消息认证与数字签名

第五章消息认证与数字签名问题的提出通信威胁1.泄露：把消息内容发布给任何人或没有合法密钥的进程。2.伪造：从一个假冒信息源向网络中插入消息。3.内容修改：消息内容被插入删除变换修改。4.顺序修改：插入删除或重组消息序列。5.时间修改：消息延迟或重放。6.否认：接受者否认收到消息,发送者否认发送过消息。回顾与总结回顾对称密码算法运算速度快、密钥短、多种用途(随机数产生、Hash函数)、历史悠久密钥管理困难(分发、更换)非对称密码算法只需保管私钥、可以相当长的时间保持不变、需要的数目较小运算速度慢、密钥尺寸大、历史短信息安全的需求保密性(Confidentiality)完整性(Integrity)数据完整性，未被未授权篡改或者损坏系统完整性，系统未被非授权操纵，按既定的功能运行可用性(Availability)鉴别(Authenticity)：实体身份的鉴别，适用于用户、进程、系统、信息等不可否认性(Non-repudiation)：防止源点或终点的抵赖

讨论议题定义消息鉴别(MessageAuthentication)：是一个证实收到的消息来自可信的源点且未被篡改的过程。散列函数(HashFunctions)：一个散列函数以一个变长的报文作为输入，并产生一个定长的散列码，有时也称报文摘要，作为输出。数字签名(DigitalSignature)是一种防止源点或终点抵赖的鉴别技术。5.1消息认证鉴别的目的鉴别的主要目的有二：第一，验证信息的发送者是真正的，而不是冒充的，此为信源识别；第二，验证信息的完整性，在传送或存储过程中未被篡改，重放或延迟等。鉴别模型一个单纯鉴别系统的模型窜扰者信宿信源鉴别编码器鉴别译码器信道安全信道密钥源5.1.1加密认证对称密码体制加密认证发送者A用只有他与接收者B知道的密钥K加密信息发送给接收者。因为A是除B以外惟一拥有密钥K的一方，而敌手不知道如何改变密文来产生明文中所期望的变化，因此B知道解密得到的明文是否被改变。这样对称加密就提供了消息认证功能。对称加密：具有机密性，可认证,不提供签名•如何自动确定是否收到的明文可解密为可懂的明文?•一种解决办法是强制明文有某种结构.差错控制：ErrorControl5.1.1加密认证公钥密码体制加密认证使用公开密钥加密信息的明文只能提供保密而不能提供认证。为了提供认证，发送者A用私钥对信息的明文进行加密，任意接收者都可以用A的公钥解密。采用这样的结构既可提供了认证，也可提供数字签名。因为只有A能够产生该密文，其它任何一方都不能产生该密文。从效果上看A已经用私钥对信息的明文进行了签名。应当注意只用私钥加密不能提供保密性。因为，任何人只要有A的公开密钥就能够对该密文进行解密。5.1.1加密认证问题：通过加密得到信息真实性？保密性与真实性是两个不同的概念。根本上，信息加密提供的是保密性而非真实性。加密代价大(公钥算法代价更大)。鉴别函数与保密函数的分离能提供功能上的灵活性。广播的信息难以使用加密(信息量大)某些信息只需要真实性,不需要保密性5.1.2消息认证码消息认证码消息认证码MAC或称密码检验和是在一个密钥的控制下将任意长的消息映射到一个简短的定长数据分组，并将它附加在消息后。设M是变长的消息，K是仅由收发双方共享的密钥，则M的MAC由如下的函数C生成：MAC=Ck(M)这里的Ck(M)是定长的。发送者每次将MAC附加到消息中，接收者通过重新计算MAC来对消息进行认证。5.1.2消息认证码如果收到的MAC与计算得出的MAC相同，则接收者可以认为：消息未被更改过消息来自与他共享密钥的发送者MAC函数类似于加密函数，主要区别在于MAC函数不需要可逆性，而加密函数必须是可逆的，因此认证函数比加密函数更不易破解。因为收发双方共享相同的密钥，上述过程只提供认证而不提供保密，也不能提供数字签名5.1.2消息认证码（MAC）消息认证算法K消息MAC消息MAC认证算法KMAC比较认证码的使用MAC的基本用法(a)AB:M||CK(M)即A使用双方共享的密钥K对明文进行计算，产生一个短小的数据块，即消息验证码MAC=CK(M)。发送给接收方B时，将它附加在报文中。接收方收到报文使用相同的密钥K执行相同的计算，得到新的MAC。接收方将收到的MAC与计算得到MAC进行比较，如果相匹配，那么可以保证报文在传输过程中维持了完整性：（1）报文未被更改过（2）接收者确信报文来自真实的发送者。（无人知晓密钥）注意：上述认证过程只提供认证、不提供保密性。5.1.3MAC的基本用法MAC的基本用法(b)提供消息认证与保密，认证码与明文连接Providesauthentication--onlyAandBshareK1Providesconfidentiality--onlyAandBshare

