第十讲数字签名

《第十讲数字签名》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、第十讲数字签名这一讲考虑设计用于模拟手写签名的数字签名技术。一条消息的数字签名是一个依赖于仅签名者知晓的秘密而产生的数字，并需附加被签名的消息。数字签名必须可以被验证：如果任何一方对文件的签名的真实性产生争议(导致的原因可能是不诚实的签名者想否认自己产生的签名，或者是认证者提出欺诈的权利要求)，一个公正的第三方就可以公平的解决这一问题，而不需要获得签名者的秘密(秘密密钥)。数字签名有很多应用，包括：认证，数据真实性，和不可否认。数字签名的一个非常重要应用是在大规模网络上的公钥数字证书。数字证书是可信第三方将用户身份与其的公开密钥绑定的方法，在此之后，其它实体认证公开密钥的时候都不需要可信第三方

2、的协助。数字签名的概念和用途在实用数字签名技术产生之前就为人们所认识。第一个数字签名方法是RSA数字签名方案，它至今仍然是最为实用数字签名技术。后续的研究也给出非常丰富的各种数字签名方法。这些技术常常在功能性和执行性方面提供了相当大的改进。本讲提要RSA签名方案ElGamal族签名方案生日攻击1RSA数字签名方案1.1算法描述1.1算法描述(续)1.1算法描述(续)1.2例子1.3RSA签名的可能攻击1.3.1整数分解1.3.2RSA的乘法特性1.3.2RSA的乘法特性(续)1.3.2RSA的乘法特性(续)1.4RSA签名的执行1.4.1分块问题1.4.1分块问题(续)1.4.1分块问题(续)

3、1.4.1分块问题(续)1.4.1分块问题(续)1.4.1分块问题(续)1.4.2短消息与长消息由于签名和消息的规模相当，这在消息长的情况下非常不利。为了解决这一问题，通常采用hash函数。签名方案只作用于消息的hash函数值，而不是消息的本身。在这种情况下，使用冗余函数R保障签名方案安全就不再需要。1.4.2短消息与长消息(续)1.4.3签名产生和认证的执行特征1.4.4参数选择当需要的签名有长的生命周期或关系到整个网络安全时，模的长度应该至少为1024比特。慎重的态度是关注分解整数的进展，以便随时调整相应参数的选择。目前，没有RSA签名方案选择小公开指数e，如3或216+1存在安全漏洞的报

4、道。但不推荐通过限制秘密指数d来达到改善签名操作效率的方法。1.4.5关于系统参数每个实体必须使用不同的RSA模进行签名；在整个系统中使用一个模的方法不安全。但是，在很多应用中，整个系统可以选择相同的公开指数e。2ElGamal族签名方案有一大类签名方案是在modp算术结构上建立的，这里p是大素数，但是所有这些机制都可以推广到有限乘法群。这里讨论的所有方法都是随机数字签名方案。所有方案安全的基本要求是modp上的离散对数问题不可计算。但是，这一条件并不是保证这些方案安全的充分条件。2.1数字签名算法1991年8月，美国国家标准与技术研究所(NIST)提出了数字签名算法(DSA)。DSA成为美国

5、联邦信息处理标准(FIPS186)称为数字签名标准(DSS)，这是第一个为政府所认可的数字签名方案。DSA是ElGamal数字签名方案的一种形式。2.1.1算法描述2.1.1算法描述(续)2.1.1算法描述(续)2.1.2例子2.1.3DSA的安全与执行问题2.1.3DSA的安全与执行问题(续)2.1.3DSA的安全与执行问题(续)2.2ElGamal签名算法2.2.1算法描述2.2.1算法描述(续)2.2.1算法描述(续)2.2.2例子2.2.3ElGamal签名安全2.2.3ElGamal签名安全(续)2.2.3ElGamal签名安全(续)2.2.3ElGamal签名安全(续)2.2.4E

6、lGamal签名的效能问题2.2.4ElGamal签名的效能问题(续)2.2.5ElGamal方案的变化形式2.3Schnorr签名方案2.3.1算法描述2.3.1算法描述(续)2.3.2例子2.3.3效能问题2.4消息恢复与消息添加3生日攻击3.1生日问题3.1生日问题(续)3.2签名方案的生日攻击3.3离散对数的生日攻击3.4两次加密的中间人攻击3.4两次加密的中间人攻击(续)谢谢!