信息安全原理與技術(shù)ch05-Hash函數(shù)和數(shù)字簽名

1、信息安全原理與技術(shù)第2版郭亞軍 宋建華 李莉 董慧慧清華大學(xué)出版社 2022/7/191Ch5-消息認(rèn)證與數(shù)字簽名 第5章 消息認(rèn)證與數(shù)字簽名 主要知識(shí)點(diǎn)： - 認(rèn)證 - 認(rèn)證碼 - 散列函數(shù) - MD5 - SHA-512 - 數(shù)字簽名2022/7/192Ch5-消息認(rèn)證與數(shù)字簽名 認(rèn)證 認(rèn)證則是防止主動(dòng)攻擊的重要技術(shù)，可以防止如下一些攻擊 ：偽裝：攻擊者生成一個(gè)消息并聲稱這條消息是來自某合法實(shí)體，或者攻擊者冒充消息接收方向消息發(fā)送方發(fā)送的關(guān)于收到或未收到消息的欺詐應(yīng)答。內(nèi)容修改：對消息內(nèi)容的修改，包括插入、刪除、轉(zhuǎn)換和修改。順序修改：對通信雙方消息順序的修改，包括插入、刪除和重新排序。計(jì)時(shí)

2、修改：對消息的延遲和重放。在面向連接的應(yīng)用中，攻擊者可能延遲或重放以前某合法會(huì)話中的消息序列，也可能會(huì)延遲或重放是消息序列中的某一條消息。2022/7/193Ch5-消息認(rèn)證與數(shù)字簽名 認(rèn)證的目的第一，驗(yàn)證消息的發(fā)送者是合法的，不是冒充的，這稱為實(shí)體認(rèn)證，包括對信源、信宿等的認(rèn)證和識(shí)別；第二，驗(yàn)證信息本身的完整性，這稱為消息認(rèn)證，驗(yàn)證數(shù)據(jù)在傳送或存儲(chǔ)過程中沒有被篡改、重放或延遲等。2022/7/194Ch5-消息認(rèn)證與數(shù)字簽名 認(rèn)證的目的可提供認(rèn)證功能的認(rèn)證碼的函數(shù)可分為三類：加密函數(shù)：使用消息發(fā)送方和消息接收方共享的密鑰對整個(gè)消息進(jìn)行加密，則整個(gè)消息的密文作為認(rèn)證符。消息認(rèn)證碼：它是消息和密

3、鑰的函數(shù)，產(chǎn)生定長度值，該值作為消息的認(rèn)證符。散列函數(shù)：它是將任意長的消息映射為定長的hash值的函數(shù)，以該hash值作為認(rèn)證符。2022/7/195Ch5-消息認(rèn)證與數(shù)字簽名 基本的認(rèn)證系統(tǒng)模型2022/7/196Ch5-消息認(rèn)證與數(shù)字簽名 消息認(rèn)證碼消息認(rèn)證碼，簡稱MAC (Message Authentication Code)，是一種使用密鑰的認(rèn)證技術(shù)，它利用密鑰來生成一個(gè)固定長度的短數(shù)據(jù)塊，并將該數(shù)據(jù)塊附加在消息之后。在這種方法中假定通信雙方A和B共享密鑰K。若A向B發(fā)送消息M時(shí)，則A使用消息M和密鑰K，計(jì)算MACC(K,M)2022/7/197Ch5-消息認(rèn)證與數(shù)字簽名 消息認(rèn)證碼

4、的使用2022/7/198Ch5-消息認(rèn)證與數(shù)字簽名 消息認(rèn)證碼的使用（續(xù)）2022/7/199Ch5-消息認(rèn)證與數(shù)字簽名 MAC的安全要求MAC中使用了密鑰，這點(diǎn)和對稱密鑰加密一樣，如果密鑰泄漏了或者被攻擊了，則MAC的安全性則無法保證。在基于算法的加密函數(shù)中，攻擊者可以嘗試所有可能的密鑰以進(jìn)行窮舉攻擊，一般對k位的密鑰，窮舉攻擊需要2(k-1)步。2022/7/1910Ch5-消息認(rèn)證與數(shù)字簽名 對MAC的攻擊第一輪 給定M1, MAC1CK(M1) 對所有2k個(gè)密鑰判斷MACiCKi(M1) 匹配數(shù)2(k-n) 。第二輪 給定M2, MAC2CK(M2) 對循環(huán)1中找到的2(k-n)個(gè)密