K2

AB:EK2(M||CK1(M))5.1.3MAC的基本用法MAC的基本用法(c)提供消息认证与保密，认证码与密文连接Providesauthentication--UsingK1Providesconfidentiality--UsingK2AB:EK2(EK2(M)||CK1(EK2(M)))消息认证VS常规加密MAC函数类似于加密函数，主要区别在于MAC函数不需要可逆而加密函数必须是可逆的，因此，认证函数比加密函数更不易破解。保密性与真实性是两个不同的概念根本上,信息加密提供的是保密性而非真实性加密代价大(公钥算法代价更大)认证函数与保密函数的分离能提供功能上的灵活性某些信息只需要真实性,不需要保密性

–广播的信息难以使用加密(信息量大)–网络管理信息等只需要真实性

–政府/权威部门的公告5.2散列(Hash)函数散列(Hash)函数散列函数(又称杂凑函数)是对不定长的输入产生定长输出的一种特殊函数：h=H(M)其中M是变长的消息h=H(M)是定长的散列值或称为消息摘要。散列函数H是公开的，散列值在信源处被附加在消息上，接收方通过重新计算散列值来保证消息未被篡改。由于函数本身公开，传送过程中对散列值需要另外的加密保护(如果没有对散列值的保护，篡改者可以在修改消息的同时修改散列值，从而使散列值的认证功能失效)。5.2散列(Hash)函数散列(Hash)函数的安全性以一个x开始。首先计算Z=h(x)，并企图找到一个x’满足h(x’)=h(x)。若他做到这一点，x’也将为有效。为防止这一点，要求函数h具有无碰撞特性。定义1(弱无碰撞)：散列函数h称为是弱无碰撞的，指对给定消息x∈X，在计算上几乎找不到不等于x的x’∈X，使h(x)=h(x’)。定义2(强无碰撞)，散列函数h被称为是强无碰撞的，是指在计算上几乎不可能找到任意的相异的x，x’，使得h(x)=h(x’)。注：强无碰撞自然含弱无碰撞！5.2.1散列函数的性质散列函数的性质散列函数的目的是为文件、消息或其他的分组数据产生“指纹”。用于消息认证的散列函数H必须具有如下性质：1.H能用于任何大小的数据分组，都能产生定长的输出2.对于任何给定的x，H(x)要相对易于计算3.对任何给定的散列码h，寻找x使得H(x)=h在计算上不可行4.对任何给定的分组x，寻找不等于x的y，使得H(x)=H(y)在计算上不可行(弱抗冲突)5.寻找任何的(x，y)，使得H(x)=H(y)在计算上不可行(强抗冲突)5.2.2散列函数的使用方式散列函数的基本用法(a、b)Providesconfidentiality--onlyAandBshareKProvidesauthentication--H(M)iscryptographicallyprotectedProvidesauthentication--H(M)iscryptographicallyprotected5.2.2散列函数的使用方式散列函数的基本用法(C)使用公开密钥加密方法及发方的私有密钥仅对散列码加密。和b一样，这种方法也提供鉴别。它还提供数字签名，因为只有发方能够生成加密的散列码。事实上这是数字签名的本质。5.2.3散列函数的使用方式散列函数的基本用法(d)(d)A

