(精选)信息安全导论（王继林 西电版）第10章 数字签名与消息认证课件.pptVIP

第10章 数字签名与消息认证 第10章 数字签名与消息认证 10.1 数字签名 10.2 Hash函数 10.3 消息认证 思考题 实验10 PGP软件的安装与使用 10.1 数 字 签 名 10.1.1 数字签名的概念 　　在RSA公钥密码体制中，假如Alice用自己的私钥d来计算S≡md(mod n)，然后把S连同消息m一起发送给Bob，而Bob用Alice的公钥(n, e)来计算m≡ce(mod n)，那么则有m=m。大家想一下，这是否意味着Bob相信所收到的s一定是来自Alice？上述过程中的S是否相当于Alice对消息m的签名？ 　　上述过程可用图10-1来概括。 图10-1 数字签名过程示意图 　　数字签名是利用密码运算实现“手写签名”效果的一种技术，它通过某种数学变换来实现对数字内容的签名和盖章。在ISO7498-2标准中，数字签名的定义为“附加在数据单元上的一些数据，或是对数据单元所做的密码变换，这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性，并保护数据，防止被人伪造”。 　　一个数字签名方案一般由签名算法和验证算法两部分组成。要实现“手写签名”的效果，数字签名应具有不可伪造、不可抵赖和可验证的特点。 1.? ElGamal签名方案 假设p是一个大素数，g是GF(p)的生成元。Alice的公钥为y = gx mod p, g，p私钥为x。 签名算法： 　　Alice首先选一个与p-1互素的随机数k 　　Alice计算a = gk mod p 　　Alice对b解方程M = x*a + k*b (mod p-1). 　　Alice对消息M的签名为(a，b) 验证算法： 　　检查yaab mod p = gM mod p是否成立 例如： 　　p = 11, g = 2，Bob 选 x = 8为私钥 　　y = 28 mod 11 = 3 　　公钥: y = 3, g = 2, p = 11 　　Bob要对M = 5进行签名 　　选k = 9 (gcd(9, 10) = 1) 　　a = 29 mod 11 = 6，b=3 　　读者可检查yaab mod p = gM mod p是否成立。 　　上述方案的安全性是基于如下离散对数困难性问题的：已知大素数p、GF(p)的生成元g和非零元素y ? GF(p)，求解唯一的整数k, 0≤k≤p – 2，使得y ? gk(mod p)，k称为y对g的离散对数。 　　目前对离散对数最有效的攻击方法是指数演算攻击，其计算量为 　　在1996年的欧洲密码学会(Proceedings of EUROCRYPT 96)上，David Pointcheval和Jacques Stern给出一个ElGamal签名的变体，并基于所谓分叉技术证明了在随机预言模型下所给方案是安全的(在自适应选择消息攻击下能抗击存在性伪造)。 　　2．Schnorr签名方案 　　Schnorr签名方案是一个短签名方案，它是ElGamal签名方案的变形，其安全性是基于离散对数困难性和hash函数的单向性的。 　　假设p和 q是大素数，是q能被p-1整除，q是大于等于160 bit的整数，p是大于等于512 bit的整数，保证GF(p)中求解离散对数困难；g是GF(p)中元素，且gq?1 mod p；Alice公钥为y ? gx (mod p)，私钥为x，1xq。 　　签名算法： 　　　　Alice首先选一个与p-1互素的随机数k 　　　　Alice计算r = h(M, gk mod P) 　　　　Alice计算s = k + x*r( mod q) 　　验证算法： 　　　　计算gk mod P=gsyr mod P. 　　　　验证r = h(M, gk mod P) 　　Schnorr签名较短，由?|q|?及?|H(M)|?决定。在Schnorr签名中，r=gk mod p可以预先计算，k与M无关，因而签名只需一次mod q乘法及减法。所需计算量少，速度快，适用于智能卡。 10.1.3 特殊签名算法 　　目前国内外研究重点已经从普通签名转向具有特定功能、能满足特定要求的数字签名。如适用于电子现金和电子钱包的盲签名、适用于多人共同签署文件的多重签名、限制验证人身份的条件签名、保证公平性的同时签名以及门限签名、代理签名、防失败签名等。盲签名是指签名人不知道签名内容的一种签名，可用于电子现金系统，实现不可追踪性。如下是D. Chaum 于1983年提出的一个盲签名方案： 　　假设在RSA密码系统中，Bob的公钥为e，私钥为d，公共模为N。Alice想让Bob对消息M盲签名 　　(1) ?Alice 在1和N之间选择随机数k通过下述办法对M盲化：t