5、鑰判斷MACiCKi (M2) 匹配數(shù)2(k-2n) 。攻擊者可以按此方法不斷對密鑰進(jìn)行測試，直到將匹配數(shù)縮寫到足夠小的范圍。平均來講，若k=an,則需a次循環(huán)2022/7/1911Ch5-消息認(rèn)證與數(shù)字簽名 針對MAC算法的攻擊攻擊者針對下面的MAC算法，則不需要使用窮舉攻擊即可獲得密鑰信息。設(shè)消息M(X1|X2|Xm)，即由64位分組Xi聯(lián)結(jié)而成。定義(M)X1X2 XmCk(M)=EK(M) 攻擊者可以用任何期望的Y1至Ym-1替代X1至Xm-1，用Ym替代Xm來進(jìn)行攻擊，其中Ym如下計(jì)算的：YmY1Y2Ym-1(M) 攻擊者可以將Y1至Ym-1與原來的MAC連結(jié)成一個(gè)新的消息M，接收方

6、收到(M, Ck(M)時(shí)，由于(M)= Y1 Y2 Ym =(M)，因此Ck(M)=EK(M)，接受者會(huì)認(rèn)為該消息是真實(shí)。用這種辦法，攻擊者可以隨意插入任意的長為64(m-1)位的消息。 2022/7/1912Ch5-消息認(rèn)證與數(shù)字簽名 MAC的性質(zhì)一個(gè)安全的MAC函數(shù)應(yīng)具有下列性質(zhì)：若攻擊者知道M和Ck(M)，則他構(gòu)造滿足Ck(M)= Ck(M)的消息M在計(jì)算上是不可行的。Ck(M)應(yīng)是均勻分布的，即對任何隨機(jī)選擇的消息M和M, Ck(M)=Ck(M)的概率是2-n,其中n是MAC的位數(shù)。設(shè)M是M 的某個(gè)已知的變換，即M=f(M)，則Ck(M)= Ck(M)的概率為2-n。2022/7/19

7、13Ch5-消息認(rèn)證與數(shù)字簽名 基于DES的消息認(rèn)證碼 2022/7/1914Ch5-消息認(rèn)證與數(shù)字簽名 Hash函數(shù)Hash函數(shù)(也稱散列函數(shù)或雜湊函數(shù))是將任意長的輸入消息作為輸入生成一個(gè)固定長的輸出串的函數(shù)，即h=H(M)。這個(gè)輸出串h稱為該消息的散列值（或消息摘要，或雜湊值）。 2022/7/1915Ch5-消息認(rèn)證與數(shù)字簽名 安全的Hash函數(shù)的要求H可以應(yīng)用于任意長度的數(shù)據(jù)塊，產(chǎn)生固定長度的散列值；對每一個(gè)給定的輸入m，計(jì)算H(m)是很容易的；給定Hash函數(shù)的描述，對于給定的散列值h，找到滿足H(m) = h的m在計(jì)算上是不可行的；給定Hash函數(shù)的描述，對于給定的消息m1，找到

