信息技術(shù) 安全技術(shù) 帶附錄的數(shù)字簽名 第1部分：概述 - 政策法規(guī)

GB/T17902.1—2023/ISO/IEC14888-1:2008代替GB/T17902.1—1999信息技術(shù)安全技術(shù)帶附錄的數(shù)字簽名2023-03-17發(fā)布國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)GB/T17902.1—202前言 Ⅲ 12規(guī)范性引用文件 13術(shù)語(yǔ)和定義 1 35通則 46通用模型 47簽名機(jī)制和雜湊函數(shù)綁定方式的選項(xiàng) 58密鑰生成 59簽名過(guò)程 510驗(yàn)證過(guò)程 7附錄A(資料性)關(guān)于雜湊函數(shù)標(biāo)識(shí)符 8參考文獻(xiàn) 9I本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則起草。本文件是GB/T17902《信息技術(shù)安全技術(shù)經(jīng)發(fā)布了以下部分：——第1部分：概述； 第2部分：基于身份的機(jī)制：本文件代替GB/T17902.1—1999《信息技術(shù)第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定帶附錄的數(shù)字簽名》的第1部分。GB/T17902已安全技術(shù)帶附錄的數(shù)字簽名第1部分：概——將原“概述”部分調(diào)整至第5章(見第5章，1999年版的第3章);值”“簽名方程”"簽名函數(shù)"及“賦值”等術(shù)語(yǔ)(見1999年版的第4章),增加了“抗碰撞雜湊函號(hào)以及“比較”的圖例(見1999年版的第5章),增加了“可選數(shù)據(jù)”的圖例(見4.3),并增加了——增加了“簽名機(jī)制和雜湊函數(shù)的綁定選項(xiàng)”一章，描述了簽名機(jī)制和雜湊函數(shù)綁定的幾類選項(xiàng)(見第7章);——將簽名過(guò)程內(nèi)容合并至第9章，并用通用模型，統(tǒng)一描述現(xiàn)有機(jī)制，較原內(nèi)容更具有普適性(見第9章，1999年版的第8章、第9章);——將驗(yàn)證過(guò)程合并至第10章，并更新了通用模型描述現(xiàn)有機(jī)制，較原內(nèi)容更具有普適性(見第10章，1999年版的第9章)。本文件等同采用ISO/IEC14888-1:2008《信息技術(shù)安全技術(shù)帶附錄的數(shù)字簽名第1部分：本文件做了下列最小限度的編輯性改動(dòng)：——第10章驗(yàn)證簽名部分增加了注，便于理解。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC260)提出并歸口。本文件起草單位：中國(guó)科學(xué)院軟件研究所、成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司、北京數(shù)字認(rèn)證股份有限公司、中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、中國(guó)信息通信研究院。本文件及其所代替文件的歷次版本發(fā)布情況為：——1999年首次發(fā)布為GB/T17902.1—1999;——本次為第一次修訂。Ⅲ數(shù)字簽名機(jī)制是一類非對(duì)稱密碼機(jī)制，被廣泛用于實(shí)體鑒別、數(shù)據(jù)來(lái)源鑒別、數(shù)據(jù)完整性和抗抵賴服務(wù)。