密码编码学与网络安全（第五版）课件：10-数字签名.ppt

1、Chapter 13 数字签名数字签名2022-1-20华中农业大学信息学院2n 数字签名数字签名n RSA数字签名数字签名n ElGamal数字签名数字签名n Schnorr数字签名数字签名n 数字签名标准数字签名标准2022-1-20华中农业大学信息学院313.1 数字签名数字签名n消息认证可以保护信息交换不受第三方的攻消息认证可以保护信息交换不受第三方的攻击，但不能处理通信双方自身发生的攻击。击，但不能处理通信双方自身发生的攻击。n数字签名提供了这种能力数字签名提供了这种能力: q验证签名者、签名的日期和时间验证签名者、签名的日期和时间q认证消息内容认证消息内容q可由第三方仲裁，以解决争

2、执可由第三方仲裁，以解决争执n因此，因此，数字签名具有认证功能数字签名具有认证功能2022-1-20华中农业大学信息学院4数字签名应满足的条件数字签名应满足的条件n签名值必须依赖于所签的消息签名值必须依赖于所签的消息n必须使用对于发送者唯一的信息必须使用对于发送者唯一的信息q以防止伪造和否认以防止伪造和否认n产生签名比较容易产生签名比较容易n识别和验证签名比较容易识别和验证签名比较容易n伪造数字签名在计算上是不可行的。包括伪造数字签名在计算上是不可行的。包括q已知数字签名，伪造新的消息已知数字签名，伪造新的消息q已知消息，伪造数字签名已知消息，伪造数字签名n保存数字签名的拷贝是可行的保存数字签

3、名的拷贝是可行的2022-1-20华中农业大学信息学院5直接数字签名直接数字签名n只涉及收发双方只涉及收发双方n假定接收方已知发送方的公钥假定接收方已知发送方的公钥n发送方可以用自己的私钥对整个消息内容或消息发送方可以用自己的私钥对整个消息内容或消息内容的内容的hash值进行加密，完成数字签名。值进行加密，完成数字签名。n可以用接收者的公钥来加密以提供保密性可以用接收者的公钥来加密以提供保密性n先签名后加密，很重要。先签名后加密，很重要。n缺点：安全性依赖于发送方私钥的安全性缺点：安全性依赖于发送方私钥的安全性2022-1-20华中农业大学信息学院6仲裁数字签名仲裁数字签名n仲裁者仲裁者Aq验

4、证任何签名的消息验证任何签名的消息q给消息加上日期并发送给接收者给消息加上日期并发送给接收者n需要对仲裁者有合适的信任级别需要对仲裁者有合适的信任级别n即可在私钥体制中实现，又可在公钥体制中实现即可在私钥体制中实现，又可在公钥体制中实现n仲裁者可以或者不可以阅读消息仲裁者可以或者不可以阅读消息13.2 RSA签名体系签名体系nRSA签名体系的消息空间和密文空间都是Zn=0,1,2,n1，这里n=pq。此签名体系是一种确定的数字签名体系。1. RSA签名体系的密钥产生 每个实体A进行以下操作：（1） 随机选择两个大素数p和q；（2）计算n=pq和 (n)=(p1)(q1)；（3）随即选择e，满足

5、1e(n)，gcd(e, (n)=1；（4）用欧几里得算法计算d，满足1d(n)，ed =1 mod (n)。设A的公钥为(n，e)，私钥为(n，d)。2. 签名算法n（1）计算s=md mod n；n（2）发送(m，s)。3. 验证算法n（1）计算m=se mod n；n（2）验证m是否等于m，若不等于，则拒绝；4. 安全性分析n如果攻击者能够进行模n的大整数分解，则它可计算 (n)，从而利用欧几里得算法得到签名者的私钥。所以签名者必须小心地选择p和q。13.3 ElGamal签名方案签名方案nElGamal签名是一种随机附属签名机制，它可以对任意长度的二进制消息格式进行签名。数字签名算法(

