复旦大学：《信息安全原理》课程教学资源（PPT课件）第4章 密码应用（2/4）

1不可否认签名 (1)产生系统参数 设p是一个大素数,并且p=2q+1,其中q也 是素数,Zn中的离散对数是难解的 随机取Z中的阶为q的元素g,由此构造 Z的q阶乘法子群G(即g为G的生成元), 在{1,2,,q-1}中随机选择作为SK, 令PK= gSKmod p, 将PK与p,g一起作为公钥公开,而SK作为 签名用户的秘密密钥。(离散对数难解问题)

 1.不可否认签名  (1)产生系统参数  设 p是一个大素数，并且p=2q+1，其中 q 也 是素数， Z p *中的离散对数是难解的  随机取 Z p *中的阶为 q的元素 g，由此构造 Z p * 的 q阶乘法子群G( 即 g 为 G的生成元 ) ，  在{1,2…,q-1}中随机选择作为SK ，  令PK=gSKmod p ，  将PK 与p,g一起作为公钥公开，而SK作为 签名用户的秘密密钥。 (离散对数难解问题 )

(2)签名过程 签名用户要对消息meG签名,可用其秘 密密钥计算s=( m)sK mod p,把s作为对m 的签名连同m一起发给对方。但这个s事 实上是无法被其他人证实的。 (3)验证协议: 接收方收到s和m后,选择随机数k1,k2∈Zn*,并 计算c=s4PKk2modp,把c送给签名者。 签名者在收到c后计算d= FcSK modg modp,并把d 送给签名的接收者。 接收方计算t=mg4modp,当且仅当t=d时可确定s是一个 对m的合法签名

 (2)签名过程  签名用户要对消息mG签名，可用其秘 密密钥计算s=(m)SK mod p，把s作为对m 的签名连同m一起发给对方。但这个s事 实上是无法被其他人证实的。  (3)验证协议： • 接收方收到s和m后，选择随机数k1,k2Zp*，并 计算c=sk1PKk2 mod p，把c送给签名者。 • 签名者在收到c后计算d=cSK-1modqmodp，并把d 送给签名的接收者。 接收方计算 t= m g p k1 k 2 mod ，当且仅当 t=d 时可确定 s 是一个 对 m 的合法签名

定理41:如果s≠(m) sK mod p,则接受者 以概率1/q接收s作为m的签名。 1(4)否认协议 该协议的作用是签名方要使接收方确信 所接收到的签名信息是其他人伪造的。 也就是说当签名方声明他没有对信息m 签名,则必须执行该协议,并通过协议 向接收方证明签名是伪造的。若签名方 仅声明没有对信息m签名,又拒绝执行 该协议,则就认定签名方对信息m签名 了。该协议由两轮验证协议组成

 定理4.1：如果 s ≠(m)SK mod p，则接受者 以概率1/q接收 s作为 m的签名。  (4)否认协议  该协议的作用是签名方要使接收方确信 所接收到的签名信息是其他人伪造的。 也就是说当签名方声明他没有对信息 m 签名，则必须执行该协议，并通过协议 向接收方证明签名是伪造的。若签名方 仅声明没有对信息 m签名，又拒绝执行 该协议，则就认定签名方对信息 m签名 了。该协议由两轮验证协议组成

①接收方选择随机数k1,k2∈z,并计算c=slPK2modp, 把c送给签名者。 ②签名者在收到c后计算d=cWm0 od q mod p,并把d送给 签名的接收者。 ③接收方计算 t=m gk: mod p,验证t是否不等于d。 ④接收方选择随机数f,∈zn,并计算C= s PK mod p,把C送给签名者。 ⑤签名者在收到C后计算D= CsKmodq mod p,并把D送 给签名的接收者。 ⑥接收方计算T=m/ g/ mod p,验证T是否不等于D ⑦接收者宣布s是伪造的当且仅当 (dg )/=(Dg /', mod p

①接收方选择随机数 k1,k2 * Z p，并计算 c=sk1PKk2 mod p， 把 c 送给签名者。 ②
签名者在收到 c 后计算 d c p SK q mod mod 1  ，并把 d 送给 签名的接收者。 ③
接收方计算 t= m g p k1 k 2 mod ，验证 t 是否不等于 d。 ④
接收方选择随机数 f1,f2 * Z p，并计算 C=sf1PKf2 mod p，把 C 送给签名者。 ⑤
签名者在收到 C 后计算 D C p SK q mod mod 1  ，并把 D 送 给签名的接收者。 ⑥
接收方计算 T= m g p f1 f 2 mod ，验证 T 是否不等于 D。 ⑦
接 收 者 宣 布 s 是伪造的当且仅当 dg Dg p ( k 2 ) f1 ( f 2 )k1 mod   

定理42:(1)如果s≠(m)modp,且接收方和签名方都 遵守否认协议,则(ag-k)=(Dg)mod (2)假设s=(m)3modp,且接收方遵守否认协议,如果 d≠ ngk mod p,D≠ m/g/ mod p,则(ag-k)≠(Dg)modp的概 率是1-(该结论说明相等概率是1/q,即明明是签名人的签 名,却被成功否认的概率为1/q)

定理 4.2：(1)如果 s ≠(m)SK mod p，且接收方和签名方都 遵守否认协议，则 dg Dg p ( k 2 ) f1 ( f 2 ) k1 mod    。 (2)假设 s=(m)SKmod p，且接收方遵守否认协议，如果 d  m g p k1 k 2 mod ，D  m g p f1 f 2 mod ，则 dg Dg p ( k 2 ) f1 ( f 2 ) k1 mod    的概 率是 1- q 1 。 (该结论说明相等概率是 1/q,即明明是签名人的签 名，却被成功否认的概率为 1/q)