B:EK[M||EKRa[H(M)]]ProvidesauthenticationanddigitalsignatureProvidesconfidentiality5.2.2散列函数的使用方式散列函数的基本用法(e、f)Providesauthentication--onlyAandBshareSProvidesauthentication--onlyAandBshareSProvidesconfidentiality--onlyAandBshareK5.2.3散列函数的结构散列函数的结构由Merkle于1989年提出RonRivest于1990年提出MD4几乎被所有hash函数使用具体做法：把原始消息M分成一些固定长度的块Yi最后一块padding并使其包含消息M长度设定初始值CV0重复使用压缩函数f，CVi=f(CVi-1,Yi-1)最后一个CVi为hash值5.2.3散列函数的结构散列函数的结构IV=initialvalue初始值CV=chainingvalue链接值Yi=ithinputblock(第i个输入数据块)f=compressionalgorithm(压缩算法）n=lengthofhashcode(散列码的长度)b=lengthofinputblock(输入块的长度)bY0nIV=CV0fbY1nfbYL-1nCVL-1fCV1nnCVLCV0=IV=initialn-bitvalueCVi=f(CVi-1,Yi-1)(1

i

L)H(M)=CVL5.2.4三种常用的HASH算法三种常用的HASH算法MD5SHA-1HMACMD5MD5简介Merkle于1989年提出hashfunction模型RonRivest于1990年提出MD41992年,MD5(RFC1321)developedbyRonRivestatMITMD5把数据分成512-bit块MD5的hash值是128-bit在最近数年之前，MD5是最主要的hash算法现行美国标准SHA-1以MD5的前身MD4为基础MD5MD5算法该算法以一个任意长度的报文作为输入，产生一个128bit的报文摘要作为输出。输入是按512bit的分组进行处理的。Step1：附加填充比特M

M1，|M1|448mod512(即填充长度为512的整数倍减去64)。例如，如果|M|是448bit，那么填充512bit，形成960bit的报文Padding内容：100……0首位为1，其余补0至满足要求，即填充后的比特数为512的整数倍减去64，或使得填充后的数据长度与448模512同余。MD5MD5算法Step2：附加长度值Append64-bitlengthM1