8、滿足m2m1且H(m2)=H(m1)的m2在計(jì)算上是不可行的；找到任何滿足H(m1)=H(m2)且m1 m2的消息對(m1, m2)在計(jì)算上是不可行的。 2022/7/1916Ch5-消息認(rèn)證與數(shù)字簽名 安全的Hash函數(shù)的要求H可以應(yīng)用于任意長度的數(shù)據(jù)塊，產(chǎn)生固定長度的散列值；對每一個(gè)給定的輸入m，計(jì)算H(m)是很容易的；給定Hash函數(shù)的描述，對于給定的散列值h，找到滿足H(m) = h的m在計(jì)算上是不可行的；給定Hash函數(shù)的描述，對于給定的消息m1，找到滿足m2m1且H(m2)=H(m1)的m2在計(jì)算上是不可行的；找到任何滿足H(m1)=H(m2)且m1 m2的消息對(m1, m2)在

9、計(jì)算上是不可行的。 2022/7/1917Ch5-消息認(rèn)證與數(shù)字簽名 Hash的一般結(jié)構(gòu)2022/7/1918Ch5-消息認(rèn)證與數(shù)字簽名 2022/7/1919Ch5-消息認(rèn)證與數(shù)字簽名 Hash函數(shù)的安全要求1單向性：對任何給定的散列碼h，找到滿足H(x)h的x在計(jì)算上是不可行的。2抗弱碰撞性：對任何給定的消息x，找到滿足yx且H(x)=H(y)的y在計(jì)算上是不可行的。3抗強(qiáng)碰撞性：找到任何滿足H(x)=H(y)的偶對(x,y)在計(jì)算上是不可行的。2022/7/1920Ch5-消息認(rèn)證與數(shù)字簽名 生日攻擊（Birthday Attack）如果攻擊者希望偽造消息M的簽名來欺騙接收者，則他需要找

10、到滿足H(M)=H(M)的M來替代M。對于生成64位散列值的散列函數(shù)，平均需要嘗試263次以找到M。但是建立在生日悖論上的生日攻擊法，則會(huì)更有效。對于上述問題換種說法：假設(shè)一個(gè)函數(shù)有n個(gè)函數(shù)值，且已知一個(gè)函數(shù)值H(x)。任選k個(gè)任意數(shù)作為函數(shù)的輸入值，則k必須為多大才能保證至少找到一個(gè)輸入值y且H(x)=H(y)的概率大于0.5?2022/7/1921Ch5-消息認(rèn)證與數(shù)字簽名 生日悖論我們可以如下描述這類問題：k為多大時(shí)，在k個(gè)人中至少找到兩個(gè)人的生日相同的概率大于0.5？不考慮二月二十九日并且假定每個(gè)生日出現(xiàn)的概率相同。 2022/7/1922Ch5-消息認(rèn)證與數(shù)字簽名 首先k個(gè)人的生日排

11、列的總數(shù)目是365k。這樣，k個(gè)人有不同生日的排列數(shù)為：因此，k個(gè)人有不同生日的概率為不重復(fù)的排列數(shù)除以總書目，得到：則，k個(gè)人中，至少找到兩個(gè)人同日出生的概率是：2022/7/1923Ch5-消息認(rèn)證與數(shù)字簽名 Yuval的生日攻擊(1) 合法的簽名方對于其認(rèn)為合法的消息愿意使用自己的私鑰對該消息生成的m位的散列值進(jìn)行數(shù)字簽名。(2) 攻擊者為了偽造一份有(1)中的簽名者簽名的消息，首先產(chǎn)生一份簽名方將會(huì)同意簽名的消息，再產(chǎn)生出該消息的2m/2種不同的變化，且每一種變化表達(dá)相同的意義（如：在文字中加入空格、換行字符）。然后，攻擊者再偽造一條具有不同意義的新的消息，并產(chǎn)生出該偽造消息的2m/2

12、種變化。2022/7/1924Ch5-消息認(rèn)證與數(shù)字簽名 Yuval的生日攻擊（續(xù)）(3) 攻擊者在上述兩個(gè)消息集合中找出可以產(chǎn)生相同散列值的一對消息。根據(jù)“生日悖論”理論，能找到這樣一對消息的概率是非常大的。如果找不到這樣的消息，攻擊者再產(chǎn)生一條有效的消息和偽造的消息，并增加每組中的明文數(shù)目，直至成功為止。(4) 攻擊者用第一組中找到的明文提供給簽名方要求簽名，這樣，這個(gè)簽名就可以被用來偽造第二組中找到的明文的數(shù)字簽名。這樣，即使攻擊者不知道簽名私鑰也能偽造簽名。 2022/7/1925Ch5-消息認(rèn)證與數(shù)字簽名 中間相遇攻擊法（Meet in the Middle Attack）(1) 根

