2022-04应用密码学鉴别方案

1、应用学13.鉴别方案助理教授引言Feige、Fiat和Shamir改进的著名的的零知识证明方案1986年在以色列、欧洲和会议上。鉴别方案可以转换为数字签名方案，用一个单向函数取代鉴别者Victor即可。2014-06-0321.简化方案仲裁方产生n为两大素数之积，选取v，满足：x2v mod n有解且v-1 mod n存在则Peggy的公钥：v私钥：mins|ssqrt(v-1) mod n2014-06-033协议描述：x=r2 mod nbPeggy选rnVictor选随机位b(0或1)验证y2vb是否等于xy计算y=rsb mod n2014-06-0342. Feige-Fiat-Sh

2、amir鉴别方案仲裁方产生n为两大素数之积，选取vi(1ik)x2vi mod n有解且vimod n存在-1满足：则Peggy的公钥：vi私钥：si = minsqrt(v -1) mod ni2014-06-035协议描述：Peggy选rnx=r2 mod nb1bkVictork位随机二进制串b b1k计算y r 验证kyi1kbSmodniy 2bvmodniiii1是否等于x重复t次，则PeggyVictor的概率为1/2kt2014-06-036举例：n=35=57，则满足条件的v为：vv-1s=sqrt(v-1)2014-06-037Peggy取4,11,16,29为公钥，相应的

3、私钥为：3,4,9,8Peggy选r=16，计算x=r2 mod n=162 mod 35=11Victor发随机串1101给Peggy(3)Peggy计算y=1631419081 mod 35=31(4)Victor验证：31241111160291 mod 35=112014-06-0383.加强方案鉴别信息I(如名字、地址等)嵌入协议中。将用单向散列函数，连同一系列j，计算v1,v2,vkH(I,j)Peggy的公钥为I和一串j值。2014-06-0394.Fiat-Shamir签名方案初始设置：类似鉴别方案。bij,m,yi(i=1 t)AliceBob根据v1vk计算z1ztk随机选

4、t个r1rt,计算xi=r 2 mod n,得到位序列ibz y2vmod nijH(m,x1xt),选bij,计算y1ytkiijj1j1by r 验证签名H(m,z1zt)开始的kt位是否等于bijSmod nijiij2014-06-031017.2 Guillou-Quisquater方案1.适用于智能卡应用的鉴别方案Peggy的公钥：J v是一些凭证的集合，记为J。n私钥：B 满足JBv 1 mod nPeggy将J发给Victor，为了证明J是他的凭证，必须向Victor证明他知道B。T=rv mod ndPeggy选rnVictor随机选d,0dv-1D计算DvJd mod n是

5、否等于T计算D=rBdmod n2014-06-031117.2 Guillou-Quisquater方案2.数字签名方案Alicem,d,J,DBob选rn，计算 T=rv mod n计算d=H(m,T),dv计算D=rBd mod n计算T=DvJd mod n和d=H(m,T)，判断d是否等于d3.多重签名方案多个人对同一文件签名。前提：n,v是系统公有的。Alice和Bob有(JA,BA)和(JB,BB)对消息m签名，其他人如Carol可验证签名。2014-06-031217.2 Guillou-Quisquater方案协议描述TAAliceBob选rA,计算TA=rmod nvTB选

6、r ,计算T =rmod nvABAB计算T=(B) mod n计算T=(TBTA) mod n和d=H(m,T)计算DB=rBBBd mod n和d=H(m,T)DA计算DA=rABmod ndA计算D=DADB mod n，签名组成：m,d,D,JA,JB2014-06-0313DB17.2 Guillou-Quisquater方案Carol验证：计算J=JAJB mod n计算T=DvJd mod n和d=H(m,T)验证d是否等于d2014-06-031417.3 Schnorr算法特点：安全性基于离散对数；签名很短。前提：两个大素数p,|p-1以及a1，aq=1 mod p私钥：随机选sq公钥：v，满足v=a-s mod p2014-06-031517.3 Schnorr算法1.鉴别协议xPeggy选rn计算x=ar mod pVictore随机选e,-1e2ty计算ayve mod p是否等于x计算y=(r+se) mod p2014-06-031617.3 Schnorr算法2.数字签名协议Alice选rn计