《安全協(xié)議》課件7.6其他數(shù)字簽名

失敗—停止數(shù)字簽名——

Fail-stopFail-Stop數(shù)字簽名最早是1990年由B.Pfitzmann&M.Waidner提出的。它允許實體A證明“聲稱是A的簽名”實際上是偽造的簽名。其做法是展示“該簽名機制所基于的假設(shè)已受到威脅”。Fail-Stop數(shù)字簽名的好處在于即使一個非常強的對手可能偽造一個簽名，但可以察覺出是偽造的，與此同時不再使用該簽名機制。所以稱為“失敗而后停止”更恰當一些。Fail-Stop數(shù)字簽名應(yīng)具有如下性質(zhì):

(1)如果簽名者依據(jù)該機制簽署一個消息，則驗證者能驗證簽名并接受它.(2)偽造者沒有指數(shù)運算能力就不可能構(gòu)造“能通過驗證算法的一批簽名。

(3)

如果偽造者以高概率成功地構(gòu)造出一個能通過

驗證算法的簽名，那么真正的簽名者可以給出“該簽名是偽造的”的證明。

(4)簽名者不能自己構(gòu)造出一些簽名，而后又斷言他們是偽造的。以保證接收者的安全

Fail-Stop數(shù)字簽名由簽名算法、驗證算法、“偽造”證明算法組成。其中“偽造”證明算法是對偽造簽名的一種證明。

1992年E.Heyst&T.P.Pedersen提出的

Fail-Stop數(shù)字簽名算法，它是一次性簽名，即一個密鑰只能用來簽名一次。該數(shù)字簽名的基本思想是：每個可能的公鑰有許多私鑰與之對應(yīng)，然而簽名者只知道其中之一，并用它作簽名。竊聽者搜集被簽名的信息，試圖從中發(fā)現(xiàn)簽名者的私鑰。由于私鑰很多，所以成功的概率可以忽略不計。竊聽者使用他自己生成的密鑰偽造一個信息的簽名，這個簽名與簽名者的簽名不同。指定驗證者的簽名在1996年的歐洲密碼學會議上，Jakobsson、Sako和Impagliazzo首次提出了具有指定驗證者的簽名概念。在這種體制中，簽名者選擇一個具體的驗證者，只有這個驗證者可以驗證簽名的有效性，其他任何人都不能確信這個簽名是否有效，因為驗證者自己可以獨立生成一個簽名副本，這個副本和真正的原始簽名不可區(qū)分。記名簽名

例如，當簽名涉及一些商業(yè)敏感信息或者對于簽名接收者而言比較敏感的信息時，簽名的接收者希望簽名僅僅能夠由自己進行驗證。同時，為防止簽名者抵賴，簽名的接收者還可向權(quán)威機構(gòu)證明簽名的合法性。為此，Kim、Park和Won提出了記名簽名方案，并指出該簽名可滿足以上的驗證特點。記名簽名同時，一個記名簽名應(yīng)該滿足以下要求：（1）只有被記名者才能驗證記名者生成的簽名S（即使記名者也無法驗證S）；（2）只有被記名者才能向第三方證明簽名S是由記名者生成的簽名，并且S是有效的（即使記名者也無法證明S是有效的）。消息可恢復的簽名方案Neberg-Rueppel簽名體制

該體制是一個消息恢復式簽名體制，即驗證人可從簽名中恢復出原始消息，因此簽名人不需要將被簽消息發(fā)送給驗證人。(1)體制參數(shù)p：大素數(shù)；q：大素數(shù)，q|(p-1)；g：g∈RZ*p，且gq≡1(modp)；x：用戶A的秘密鑰，x∈RZ*p；y：用戶A的公開鑰，y≡gx(modp)。Neberg-Rueppel簽名體制(2)簽名的產(chǎn)生過程對于待簽名的消息m，A執(zhí)行以下步驟：①計算出，其中R是一個單一映射，并且容易求逆，稱為冗余函數(shù)。②選擇一個隨機數(shù)k(0<k<q)計算r≡g-kmodp。③計算。④計算s≡xe+k(modq)。以(e,s)作為對m的數(shù)字簽名。(3)簽名的驗證過程接收方收到數(shù)字簽名(e,s)后，通過以下步驟來驗證簽名的有效性：①驗證是否0<e<p。②驗證是否0≤s<q。③計算v≡gsy-e(modp)。④計算m′≡ve(modp)。⑤驗證是否m′∈R(m)，其中R(m)表示R的值域。⑥恢復出m=R-1(m′)。這個簽名體制的正確性可以由以下等式證明：多重簽名多個用戶對同一消息簽名的數(shù)字簽名方案消息發(fā)送者消息簽名者消息簽名者消息簽名者簽名收集者簽名驗證者廣播多重數(shù)字簽名方案

多重簽名消息發(fā)送者U1UnU2簽名驗證者…有序多重數(shù)字簽名方案

前向安全簽名

前向安全簽名的概念在1997年由Anderson引入，解決了通常數(shù)字簽名的一些缺陷：一旦秘密密鑰丟失（或被竊?。?，由這個密鑰生成的以前所有簽名都變得無效。為了減少這樣的損失，Anderson提出把密鑰的有效期分成時段，在每個時段的最后簽名者以一個單向的模式，從當前時段的秘密密鑰得到一個新的下一個時段秘密密鑰，并且安全地刪除不再使用的秘密密鑰。而在整個密鑰的生命周期里公鑰不改變，這個方法確保了泄露秘密的時段以前的所有簽名的有效性。門限簽名門限簽名是最普通、最常用的群體簽名。其方法是將一個群體的簽名密鑰分發(fā)給群體中的每個成員，使得任河成員個數(shù)不少于門限值的子集都可以產(chǎn)生簽名；而任何成員個數(shù)少于門限值的子集都無法以產(chǎn)生簽名?；诙嚯y題的簽名方案簽名的安全性通常,簽名方案的安全性是建立在一個公認的數(shù)學難題的基礎(chǔ)上的,如果這個難題被攻破,攻擊者就可以偽造簽名增強數(shù)字簽名方案安全性的一種途徑是構(gòu)造基于多個難題的數(shù)字簽名方案,安全目標是只要其中一個難題未被攻破,方案就是安全的.基于離散對數(shù)與因子分解難題的簽名方案1用戶Alice選擇一個大素數(shù)P=4p1q1+1(其中p1

和q1

是兩個不同的大素數(shù)，p1=2p2+l，q1=2q2+1,p2

和q2

是大素數(shù)),g為ZP=Z/(P)中一個階為n=p1q1的元素在Z/((n))中選取x和d,計算y=gx(modP)和e=d-1(mod(n))私鑰(p1,q1,x,d)公鑰(P,n,g,y,e)對消息m的簽名是sign(m)=(r,s)驗證者計算Neberg-Rueppel方案與RSA方案的結(jié)合基于離散對數(shù)與因子分解難題的簽名方案2用戶Alice選擇一個大素數(shù)p=4p1q1+1(其中p1

和q1

是兩個不同的大素數(shù)，p1=2p2+l，q1=2q2+1,p2

和q2

是大素數(shù)),g為