13、據(jù)已知數(shù)字簽名的明文，先產(chǎn)生散列函數(shù)值h。(2) 再根據(jù)意圖偽造簽名的明文，將其分成每個(gè)64位長的明文分組：Q1, Q2, QN-2。Hash函數(shù)的壓縮算法為：hi=EQihi-1，1iN-2。(3) 任意產(chǎn)生232個(gè)不同的X，對每個(gè)X計(jì)算EXhN-2。同樣的，任意產(chǎn)生232個(gè)不同的Y，對每個(gè)Y計(jì)算DYG，D是相對應(yīng)E的解密函數(shù)。2022/7/1926Ch5-消息認(rèn)證與數(shù)字簽名 中間相遇攻擊法（Meet in the Middle Attack）-續(xù)(4) 根據(jù)“生日悖論”，有很大的概率可以找到一堆X及Y滿足EXhN-2= DYG。(5) 如果找到了這樣的X和Y，攻擊者重新構(gòu)造一個(gè)明文：Q1,

14、 Q2, , QN-2, X, Y。這個(gè)新的明文的散列值也為h，因此攻擊者可以使用已知的數(shù)字簽名為這個(gè)構(gòu)造的明文偽造新的明文的簽名。2022/7/1927Ch5-消息認(rèn)證與數(shù)字簽名 MD5MD5（Message-DigestAlgorithm5）是由RonaldL.Rivest（RSA算法中的“R”）這90年代初開發(fā)出來的，經(jīng)MD2、MD3和MD4發(fā)展而來。它比MD4復(fù)雜，但設(shè)計(jì)思想類似，同樣生成一個(gè)128位的信息散列值。其中，MD2是為8位機(jī)器做過設(shè)計(jì)優(yōu)化的，而MD4和MD5卻是面向32位的計(jì)算機(jī)。2004年8月，在美國召開的國際密碼學(xué)會(huì)議（Crypto2004）上，王小云教授給出破解MD5

15、、HAVAL-128、 MD4和RIPEMD算法的報(bào)告。給出了一個(gè)非常高效的尋找碰撞的方法，可以在數(shù)個(gè)小時(shí)內(nèi)找到MD5的碰撞。 2022/7/1928Ch5-消息認(rèn)證與數(shù)字簽名 MD5算法步驟1）填充消息：任意長度的消息首先需要進(jìn)行填充處理，使得填充后的消息總長度與448模512同余（即填充后的消息長度448 mod 512）。填充的方法是在消息后面添加一位“1”，后續(xù)都是“0”。2）添加原始消息長度：在填充后的消息后面再添加一個(gè)64位的二進(jìn)制整數(shù)表示填充前原始消息的長度。這時(shí)經(jīng)過處理后的消息長度正好是512位的倍數(shù)。3）初始值（IV）的初始化：MD5中有四個(gè)32位緩沖區(qū)，用（A, B, C,

16、 D）表示，用來存儲(chǔ)散列計(jì)算的中間結(jié)果和最終結(jié)果，緩沖區(qū)中的值被稱為鏈接變量。首先將其分別初始化為為：A=0 x01234567，B=0 x89abcdef，C=0 xfedcba98，D=0 x76543210。2022/7/1929Ch5-消息認(rèn)證與數(shù)字簽名 MD5算法步驟-續(xù)4）以512位的分組為單位對消息進(jìn)行循環(huán)散列計(jì)算：經(jīng)過處理的消息，以512位為單位，分成N個(gè)分組，用Y0，Y1，YN-1。MD5對每個(gè)分組進(jìn)行散列處理。每一輪的處理會(huì)對（A，B，C，D）進(jìn)行更新。5）輸出散列值：所有的N個(gè)分組消息都處理完后，最后一輪得到的四個(gè)緩沖區(qū)的值即為整個(gè)消息的散列值。2022/7/1930Ch

