翻译:中国科学技术大学信息安全专业老师 K,=c62cld6t=60,…,79 在压缩函数开始的时候,五个32位的变量a、b、c、d和e是用散列函数的中间值 来初始化的。对于第一个输入块,则使用初始值A、B、C、D和E。512位的输入块被 分成了16个32位的字m,并且使用下面的算法,将它们扩展成80个32位的字w: t=0.….15 v1=(w1-3W8由w14④w215)<<1t=16,…79, 其中,符号<<<s表示循环左移s位。现在压缩函数执行下面的循环,其中加法使用模232运 for t=0 to 79 do temp=(a<<<5)+ f(b, c, d )+e+wt+kt c=b<<<30 a-=temp 最后,变量a、b、C、d和e的值被加入到前面的中间散列值中。在处理下一个输入 块的时候,这个结果用作初始的散列值 12.22数字签名 在图12.1中,消息认证码帮助参与者A和B检测在通信信道中由入侵者插入的欺骗消 息。然而,消息认证码并不生成任何证据,供第三方用来判断A或者B是否发送了特定的 消息。因此,在图12.2的电子商务中,顾客需要确保商家不能伪造订单,且商家需要确保 顾客必须认可他们所下的订单,在这样的情况下,消息认证码几乎是没有什么用处的,因而 数字签名就很有必要了。 数字签名方案由签名算法和验证算法组成。一份文档的数字签名是一个值,它依赖于文 档内容和仅由签名者知道的某个秘密,即私有签名密钥;私有签名密钥把文档与一个实体联 系在一起,即公开的验证密钥。验证算法通常使用文档和公开验证密钥作为输入,但是在 些异常的情况下,文档或者文档的一部分可以从签名中恢复出来,且对于签名验证不一定要 提供文档。下述的可验证特性表示了数字签名方案的特征: 规则第三方可以在不知道签名者的私有密钥的情况下,解决关于数字签名有效性的纠纷 数字签名支持不可否认性。公开密钥密码(见12.23节)是数字签名方案的自然来源。 在这种方案中,私有密钥和公开验证密钥之间的联系,是为了确保从验证密钥中推导出签名 密钥在计算上是不可行的。不管在数学基础上的相似性,你应该推断出数字签名和公开密钥 加密算法之间清楚的区别。这两种方案从根本上满足了不同的技术目的。加密保护了消息的 机密性,因此必须是可逆的。数字签名提供了数据来源的认证和不可否认性。数字签名算法 不必是可逆的,事实上,可逆性会引起一些附加的安全担心 次性签名 第7页共19页 创建时间:2003/7/91446:00翻译：中国科学技术大学信息安全专业老师 第 7 页 共 19 页 创建时间：2003/7/19 14:46:00 Kt = ca62c1d6 t = 60,  ,79。 在压缩函数开始的时候，五个 32 位的变量 a 、b 、c 、 d 和 e 是用散列函数的中间值 来初始化的。对于第一个输入块，则使用初始值 A 、 B 、C 、 D 和 E 。512 位的输入块被 分成了 16 个 32 位的字 mt ，并且使用下面的算法，将它们扩展成 80 个 32 位的字 wt ： wt = mt t = 0,  ,15 ， wt = (wt−3  wt−8  wt−14  wt−16 ) 1 t =16,  ,79 ， 其中，符号 s 表示循环左移 s 位。现在压缩函数执行下面的循环，其中加法使用模 32 2 运 算： for t=0 to 79 do begin temp=(a<<<5) + ft(b,c,d) +e+wt+kt; e=d; c=b<<<30; b=a; a=temp; end; 最后，变量 a、b 、 c 、 d 和 e 的值被加入到前面的中间散列值中。在处理下一个输入 块的时候，这个结果用作初始的散列值。 12.2.2 数字签名 在图 12.1 中，消息认证码帮助参与者 A 和 B 检测在通信信道中由入侵者插入的欺骗消 息。然而，消息认证码并不生成任何证据，供第三方用来判断 A 或者 B 是否发送了特定的 消息。因此，在图 12.2 的电子商务中，顾客需要确保商家不能伪造订单，且商家需要确保 顾客必须认可他们所下的订单，在这样的情况下，消息认证码几乎是没有什么用处的，因而 数字签名就很有必要了。 数字签名方案由签名算法和验证算法组成。一份文档的数字签名是一个值，它依赖于文 档内容和仅由签名者知道的某个秘密，即私有签名密钥；私有签名密钥把文档与一个实体联 系在一起，即公开的验证密钥。验证算法通常使用文档和公开验证密钥作为输入，但是在一 些异常的情况下，文档或者文档的一部分可以从签名中恢复出来，且对于签名验证不一定要 提供文档。下述的可验证特性表示了数字签名方案的特征： 规则 第三方可以在不知道签名者的私有密钥的情况下，解决关于数字签名有效性的纠纷。 数字签名支持不可否认性。公开密钥密码（见 12.2.3 节）是数字签名方案的自然来源。 在这种方案中，私有密钥和公开验证密钥之间的联系，是为了确保从验证密钥中推导出签名 密钥在计算上是不可行的。不管在数学基础上的相似性，你应该推断出数字签名和公开密钥 加密算法之间清楚的区别。这两种方案从根本上满足了不同的技术目的。加密保护了消息的 机密性，因此必须是可逆的。数字签名提供了数据来源的认证和不可否认性。数字签名算法 不必是可逆的，事实上，可逆性会引起一些附加的安全担心。 一次性签名