第10章 数字签名与消息认证

《第10章 数字签名与消息认证》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、第10章数字签名与消息认证10.1数字签名10.2Hash函数10.3消息认证思考题实验10PGP软件的安装与使用10.1数字签名10.1.1数字签名的概念在RSA公钥密码体制中，假如Alice用自己的私钥d来计算S≡md(modn)，然后把S连同消息m一起发送给Bob，而Bob用Alice的公钥(n,e)来计算m'≡ce(modn)，那么则有m'=m。大家想一下，这是否意味着Bob相信所收到的s一定是来自Alice？上述过程中的S是否相当于Alice对消息m的签名？上述过程可用图10-1来概括。图10-1数字签名过程示意图数字签名是利用密码运算实现“手写签名”效果的一种技术，它

2、通过某种数学变换来实现对数字内容的签名和盖章。在ISO7498-2标准中，数字签名的定义为“附加在数据单元上的一些数据，或是对数据单元所做的密码变换，这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性，并保护数据，防止被人伪造”。一个数字签名方案一般由签名算法和验证算法两部分组成。要实现“手写签名”的效果，数字签名应具有不可伪造、不可抵赖和可验证的特点。对于数字签名方案的攻击主要是想办法伪造签名。按照方案被攻破的程度，可以分为三种类型，分别是：①完全伪造，即攻击者能计算出私钥或者能找到一个能产生合法签名的算法，从而可以对任何消息产生合法的签名；②选择性伪造

3、，即攻击者可以实现对某一些特定的消息构造出合法的签名；③存在性伪造，即攻击者能够至少伪造出一个消息的签名，但对该消息几乎没有控制力。10.1.2基本签名算法数字签名方案一般利用公钥密码技术来实现，其中私钥用来签名，公钥用来验证签名。比较典型的数字签名方案有RSA算法(R.L.Rivest,A.Shamir,andL.M.Adleman,1978)、ElGamal签名(T.ElGamal,1985)、Schnorr签名(C.P.Schnorr,1989)和DSS签名(NIST,1991)。我们这里仅给出ElGamal签名方案和Schnorr签名方案。1.ElGamal签名方案假设p

4、是一个大素数，g是GF(p)的生成元。Alice的公钥为y=gxmodp,g，p私钥为x。签名算法：Alice首先选一个与p-1互素的随机数kAlice计算a=gkmodpAlice对b解方程M=x*a+k*b(modp-1).Alice对消息M的签名为(a，b)验证算法：检查yaabmodp=gMmodp是否成立例如：p=11,g=2，Bob选x=8为私钥y=28mod11=3公钥:y=3,g=2,p=11Bob要对M=5进行签名选k=9(gcd(9,10)=1)a=29mod11=6，b=3读者可检查yaabmodp=gMmodp是否成立。上述方案的安全性是基于如下离散对数困

5、难性问题的：已知大素数p、GF(p)的生成元g和非零元素yGF(p)，求解唯一的整数k,0≤k≤p–2，使得ygk(modp)，k称为y对g的离散对数。目前对离散对数最有效的攻击方法是指数演算攻击，其计算量为在1996年的欧洲密码学会(ProceedingsofEUROCRYPT96)上，DavidPointcheval和JacquesStern给出一个ElGamal签名的变体，并基于所谓分叉技术证明了在随机预言模型下所给方案是安全的(在自适应选择消息攻击下能抗击存在性伪造)。2．Schnorr签名方案Schnorr签名方案是一个短签名方案，它是ElGamal签名方案的变形，

6、其安全性是基于离散对数困难性和hash函数的单向性的。假设p和q是大素数，是q能被p-1整除，q是大于等于160bit的整数，p是大于等于512bit的整数，保证GF(p)中求解离散对数困难；g是GF(p)中元素，且gq1modp；Alice公钥为ygx(modp)，私钥为x，1

7、q

8、及

9、H(M)

10、决定。在Schnorr签名中，r=gk

11、modp可以预先计算，k与M无关，因而签名只需一次modq乘法及减法。所需计算量少，速度快，适用于智能卡。10.1.3特殊签名算法目前国内外研究重点已经从普通签名转向具有特定功能、能满足特定要求的数字签名。如适用于电子现金和电子钱包的盲签名、适用于多人共同签署文件的多重签名、限制验证人身份的条件签名、保证公平性的同时签名以及门限签名、代理签名、防失败签名等。盲签名是指签名人不知道签名内容的一种签名，可用于电子现金系统，实现不可追踪性。如下是D.Chaum于1983年提出的一个盲签