M2(初始报文的位长度)若|M|>264,则仅取低64位低字节在前(little-endian)|M2|为512的倍数:Y0,Y1,…,YL-1MD5MD5算法MD5示意图MD5MD5算法Step3：InitializeMDbuffer(little-endian)A=01234567(0x67452301)B=89ABCDEF(0xEFCDAB89)C=FEDCBA98(0x98BADCFE)D=76543210(0x10325476)Step4：CompressionCV0=IVCVi=HMD5(CVi-1，Yi)Step5:OutputMD=CVLMD5MD5Step4：示意图MD5MD5Step4：CV0=IV，CVi=HMD5(CVi-1,Yi)(A0,B0,C0,D0)(A,B,C,D)RoundOne(A,B,C,D,T[1…16],X[0…15])RoundTwo(A,B,C,D,T[17…32],X[0…15])RoundThree(A,B,C,D,T[33…48],X[0…15])RoundFour(A,B,C,D,T[49…64],X[0…15])(A,B,C,D)(A+A0,B+B0,C+C0,D+D0)512-bit块(X[…]为32-bit表示)在四个Round使用，每个Round包含16次循环，每次处理一个32-bit，T[j]=[sin(j)*232]的整数部分,1j64MD5MD5Step4：Compression每一轮包含对缓冲区ABCD的16步操作所组成的一个序列。ab+((a+g(b,c,d)+X[k]+T[i])<<<s)其中：a,b,c,d=缓冲区的四个字，以一个给定的次序排列；g=基本逻辑函数F,G,H,I之一；<<<s=对32位字循环左移s位X[k]=M[q16+k]=在第q个512位数据块中的第k个32位字T[i]=表T中的第i个32位字；+=模232的加；MD5MD5Step4：CompressionABCDABCD+++CLSs+gX[k]T[i]Functiongg(b,c,d)1F(b,c,d)(bc)(bd)2G(b,c,d)(bd)(cd)3H(b,c,d)bcd4I(b,c,d)c(bd)MD5MD5Step4：CV0=IV，CVi=HMD5(CVi-1,Yi)(A0,B0,C0,D0)(A,B,C,D)RoundOne(A,B,C,D,T[1…16],X[0…15])RoundTwo(A,B,C,D,T[17…32],X[0…15])RoundThree(A,B,C,D,T[33…48],X[0…15])RoundFour(A,B,C,D,T[49…64],X[0…15])(A,B,C,D)(A+A0,B+B0,C+C0,D+D0)MD=CVLMD5MD5小结：MD5使用小数在前Dobbertin在1996年找到了两个不同的512-bit块，它们在MD5计算下产生相同的hash至今还没有真正找到两个不同的消息，它们的MD5的hash相等MD5不是足够安全的MD5MD5小结：MD5在线查询破解///MD5的32位和16位加密算法MD5通常是32位的编码，而在不少地方会用到16位的编码。16位就是从32位MD5散列中把中间16位提取出来。admin的摘要：16位：7a57a5a743894a0e32位：21232f297a57a5a743894a0e4a801fc3SHA-1SecureHashAlgorithm简介：1992年NIST制定了SHA(128位)1993年SHA成为标准(FIPSPUB180)1994年修改产生SHA-1(160位)1995年SHA-1成为新的标准,作为SHA-1(FIPSPUB180-1)SHA-1要求输入消息长度<264输入按512位的分组进行处理的SHA-1的摘要长度为160位基础是MD4SHA-1SHA-1算法：结构与MD5类似第一步：pading与MD5相同，补齐到512的倍数第二步分块第三步初始化Buffer，160位常量(5个字)进入循环，160输入+512输入-〉160输出第四步最后的输出为SHA-1的结果SHA-1SHA-1:paddingStep1：PaddingM

M1|M1|448mod512如果|M|448mod512，则|M1|=|M|+512Padding内容：100…0Step2：Append64-bitlengthM1

