第十講數(shù)字簽名

1、第十講 數(shù)字簽名1 這一講考慮設(shè)計(jì)用于模擬手寫簽名的數(shù)字簽名技術(shù)。一條消息的數(shù)字簽名是一個(gè)依賴于僅簽名者知曉的秘密而產(chǎn)生的數(shù)字，并需附加被簽名的消息。數(shù)字簽名必須可以被驗(yàn)證：如果任何一方對(duì)文件的簽名的真實(shí)性產(chǎn)生爭(zhēng)議(導(dǎo)致的原因可能是不誠實(shí)的簽名者想否認(rèn)自己產(chǎn)生的簽名，或者是認(rèn)證者提出欺詐的權(quán)利要求)，一個(gè)公正的第三方就可以公平的解決這一問題，而不需要獲得簽名者的秘密 (秘密密鑰)。2 數(shù)字簽名有很多應(yīng)用，包括：認(rèn)證，數(shù)據(jù)真實(shí)性，和不可否認(rèn)。數(shù)字簽名的一個(gè)非常重要應(yīng)用是在大規(guī)模網(wǎng)絡(luò)上的公鑰數(shù)字證書。數(shù)字證書是可信第三方將用戶身份與其的公開密鑰綁定的方法，在此之后，其它實(shí)體認(rèn)證公開密鑰的時(shí)候都不需

2、要可信第三方的協(xié)助。3 數(shù)字簽名的概念和用途在實(shí)用數(shù)字簽名技術(shù)產(chǎn)生之前就為人們所認(rèn)識(shí)。第一個(gè)數(shù)字簽名方法是RSA數(shù)字簽名方案，它至今仍然是最為實(shí)用數(shù)字簽名技術(shù)。后續(xù)的研究也給出非常豐富的各種數(shù)字簽名方法。這些技術(shù)常常在功能性和執(zhí)行性方面提供了相當(dāng)大的改進(jìn)。4本講提要 RSA簽名方案 ElGamal族簽名方案 生日攻擊51 RSA數(shù)字簽名方案1.1 算法描述61.1 算法描述(續(xù))71.1 算法描述(續(xù))81.2 例子91.3 RSA 簽名的可能攻擊1.3.1 整數(shù)分解101.3.2 RSA的乘法特性111.3.2 RSA的乘法特性(續(xù))121.3.2 RSA的乘法特性(續(xù))131.4 RSA

3、簽名的執(zhí)行1.4.1 分塊問題141.4.1分塊問題(續(xù))151.4.1分塊問題(續(xù))161.4.1分塊問題(續(xù))171.4.1分塊問題(續(xù))181.4.1分塊問題(續(xù))19 1.4.2 短消息與長消息 由于簽名和消息的規(guī)模相當(dāng)，這在消息長的情況下非常不利。為了解決這一問題，通常采用hash函數(shù)。簽名方案只作用于消息的hash函數(shù)值，而不是消息的本身。在這種情況下，使用冗余函數(shù)R保障簽名方案安全就不再需要。201.4.2 短消息與長消息 (續(xù))211.4.3 簽名產(chǎn)生和認(rèn)證的執(zhí)行特征22 1.4.4 參數(shù)選擇 當(dāng)需要的簽名有長的生命周期或關(guān)系到整個(gè)網(wǎng)絡(luò)安全時(shí)，模的長度應(yīng)該至少為1024比特。慎

4、重的態(tài)度是關(guān)注分解整數(shù)的進(jìn)展，以便隨時(shí)調(diào)整相應(yīng)參數(shù)的選擇。 目前，沒有RSA簽名方案選擇小公開指數(shù)e，如3或216+1存在安全漏洞的報(bào)道。但不推薦通過限制秘密指數(shù)d來達(dá)到改善簽名操作效率的方法。23 1.4.5 關(guān)于系統(tǒng)參數(shù) 每個(gè)實(shí)體必須使用不同的RSA模進(jìn)行簽名；在整個(gè)系統(tǒng)中使用一個(gè)模的方法不安全。但是，在很多應(yīng)用中，整個(gè)系統(tǒng)可以選擇相同的公開指數(shù)e。242 ElGamal族簽名方案 有一大類簽名方案是在mod p 算術(shù)結(jié)構(gòu)上建立的，這里p是大素?cái)?shù)，但是所有這些機(jī)制都可以推廣到有限乘法群。這里討論的所有方法都是隨機(jī)數(shù)字簽名方案。所有方案安全的基本要求是mod p上的離散對(duì)數(shù)問題不可計(jì)算。但是

5、，這一條件并不是保證這些方案安全的充分條件。25 2.1 數(shù)字簽名算法 1991年8月，美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)提出了數(shù)字簽名算法(DSA)。DSA成為美國聯(lián)邦信息處理標(biāo)準(zhǔn)(FIPS 186)稱為數(shù)字簽名標(biāo)準(zhǔn)(DSS)，這是第一個(gè)為政府所認(rèn)可的數(shù)字簽名方案。DSA是ElGamal數(shù)字簽名方案的一種形式。262.1.1 算法描述272.1.1 算法描述 (續(xù))282.1.1 算法描述 (續(xù))292.1.2 例子302.1.3 DSA的安全與執(zhí)行問題312.1.3 DSA的安全與執(zhí)行問題(續(xù))322.1.3 DSA的安全與執(zhí)行問題(續(xù))332.2 ElGamal簽名算法2.2.1 算法描述342.2.1 算法描述 (續(xù))352.2.1 算法描述 (續(xù))362.2.2 例子372.2.3 ElGamal簽名安全382.2.3 ElGamal簽名安全(續(xù))392.2.3 ElGamal簽名安全(續(xù))402.2.3 ElGamal簽名安全(續(xù))412.2.4 ElGamal簽名的效能問題422.2.4 ElGamal簽名的效能問題(續(xù))432.2.5 ElGamal方案的變化形式442.3 Schnorr 簽名方案2.3.1 算法描述 452.3.1 算法描述(續(xù))462.3.2 例子472.3.3 效能問題482.4 消息恢復(fù)與消息添加493 生日攻