翻译:中国科学技术大学信息安全专业老师 你不需要为构造一个签名方案而钻研数学。为了获得一次性签名,你仅仅需要一个密码 散列函数h就可以了1。为了对一份n位的文档签名,随机选择2n个值的x0和x,1作为你 的私有密钥,且公布y0=h(x10)和y21=(x1),1≤i≤n,作为你的公开密钥。对文档m 的签名s的第i部分则由下式给出 Rio mi S 很明显,你不能再次使用你的私有密钥,因此,这就是一次性签名的由来。验证者拥有 你的公开密钥,并进行检查: h( 0 y1=h(s)m2=1 你将发现,验证者需要附加的证据来进一步证实数值y0和y1确实是你的公开密钥 我们将在124节回到这个主题。 此外,除了依赖数学问题的难解性或者依赖其他的一些密码原函数的强度,你还可以依 赖抗损害硬件设备的难度。这个设备包括一个秘密的签字密钥和/或者秘密的验证密钥。这 个设备是这样构造的,以至它不能使用签名密钥来验证或者用验证密钥来签名。为了签名 份文档,设备使用它的签名密钥构造MAC,然后把它附加到文档上。为了验证这个签名 验证者的设备必须拥有签字者的签名密钥作为验证密钥,用这个密钥来生成MAC,把它同 接收到的签名进行比较 E|Gama|签名和DSA 在文献[45]中的 EI Gamal签名方案用实例说明了签名不是用私有密钥加密。令p是一 个大的和适当选择的素数。令g是以p为模的阶为p-1的整数。令a是用户A的私有签名 密钥,且y=g“modp是对应的公开验证密钥 假设要签的文档是一个整数m,0≤m<p。另外,你也可以应用一个合适的散列函数, 然后对文档的摘要进行签名。为了对m进行签名,用户选择了一个随机数k,0≤k<p 以使得gcd(k,p-1)=1,计算r=gmop,并且解方程: ar+k·s≡ mmod(p-1) 求解未知的S。整数对(r,s)构成A对m的签名。验证者需要A的验证密钥y,并检查 P 对于一个正确的签名,等式: =gar+kr g mod p 第8页共19页 创建时间:2003/7/91446:00翻译：中国科学技术大学信息安全专业老师 第 8 页 共 19 页 创建时间：2003/7/19 14:46:00 你不需要为构造一个签名方案而钻研数学。为了获得一次性签名，你仅仅需要一个密码 散列函数 h 就可以了[81]。为了对一份 n 位的文档签名，随机选择 2n 个值的 i,0 x 和 i,1 x 作为你 的私有密钥，且公布 ( ) i,0 i,0 y = h x 和 ( ) i,1 i,1 y = h x ，1 i  n ，作为你的公开密钥。对文档 m 的签名 s 的第 i 部分则由下式给出：    = = = 1 0 ,1 ,0 i i i i i x m x m s 很明显，你不能再次使用你的私有密钥，因此，这就是一次性签名的由来。验证者拥有 你的公开密钥，并进行检查： ( ) 1. ( ) 0, ,1 ,0 = = = = i i i i i i y h s m y h s m 你将发现，验证者需要附加的证据来进一步证实数值 i,0 y 和 i,1 y 确实是你的公开密钥。 我们将在 12.4 节回到这个主题。 此外，除了依赖数学问题的难解性或者依赖其他的一些密码原函数的强度，你还可以依 赖抗损害硬件设备的难度。这个设备包括一个秘密的签字密钥和/或者秘密的验证密钥。这 个设备是这样构造的，以至它不能使用签名密钥来验证或者用验证密钥来签名。为了签名一 份文档，设备使用它的签名密钥构造 MAC，然后把它附加到文档上。为了验证这个签名， 验证者的设备必须拥有签字者的签名密钥作为验证密钥，用这个密钥来生成 MAC，把它同 接收到的签名进行比较。 EIGamal 签名和 DSA 在文献[45]中的 EI Gamal 签名方案用实例说明了签名不是用私有密钥加密。令 p 是一 个大的和适当选择的素数。令 g 是以 p 为模的阶为 p −1 的整数。令 a 是用户 A 的私有签名 密钥，且 y g p a a = mod 是对应的公开验证密钥。 假设要签的文档是一个整数 m ，0  m  p 。另外，你也可以应用一个合适的散列函数， 然后对文档的摘要进行签名。为了对 m 进行签名，用户选择了一个随机数 k ，0  k  p ， 以使得 gcd(k, p −1) =1 ，计算 r g p k = mod ，并且解方程： a r + k s  mmod( p −1) 求解未知的 s 。整数对 (r,s) 构成 A 对 m 的签名。验证者需要 A 的验证密钥 a y ，并检查： y r g p r s m a mod ?  = 对于一个正确的签名，等式： y r g g p r s ar ks m a  = = mod +