《安全协议》课件7.1不可否认签名.ppt

1、特殊性质的签名体制n普通的数字签名具有广义可验证性，即任何人都可验证某个签名是否是对某个消息的签名。然而在某些情形下，特别是为了保护签名者或接收者的隐私时，并不希望让所有人都能验证签名-消息对。这就是数字签名体制中广义可验证性和隐私性之间的矛盾。n一些特殊的性质使得数字签名在不同的情形下有更多的应用。具有隐私保护特性的数字签名n1）验证者受限的签名方案：指定验证者签名、指定群验证者签名、（t,n）门限验证者签名；n2）签名者受限的签名方案：签名次数受限的签名、门限签名、聚合签名、多签名、代理签名、签名者匿名的签名（环签名和群签名）；n3）签名消息受限的签名方案：公开的消息、盲化的消息、部分公开

2、的消息、验证时完全公开的消息、验证时部分公开的消息、验证时完全不公开的消息（零知识的方式验证）等等。可控制验证的签名n不可否认签名n指定确认者签名n指定验证者签名 n广义指定验证者签名 n广义指定验证者签名证明n限制验证者签名 n变色龙签名匿名性的签名n盲签名n完全盲签名、n部分盲签名、n限制性盲签名、n限制性部分盲签名、n公平盲签名n群签名 n群盲签名n环签名 其它性质的签名n消息恢复签名n防失败签名n基于群体的签名：门限签名、多签名n传递签名n短签名n在线-脱线签名n聚合签名n可验证加密的签名n代理签名n前向（后向）安全的签名Please refer to http:/icsd.i2r.a

3、-star.edu.sg/staff/guilin/bible.htm主要应用n身份认证n不可否认性n隐私性n电子商务协议（电子拍卖、公平交换、电子支付、电子投票）nn基本的签名方案基本的签名方案:nRSA签名nRabin签名nElGamal签名nDSA签名n基于纠错码的签名方案n基于二难问题的签名方案n基于椭圆曲线签名方案 n多用户签名方案多用户签名方案：n多重签名n门限签名n具有消息恢复功能的具有消息恢复功能的方案方案：n具有消息恢复功能的数字签名 n认证加密方案 n具有消息泄露的认证加密方案n基于(t,n)共享验证的认证加密方案n具有辅助验证功能的方案具有辅助验证功能的方案:n不可否认签

4、名 n验证签名 n可转换不可否认签名 n群不可否认签名 n电子现金和电子选举方案电子现金和电子选举方案:n盲签名 n门限盲签名 n部分盲签名 n部分门限盲签名 n公平盲签名 n其他签名：其他签名：n代理签名:n具有代理保护功能的代理签名 n门限代理签名 n群签名 n其它性质：其它性质：n批验证n信息流n容错不可否认签名不可否认签名 任何人都可以验证普通签名。适用于公开声明、宣传广告.有时候需要在签名者参加的情况下才能进行签名验证。满足这个要求的签名叫“不可否认签名”(Undeniable Signature)。例：1）实体A希望访问实体B控制的“安全区域”。实体B在授予实体A访问权之前，要求A

5、对“访问时间、日期”进行签名。实体A不希望别人了解这个事实，即实体B没有A的参与不能通过出示A的签名及验证证明“实体A访问该区域”这一事实。2）某公司A开发的一个软件包。A将软件包和他对软件包的签名卖给用户B，B当场验证其签名，以便确认软件包的真实性。用户B决定把该软件包的拷贝卖给第三者。由于没有公司A参与，第三者不能验证软件包的真实性。下面我们介绍1989年Chaum-van Antwerpen提出的不可否认签名方案:密钥生成密钥生成 选择随机素数 ，q 也是素数。在 中找 q 阶元 ，显然 是模 p的二次剩余。12 qp*pZ)1(由生成的群G是 的子群，它由 中全体模p 二次剩余组成。选

6、择秘密指数 ，计算 公布 ，秘密保存私钥 。签名算法签名算法 是对消息 m 的签名.验证协议验证协议 验证者 签名者 随机选取 计算 验证 成立接受，否则拒绝。*pZ*pZ11qaa),(yppyamod pmsamodpysceemod21pcdqamodmod1pdmeemod 21*21,qZeecd 签名者A想否认一个“由签名算法构造出来的”合法签名，其方式有：1）拒绝参与验证协议；2）错误地执行验证协议；3）即使验证协议成功，也断言签名是伪造的。对于前者很明显，而后两种情况难以防范，需要否认协议。通过否认协议确定是否签名者A试图否认一个由签名算法得出的签名，还是签名是伪造的。否认协议

7、由两遍验证协议组成。否认协议否认协议（Disavowal Protocol）验证者 签名者 任取 计算 计算 若 则接受是对的签名。停止协议 否则，取 计算 计算 pyszxxmod211,2,1,21qxxzpzwamod1pmwxxmod 21w1,2,1,21qxxpyszxxmod21 zpzwamod1pmwxxmod 21若 则接受s是对m的签名。停止协议 否则计算 进行一致性检验，若 ，则s是对m的伪造签名，若 ，则s是对m合法签名，签名者试图否认。wpwCxxmod 12pwCxxmod 12CCCC 分析(1)如果验证者和签名者都遵守协议（正确执行协议）必有 说明s是m的伪造签名，即 (2)如果 ，则“验证者把 看作对m的合法签名”的概率(3)如果s是对m的合法签名，由于签名者采取不合作的态度，致使 且 不成立，否认协议中最后 的概率为 pmsamodpmsamodCCq1pmwxxmod 21pmwxxmod 21CC)1(1qs