密码学第7章数字签名.pdf

第7章 数字签名 主要内容 基于公钥密码的数字签名 EIGamal 签名方案 数字签名标准DSS 基于离散对数问题的一般数字签名方案 数字签名基本概念 数字签名由公钥密码发展而来，它在网络安全， 包括身份认证、数据完整性、不可否认性以及匿 名性等方面有着重要应用。 通信双方之间可能有多种形式的欺骗，例如发送 方A和接收方B使用消息认证码的基本方式通信， 则可能发生以下欺骗：  ①B伪造一个消息并使用与A共享的密钥产生该消息的认证码， 然后声称该消息来自于A 。  ②由于B有可能伪造A发来的消息，所以A就可以对自己发过的消 息予以否认。  这两种欺骗在实际的网络安全应用中都有可能发生，例如在电子 资金传输中，收方增加收到的资金数，并声称这一数目来自发方。 又如用户通过电子邮件向其证券经纪人发送对某笔业务的指令， 以后这笔业务赔钱了，用户就可否认曾发送过相应的指令。  因此在收发双方未建立起完全的信任关系 且存在利害冲突的情况下，单纯的消息认 证就显得不够。数字签名技术则可有效解 决这一问题。类似于手书签名，数字签名 应具有以下性质：  能够验证签名产生者的身份，以及产生签名 的日期和时间。  能用于证实被签消息的内容。  数字签名可由第三方验证，从而能够解决通 信双方的争议。 数字签名特性 由此可见，数字签名具有认证功能。为实现上述 三条性质，数字签名应具有以下特性： （1）不可伪造性 除了签名者外，任何人都不能伪造签名 者的合法签名。 （2）认证性 接收者相信这份签名来自签名者。 （3）不可重复使用性 一个消息的签名不能用于其他消息。 （4）不可修改性 一个消息在签名后不能被修改。 （5）不可否认性 签名者事后不能否认自己的签名。 数字签名体制 一个数字签名体制（也称为数字签名方案）一般 有两个组成部分，即签名算法（signature algorithm）和验证算法（verification algorithm）。 签名算法的输入是消息m和密钥k ，输出是对m 的 数字签名，记为s = Sigk （m）。验证算法输入的 是消息m和签名s ，输出是真或伪，记为： 真 当s  Sig (m) k Ver(m, s)   伪 当s  Sig (m)  k 算法的安全性在于从m和s难以推出密钥k ，或难 以伪造一个消息使s被验证为真。 数字签名分类 按用途来分，数字签名可分为普通数字签名和具 有特殊用途的数字签名[如盲签名（blind signature）、不可否认签名（undeniable signature）、群签名（group signature）、代理签 名（proxy signature）等] 。 按是否具有消息恢复功能来分，数字签名可分为 具有消息恢复功能的数字签名和不具有消息恢复 功能的数字签名。 按是否使用随机数来分，数字签名可分为确定性 数字签名和随机化数字签名（randomized digital signature）。 7.1 基于公钥密码的数字签名 用其必威体育官网网址的解密密钥 Bob 对消息m 加密。密文s