第6章通信系统的保密.pptVIP

验证过程如下: (1)A随机地选取e1，e2∈Z*p。 (2)A计算 ，且将其送给B。 (3)B计算 ，并将其送给A。 (4)A接收y，且将y作为一个真正的签名当且仅当 。这里B是签名者，A是验证者。 第一百二十七页，共二百一十九页。 否认协议如下: (1)A随机地选e1，e2∈Z*p。 (2)A计算 ，并将其送给B。 (3)B计算 ，且将其送给B。 (4)A证实 。 (5)A随机地选择f1、f2，f1、f2∈Z*p。 (6)A计算 ，并将其送给B。 (7)B计算 ，并将其送给A。 (8)A验证 。 (9)A得出y是伪造的当且仅当 ? 第一百二十八页，共二百一十九页。 下面给出不可否认签名的安全性分析。 首先证明A将会接收一个有效签名。有: 因为 则有 因此 第一百二十九页，共二百一十九页。 定理6―7 若y≠x amodp，那么，A接收y作为x的真正的签名的概率为1／q。这说明B除了一个非常小的概率之外，不能使A接收一个错误的签名，这个结果不依赖于任何计算上的假设，它是无条件安全的。 第一百三十页，共二百一十九页。 定理6―8 如果y≠xamodp，且A和B都遵守否认协议，那么:   定理6―9 假设y＝xamodp且A遵守否认协议，若 ，那么 成立的概率为1－1/q。 第一百三十一页，共二百一十九页。 6.3.3 身份认证方案 ? 现在存在着许多有名的认证方案,这里只介绍GuillouQuisquater身份认证方案。此方案是基于RSA的一个身份认证方案，下面介绍其基本思想。 TA（一个值得信任的权威机构）选择两个大素数 p、q，计算n＝pq，保密p，q，公开n。通常选择p、q足够大使n分解成p、q在计算上是不可能的。TA选择一个大的素数b(b可以取40比特的一个素数)作为安全参数及RSA的加密指数，最后TA选择一个签名方案和一个Hash函数。 第一百三十二页，共二百一十九页。 TA发给A身份证的过程如下: (1)TA根据A的身份特征产生A的一个身份证ID（A)。 (2)A秘密地选择一个正整数u，0≤u≤n-1，计算v＝(u－1) bmodn，并将其送给TA。 (3) 　A产生—个签名s＝SigTA(ID（A)，v)，并发证书C(A)＝(ID（A)，v，s)，并将它给A。 第一百三十三页，共二百一十九页。 A对B认证自己身份的过程如下: (1)A随机地选一个整数k，0≤k≤n-1，且计算 γ＝k bmodn (2)A将B的证书C(A)＝(ID(A)，v，s)和γ给他。 (3)B通过VerTA(ID(A)，v，s)＝True来验证A的证书是否正确。 (4)B随机地选一个数r，0≤r≤b-1，并将其送给A。 (5)A计算y＝kurmodn，并将其送给B。 (6)B证明γ＝vrybmodn。 第一百三十四页，共二百一十九页。 定理6―10 假定敌手知道一个值γ，对这个值，在验证协议中他能成功地冒充A的概率ε≥1/b，那么在多项式时间内，敌手能计算出u。 证明 对某个值γ，敌手能够计算出y1，y2，r1和r2(r1≠r2