第8章 数字签名

第八章

数字签名基本概念数字签名是认证的重要工具为什么需要数字签名报文认证用以保护双方之间的数据交换不被第三方侵犯；但它并不保证双方自身的相互欺骗。假定A发送一个认证的信息给B，双方之间的争议可能有多种形式：B伪造一个不同的消息，但声称是从A收到的。A可以否认发过该消息，B无法证明A确实发了该消息数字签名的特性

数字签名实际上是一个把数字形式的消息和某个源发实体相联系的数据串，把它附加在一个消息或完全加密的消息上，以便于消息的接收方能够鉴别消息的内容，并证明消息只能源发于所声称的发送方。数字签名满足的条件数字签名的目的是保证信息的完整性和真实性，即消息内容没有被篡改，而且签名也没有被篡改，消息只能始发于所声称的发方。一个完善的签名方案应满足以下三个条件：

①签名者事后不能否认或抵赖自己的签名。

②其他任何人均不能伪造签名，也不能对接收或发送的信息进行篡改、伪造和冒充。

③若当事双方对签名真伪发生争执时，能够在公正的仲裁者面前通过验证签名来确定其真伪。数字签名的设计要求签名必须是依赖于被签名信息的比特模式；签名必须使用某些对发送者是唯一的信息，以防止双方的伪造与否认；必须相对容易生成该数字签名；必须相对容易识别和验证该数字签名；伪造该数字签名在计算复杂性意义上具有不可行性，既包括对一个已有的数字签名构造新的消息，也包括对一个给定消息伪造一个数字签名；在存储器中保存一个数字签名备份是现实可行的。数字签名方案的描述一个数字签名方案由两部分组成：带有陷门的数字签名算法（SignatureAlgorithm）和验证算法（VerificationAlgorithm）。数字签名方案的定义是：设M是消息的有限集合，S是签名的有限集合，K是密钥的有限集合，则数字签名算法是一个映射：

sig：M×K→S，s＝sigk(m)验证算法也是一个映射：五元组{M，S，K，sig，ver}就称为一个签名算法。

数字签名的应用归纳起来，一个数字签名方案的应用一般包括三个过程：（1）系统初始化过程：产生数字签名方案中用到的所有系统和用户参数，有公开的，也有秘密的。（2）签名产生过程：在此过程用户利用给定的签名算法和参数对消息产生签名，这种签名过程可以公开也可以不公开，但一定包含仅签名者才拥有的秘密信息（签名密钥）。（3）签名验证过程：验证者利用公开的验证方法和参数对给定消息的签名进行验证，得出签名的有效性。两类数字签名函数数字签名的执行方式有两类：直接数字签名方式和具有仲裁的数字签名方。直接数字签名直接方式是指数字签名的执行过程只有通信双方参与，并假定双方有共享的秘密密钥，或者接收一方知道发方的公开密钥。直接数字签名有一些共同的缺点：方案的有效性依赖于发送方秘密密钥的安全性。直接数字签名(1)A

B:M||ESKa[H(M)]，提供了认证与签名：只有A具有SKa进行加密;传输中无法被篡改；任何第三方可以用PKa

验证签名直接数字签名(1’)A

B:EKUb[M||ESKa[H(M)]]， 提供了：1.保密性，利用KUb2.认证与签名，利用KRa

先签名在加密vs先加密在签名?直接数字签名的缺点验证模式依赖于发送方的保密密钥；发送方要抵赖发送某一消息时，可能会声称其私有密钥丢失或被窃，从而他人伪造了他的签名。通常需要采用与私有密钥安全性相关的行政管理控制手段来制止或至少是削弱这种情况，但威胁在某种程度上依然存在。改进的方式例如可以要求被签名的信息包含一个时间戳（日期与时间），并要求将已暴露的密钥报告给一个授权中心。如X的私有密钥确实在时间T被窃取，敌方可以伪造X的签名并附上早于或等于时间T的时间戳。仲裁数字签名具有仲裁的数字签名是在通信双方的基础上引入了第三方仲裁者参与。通常的做法是所有从发送方X到接收方Y的签名消息首先送到仲裁者A，A将消息及其签名进行一系列测试，以检查其来源和内容，然后将消息加上日期并与已被仲裁者验证通过的指示一起发给Y。仲裁者在这一类签名模式中扮演极敏感和关键的角色，所以要求：所有的参与者必须极大地相信这一仲裁机制工作正常。（trustedsystem）仲裁数字签名技术对称加密，仲裁者可以看到消息内容。该方案的前提是每个用户都有与仲裁者共享的秘密密钥签名过程如下：1)XA：M||EKxa[IDx||H(M)]2)AY：EKay[IDx||M||EKxa[IDx||H(M)]||T]X与A之间共享密钥Kxa，Y与A之间共享密钥Kay方案必须要求：(1)发送者X必须确信仲裁者A不会泄露Kxa，也不会产生虚假的数字签名；(2)接收方Y必须确信仲裁者A只有在散列码正确且发送方X的数字签名被证实的情况下才发送；(3)通信双方必须确信仲裁者A能公平的解决争端。解决纠纷：Y：向A发送EKay[IDx||M||EKxa[IDx||H(M)]]