17、5-消息認(rèn)證與數(shù)字簽名 MD5算法步驟-續(xù)2022/7/1931Ch5-消息認(rèn)證與數(shù)字簽名 SHA-512算法步驟對消息進(jìn)行填充：對原始消息進(jìn)行填充使其長度與896模1024同余(即填充后的消息長度896 mod 1024)。即使原始消息已經(jīng)滿足上述長度要求，仍然需要進(jìn)行填充，因此填充位數(shù)在1到1024之間。填充部分由一個(gè)1和后續(xù)的0組成。添加消息長度信息：在填充后的消息后添加一個(gè)128位的塊，用來說明填充前消息的長度，表示為一個(gè)無符號(hào)整數(shù)(最高有效字節(jié)在前)。至此，產(chǎn)生了一個(gè)長度為1024整數(shù)倍的擴(kuò)展消息。2022/7/1932Ch5-消息認(rèn)證與數(shù)字簽名 SHA-512算法步驟初始化Hash

18、緩沖區(qū)：Hash函數(shù)計(jì)算的中間結(jié)果和最終結(jié)果保存在512位的緩沖區(qū)中，分別用64比特的寄存器(A,B,C,D,E,F,G,H)表示，并將這些寄存器初始化為下列64位的整數(shù)(十六進(jìn)制值)：A 0 x6A09E667F3BCC908B 0 x BB67AE8584CAA73B C 0 x 3C6EF372FE94F82BD 0 x A54FF53A5F1D36F1E=0 x 510E527FADE682D1F=0 x 9B05688C2B3E6C1FG=0 x 1F83D9ABFB41BD6BH=0 x 5BE0CD19137E21792022/7/1933Ch5-消息認(rèn)證與數(shù)字簽名 SHA-51

19、2算法步驟-續(xù)以1024位分組（16個(gè)字）為單位處理消息：處理算法的核心是需要進(jìn)行80輪運(yùn)算的模塊。輸出：所有的N個(gè)1024位分組都處理完以后，最后輸出的即是512位的消息散列值。2022/7/1934Ch5-消息認(rèn)證與數(shù)字簽名 SHA-512算法步驟-續(xù)2022/7/1935Ch5-消息認(rèn)證與數(shù)字簽名 SHA-512每一步的核心處理2022/7/1936Ch5-消息認(rèn)證與數(shù)字簽名 HMACHMAC的設(shè)計(jì)目標(biāo)包括： 可以直接使用現(xiàn)有的Hash函數(shù)； 不針對于某一個(gè)Hash函數(shù)，可以根據(jù)需要更換Hash函數(shù)模塊； 可保持Hash函數(shù)的原有性能，不能過分降低其性能； 對密鑰的使用和處理應(yīng)較簡單；

20、如果已知嵌入的Hash函數(shù)的強(qiáng)度，則可以知道認(rèn)證機(jī)制抵抗密碼分析的強(qiáng)度。2022/7/1937Ch5-消息認(rèn)證與數(shù)字簽名 HMAC的結(jié)構(gòu) 2022/7/1938Ch5-消息認(rèn)證與數(shù)字簽名 HMAC的實(shí)現(xiàn)方案2022/7/1939Ch5-消息認(rèn)證與數(shù)字簽名 數(shù)字簽名數(shù)字簽名也是一種認(rèn)證機(jī)制，它是公鑰密碼學(xué)發(fā)展過程中的一個(gè)重要組成部分，是公鑰密碼算法的典型應(yīng)用。數(shù)字簽名的應(yīng)用過程是，數(shù)據(jù)源發(fā)送方使用自己的私鑰對數(shù)據(jù)校驗(yàn)和或其他與數(shù)據(jù)內(nèi)容有關(guān)的信息進(jìn)行處理，完成對數(shù)據(jù)的合法“簽名”，數(shù)據(jù)接收方則利用發(fā)送方的公鑰來驗(yàn)證收到的消息上的“數(shù)字簽名”，以確認(rèn)簽名的合法性。2022/7/1940Ch5-消息認(rèn)