有兩種數(shù)字簽名機(jī)制：——若在驗(yàn)證過(guò)程中，需要消息作為輸入的一部分，則此類機(jī)制稱為“帶附錄的數(shù)字簽名”,附錄計(jì)算需要使用雜湊函數(shù)；——若在驗(yàn)證過(guò)程中，披露全部或是部分消息，則此類機(jī)制稱為“帶消息恢復(fù)的數(shù)字簽名”,簽名生成和驗(yàn)證也會(huì)使用到雜湊函數(shù)。帶附錄的數(shù)字簽名在GB/T17902中進(jìn)行了規(guī)范，帶消息恢復(fù)的數(shù)字簽名在ISO10118中進(jìn)行了規(guī)范，雜湊函數(shù)則是在GB/T18238(所有部分)中進(jìn)行了規(guī)范。GB/T17902《信息技術(shù)安全技術(shù)帶附錄的數(shù)字簽名》由三個(gè)部分組成?！?部分：概述。目的在于規(guī)范通用的帶附錄數(shù)字簽名的整體框架和通用模型?！?部分：基于身份的機(jī)制。目的在于規(guī)范基于身份的帶附錄數(shù)字簽名機(jī)制。——第3部分：基于證書的機(jī)制。目的在于規(guī)范基于證書的數(shù)字簽名機(jī)制。IN信息技術(shù)安全技術(shù)帶附錄的數(shù)字簽名GB/T17902規(guī)定了幾種對(duì)任意長(zhǎng)度消息進(jìn)行簽名的帶附錄的數(shù)字簽名機(jī)制。本文件包括帶附錄的數(shù)字簽名的一般原理與要求，同時(shí)也包括GB/T17902各部分用到的定義與證書和密鑰管理等相關(guān)技術(shù)不在本文件的規(guī)范范圍內(nèi)。更多此類信息見GB/T16264.8—注：計(jì)算是否可行依賴于具體的安全需求和環(huán)境。示例：由單一機(jī)構(gòu)或一組采用同一安全策略的機(jī)構(gòu)創(chuàng)建的公鑰證書。對(duì)域中所有實(shí)體都是公共的且已知或可訪問(wèn)的數(shù)據(jù)元。1散列碼雜湊函數(shù)輸出的比特串。散列函數(shù)將任意比特串映射到固定長(zhǎng)度比特串的函數(shù)，滿足下面兩個(gè)特征： 對(duì)于給定輸出，找出映射為該輸出的輸入，在計(jì)算上是不可行的；——對(duì)于給定輸入，找出映射為同一輸出的第二個(gè)輸入，在計(jì)算上是不可行的。分配給某一實(shí)體，用于對(duì)其標(biāo)識(shí)的數(shù)據(jù)元序列(包括實(shí)體的可區(qū)分標(biāo)識(shí)符)。密鑰對(duì)keypair由一個(gè)簽名密鑰和一個(gè)驗(yàn)證密鑰組成的對(duì)，即：——簽名密鑰是完全或部分保密的、只由被簽名者使用的數(shù)據(jù)元集合；——驗(yàn)證密鑰是能夠完全公開、供任何驗(yàn)證者使用的數(shù)據(jù)元集合。消息message任意長(zhǎng)度的比特串。整數(shù)、比特串或雜湊函數(shù)。簽名過(guò)程產(chǎn)生的一個(gè)或多個(gè)數(shù)據(jù)元。簽名過(guò)程中實(shí)體所特有的且只能由該實(shí)體使用的私有數(shù)據(jù)元集合。以消息、簽名密鑰和域參數(shù)作為輸入，給出簽名作為輸出的過(guò)程。2由簽名、無(wú)法從簽名恢復(fù)的消息部分和一個(gè)可選文本字段組成的一組數(shù)據(jù)元。注：在本文件中，整個(gè)消息被包含在已簽消息中并且消息的任何部分都不能從簽名中恢復(fù)。