信息安全导论（王继林 西电版）第10章 数字签名与消息认证.pptVIP

第10章数字签名与消息认证;10.1数字签名

;;对于数字签名方案的攻击主要是想方法伪造签名。按照方案被攻破的程度，可以分为三种类型，分别是：①完全伪造，即攻击者能计算出私钥或者能找到一个能产生合法签名的算法，从而可以对任何消息产生合法的签名；②选择性伪造，即攻击者可以实现对某一些特定的消息构造出合法的签名；③存在性伪造，即攻击者能够至少伪造出一个消息的签名，但对该消息几乎没有控制力。;1.?ElGamal签名方案

假设p是一个大素数，g是GF(p)的生成元。Alice的公钥为y=gxmodp,g，p私钥为x。

签名算法：

Alice首先选一个与p-1互素的随机数k

Alice计算a=gkmodp

Alice对b解方程M=x*a+k*b(modp-1).

Alice对消息M的签名为(a，b)

验证算法：

检查yaabmodp=gMmodp是否成立

例如：;p=11,g=2，Bob选x=8为私钥

y=28mod11=3

公钥:y=3,g=2,p=11

Bob要对M=5进行签名

选k=9(gcd(9,10)=1)

a=29mod11=6，b=3

读者可检查yaabmodp=gMmodp是否成立。

上述方案的平安性是基于如下离散对数困难性问题的：大素数p、GF(p)的生成元g和非零元素y?GF(p)，求解唯一的整数k,0≤k≤p–2，使得y?gk(modp)，k称为y对g的离散对数。;;2．Schnorr签名方案

Schnorr签名方案是一个短签名方案，它是ElGamal签名方案的变形，其平安性是基于离散对数困难性和hash函数的单向性的。

假设p和q是大素数，是q能被p-1整除，q是大于等于160bit的整数，p是大于等于512bit的整数，保证GF(p)中求解离散对数困难；g是GF(p)中元素，且gq?1modp；Alice公钥为y?gx(modp)，私钥为x，1xq。;签名算法：

Alice首先选一个与p-1互素的随机数k

Alice计算r=h(M,gkmodP)

Alice计算s=k+x*r(modq)

验证算法：

计算gkmodP=gsyrmodP.

验证r=h(M,gkmodP)

Schnorr签名较短，由?|q|?及?|H(M)|?决定。在Schnorr签名中，r=gkmodp可以预先计算，k与M无关，因而签名只需一次modq乘法及减法。所需计算量少，速度快，适用于智能卡。;10.1.3特殊签名算法

目前国内外研究重点已经从普通签名转向具有特定功能、能满足特定要求的数字签名。如适用于电子现金和电子钱包的盲签名、适用于多人共同签署文件的多重签名、限制验证人身份的条件签名、保证公平性的同时签名以及门限签名、代理签名、防失败签名等。盲签名是指签名人不知道签名内容的一种签名，可用于电子现金系统，实现不可追踪性。如下是D.Chaum于1983年提出的一个盲签名方案：;假设在RSA密码系统中，Bob的公钥为e，私钥为d，公共模为N。Alice想让Bob对消息M盲签名

(1)?Alice在1和N之间选择随机数k通过下述方法对M盲化：t=MkemodN。

(2)?Bob对t签名，td=(Mke)dmodN。

(3)?Alice用下述方法对td脱盲：s=td/kmodN=MdmodN，s即为消息M的签名。;10.2Hash函数;(1)抗弱碰撞性。对固定的m，要找到，使得在计算上是不可行的。

(2)抗强碰撞性。要找到m和，使得在计算上是不可行的。

显然，满足(2)的Hash函数的平安性要求更高，这是抗击生日攻击的要求。有关Hash函数的描述可如图10-2所示。;;10.2.2Hash函数的构造

可以用很多方法构造Hash函数，但使用最多的是迭代型结构，著名的MD-5、SHA-1等都是基于迭代型的。如图10-3所示。;;函数的输入M被分为L个分组Y0，Y1，…，YL-1，每一个分组的长度为b比特，最后一个分组的长度如果不够的话，需对其做填充。最后一个分组中还包括整个函数输入的长度值，这样一来，将使得敌手的攻击更为困难，即敌手假设想成功地产生假冒消息，就必须保证假冒消息的杂凑值与原消息的杂凑值相同，而且假冒消息的长度也要与原消息的长度相等。

算法中重复使用一压缩函数f，f