《密码学》06 数字签名

密码学第六章数字签名数字签名概述1RSA数字签名方案2数字签名标准算法DSA3第六章数字签名

(1)表示签名者对消息的认可;(2)他人可识别和验证出是谁的签名;(3)他人无法伪造和更改签名，即

(A)无法凭空造出一个签名;(B)对一个文件的签名不能复制或篡改成对另一个文件的签名;(4)可仲裁性:出现争议时第三方可仲裁。1、手书签名的目的和作用一、数字签名概述仲裁的内容:

(1)签名者是否在抵赖，否认签名;(2)验证者是否在欺诈，伪造签名。签名的实现方式：

就是在原文件上追加一定的笔迹信息，并使二者形成一个整体。对电子文档的签名也应达到同样的目的。一、数字签名概述

数字签名是使以数字形式存储的文件信息经过特定密码变换生成数据，作为相应文件的签名，使文件信息的接收者能够验证信息确实来自合法用户，以及确认信息发送者身份。2、数字签名的简单定义形象地说：它通常是跟随在正文数据后的“尾巴”，别人可以通过“尾巴”证明这段正文确实是作者的“原著”，却创造不出和作者相同的“作品”，而作者不能抵赖，说那段正文不是他的著作。一、数字签名概述（1）签名应与文件是一个不可分割的整体;

实现：对消息进行某种变换完成签名；使签名是报文或待签名的文件的函数。（2）签名者事后不能否认自己的签名；

实现：签名是通过发方所独有的秘密信息来完成，并且该秘密信息对应惟一公开的验证信息，使签名者不能抵赖自己的签名。3、数字签名应满足的条件一、数字签名概述（3）接收者能验证签名，而任何其他人都不能伪造签名；

实现：签名必须与特定的公开信息相对应，使收方能够验证；签名应与签名者独有的秘密信息密切相关，使其他人不能伪造。（4）当双方关于签名的真伪发生争执时，一个法官或第三方能解决双方之间发生的争执。

实现：签名对应的验证密钥应由可信的第三方确认并公布。当发生争执时，靠法律解决争端。

一、数字签名概述(1)

签名实现：对消息进行某种变换完成签名;

(2)

识别和验证:

利用签名者的公开信息(签名识别密钥)和文件的公开性;

(3)签名不能伪造:

签名应与签名者独有的秘密信息(签名密钥)密切相关;

(4)

可仲裁性:靠法律解决争端。签名者的签名识别密钥应由可信的第三方确认并公布。法律介入：在发证中心和认证中心(仲裁中心)认可、参与下解决争端。4、如何达到签名的目的一、数字签名概述

(1)利用特殊的公钥密码算法实现。

并非所有的公钥密码算法都能实现数字签名，只有满足

的公钥密码算法，才能实现数字签名。其中D是脱密算法，E是加密算法。（2）利用专门设计的数字签名算法实现。5、数字签名方案的分类一、数字签名概述

设计方法：用户A将其私钥kd作为其签名密钥,将对应的公钥ke作为其签名识别密钥；

用户A对文件m的签名过程：

(1)利用签名密钥kd对m执行脱密变换D，得到签名;(2)签名者将文件m及其签名sign(m)一起公布。

基于公钥算法设计的数字签名一、数字签名概述仲裁:

与签名识别过程相同。

利用用户A的签名识别密钥ke对签名sign(m)执行加密变换E,得到若它与m相等，则判断Sign(m)是用户A对文件m的签名；否则，Sign(m)不是用户A对文件m的签名。用户B对签名的验证过程：一、数字签名概述

记用户A的参数为（NA，eA,dA），用户B的参数为（NB，eB,dB），E为加密算法，D为脱密算法。RSA数字签名方案（一）实现保密通信的RSA算法加密：脱密：二、RSA数字签名方案A的签名：验证：（二）实现数字签名的RSA算法由于与eA

相对应的dA是A所独有，因此c一定来自A，又因为eA是公开的，则m不能保密。将m和c一起发送，作为签名（m，c）。二、RSA数字签名方案（三）RSA签名与加密的结合

如果要实现带有签名的保密通信，只需将两个用户的加、脱密变换结合在一起即可。由于在变换过程中用到两个模数，为了使逆变换唯一，需区分两个模数的大小，具体处理如下：由于RSA算法满足E(D(m))=D(E(m))=m，因此可实现带有签名的保密通信。二、RSA数字签名方案1、当NA<NB时，先签名，后加密（1）用户A先用自己的保密密钥dA对消息m进行签名，得到：（2）A再用用户B的公开密钥eB对签名y进行加密，得到：然后将既签名，又加密了的c发送给用户B；（3）B收到c后，先进行变换：再用A的公开密钥作变换：从而验证签名来自A。二、RSA数字签名方案2、当NA>NB时，先加密，后签名（1）用户A先用B的公开密钥eB对消息m进行加密，得到：（2）A再用自己的保密密钥dA对y进行签名，得到：然后将既签名，又加密了的c发送给用户B；（3）B收到c后，先进行变换：再用自己的保密密钥作变换：从而验证签名来自A。二、RSA数字签名方案