M2，值等于填充前长度|M|<264高字节在前(big-endian)|M2|为512的倍数:Y0,Y1,…,YL-1SHA-1SHA-1:CompressStep3:InitializeMDbuffer(高字节在前)A=67452301(0x67452301)B=EFCDAB89(0xEFCDAB89)C=98BADCFE(0x98BADCFE)D=10325476(0x10325476)E=C3D2E1F0(0xC3D2E1F0)Step4:CompressionCV0=IV，CVi=HSHA-1(CVi-1,Yi)Step5:OutputMD=CVLSHA-1:StepFour示意图SHA-1SHA-1:StepFourOverviewStep4:CV0=IV，CVi=HSHA-1(CVi-1,Yi)(A0,B0,C0,D0,E0)(A,B,C,D,E)t0Round(A,B,C,D,E,K[t],W[t])0t<80(A,B,C,D,E)(A+A0,B+B0,C+C0,D+D0,E+E0)整个Round包含80次循环,每次处理一个32-bitW[t]=Yi[t]0t<16W[t]=(W[t-16]W[t-14]W[t-8]W[t-3])<<<116t<80每组(16个)W[t]可由前一组W[t]直接计算SHA-1SHA-1:compressionfunctionFourrounds: 0t<80EE+f(t,B,C,D)+(A<<<5)+W[t]+K[t]BB<<<30(A,B,C,D,E)(A,B,C,D,E)>>>32f(t,B,C,D)=(B&C)|(B&D)，K[t]=230sqrt(2)0t<20f(t,B,C,D)=BCD，K[t]=230sqrt(3) 20t<40f(t,B,C,D)=(B&C)|(B&D)|(C&D)，K[t]=230sqrt(5)30t<60f(t,B,C,D)=BCD，K[t]=230sqrt(10) 60t<80SHA-1SHA-1:compressionfunctionA,B,C,D,E(E+f(t,B,C,D)+S5(A)+Wt+Kt)，A，S30(B)，C，D其中：A,B,C,D,E=缓冲区的5个字；t=步数，0<=t<=79；f(t,B,C,D)=步t的基本逻辑函数；Sk=循环左移k位给定的32位字；Wt=一个从当前512数据块导出的32位字；Kt=一个用于加法的常量，四个不同的值，如前所述+=加模232。SHA-1每一轮中20步的每一步运算结构SHA-1SHA-1总结SHA-1使用big-endian抵抗生日攻击:160位hash值生日攻击方法没有利用Hash函数的结构和任何代数弱性质，它只依赖于消息摘要的长度，即Hash值的长度。这种攻击对Hash函数提出了一个必要的安全条件，即消息摘要必须足够长。没有发现两个不同的512-bit块,它们在SHA-1计算下产生相同的“hash”速度慢于MD5安全性优于MD55.3数字签名数字签名Messageauthentication保护双方之间的数据交换不被第三方侵犯，但它并不保证双方自身的相互欺骗。假定A发送一个认证的信息给B，双方之间的争议可能有多种形式：B伪造一个不同的消息，但声称是从A收到的。A可以否认发过该消息，B无法证明A确实发了该消息。例如：股票交易指令亏损后抵赖。5.3.1数字签名原理传统签名的基本特点：与被签的文件在物理上不可分割签名者不能否认自己的签名签名不能被伪造容易被验证数字签名是传统签名的数字化，基本要求：与所签文件“绑定”签名者不能否认自己的签名签名不能被伪造容易被自动验证5.3.1数字签名原理数字签名与传统的手写签名有如下不同：签名：手写签名是被签文件的物理组成部分；而数字签名不是被签消息的物理部分，因而需要将签名连接到被签消息上验证：手写签名是通过将它与其它真实的签名进行比较来验证；而数字签名是利用已经公开的验证算法来验证数字签名消息的复制品与其本身是一样的；而手写签名纸质文件的复制品与原品是不同的5.3.1数字签名原理一个数字签名至少应满足以下几个条件：依赖性：数字签名必须是依赖于要签名报文的比特模式(类似于笔迹签名与被签文件的不可分离性)唯一性：数字签名必须使用对签名者来说是唯一的信息，以防伪造和否认可验证：数字签名必须是在算法上可验证的抗伪造：伪造一个数字签名在计算上不可行，无论是通过以后的数字签名来构造新报文，还是对给定的报文构造一个虚假的数字签名(类似笔迹签名不可模仿性)可用性：数字签名的产生、识别和证实必须相对简单，并且其备份在存储上是可实现的5.3.1数字签名原理数字签名的类别：以方式分：直接数字签名directdigitalsignature仲裁数字签名arbitrateddigitalsignature以安全性分无条件安全的数字签名？计算上安全的数字签名以可签名次数分一次性的数字签名多次性的数字签名5.3.1数字签名原理直接数字签名（DDS）(1)A