驗(yàn)證密鑰verificationkey在數(shù)學(xué)上與實(shí)體的簽名密鑰相關(guān)，并由驗(yàn)證方在驗(yàn)證過(guò)程中使用的公開數(shù)據(jù)元集合。驗(yàn)證過(guò)程verificationprocess輸入簽名消息、驗(yàn)證密鑰和域參數(shù)，輸出簽名驗(yàn)證結(jié)果(有效或無(wú)效)的過(guò)程。4.1符號(hào)下列符號(hào)適用于GB/THKMR注：R也被稱為證據(jù)。RSXYZ2雜湊碼隨機(jī)數(shù)發(fā)生器消息簽名的第一部分重新計(jì)算的簽名第一部分簽名的第二部分簽名密鑰驗(yàn)證密鑰域參數(shù)集合簽名AmodN在0到N-1中的唯一整數(shù)B,使得N能整除A—BA=B(modN)在GB/T17902所有部分中的整數(shù)(或位、字節(jié))以最左側(cè)為最高有效位。下列圖例適用于GB/T17902的所有部分。 數(shù)據(jù)過(guò)程主過(guò)程3可選主過(guò)程數(shù)據(jù)流可選數(shù)據(jù)流另一個(gè)可選數(shù)據(jù)流兩條數(shù)據(jù)流，其中至少一條是必備的5通則GB/T17902描述的機(jī)制基于非對(duì)稱密碼技術(shù)。非對(duì)稱數(shù)字簽名機(jī)制由以下三個(gè)基本操作組成。a)生成密鑰對(duì)的過(guò)程，稱為密鑰生成過(guò)程。每一個(gè)密鑰對(duì)都由一個(gè)簽名密鑰和對(duì)應(yīng)的一個(gè)驗(yàn)證密鑰組成。b)使用簽名密鑰簽名的過(guò)程，也被稱為簽名過(guò)程：1)對(duì)一個(gè)給定消息和簽名密鑰，若獲得兩個(gè)相同簽名的概率是可忽略的，則稱運(yùn)算是概率2)對(duì)一個(gè)給定消息和簽名密鑰，生成的所有簽名都相同，則稱運(yùn)算是確定性的。c)使用驗(yàn)證密鑰驗(yàn)證簽名的過(guò)程，也被稱為驗(yàn)證過(guò)程。驗(yàn)證一個(gè)數(shù)字簽名需要使用簽名者的驗(yàn)證密鑰。因此，驗(yàn)證者要能將正確的驗(yàn)證密鑰與簽名者關(guān)聯(lián)起來(lái)，或是要和簽名者的(部分)標(biāo)識(shí)數(shù)據(jù)關(guān)聯(lián)起來(lái)。這種關(guān)聯(lián)由驗(yàn)證密鑰自身提供的，稱這種機(jī)制是6通用模型帶附錄的數(shù)字簽名機(jī)制包含以下過(guò)程：——密鑰生成過(guò)程；——簽名過(guò)程；——驗(yàn)證過(guò)程。在簽名過(guò)程中，簽名者對(duì)一個(gè)給定的消息計(jì)算數(shù)字簽名。這個(gè)數(shù)字簽名和一個(gè)可選的文本字段構(gòu)成附錄，附錄附加在消息上形成已簽消息，如圖1所示。消息M消息M根據(jù)實(shí)際應(yīng)用，有多種生成附錄并附加在消息上的方法。這些方法能使驗(yàn)證者將消息和正確簽名關(guān)聯(lián)起來(lái)。驗(yàn)證者在驗(yàn)證簽名之前，獲得簽名對(duì)應(yīng)的正確的簽名驗(yàn)證密鑰。這對(duì)于成功驗(yàn)證簽名非常重要?？蛇x的文本字段可用于向驗(yàn)證者傳遞簽名者的標(biāo)識(shí)數(shù)據(jù)，或是用于鑒別驗(yàn)證密鑰信息的數(shù)據(jù)。某些情況下，簽名者的標(biāo)識(shí)數(shù)據(jù)可作為消息M的一部分，以獲得簽名的保護(hù)。