解:因为NA＝39

<55

＝

NB

，所以对消息

m=6

应该先签名，后加密。此时NA＝pA×qA

＝3×13＝39，eA＝5，因此例:设用户A，B要应用RSA进行签名加密，用户A的公开密钥为(39，5)，用户B的公开密钥为(55,7)，求用户A向用户B传送的对消息m=6的保密签名。eA＝5与互素，故可解模方程，二、RSA数字签名方案利用扩展的欧几里德算法计算12

＝

5×2+25

＝

2×2+11＝

5

-2×22＝

12

-5×21

＝

5

-2×(

12

-5×2)＝

5

×

5

-

12

×2可得，即dA＝5，二、RSA数字签名方案第一步，用户A先用自己的保密密钥dA

＝5对消息m=6进行签名，得到：第二步，用户A

再用用户

B

的公开密钥

eB

＝7

对签名

15

进行加密，得到：所以用户A向用户B传送的对消息m=6的保密签名为5二、RSA数字签名方案3、仲裁问题当A、B之间因A的签名的真实性问题发生争执时，可通过可信的第三方S，用如下方法解决。（1）当NA<NB时（c=EB(

DA(m)）B向S提供：m和x=DB(c)；实际上DB(c)=DA(m)S计算EA(x)记为m1；若m=m1，则签名来自A，否则签名是伪造的。二、RSA数字签名方案（2）当NA>NB时（c=DA(EB(m))）B向S提供：m和c=DA(EB(m))；S计算EB(m)=x；

计算EA(c)=x1;(实际上EA(c)=EB(m))若x=x1，则签名来自A，否则签名是伪造的。二、RSA数字签名方案(1)利用用户A的签名识别密钥ke，任意给定y,任何人都可计算出：x=yemodn，因而可以伪造对消息x的签名y。注意:文件x是哪个值，伪造者无法控制。虽然可伪造（文件—签名）对，但这里的文件x可能是毫无意义的随机数。第三者无法伪造出想要的文件的签名。

（四）RSA数字签名的缺点二、RSA数字签名方案(2)如果用户A对文件x1和文件x2的签名分别为y1和y2,由于(x1x2)dmodn=[(x1dmodn)(x2dmodn)]modn故任何第三方知道x1,x2,y1,y2，都可伪造出用户A对文件x1x2modn的签名y1y2modn。注意:

文件x1x2modn

是哪个值伪造者无法控制。二、RSA数字签名方案(3)对长文件的签名若采取电码本方式逐块签名,则(A)签名变长,签名速度慢;(B)会遭遇替换攻击（重新组合和替换文件块）。

解决方案:

先将文件压缩成一个摘要,再对摘要签名。二、RSA数字签名方案数字签名的一般过程报文报文摘要杂凑函数对摘要的签名报文公布签名者的身份生成一个签名，并公布恰当信息使第三方能够验证签名。二、RSA数字签名方案

1991年8月，美国国家标准技术研究所（NIST）提出了DSA(DigitalSignatureAlgorithm)，将其用作数字签名标准DSS(DigitalSignatureStandard)。

1994年5月公布DSA算法；1994年12月DSA算法被正式采纳。三、数字签名标准算法DSA（一）DSA算法的安全性基础：有限域上离散对数问题的难解性。三、数字签名标准算法DSA（二）DSA算法1、DSA参数选取（1）选取大素数p；（p是L比特的大素数，L至少为512比特，并且是64的倍数）（2）选取素数q；(q是p-1的一个160比特的素数因子)三、数字签名标准算法DSA（3）选取整数g=h(p-1)/qmodp;（g>1；其中1<h<p-1）（4）随机选取整数x；（0<x<q）（5）计算y=gxmodp；公开参数：p,q,g；公开密钥：y；保密密钥：x三、数字签名标准算法DSA设用户A要对消息m进行签名，则：（1）A秘密选取一个小于q的随机数k；（2）A计算：则其签名为（r，s）2、签名过程注：H(m)是算法选定的杂凑函数，可将任意长的输入变换为定长的输出；k-1是kmodq的逆元。三、数字签名标准算法DSA（1）收方B计算（2）如果v=r，则B确认(r,s)是A对m的签名，否则签名无效。3、验证过程注