《密码学基础》课件全套 （张薇）第1--7章 古典密码、 分组密码与DES ---消息认证与Hash函数.ppt

ECDSA(EllipticCurveDigitalSignatureAlgorithm)——DSA算法在椭圆曲线上的模拟。1992年，作为NIST所征集的DSS候选算法之一，ScottVanstone提出了ECDSA算法。后来被各标准化组织广泛接受，1998年被ISO作为ISO14888-3标准，1999年被ANSI作为ANSIX9.62标准，2000年被IEEE作为IEEE1363-2000标准，同年被FIPS作为FIPS186-2标准。1.方案建立设U为签名方，V为验证方：(1）U建立椭圆曲线域参数T=(p，a，b，G，n，h)；(2）U建立自己的密钥对（dU,QU），QU=dUG；(3）U选择一个Hash函数；(4）U通过可靠的方式将所选择的Hash函数和建立的椭圆曲线域参数T传递给V。2.签名算法(1）选择临时密钥对(k，R)，其中R=kG=(xR，yR)与域参数T相关(2）令r=xR(modn)，如果r=0,返回1(3）计算待签消息的hash值H=Hash(M)，将H转换成整数e(4）计算s?k-1(e+rdU)(modn)，如果s=0,返回1(5）输出S=(r，s)为数字签名3.验证算法(1）如果r,s?[1,n-1],验证失败(2）计算待签消息的hash值H=Hash(M)，将H转换成整数e(3）计算u1?es-1(modn)，u2?rs-1(modn)(4）计算R=(xR，yR)=u1G+u2QU，如果R=O,验证失败(5）令v=xR(modn)，如果v=r，验证成功，否则验证失败对ECDLP的攻击ECDSA算法的安全性基于ECDLP问题的困难性。如果一种攻击能够从签名者U的公钥恢复出私钥，攻击者就可以伪造出U对任何消息的数字签名。目前，当基点的阶为大素数时，素数域上的ECDLP是不可解的。对密钥生成的攻击在密钥生成过程中用到了秘密随机或伪随机数，不安全的随机或伪随机数生成器将直接导致密码被攻破。对哈希函数的攻击签名和验证阶段使用的哈希函数必须具备单向和抗冲突的特性。如果哈希函数不能抵抗冲突，攻击者可能会发现消息(M1;M2)的碰撞，在U对消息M1签名后可以伪造出对消息M2的签名。基于无效域参数和无效公钥的攻击ECDSA的安全性依赖于U使用的有效域参数，无效的域参数对Pohlig-Hellman攻击不免疫。U应该确保所采用的域参数是有效的。V在验证之前也应该检验这些参数的有效性。阈下信道——在密码协议中，存在一些特殊的编码方法或数学结构，可以用于传输秘密消息。阈下信道主要存在于数字签名和认证协议中。签名者（发送方）可以将秘密信息隐藏在数字签名之中，验证者（接收方）通过事先约定的某种协议或参数恢复出阈下信息，这种秘密通信方式很难被第三方检测到。与一般的加密传输相比，阈下信道具有更高的安全性。如果签名中的附加数据量为αbit，其中βbit用来保证签名的安全性，则理论上最大可以传递α-βbit的阈下信息。利用了全部或几乎全部α-βbit的附加数据的阈下信道为宽带阈下信道，只利用了一小部分的为窄带阈下信道。恢复阈下信息时需要签名者密钥的方式定义为方式I，不需要的定义为方式Ⅱ。在方式I中，签名者的密钥同时也是该阈下信道的恢复密钥。在ECDSA中，由于s?k-1(e+rdU)(modn)，可得k?s-1(e+rdU)(modn)，（r,s）和e为签名对于验证者V来说，只要事先知道签名者U的私钥dU就可以恢复出k来。于是以k作为阈下信息，可以实现方式I的阈下信道。在数字签名协议中补充以下步骤，就能设计出阈下通信协议：信道建立U为发送方，V为接收方:(1）U执行方案建立协议。建立参数T,(dU,QU),Hash。(2）U将私钥dU,秘密传输给V。阈下信息隐藏(1）U对秘密消息编码，得到一整数k。(2）U建立临时密钥对(k，R)，其中R=kG=(xR，yR)和域参数T相关。(3）U执行以上签名算法。阈下信息恢复(1）V执行验证协议。(2）V计算k?s-1(e+rdU)(modn)，恢复阈下信息。(3)V对k解码恢复原始的秘密信息。ECDSA算法中的签名附加数据量为（logn+logp）bit，而阈下信息k为lognbit，该信道是一种宽带信道。按照目前对椭圆曲线参数的安全要求，通过这个信道可传输192bit以上的阈下信息。签名算法(1）选择临时密钥对(k，R)，其中R