现代密码学 第5章数字签名 51数字签名的基本概念 52RSA数字签名 53 EIGama数字签名 54数字签名标准Dss 55其他数字签名 55.1基于离散对数问题的数字签名 552基于大整数分解问题的数字签名 55.3具有特殊用途的数字签名 电子科技大学
第5章 数字签名 5.1 数字签名的基本概念 5.2 RSA数字签名 5.3 ElGamal数字签名 5.4 数字签名标准DSS 5.5 其他数字签名 5.5.1 基于离散对数问题的数字签名 5.5.2 基于大整数分解问题的数字签名 5.5.3 具有特殊用途的数字签名 现代密码学 电子科技大学
现代密码学 5.1数字签名的基本概念 数字签名应具有以下特性: (1)不可伪造性除了签名者外,任何人都不能伪造 签名者的合法签名。 (2)认证性接收者相信这份签名来旬签名者。 (3)不可重复使用性一个消息的签名不能用于其他 消息、。 (4)不可修改性一个消息在签名后不能被修改。 (5)不可否认性签名者事后不能否认自己的签名。 电子科技大学
5.1 数字签名的基本概念 数字签名应具有以下特性: (1)不可伪造性 除了签名者外,任何人都不能伪造 签名者的合法签名。 (2)认证性 接收者相信这份签名来自签名者。 (3)不可重复使用性 一个消息的签名不能用于其他 消息。 (4)不可修改性 一个消息在签名后不能被修改。 (5)不可否认性 签名者事后不能否认自己的签名。 现代密码学 电子科技大学
现代密码学 ◆一个教字签名体制(也称为数字签名方案)一般 有两个组成部分,即签名算法( signature algorithm)和验证算法( verification al! orithm)。 签名算法的輪入是逍息m和密钥k,輪出是对m的 数字签名,记为5=(m)。验强算法输入的 是消息m和签名5输出是真或伪,记为: 真当s=Sig(m) Ver(m, s) 伪当s≠Sg(m) ◆算法的安全性在于从m和难唯以推出密钥k或伪造 一个消息使和阿被验证为真。 电子科技大学
◆一个数字签名体制(也称为数字签名方案)一般 有两个组成部分,即签名算法(signature algorithm)和验证算法(verification algorithm)。 签名算法的输入是消息m和密钥k,输出是对m的 数字签名,记为s = (m)。验证算法输入的 是消息m和签名s,输出是真或伪,记为: ◆算法的安全性在于从m和s难以推出密钥k或伪造 一个消息使和s可被验证为真。 k Sig ( ) Ver( , ) ( ) k k s Sig m m s s Sig m = = 真 当 伪 当 现代密码学 电子科技大学
现代密码学 数字签名的分类 数字签名可按以下几种方式进行分类: ①按用途来分,数字签名可分为普通教字签名和具 有特殊用途的数字签名[如盲签名( blind signature)、不可否认签名( undeniable signature)、群签名( group signature)、代狸签 名( proxy signature)等] 电子科技大学
数字签名可按以下几种方式进行分类: ① 按用途来分,数字签名可分为普通数字签名和具 有特殊用途的数字签名[如盲签名(blind signature)、不可否认签名(undeniable signature)、群签名(group signature)、代理签 名(proxy signature)等]。 现代密码学 电子科技大学 数字签名的分类
现代密码学 ②按是否具有消息恢复功能来分,数字签名可分为具 有峭息恢复功能的教字签名和不具有消息恢复功能的 教字签名。 字莶名和随机化数字签名( randomized digital/线 ⑦按是否使用随机教来分,教字签名可分为确定性 signature) 电毛科棘,拳
电子科技大学 现代密码学 现代密码学 电子科技大学 ② 按是否具有消息恢复功能来分,数字签名可分为具 有消息恢复功能的数字签名和不具有消息恢复功能的 数字签名。 ③ 按是否使用随机数来分,数字签名可分为确定性数 字签名和随机化数字签名(randomized digital signature)
现代密码学 5.2RSA数字签名 ◆1.参数与密钥生成 (1)选取两个保密的大素数p和q (2)计算n=pq,如(n)=(p-1q-1),其中叭n) 是n的欧拉函数值。 (3)随机选取整数e,1<e<如(n),满 足gcd(e,(mn)=1。 (4)计算d,满足de≡lmod(n) (5)公钥为(e,n),私钥为d 电子科技大学
◆1.参数与密钥生成 (1)选取两个保密的大素数p和q。 (2)计算n = pq, ,其中 是n的欧拉函数值。 (3)随机选取整数e,1<e< ,满 足 。 (4)计算d,满足 。 (5)公钥为(e,n),私钥为d。 5.2 RSA数字签名 ( ) ( 1)( 1) n p q = − − ( ) n ( ) n gcd( , ( )) 1 e n = de n 1mod ( ) 现代密码学 电子科技大学
现代密码学 52RSA数字签名 ◆2.签名 对于消息m∈Zn,签名为:s=Sgk(m)= m modn ◆3.验证 对于消息签名对(m,s),如果: m=s modn 则s是m的有效签名。 电子科技大学
◆2.签名 对于消息m∈ ,签名为: ◆3.验证 对于消息签名对(m, s),如果: 则s是m的有效签名。 Z n ( ) mod d k s Sig m m n = = mod e m s n = 现代密码学 电子科技大学 5.2 RSA数字签名
现代密码学 RSA数字签名方案存在以下缺陷: ①任何人都可以伪造某签名者对于随机消息m的签名s。 其方法是先选取S,再用该签名者的公钥(e,n)计 算m=s°modn。s就是该签名者对消息m的签 名。 电子科技大学
RSA数字签名方案存在以下缺陷: ① 任何人都可以伪造某签名者对于随机消息m的签名s。 其方法是先选取s,再用该签名者的公钥(e,n)计 算 。s就是该签名者对消息m的签 名。 mod e m s n = 现代密码学 电子科技大学
现代密码学 ◆②如果敌手知道消息m1和m2的签名分别是 s1和S2,则敌手可以伪造m1m2的签名SS2 这是因为在RSA签名方案中,存在以下性质: m ,m,)=m, m, moan 电毛科棘,拳
电子科技大学 现代密码学 现代密码学 电子科技大学 ◆② 如果敌手知道消息 和 的签名分别是 和 ,则敌手可以伪造 的签名 , 这是因为在RSA签名方案中,存在以下性质: m1 m2 1 s 2 s m m1 2 1 2 s s 1 2 1 2 ( ) mod d d d m m m m n =
现代密码学 ◆③由于在RSA签名方案中,要签名的消 息ml∈=n,所以每次只能对位长的消息进行签名。 然而,实际需要签名的消息可能比m大,解决的办 法是先对消息进行分组,然后对每组消息分别进行 签名。这样做的缺点是签名长度变长,运算量增大。 电毛科棘,拳
电子科技大学 现代密码学 现代密码学 电子科技大学 ◆③ 由于在RSA签名方案中,要签名的消 息 ,所以每次只能对位长的消息进行签名。 然而,实际需要签名的消息可能比n大,解决的办 法是先对消息进行分组,然后对每组消息分别进行 签名。这样做的缺点是签名长度变长,运算量增大。 m z n