6、DSA)是它的一种变种。举例：举例： P287安全性分析安全性分析2022-1-20华中农业大学信息学院14*46712721311467,2127mod2mod467132, , ,100213,( ,1)(213,466)1mod2mod46729()mod1(10012729)213 mod46651(51,29)100 xkpxyppyxmkk prpsmxr kpB 例：用户A选择素数是的生成元，选择计算公开， 保密对消息签名选择是消息的签名用户 用验证Z Z295111002100(51,29)mod132 29 mod467189mod2mod467189(51,29)100rs

7、mAVy rpVp算法验证用户 对消息的签名所以是消息的签名2022-1-20华中农业大学信息学院1513.4 Schnorr数字签名数字签名nElGamal签名方案的另一个变种是Schnorr签名。n和DSA一样，Schnorr签名也使用了 上阶为q的循环子群。n二者的密钥产生过程也极其相似，但Schnorr签名对p和q的大小没有限制。2022-1-20华中农业大学信息学院1813.5 数字签名标准数字签名标准Digital Signature Standard (DSS)n美国政府的签名方案美国政府的签名方案n由由NIST 和和NSA，在，在20世纪世纪90年代设计年代设计n1991年，作

8、为年，作为FIPS-186发布发布n1993, 1996 ，2000进行了修改进行了修改n采用采用SHA hash算法算法 nDSS 是标准是标准 DSA 算法。算法。nFIPS 186-2 (2000) 包括可选的包括可选的 RSA 和椭圆曲线签名和椭圆曲线签名算法算法2022-1-20华中农业大学信息学院19Digital Signature Algorithm (DSA)n产生产生320 bit的签名值的签名值n可以提供可以提供512-1024 bit 的安全性的安全性n比比RSA小且快小且快n仅是一个数字签名方案（不能用于加密）仅是一个数字签名方案（不能用于加密）n安全性依赖于计算里算

9、对数的困难性安全性依赖于计算里算对数的困难性n是是ElGamal 和和Schnorr 方案的变体方案的变体2022-1-20华中农业大学信息学院20Digital Signature Algorithm (DSA)2022-1-20华中农业大学信息学院21DSA 密钥的生成密钥的生成n全局公钥全局公钥 (p, q, g): q选择选择q, 位长为位长为160 bit q选择一个大的素数选择一个大的素数 p = 2L n其中其中 L= 512 to 1024 bits 且且L 是是64的倍数的倍数nq 是是 (p-1)的素因子的素因子q选择选择 g = h(p-1)/q mod pn其中其中 h

10、 1 n用户选择私钥并计算对应的公钥用户选择私钥并计算对应的公钥: q随机选择私钥随机选择私钥 0 xq q计算公钥计算公钥 y = gx (mod p) 2022-1-20华中农业大学信息学院22DSA 签名的生成签名的生成n为了对消息为了对消息M进行签名，发送者进行签名，发送者:q产生一个随机签名密钥产生一个随机签名密钥k, kq q注意注意 k 必须是一个随机数，用后就扔掉，不再使用。必须是一个随机数，用后就扔掉，不再使用。n计算签名对计算签名对: r = ( gk ( mod p ) ) (mod q) s = ( k-1.H( M ) + x.r) (mod q) n和消息和消息M一

11、同发送签名值一同发送签名值( r, s )2022-1-20华中农业大学信息学院23DSA 数字签名的验证数字签名的验证n已经收到消息已经收到消息M 和签名值和签名值 (r,s) n为了验证签名为了验证签名, 接收者计算接收者计算: w = s-1(mod q) u1= (H(M).w)(mod q) u2= (r.w)(mod q) v = (gu1.yu2(mod p) (mod q) n如果如果 v = r 则签名正确则签名正确n证明（略）证明（略）2022-1-20华中农业大学信息学院242022-1-20华中农业大学信息学院252022-1-20华中农业大学信息学院26小小 结结q数字签名数字签名nRSA数字签名数字签名nElgamal数字签名数字签名nSchnorr数字签名数字签名qDSA及其及其DSS2022-1-20华中农业大学信息学院27第第13章作业章作业n习题：第习题：第13.7