21、證與數(shù)字簽名 數(shù)字簽名數(shù)字簽名需要滿足以下條件：簽名的結(jié)果必須是與被簽名的消息相關(guān)的二進(jìn)制位串；簽名必須使用發(fā)送方某些獨(dú)有的信息（發(fā)送者的私鑰），以防偽造和否認(rèn)；產(chǎn)生數(shù)字簽名比較容易；識(shí)別和驗(yàn)證簽名比較容易；給定數(shù)字簽名和被簽名的消息，偽造數(shù)字簽名在計(jì)算上是不可行的。保存數(shù)字簽名的拷貝，并由第三方進(jìn)行仲裁是可行的。2022/7/1941Ch5-消息認(rèn)證與數(shù)字簽名 數(shù)字簽名的典型使用(1) 消息發(fā)送方式與散列函數(shù)對消息進(jìn)行計(jì)算，得到消息的散列值。(2) 發(fā)送方使用自己的私鑰對消息散列值進(jìn)行計(jì)算，得到一個(gè)較短的數(shù)字簽名串。(3) 這個(gè)數(shù)字簽名將和消息一起發(fā)送給接收方。(4) 接收方首先從接收到的消

22、息中用同樣的散列函數(shù)計(jì)算出一個(gè)消息摘要，然后使用這個(gè)消息摘要、發(fā)送者的公鑰以及收到的數(shù)字簽名，進(jìn)行數(shù)字簽名合法性的驗(yàn)證。2022/7/1942Ch5-消息認(rèn)證與數(shù)字簽名 Schnorr數(shù)字簽名系統(tǒng)參數(shù)的選擇p，q：滿足q|p-1，q2160，q 2512g：gZp，滿足gq = 1 mod p，g 1H：散列函數(shù)x：用戶的私鑰，1xqy：用戶的公鑰，y = gx mod p2022/7/1943Ch5-消息認(rèn)證與數(shù)字簽名 Schnorr數(shù)字簽名簽名設(shè)要簽名的消息為M，0Mp。簽名者隨機(jī)選擇一整數(shù)k，1kq，并計(jì)算：e = H(r, M)s = k xe mod q(e, s)即為M的簽名。簽名

23、者將M 連同(r, s)一起存放，或發(fā)送給驗(yàn)證者。2022/7/1944Ch5-消息認(rèn)證與數(shù)字簽名 Schnorr數(shù)字簽名驗(yàn)證驗(yàn)證者獲得M和(e, s)，需要驗(yàn)證(e, s)是否是M的簽名。計(jì)算：r = gsre mod p檢查H(r, M) = e是否正確，若是，則(e,s)為M的合法簽名。 2022/7/1945Ch5-消息認(rèn)證與數(shù)字簽名 DSSDSA的系統(tǒng)參數(shù)選擇如下：p：512的素?cái)?shù)，其中2L-1p2L，512L1024，且L是64的倍數(shù)，即L的位長在512至1024之間并且其增量為64位。q：160位的素?cái)?shù)且q|p-1。g：滿足g = h(p-1)/q mod pH：為散列函數(shù)x：用

