每一用户Ui ，