A：用Kay恢复IDx，M，和签名（EKxa[IDx||H(M)]），然后用Kxa解密签名并验证Hash值.仲裁数字签名在这种模式下Y不能直接验证X的签名，Y认为A的消息已认证，只因为它来自A。因此，双方都需要高度相信A:X必须信任A没有暴露Kxa，并且没有生成错误的签名EKxa[IDx||H(M)]。Y必须信任A仅当散列值正确并且签名确实是X产生的情况下才发送的EKay[IDx||M||EKxa[IDx||H(M)]||T]。双方都必须信任A处理争议是公正的。只要A遵循上述要求，则X相信没有人可以伪造其签名；Y相信X不能否认其签名。上述情况还隐含着A可以看到X给Y的所有信息，因而所有的窃听者也能看到。仲裁数字签名技术对称加密，仲裁者不能看到消息内容。该方案的前提是每个用户都有与仲裁者共享的秘密密钥，而且两两用户间也有共享密钥。数字签名过程如下：(1)XA：IDx||EKxy[M]||EKxa[IDx||H(EKxy[M])](2)AY：EKay[IDx||EKxy[M]||EKxa[IDx||H(EKxy[M])]||T]本方案虽然对消息M提供了保密性，但是仍存在与方案一相同的问题：(1)仲裁者和发送方可以合谋来否认曾经发送过的消息(2)仲裁者和接收方可以合谋来伪造发送方发的签名。仲裁数字签名技术公钥加密，仲裁者不能看到消息内容。该方案的前提是每个用户都能安全获取仲裁者和其它用户的公开密钥。数字签名过程如下：(1)XA：IDx||EKRx[IDx||EKUy(EKRx[M])](2)AY：EKRa[IDx||EKUy[EKRx[M]]||T]KRx是用户X的私钥，KUy是用户Y的公钥。这种内部、双重加密的消息对A以及对除Y以外的其它人都是安全的。本模式比上述两个模式具有以下好处：1、在通信之前各方之间无须共享任何信息，从而避免了联手作弊；2、即使KRx暴露，只要KRa未暴露，不会有错误标定日期的消息被发送；3、从X发送给Y的消息的内容对A和任何其他人是保密的。基于RSA的数字签名基于RSA公钥密码体制的数字签名方案通常称为RSA数字签名方案。RSA数字签名体制的基本算法可以表述如下：1.密钥的生成（与加密系统一样）

公钥Pk={e,n};私钥Sk={d,p,q}。2.签名过程(用d,n)

用户A对消息M∈Zn进行签名，计算S=Sig(H(M))=H(M)dmodn；并将S附在消息M后作为对用户对消息M的签名。3.验证过程(用e,n)

给定(M，S)，Ver（M，S）为真，当且仅当H(M)=Se（modn)成立RSA签名中注意的问题(1)上述RSA数字签名算法采用了对整个消息进行签名的方法，由于公开密钥密码体制一般速度都比较慢，这样当消息比较长时，整个签名与验证过程都会相当的慢(2)RSA数字签名算法的安全性取决于RSA公开密钥密码算法的安全性（基于大整数分解的困难性）。如果消息M1、M2的签名分别是S1和S2，则任何知道M1，S1，M2，S2的人都可以伪造对消息M1M2的签名S1S2，这是因为在RSA的数字签名方案中，

Sig(M1M2)=Sig(M1)Sig(M2)。(4)任何人都可以通过获取某一用户的公钥e，并对某一Y∈Zn计算M=Yemodn来伪造该用户对随机消息M的签名Y，声称Y是该用户对消息M的数字签名，因为sig(M)=Md

＝(Ye)d

＝Ymodn。

Elgamal数字签名方案ElGamal数字签名方案是T.ElGamal在1985年发表关于ElGamal公开密钥密码时给出的两个方案之一。签名过程如下：(1)系统初始化过程，同加密算法，用来设置系统公共参数和用户的密钥。公钥为（p，g，y），私钥为（x：1≤x＜p－1），其中有y=gxmodp(2)签名过程,给定消息M，签名者A将进行