《安全协议》课件7.1不可否认签名

特殊性质的签名体制普通的数字签名具有广义可验证性，即任何人都可验证某个签名是否是对某个消息的签名。然而在某些情形下，特别是为了保护签名者或接收者的隐私时，并不希望让所有人都能验证签名--消息对。这就是数字签名体制中广义可验证性和隐私性之间的矛盾。一些特殊的性质使得数字签名在不同的情形下有更多的应用。具有隐私保护特性的数字签名1）验证者受限的签名方案：指定验证者签名、指定群验证者签名、（t,n）门限验证者签名；2）签名者受限的签名方案：签名次数受限的签名、门限签名、聚合签名、多签名、代理签名、签名者匿名的签名（环签名和群签名）；3）签名消息受限的签名方案：公开的消息、盲化的消息、部分公开的消息、验证时完全公开的消息、验证时部分公开的消息、验证时完全不公开的消息（零知识的方式验证）等等。可控制验证的签名不可否认签名指定确认者签名指定验证者签名广义指定验证者签名广义指定验证者签名证明限制验证者签名变色龙签名匿名性的签名盲签名完全盲签名、部分盲签名、限制性盲签名、限制性部分盲签名、公平盲签名群签名群盲签名环签名其它性质的签名消息恢复签名防失败签名基于群体的签名：门限签名、多签名传递签名短签名在线-脱线签名聚合签名可验证加密的签名代理签名前向（后向）安全的签名……Pleasereferto.sg/staff/guilin/bible.htm主要应用身份认证不可否认性隐私性电子商务协议（电子拍卖、公平交换、电子支付、电子投票……）……基本的签名方案:RSA签名Rabin签名ElGamal签名DSA签名基于纠错码的签名方案基于二难问题的签名方案基于椭圆曲线签名方案多用户签名方案：多重签名门限签名具有消息恢复功能的方案：具有消息恢复功能的数字签名认证加密方案具有消息泄露的认证加密方案基于(t,n)共享验证的认证加密方案具有辅助验证功能的方案:不可否认签名验证签名可转换不可否认签名群不可否认签名电子现金和电子选举方案:盲签名门限盲签名部分盲签名部分门限盲签名公平盲签名其他签名：代理签名

:具有代理保护功能的代理签名门限代理签名群签名其它性质：批验证信息流容错不可否认签名

任何人都可以验证普通签名。适用于公开声明、宣传广告.有时候需要在签名者参加的情况下才能进行签名验证。满足这个要求的签名叫“不可否认签名”(UndeniableSignature)。例：

1）实体A希望访问实体B控制的“安全区域”。实体B在授予实体A访问权之前，要求A对“访问时间、日期”进行签名。实体A不希望别人了解这个事实，即实体B没有A的参与不能通过出示A的签名及验证证明“实体A访问该区域”这一事实。

2）某公司A开发的一个软件包。A将软件包和他对软件包的签名卖给用户B，B当场验证其签名，以便确认软件包的真实性。用户B决定把该软件包的拷贝卖给第三者。由于没有公司A参与，第三者不能验证软件包的真实性。下面我们介绍1989年Chaum-vanAntwerpen提出的不可否认签名方案:密钥生成选择随机素数，q也是素数。在中找q阶元，显然是模p的二次剩余。由α生成的群G是的子群，它由中全体模p二次剩余组成。选择秘密指数，计算 公布，秘密保存私钥。签名算法是对消息m的签名.验证协议验证者签名者

随机选取计算验证成立接受，否则拒绝。

签名者A想否认一个“由签名算法构造出来的”合法签名，其方式有：1）拒绝参与验证协议；2）错误地执行验证协议；3）即使验证协议成功，也断言签名是伪造的。对于前者很明显，而后两种情况难以防范，需要否认协议。通过否认协议确定是否签名者A试图否认一个由签名算法得出的签名，还是签名是伪造的。否认协议由两遍验证协议组成。

否认协议（DisavowalProtocol）

验证者签名者任取计算

计算

若则接受是对的签名。停止协议

否则，取计算计算

若则接受s是对m的签名。停止协议否则计算进行一致性检验，若，则s是对m的伪造签名，若，则s是对m合法签名，签名者试图否认。

分析(1)如果验证者和签名者都遵守协议（正确执行协议）必有说明s是m的伪造签名，即

(2)如果，则“验证者把看作对m的合法签名”的概率(3)如果s