數(shù)字簽名機(jī)制應(yīng)滿足以下的要求：a)只給定驗(yàn)證密鑰，而不給定簽名密鑰，產(chǎn)生任一消息的有效簽名在計(jì)算上是不可行的；b)簽名者產(chǎn)生的簽名不能用于生成新消息及其對(duì)應(yīng)的有效簽名，也不可用來(lái)恢復(fù)簽名密鑰；c)找到簽名相同但內(nèi)容不同的兩個(gè)消息在計(jì)算上是不可行的，即使對(duì)簽名者在計(jì)算上也是不可4注：計(jì)算上的可行性依賴于用戶的具體安全要求和環(huán)境7簽名機(jī)制和雜湊函數(shù)綁定方式的選項(xiàng)使用本文件中的數(shù)字簽名機(jī)制需要選擇一個(gè)抗碰撞雜湊函數(shù)。在使用中應(yīng)將雜湊函數(shù)與簽名機(jī)制綁定使用。否則，攻擊者可使用一個(gè)弱雜湊函數(shù)(不是實(shí)際使用的)偽造簽名。已有一系列方式實(shí)現(xiàn)此類綁定。以下方法按照偽造簽名風(fēng)險(xiǎn)從低到高排列。a)當(dāng)使用特定簽名機(jī)制時(shí)要求使用特定的雜湊函數(shù)。在簽名驗(yàn)證過(guò)程中應(yīng)只使用此雜湊函數(shù)。b)允許使用一套雜湊函數(shù)，在證書的域參數(shù)里明確指定使用的雜湊函數(shù)。在證書管理域內(nèi)，驗(yàn)證者在簽名驗(yàn)證過(guò)程中只使用證書指定的雜湊函數(shù)進(jìn)行簽名驗(yàn)證。但是在域外，會(huì)因?yàn)樽C書機(jī)構(gòu)不遵循用戶的策略而產(chǎn)生風(fēng)險(xiǎn)。例如，域外的證書機(jī)構(gòu)簽發(fā)一個(gè)允許使用其他雜湊函數(shù)的證書，簽名偽造的問(wèn)題可能出現(xiàn)。在這種情況下，一個(gè)被誤導(dǎo)的驗(yàn)證者將無(wú)法確定采用何種雜湊函數(shù)進(jìn)行驗(yàn)證。c)允許使用一組可選的雜湊函數(shù)，并通過(guò)除b)之外的方式指定使用哪一個(gè)雜湊函數(shù)。例如，通過(guò)消息或是雙方協(xié)商指定雜湊函數(shù)。驗(yàn)證過(guò)程應(yīng)只使用由該方式指定的雜湊函數(shù)。然而，存在攻擊者通過(guò)使用其他雜湊函數(shù)偽造簽名的風(fēng)險(xiǎn)(具體攻擊方法見附錄A)。注：在c)中提及的“除b)之外的方式”包括通過(guò)雜湊函數(shù)標(biāo)識(shí)符的方式。雜湊函數(shù)標(biāo)識(shí)符與雜湊碼拼接成雜湊令牌包含在簽名中。在此方式下，即使驗(yàn)證者接受的簽名使用了弱雜湊函數(shù)(能夠通過(guò)雜湊碼找到對(duì)應(yīng)輸入的雜湊函數(shù)),對(duì)于不同的消息，攻擊者也不能重用這個(gè)簽名。但是，正如參考文獻(xiàn)[9]中所述(見附錄A),使用該類弱雜湊函數(shù)，攻擊者依然能夠通過(guò)針對(duì)包含此弱雜湊函數(shù)標(biāo)識(shí)符的簽名，找到對(duì)應(yīng)的消息。數(shù)字簽名機(jī)制的用戶宜綜合考慮不同綁定方式的技術(shù)優(yōu)勢(shì)和開銷，進(jìn)行風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估還宜考慮偽造簽名的開銷。8密鑰生成數(shù)字簽名機(jī)制的密鑰生成過(guò)程包括以下兩個(gè)步驟：a)生成域參數(shù)；b)生成簽名密鑰和驗(yàn)證密鑰。第一個(gè)步驟只在建立域時(shí)執(zhí)行一次。