24、戶的私鑰，0 xqy：用戶的公鑰，y = gx mod pp、q、g為系統(tǒng)發(fā)布的公共參數(shù)，與公鑰y公開；私鑰x保密。2022/7/1946Ch5-消息認(rèn)證與數(shù)字簽名 DSS簽名設(shè)要簽名的消息為M，0Mp。簽名者隨機(jī)選擇一整數(shù)k，0kq，并計(jì)算：r = (gk mod p) mod qs = k-1 (H(M) + xr) mod q(r, s)即為M的簽名。簽名者將M 連同(r, s)一起存放，或發(fā)送給驗(yàn)證者。2022/7/1947Ch5-消息認(rèn)證與數(shù)字簽名 DSS驗(yàn)證驗(yàn)證者獲得M和(r, s)，需要驗(yàn)證(r, s)是否是M的簽名。首先檢查r和s是否屬于0, q，若不是，則(r, s)不是簽名

25、值。否則，計(jì)算：w = s-1 mod qu1 = (H(M)w) mod qu2 = rw mod qv = (gu1yu2 ) mod p) mod q如果v = r，則所獲得的(r, s)是M的合法簽名。2022/7/1948Ch5-消息認(rèn)證與數(shù)字簽名 仲裁數(shù)字簽名 仲裁簽名中除了通信雙方外，還有一個(gè)仲裁方 發(fā)送方A發(fā)送給B的每條簽名的消息都先發(fā)送給仲裁者T，T對消息及其簽名進(jìn)行檢查以驗(yàn)證消息源及其內(nèi)容，檢查無誤后給消息加上日期再發(fā)送給B，同時(shí)指明該消息已通過仲裁者的檢驗(yàn)。 仲裁數(shù)字簽名實(shí)際上涉及到多余一步的處理，仲裁者的加入使得對于消息的驗(yàn)證具有了實(shí)時(shí)性。2022/7/1949Ch5-

26、消息認(rèn)證與數(shù)字簽名 仲裁數(shù)字簽名 (1) AT：M | EKATIDA | H(M) (2) TB：EKTBIDA | M | EKATIDA | H(M) | T(1) AT：IDA | EPRAIDA | EPUB(EPRAM)(2) TB：EPRTIDA | EPUBEPRAM | T2022/7/1950Ch5-消息認(rèn)證與數(shù)字簽名 盲簽名盲簽名是Chaum在1982年首次提出的，并利用盲簽名技術(shù)提出了第一個(gè)電子現(xiàn)金方案。盲簽名因?yàn)榫哂忻ば赃@一特點(diǎn)，可以有效的保護(hù)所簽名的消息的具體內(nèi)容，所以在電子商務(wù)等領(lǐng)域有著廣泛的應(yīng)用。盲簽名允許消息發(fā)送者先將消息盲化，而后讓簽名者對盲化的消息進(jìn)行簽名

27、，最后消息擁有者對簽名除去盲因子，得到簽名者關(guān)于原消息的簽名。 2022/7/1951Ch5-消息認(rèn)證與數(shù)字簽名 盲簽名的性質(zhì)它除了滿足一般的數(shù)字簽名條件外，還必須滿足下面的兩條性質(zhì)：1. 簽名者不知道其所簽名的消息的具體內(nèi)容。2. 簽名消息不可追蹤，即當(dāng)簽名消息被公布后，簽名者無法知道這是他哪次的簽署的。2022/7/1952Ch5-消息認(rèn)證與數(shù)字簽名 盲簽名的步驟A期望獲得對消息m的簽名，B對消息m的盲簽名的實(shí)現(xiàn)描述如下：盲化：A對于消息進(jìn)行處理，使用盲因子合成新的消息M并發(fā)生給B；簽名：B對消息M簽名后，將簽名 ( M, sign(M) ) 返回給給A；去盲：A去掉盲因子，從對M的簽名中得到B對m的簽名。2022/7/1953Ch5-消息認(rèn)證與數(shù)字簽名 好的盲簽名的性質(zhì)不可偽造性：除了簽名者本人外，任何人都不能以他的名義生成有效的盲簽名。不可抵賴性：簽名者一旦簽署了某個(gè)消息，他無法否認(rèn)自己對消息的簽名。盲性：簽名者雖然對某個(gè)消息進(jìn)行了簽名，但他不可能得到消息的具體內(nèi)容。不可跟蹤性：一旦