B：EKRa[M]提供了鉴别与签名：只有A具有KRa进行加密;传输中没有被篡改；需要某些格式信息/冗余度；任何第三方可以用KUa

验证签名(1’)A

B：EKUb

[EKRa(M)]提供了保密(KUb)、鉴别与签名(KRa)：5.3.1数字签名原理直接数字签名（DDS）(2)A

B：M||EKRa[H(M)]提供鉴别及数字签名H(M)受到密码算法的保护；只有A能够生成EKRa[H(M)](2’)A

B：EK[M||EKRa[H(M)]]提供保密性、鉴别和数字签名。5.3.1数字签名原理直接数字签名的缺点验证模式依赖于发送方的保密密钥：发送方要抵赖发送某一消息时，可能会声称其私有密钥丢失或被窃，从而他人伪造了他的签名。通常需要采用与私有密钥安全性相关的行政管理控制手段来制止或至少是削弱这种情况，但威胁在某种程度上依然存在。改进的方式例如可以要求被签名的信息包含一个时间戳（日期与时间），并要求将已暴露的密钥报告给一个授权中心。X的某些私有密钥确实在时间T被窃取，敌方可以伪造X的签名及早于或等于时间T的时间戳。5.3.1数字签名原理仲裁数字签名引入仲裁者。通常的做法是所有从发送方X到接收方Y的签名消息首先送到仲裁者A，A将消息及其签名进行一系列测试，以检查其来源和内容，然后将消息加上日期并与已被仲裁者验证通过的指示一起发给Y仲裁者在这一类签名模式中扮演敏感和关键的角色。所有的参与者必须极大地相信这一仲裁机制工作正常。5.3.1数字签名原理仲裁数字签名(a)单密钥加密方式，仲裁者可以看见消息X与A之间共享密钥Kxa，Y与A之间共享密钥Kay；(1)XA：M||EKxa[IDx||H(M)](2)AY：EKay[IDx||M||EKxa[IDx||H(M)]||T]解决纠纷：Y：向A发送EKay[IDx||M||EKxa[IDx||H(M)]]A：用Kay恢复IDx，M，和签名(EKxa[IDx||H(M)])，然后用Kxa解密签名并验证散列码5.3.1数字签名原理仲裁数字签名(a)单密钥加密方式，仲裁者可以看见消息在这种模式下Y不能直接验证X的签名，Y认为A的消息正确，只因为它来自A。因此，双方都需要高度相信AX必须信任A没有暴露Kxa，并且没有生成错误的签名EKxa[IDx||H(M)]Y必须信任A仅当散列值正确并且签名确实是X产生的情况下才发送的EKay[IDx||M||EKxa[IDx||H(M)]||T]双方都必须信任A处理争议是公正的只要A遵循上述要求，则X相信没有人可以伪造其签名；Y相信X不能否认其签名。上述情况还隐含着A可以看到X给Y的所有信息，因而所有的窃听者也能看到。5.3.1数字签名原理仲裁数字签名(b)单密钥加密方式，仲裁者不可以看见消息X与A之间共享密钥Kxa，Y与A之间共享密钥Kay；X与Y之间共享密钥Kxy1)XA：IDx||EKxy[M]||EKxa[IDx||H(EKxy[M])]2)AY：EKay[IDx||EKxy[M]||EKxa[IDx||H(EKxy[M])]||T](a)和(b)共同存在一个共性问题：A和发送方联手可以否认签名的信息；A和接收方联手可以伪造发送方的签名；5.3.1数字签名原理仲裁数字签名(c)双密钥加密方式，仲裁者不可以看见消息1)XA：IDx||EKRx[IDx||EKUy(EKRx[M])]2)AY：EKRa[IDx||EKUy[EKRx[M]]||T]X：对消息M双重加密，形成一个签名的、保密的消息。A：检查X的公开/私有密钥对是否仍然有效，是，则确认消息。本模式比上述两个模式具有以下好处：通信之前各方之间无须共享任何信息，避免了联手作弊；若KRx暴露，只要KRa未暴露，不会有错误标定日期的消息被发送从X发送给Y的消息的内容对A和任何其他人是保密的。案例中国首例电子邮件案例

1996年7月9日,北京市海淀区法院审理国内第一起电子邮件侵权案。此案的原、被告均系北大心理学系93级女研究生。4月9日。原告薛燕戈收到美国密执安大学教育学院通过互联网发给她的电子邮件。内容是该学院将给她提供1.8万美元金额奖学金的就学机会，她非常高兴。因为这是唯一一所答应给她奖学金美国名牌大学。此后，她久等正式通知，但杳无音训，蹊跷之中委托在美国的朋友去密执安大学查询。4月27日朋友告知，密执安大学收到一封北京时间4月12日10时16分发出的署名薛燕戈的电子邮件，表示拒绝该校的邀请。因此密执安大学以将原准备给薛的奖学金转给他人。