第二個(gè)步驟，針對(duì)域內(nèi)的每個(gè)簽名者分別執(zhí)行，密鑰生成過(guò)程的輸出是簽名密鑰X和驗(yàn)證密鑰Y。對(duì)于一組指定的域參數(shù)，避免X的值與之前使用的值相同。注：域參數(shù)和密鑰的有效性驗(yàn)證不在本文件的規(guī)定范疇內(nèi)。9簽名過(guò)程9.1通則簽名過(guò)程需要以下數(shù)據(jù)元：——域參數(shù)集合Z;——簽名密鑰X;——消息M;——雜湊函數(shù)標(biāo)識(shí)符hid(可選);5——其他文本t(可選)。雜湊函數(shù)的標(biāo)識(shí)符能夠用于綁定簽名機(jī)制和雜湊函數(shù)，具體內(nèi)容見第7章。帶附錄的數(shù)字簽名機(jī)制的簽名過(guò)程由以下步驟組成：——計(jì)算簽名；——構(gòu)建附錄；——構(gòu)建已簽消息。9.2計(jì)算簽名該過(guò)程的輸入為消息M,簽名密鑰X以及域參數(shù)集合Z。輸出為簽名三，2由第一部分R和第二部分S組成，第二部分是否存在取決于簽名機(jī)制，見圖2。9.3構(gòu)建附錄附錄由簽名和可選文本字段構(gòu)成，記為(2,t)。文本字段可包含一個(gè)證書，該證書的作用是用密碼機(jī)制關(guān)聯(lián)驗(yàn)證密鑰和簽名者的標(biāo)識(shí)數(shù)據(jù)。9.4構(gòu)建已簽消息已簽消息由消息M和附錄構(gòu)成，即M,(Z,t)。簽名密鑰X簽名密鑰X計(jì)算簽名簽名2E構(gòu)建附錄(2,t)構(gòu)建已簽消息已簽消息文本t消息M圖2簽名過(guò)程610驗(yàn)證過(guò)程驗(yàn)證過(guò)程需包含以下數(shù)據(jù)元：——域參數(shù)集合Z;——驗(yàn)證密鑰Y;——消息M;——標(biāo)識(shí)數(shù)據(jù)Id(可選);——使用中的雜湊函數(shù)標(biāo)識(shí)符hid[若沒有使用其他方式確定(見第7章)];——其他文本t(可選)。驗(yàn)證過(guò)程的輸入為消息M,域參數(shù)Z,驗(yàn)證密鑰Y,簽名三以及與簽名機(jī)制對(duì)應(yīng)的標(biāo)識(shí)數(shù)據(jù)Id。驗(yàn)證過(guò)程的輸出是驗(yàn)證簽名結(jié)果的布爾值：是(接受)/否(拒絕)。整個(gè)過(guò)程見圖3。整個(gè)驗(yàn)證過(guò)程由以下函數(shù)組合之一構(gòu)成：a)簽名打開、計(jì)算雜湊值并比較；b)簽名打開、恢復(fù)消息代表和驗(yàn)證恢復(fù)的消息代表；c)恢復(fù)證據(jù)、恢復(fù)賦值、重新計(jì)算預(yù)簽名、重新計(jì)算證據(jù)、驗(yàn)證證據(jù)。域參數(shù)集合Z域參數(shù)集合ZM標(biāo)識(shí)數(shù)據(jù)ld計(jì)算驗(yàn)證函數(shù)是(接受)/否(拒絕)驗(yàn)證密鑰Y圖3驗(yàn)證過(guò)程7(資料性)關(guān)于雜湊函數(shù)標(biāo)識(shí)符如第7章所述，使用GB/T17902中描述的數(shù)字簽名機(jī)制宜選擇抗碰撞雜湊函數(shù)。為保證驗(yàn)證過(guò)GB/T17902允許通過(guò)“雜湊令牌”符與一個(gè)雜湊碼拼接組成，用于綁定雜湊函數(shù)與數(shù)字簽名機(jī)制。如果雜湊函數(shù)標(biāo)識(shí)符通過(guò)此類方式包然而，正如在參考文獻(xiàn)[10]中詳細(xì)討論的，如果一個(gè)驗(yàn)證者被欺騙并相信簽名生成時(shí)采用了某個(gè)處的“弱”的是指雜湊函數(shù)缺乏單向性，即找到一個(gè)輸入使其輸出是某個(gè)給定的雜湊碼在計(jì)算上是可行的。