第7章-数字签名与认证.pptVIP

（2）签名对于消息m，A执行以下步骤：①随机选择整数k,1＜k＜q。②计算r?gkmodp。③计算e=h（r,m）。④计算s?（xe+k）modq。对消息m的签名为（e,s）。（3）验证接收者在收到消息m和签名（e,s）后，通过以下步骤来检验签名的合法性：①计算。②按照以下方程进行验证：Schnorr签名的正确性可由下式证明：7、DSS数字签名标准DSS数字签名标准：DSA1）参数与密钥生成

①选取大素数p，满足＜p＜，其中512≤L≤1024且L是64的倍数。②选取大素数q，q是p?1的一个素因子且，即q是160位的素数且是p?1的素因子。③选取一个生成元，其中h是一个整数，满足1＜h＜p?1并且。④随机选取整数x，0＜x＜q，计算。⑤p、q和g是公开参数，y为公钥，x为私钥。2）签名对于消息m，首先随机选取一个整数k,0＜k＜q，然后计算：则m的签名为(r,s)，即(m,(r,s))其中h为Hash函数，DSS规定Hash函数为SHA-1。3）验证对于消息签名对(m,(r,s))，首先计算：然后验证：如果等式成立，则(r,s)是m的有效签名；

否则签名无效。DSS的框图下图所示，其中的4个函数分别为：思考题1．在RSA签名方案中，设p=7，q=17，公钥e=5，消息m的Hash值为19，试计算私钥d并给出对该消息的签名和验证过程。2．在ElGamal签名方案中，设p=19，g=2，私钥x=9，则公钥y=29mod19=18。若消息m的Hash值为152，试给出选取随机数k=5时的签名和验证过程。3．试给出椭圆曲线上的ElGamal签名方案。4．在DSA签名算法中，如果一个签名者在对两个不同的消息签名时使用了相同的随机整数k，试显示攻击者可以恢复出该签名者的私钥。思考题一个数字签名体制（也称为数字签名方案）一般有两个组成部分，即签名算法（signaturealgorithm）和验证算法（verificationalgorithm）。签名算法的输入是消息m和密钥k，输出是对m的数字签名，记为s=(m)。验证算法输入的是消息m和签名s，输出是真或伪，记为：算法的安全性在于从m和s难以推出密钥k或伪造一个消息使和s可被验证为真。RSA数字签名方案存在以下缺陷：①任何人都可以伪造某签名者对于随机消息m的签名s：先选取s，再用该签名者的公钥(e,n)计算s就是该签名者对消息m的签名。②如果敌手知道消息和的签名分别是和，则敌手可以伪造的签名，这是因为在RSA签名方案中，存在以下性质：③由于在RSA签名方案中，签名消息，所以每次只能对位长的消息进行签名。然而，实际需要签名的消息可能比n大，解决的办法是先对消息进行分组，然后对每组消息分别进行签名。这样做的缺点是签名长度变长，运算量增大。克服上述缺陷的方法之一是在对消息进行签名前先对消息做Hash变换，然后对变换后的消息进行签名。即签名为：验证时，先计算h(m)，再检查等式：是否成立。如何给数字文件进行数字签名？数字签名是一个特有的两阶段过程：①使用杂凑函数对消息生成消息摘要h(m)；②发送者使用自己的私钥签名。数字签名只提供消息的完整性和来源认证，一般不提供保密性。Hash函数Hash（哈希）函数又称为：（1）杂凑函数；（2）Hash编码；（3）散列函数；（4）散列编码；（5）单向压缩函数。Hash函数Hash函数是一类特殊的单向函数。设数据文件是任意长度的比特串x。

在密码应用中，希望有这样的函数y=H(