信息安全导论课程-ch13-数字签名和认证协议.pptVIP

{ 回顾ElGamal加密体制 } 准备 素数p，Zp*中本原元g，公开参数 私钥a，公钥b=ga mod p 加密 对明文1=m=p-1，选随机数k 密文(c1, c2) c1=gk mod p, c2=mbk mod p 解密 m＝c2 (c1a)-1＝mbk ((gk)a)-1 ＝m(ga)k (g-ka) ＝m mod p 第三十一页，共六十四页。 13.c ElGamal签名方案 Zp满足离散对数问题难解，α是生成元 设P ＝ Zp* ，A＝ Zp*×Zp-1 K ＝{(p,α, a,β), β=αa (mod p) } 私钥是a 签名时，取秘密随机数k∈Zp-1*， 定义sig(x,k) = (γ,δ), ＝(αk mod p, (x-aγ)k-1 mod (p-1)) 验证 ver(x, (γ,δ))： βγγδ＝?αx mod p 第三十二页，共六十四页。 验证正确性证明 如果 (x,γ,δ)是真实签名 βγγδ＝αaγαkδ＝αaγ+kδ 而 δ ＝ (x-aγ) k-1 mod Φ(p) 即 aγ＝x-kδ mod Φ(p) 故 βγγδ ＝ αnΦ(p)+x-kδ+kδ ＝αnΦ(p)+x ＝αnΦ(p)αx ＝ αx mod p 其实δ就是签名时从 kδ＋aγ＝x解出来得 第三十三页，共六十四页。 签名计算实例 p＝467，α＝2，a＝127，则 β＝αa mod p ＝ 2127 mod 467 ＝ 132 签名x＝100，取k＝213(注: k得和p-1互素)，则 k-1＝213-1 mod 466 = 431 γ＝αk mod p ＝ 2213 mod 467 ＝ 29 δ＝ (x-aγ) k-1 mod Φ(p) ＝ (100-127×29)×431 mod 466 ＝51 签名值：（100，(29,51)） 第三十四页，共六十四页。 验证计算实例 p＝467，α＝2，a＝127, β＝ 132 （x,(γ,δ)）＝（100，(29,51)） 判断是否：βγγδ＝αx mod p 事实上 βγγδ＝13229×2951＝189 mod 467 αx＝2100＝189 mod 467 而且，如果（100，(29,51)）的任何改变都会导致验证失败 第三十五页，共六十四页。 Subject links DSS/DSA FIPS 186 P1363 /groups/1363/ 第三十六页，共六十四页。 13.3 数字签名标准 Digital Signature Standard （DSS） Digital Signature Algorithm （DSA） DSS标准－DSA FIPS 186 NIST 1991 1993 只能签名，不能加密 概念对比 RSA：M＋Eki(H(M))，ki是私钥 DSS：M＋Eki(H(M), k)，ki是私钥 k是随机数 第三十七页，共六十四页。 图示 RSA vs. DSS 第三十八页，共六十四页。 DSA 准备 素数p，约512＋比特； 素数q，约160比特，要求是p-1的因子 选择g＝h^(p-1/q) mod p 密钥 用户私钥x，xq 公钥y，y＝g^x mod p 签名，对报文M 产生随机数k r＝(g^k mod p) mod q s= k-1 (H(M)+xr) mod q (r，s)即是签名，连同明文的M 验证，测试是否v＝r’，其中 v＝g^u1×y^u2 mod p mod q u1＝H(M’) ×s’-1 mod q u2＝r’×s’-1 mod q 第三十九页，共六十四页。 DSA Figure 第四十页，共六十四页。 练习：DSA算法 in OpenSSL OpenSSL支持DSA签名算法 DSA API in OpenSSL int DSA_sign(int type,const unsigned char *dgst,int dlen, unsigned char *sig, unsigned int *siglen, DSA *dsa); int DSA_verify(int type,const unsigned char *dgst,int dgst_len, const unsigned char *sigbuf, int siglen, DSA *dsa); 练习给出使用DSA签名的例子程序，演示 DSA密钥产生 对文件签名 验证 第四十一页，共六十四页。 13.2 认证协议 （消息认证） 身份是在加密之前需要首先进行的步骤