2盲签名 在通常的数字签名中,总是要知道文件内容然 后对该相关信息进行签名,但有时需要某人对 一个文件签名,但又不能让他知道文件内容 如电子商务中,用户只要银行对资金划转签署 同意,而不能知道划拨多少钱,干什么,支付 给什么人,因为这是个人的秘密。 称这类签名为盲签名。其基本协议是一个所谓 的完全盲签名。 完全盲签名的具体方案是:A要B对文件签名, 但不想让他知道所签的是什么,而B并不关心 其签署的内容,只是要确保在需要时可以仲裁

 2.盲签名  在通常的数字签名中，总是要知道文件内容然 后对该相关信息进行签名，但有时需要某人对 一个文件签名，但又不能让他知道文件内容  如电子商务中，用户只要银行对资金划转签署 同意，而不能知道划拨多少钱，干什么，支付 给什么人，因为这是个人的秘密。  称这类签名为盲签名。其基本协议是一个所谓 的完全盲签名。  完全盲签名的具体方案是：A要B对文件签名， 但不想让他知道所签的是什么，而B并不关心 其签署的内容，只是要确保在需要时可以仲裁

该协议如下 (1)A取一文件并乘上随机因子,得到的结 果称为盲文件,而随机值则称为盲因子。 (2)A将盲文件送给B。 (3)B对盲文件用签名算法签名并送给A。 n(4)A用盲因子除签名结果可得B对原文件 的签名。 要说明的是,(4)要成立,必须保证签名算 法和乘法函数是可换的,否则上述的(1)和 (4)必须适当修改,以确保A能得到B对原 文件的签名

 该协议如下：  (1)A取一文件并乘上随机因子，得到的结 果称为盲文件，而随机值则称为盲因子。  (2)A将盲文件送给 B 。  (3)B对盲文件用签名算法签名并送给 A 。  (4)A用盲因子除签名结果可得 B对原文件 的签名。  要说明的是，(4)要成立，必须保证签名算 法和乘法函数是可换的，否则上述的(1) 和 (4)必须适当修改，以确保 A能得到 B对原 文件的签名

完全盲签名应具有如下的特点: B对文件的签名合法,即能够证明B确实对该文 件签了名; B不能将所签的文件与实际上签的文件联系起来 即使他保存所有签过的文件,也不能得到文件 的真实内容,当然攻击者所得信息更少 但由于B不知道自己所签名的内容,就有可能使 A让B签署任何自己所想要的文件,甚至可以让 B对诸如“B欠A100万元”等,因不能保证A永 远是诚实的.。 采用分割选择技术,可以使B知道相信他所签 的内容是合理的,但又不知道所签的内容

 完全盲签名应具有如下的特点：  B对文件的签名合法，即能够证明B确实对该文 件签了名；  B不能将所签的文件与实际上签的文件联系起来， 即使他保存所有签过的文件，也不能得到文件 的真实内容，当然攻击者所得信息更少。  但由于B不知道自己所签名的内容，就有可能使 A让B签署任何自己所想要的文件，甚至可以让 B对诸如“B欠A100万元”等，因不能保证A永 远是诚实的.。  采用分割-选择技术，可以使B知道相信他所签 的内容是合理的，但又不知道所签的内容

分割选择技术的盲签名协议: (1)每个成员准备n份文件,各用不同的掩护名字, 以得到外交豁免权。 (2)成员以不同的盲因子盲化每个文件,得到n个盲 文件,并把它们送给谍报机构。 (3)谍报机构从n个盲文件中随机选取n1,询问成 员它们每个对应盲因子。 (4)成员送出所对应的盲因子给谍报机构。 (5)谍报机构从n-1盲文件中移取盲因子,得到原文 件并检查其正确性。 (6)谍报机构对n个盲文件中的另一个盲文件签名并 送给该成员。 (7)成员移取盲因子,即得其隐蔽身份外交豁免权 的签名文件

 分割-选择技术的盲签名协议：  (1)每个成员准备n份文件，各用不同的掩护名字， 以得到外交豁免权。  (2)成员以不同的盲因子盲化每个文件，得到n个盲 文件，并把它们送给谍报机构。  (3)谍报机构从n个盲文件中随机选取n-1，询问成 员它们每个对应盲因子。  (4)成员送出所对应的盲因子给谍报机构。  (5)谍报机构从n-1盲文件中移取盲因子，得到原文 件并检查其正确性。  (6)谍报机构对n个盲文件中的另一个盲文件签名并 送给该成员。  (7)成员移取盲因子，即得其隐蔽身份外交豁免权 的签名文件

该协议能有效防止成员的欺诈行为。 因为成员要欺骗成功,必须知道哪个文件不被 检验,其成功概率是1/ 当然其成员也可以这样做,对每个文件都准备 两个不同内容的文本对,并找到两个盲因子, 使得它们的盲文本是相同的。 这样若不要求看原文件并签名,就可用对应蓄 意制造的文件的盲因子得到签名;若要求检验 原文件,就可用对应合法文件的盲因子传送给 谍报机构。 当然这在理论上是可能的,而在实际上通常是 在计算上是难的

 该协议能有效防止成员的欺诈行为。  因为成员要欺骗成功，必须知道哪个文件不被 检验，其成功概率是1/n。  当然其成员也可以这样做，对每个文件都准备 两个不同内容的文本对，并找到两个盲因子， 使得它们的盲文本是相同的。  这样若不要求看原文件并签名，就可用对应蓄 意制造的文件的盲因子得到签名；若要求检验 原文件，就可用对应合法文件的盲因子传送给 谍报机构。  当然这在理论上是可能的，而在实际上通常是 在计算上是难的