《安全协议》课件7.6其他数字签名

失败—停止数字签名——

Fail-stopFail-Stop数字签名最早是1990年由B.Pfitzmann&M.Waidner提出的。它允许实体A证明“声称是A的签名”实际上是伪造的签名。其做法是展示“该签名机制所基于的假设已受到威胁”。Fail-Stop数字签名的好处在于即使一个非常强的对手可能伪造一个签名，但可以察觉出是伪造的，与此同时不再使用该签名机制。所以称为“失败而后停止”更恰当一些。Fail-Stop数字签名应具有如下性质:

(1)如果签名者依据该机制签署一个消息，则验证者能验证签名并接受它.(2)伪造者没有指数运算能力就不可能构造“能通过验证算法的一批签名。

(3)

如果伪造者以高概率成功地构造出一个能通过

验证算法的签名，那么真正的签名者可以给出“该签名是伪造的”的证明。

(4)签名者不能自己构造出一些签名，而后又断言他们是伪造的。以保证接收者的安全

Fail-Stop数字签名由签名算法、验证算法、“伪造”证明算法组成。其中“伪造”证明算法是对伪造签名的一种证明。

1992年E.Heyst&T.P.Pedersen提出的

Fail-Stop数字签名算法，它是一次性签名，即一个密钥只能用来签名一次。该数字签名的基本思想是：每个可能的公钥有许多私钥与之对应，然而签名者只知道其中之一，并用它作签名。窃听者搜集被签名的信息，试图从中发现签名者的私钥。由于私钥很多，所以成功的概率可以忽略不计。窃听者使用他自己生成的密钥伪造一个信息的签名，这个签名与签名者的签名不同。指定验证者的签名在1996年的欧洲密码学会议上，Jakobsson、Sako和Impagliazzo首次提出了具有指定验证者的签名概念。在这种体制中，签名者选择一个具体的验证者，只有这个验证者可以验证签名的有效性，其他任何人都不能确信这个签名是否有效，因为验证者自己可以独立生成一个签名副本，这个副本和真正的原始签名不可区分。记名签名

例如，当签名涉及一些商业敏感信息或者对于签名接收者而言比较敏感的信息时，签名的接收者希望签名仅仅能够由自己进行验证。同时，为防止签名者抵赖，签名的接收者还可向权威机构证明签名的合法性。为此，Kim、Park和Won提出了记名签名方案，并指出该签名可满足以上的验证特点。记名签名同时，一个记名签名应该满足以下要求：（1）只有被记名者才能验证记名者生成的签名S（即使记名者也无法验证S）；（2）只有被记名者才能向第三方证明签名S是由记名者生成的签名，并且S是有效的（即使记名者也无法证明S是有效的）。消息可恢复的签名方案Neberg-Rueppel签名体制

该体制是一个消息恢复式签名体制，即验证人可从签名中恢复出原始消息，因此签名人不需要将被签消息发送给验证人。(1)体制参数p：大素数；q：大素数，q|(p-1)；g：g∈RZ*p，且gq≡1(modp)；x：用户A的秘密钥，x∈RZ*p；y：用户A的公开钥，y≡gx(modp)。Neberg-Rueppel签名体制(2)签名的产生过程对于待签名的消息m，A执行以下步骤：①计算出，其中R是一个单一映射，并且容易求逆，称为冗余函数。②选择一个随机数k(0<k<q)计算r≡g-kmodp。③计算。④计算s≡xe+k(modq)。以(e,s)作为对m的数字签名。(3)签名的验证过程接收方收到数字签名(e,s)后，通过以下步骤来验证签名的有效性：①验证是否0<e<p。②验证是否0≤s<q。③计算v≡gsy-e(modp)。④计算m′≡ve(modp)。⑤验证是否m′∈R(m)，其中R(m)表示R的值域。⑥恢复出m=R-1(m′)。这个签名体制的正确性可以由以下等式证明：多重签名多个用户对同一消息签名的数字签名方案消息发送者消息签名者消息签名者消息签名者签名收集者签名验证者广播多重数字签名方案

多重签名消息发送者U1UnU2签名验证者…有序多重数字签名方案

前向安全签名

前向安全签名的概念在1997年由Anderson引入，解决了通常数字签名的一些缺陷：一旦秘密密钥丢失（或被窃取），由这个密钥生成的以前所有签名都变得无效。为了减少这样的损失，Anderson提出把密钥的有效期分成时段，在每个时段的最后签名者以一个单向的模式，从当前时段的秘密密钥得到一个新的下一个时段秘密密钥，并且安全地删除不再使用的秘密密钥。而在整个密钥的生命周期里公钥不改变，这个方法确保了泄露秘密的时段以前的所有签名的有效性。门限签名门限签名是最普通、最常用的群体签名。其方法是将一个群体的签名密钥分发给群体中的每个成员，使得任河成员个数不少于门限值的子集都可以产生签名；而任何成员个数少于门限值的子集都无法以产生签名。基于多难题的签名方案签名的安全性通常,签名方案的安全性是建立在一个公认的数学难题的基础上的,如果这个难题被攻破,攻击者就可以伪造签名增强数字签名方案安全性的一种途径是构造基于多个难题的数字签名方案,安全目标是只要其中一个难题未被攻破,方案就是安全的.基于离散对数与因子分解难题的签名方案1用户Alice选择一个大素数P=4p1q1+1(其中p1

和q1

是两个不同的大素数，p1=2p2+l，q1=2q2+1,p2

和q2

是大素数),g为ZP=Z/(P)中一个阶为n=p1q1的元素在Z/((n))中选取x和d,计算y=gx(modP)和e=d-1(mod(n))私钥(p1,q1,x,d)公钥(P,n,g,y,e)对消息m的签名是sign(m)=(r,s)验证者计算Neberg-Rueppel方案与RSA方案的结合基于离散对数与因子分解难题的签名方案2用户Alice选择一个大素数p=4p1q1+1(其中p1

和q1

是两个不同的大素数，p1=2p2+l，q1=2q2+1,p2

和q2

是大素数),g为