法庭上，薛燕戈说，密执安大学发来的电子邮件，是她和被告张男一起去北大心理学认知心理学实验室看到的，并且存放在张男的电子信箱里。薛燕戈认为，是张男在4月12日10时16分用薛的名义给密执安大学发了一封邮件，谎称薛已接受其他学校的邀请，故不能去该校学习。薛从北大计算中心取得4月12日的电子邮件记录，与美国取证回来的材料完全吻合。因此，薛提出诉讼请求：被告承认并公开道歉，又被告承担原告的调查取证以及和美国学校交涉的费用、医疗费和营养费用、精神损失补偿等人民币1.5万元。张男在法庭上称，事实上她从未以薛的名义给密执安大学发过电子邮件，对此事没有丝毫责任。

此案在开庭审理后，尽管到底谁借原告之名向密执安大学发出拒绝接受入学邀请的电子邮件，使原告丧失了一次出国深造的机会，并没有得出确切结论。但是在休庭之后，被告终于向原告承认，该电子邮件是她所为，并愿意就此向原告道歉并赔偿因其侵权行为给原告造成的精神及财产损失。经过法院调解，原、被告双方当事人自愿达成协议：被告以书面形式向原告赔礼道歉，并赔偿原告精神损害、补偿经济损失共计1.2万元。

如果邮件的发送附加了可防伪和可追踪的数字签名，也许本案就不会发生了。5.4数字签名算法数字签名算法普通数字签名算法RSA不可否认的数字签名算法群签名算法盲签名算法5.4.1RSA数字签名算法RSA签名方案RSA是最流行的一种加密标准，许多产品的内核都有RSA的软件和类库，RSA与Microsoft、IBM、Sun和Digital都签订了许可协议，使其在生产线上加入了类似的签名特性。与DSS不同，RSA既可用于加密数据，也可用于身份认证。5.4.1RSA数字签名算法RSA签名方案问题：速度慢信息量大第三方仲裁时必须暴露明文信息对照数字签名的各项要求，RSA数字签名体制体现了数字签名的各项要求：散列函数取得消息的信息摘要，从而使对摘要进行加密而产生的签名依赖于消息；(依赖性)RSA私钥的保密性使得签名是唯一的(唯一性)信息摘要的字节数很少（SHA的160比特），因而产生签名相对简单，同样的，签名的识别与证实也相对简单。(可用性)散列函数的单向性以及RSA私钥的保密性，使得伪造数字签名不可行。(抗伪造性)5.4.2不可否认的数字签名基本思想一般的数字签名都是由发送方A将消息加密后送给接收方，任何一个只要知道A的公钥者都可以对此签名进行验证。不可否认的签名是一种特殊的数字签名，它具有一些新颖的特性，没有签名者的合作，接收者就无法验证签名，在某种程度上保护了签名者的利益。例如，软件开发者可利用不可否认的数字签名对他们的软件进行保护，使得只有付了钱的顾客才能验证签名并相信开发者仍然对软件负责。基本思想5.4.3群签名方案群签名方案群中各个成员以群的名义匿名地签发消息，也称为团体签名例：在投标中，所有投标公司组成一个团体，每个公司都用群签名方式对标书签名群签名有如下特性：只有群成员能代表所在的群签名接收者能验证签名所在的群,但不知道签名者需要时,可借助于群成员或者可信机构找到签名者5.4.4盲签名

假定请求签名者A，签名者(仲裁者)B。盲签名就是要求A让B签署一个文件，而不让B知悉文件的内容，仅仅要求以后在需要时B可以对他所签署的文件进行仲裁。应用：电子货币，电子选举盲签名就是接收者在不让签名者获取所签署消息具体内容的情况下所采取的一种特殊的数字签名技术，它除了满足一般的数字签名条件外，还必须满足下面的两条性质：1.签名者对其所签署的消息是不可见的，即签名者不知道他所签署消息的具体内容。2.签名消息不可追踪，即当签名消息被公布后，