(缺乏單向性的雜湊函數(shù)可能引起的安全風(fēng)險(xiǎn)，促使將雜湊函數(shù)標(biāo)識(shí)符以雜湊令牌的形式包含在簽在參考文獻(xiàn)[10]中描述了兩類攻擊方法。a)在攻擊者能夠完全控制簽名中的雜湊令牌值的情況下，攻擊者在某個(gè)隨機(jī)生成的簽名中嵌入弱雜湊函數(shù)的雜湊函數(shù)標(biāo)識(shí)符。攻擊者通過(guò)弱雜湊函數(shù)反向計(jì)算獲得消息M,從而形成消息M和它的簽名。在此種情況中，即使弱雜湊函數(shù)只是對(duì)一部分雜湊碼存在脆弱性，依然有可能偽造該部分雜湊碼對(duì)應(yīng)消息的簽名。b)在某些允許使用長(zhǎng)雜湊函數(shù)標(biāo)識(shí)符的情況下，攻擊者生成一個(gè)隨機(jī)簽名并嘗試計(jì)算信息代表T(正常情況下，信息代表T是利用驗(yàn)證密鑰從簽名中計(jì)算出的比特串)。如果攻擊者找到一個(gè)滿足條件的T,使得T的形式滿足T=Pad||HID||H(其中Pad是一個(gè)常量的比特串，HID是隨機(jī)生成的雜湊函數(shù)標(biāo)識(shí)符但是在結(jié)構(gòu)上與雜湊函數(shù)標(biāo)識(shí)符相同，H是消息輸出的雜湊碼)。攻擊者通過(guò)攻擊弱雜湊函數(shù)，從H中反算出某個(gè)消息M。當(dāng)Pad的長(zhǎng)度不足且簽名機(jī)在此類攻擊中，攻擊成功的前提是攻擊者能夠使驗(yàn)證者相信簽名使用了某個(gè)新隨機(jī)生成但符合語(yǔ)法結(jié)構(gòu)的雜湊函數(shù)標(biāo)識(shí)符。湊函數(shù)找到一個(gè)對(duì)應(yīng)此雜湊碼的消息。由此，攻擊者成功偽造了一個(gè)新簽名。因此除了拼接雜湊函數(shù)在GB/T17902中的大多數(shù)的數(shù)字簽名機(jī)制需要在域參數(shù)中指定所使用的雜湊函數(shù)(如第7章a)項(xiàng)中所描述],或者簽名機(jī)制自身指定可供選擇的雜湊函數(shù)(如第7章b)項(xiàng)中所描述]。數(shù)字簽名機(jī)制的使用者宜綜合考慮不同方式的開銷和優(yōu)勢(shì)，進(jìn)行風(fēng)險(xiǎn)評(píng)估。此項(xiàng)評(píng)估包含評(píng)估偽造簽名的開銷。8[1]GB/T15851.3信息技術(shù)安全技術(shù)帶消息恢復(fù)的數(shù)字簽名方案第3部分：基于離散對(duì)數(shù)的機(jī)制(GB/T15851.3—2018,ISO9796-3:2006,MOD)[2]GB/T16264.8—2005信息技術(shù)開放系統(tǒng)互連目錄第8部分：公鑰和屬性證書框架(ISO/IEC9594-8:2001.IDT)[3]GB/T18238(所有部分)信息技術(shù)安全技術(shù)散列函數(shù)[ISO/IEC10118(所有部分)][4]GB/T25069—2022信息安全技術(shù)術(shù)語(yǔ)[5]ISO/IEC9796-2:2010Informationtechnology—Securitytechniques—Digitalsignatureschemesgivingmessagerecovery—Part2:Integerfactorizationbasedmechanisms[6]ISO/IEC9798-3IT