1、特殊性质的签名体制n普通的数字签名具有广义可验证性,即任何人都可验证某个签名是否是对某个消息的签名。然而在某些情形下,特别是为了保护签名者或接收者的隐私时,并不希望让所有人都能验证签名-消息对。这就是数字签名体制中广义可验证性和隐私性之间的矛盾。n一些特殊的性质使得数字签名在不同的情形下有更多的应用。具有隐私保护特性的数字签名n1)验证者受限的签名方案:指定验证者签名、指定群验证者签名、(t,n)门限验证者签名;n2)签名者受限的签名方案:签名次数受限的签名、门限签名、聚合签名、多签名、代理签名、签名者匿名的签名(环签名和群签名);n3)签名消息受限的签名方案:公开的消息、盲化的消息、部分公开
2、的消息、验证时完全公开的消息、验证时部分公开的消息、验证时完全不公开的消息(零知识的方式验证)等等。可控制验证的签名n不可否认签名n指定确认者签名n指定验证者签名 n广义指定验证者签名 n广义指定验证者签名证明n限制验证者签名 n变色龙签名匿名性的签名n盲签名n完全盲签名、n部分盲签名、n限制性盲签名、n限制性部分盲签名、n公平盲签名n群签名 n群盲签名n环签名 其它性质的签名n消息恢复签名n防失败签名n基于群体的签名:门限签名、多签名n传递签名n短签名n在线-脱线签名n聚合签名n可验证加密的签名n代理签名n前向(后向)安全的签名Please refer to http:/icsd.i2r.a
3、-star.edu.sg/staff/guilin/bible.htm主要应用n身份认证n不可否认性n隐私性n电子商务协议(电子拍卖、公平交换、电子支付、电子投票)nn基本的签名方案基本的签名方案:nRSA签名nRabin签名nElGamal签名nDSA签名n基于纠错码的签名方案n基于二难问题的签名方案n基于椭圆曲线签名方案 n多用户签名方案多用户签名方案:n多重签名n门限签名n具有消息恢复功能的具有消息恢复功能的方案方案:n具有消息恢复功能的数字签名 n认证加密方案 n具有消息泄露的认证加密方案n基于(t,n)共享验证的认证加密方案n具有辅助验证功能的方案具有辅助验证功能的方案:n不可否认签
4、名 n验证签名 n可转换不可否认签名 n群不可否认签名 n电子现金和电子选举方案电子现金和电子选举方案:n盲签名 n门限盲签名 n部分盲签名 n部分门限盲签名 n公平盲签名 n其他签名:其他签名:n代理签名:n具有代理保护功能的代理签名 n门限代理签名 n群签名 n其它性质:其它性质:n批验证n信息流n容错不可否认签名不可否认签名 任何人都可以验证普通签名。适用于公开声明、宣传广告.有时候需要在签名者参加的情况下才能进行签名验证。满足这个要求的签名叫“不可否认签名”(Undeniable Signature)。例:1)实体A希望访问实体B控制的“安全区域”。实体B在授予实体A访问权之前,要求A
5、对“访问时间、日期”进行签名。实体A不希望别人了解这个事实,即实体B没有A的参与不能通过出示A的签名及验证证明“实体A访问该区域”这一事实。2)某公司A开发的一个软件包。A将软件包和他对软件包的签名卖给用户B,B当场验证其签名,以便确认软件包的真实性。用户B决定把该软件包的拷贝卖给第三者。由于没有公司A参与,第三者不能验证软件包的真实性。下面我们介绍1989年Chaum-van Antwerpen提出的不可否认签名方案:密钥生成密钥生成 选择随机素数 ,q 也是素数。在 中找 q 阶元 ,显然 是模 p的二次剩余。12 qp*pZ)1(由生成的群G是 的子群,它由 中全体模p 二次剩余组成。选
6、择秘密指数 ,计算 公布 ,秘密保存私钥 。签名算法签名算法 是对消息 m 的签名.验证协议验证协议 验证者 签名者 随机选取 计算 验证 成立接受,否则拒绝。*pZ*pZ11qaa),(yppyamod pmsamodpysceemod21pcdqamodmod1pdmeemod 21*21,qZeecd 签名者A想否认一个“由签名算法构造出来的”合法签名,其方式有:1)拒绝参与验证协议;2)错误地执行验证协议;3)即使验证协议成功,也断言签名是伪造的。对于前者很明显,而后两种情况难以防范,需要否认协议。通过否认协议确定是否签名者A试图否认一个由签名算法得出的签名,还是签名是伪造的。否认协议
7、由两遍验证协议组成。否认协议否认协议(Disavowal Protocol)验证者 签名者 任取 计算 计算 若 则接受是对的签名。停止协议 否则,取 计算 计算 pyszxxmod211,2,1,21qxxzpzwamod1pmwxxmod 21w1,2,1,21qxxpyszxxmod21 zpzwamod1pmwxxmod 21若 则接受s是对m的签名。停止协议 否则计算 进行一致性检验,若 ,则s是对m的伪造签名,若 ,则s是对m合法签名,签名者试图否认。wpwCxxmod 12pwCxxmod 12CCCC 分析(1)如果验证者和签名者都遵守协议(正确执行协议)必有 说明s是m的伪造签名,即 (2)如果 ,则“验证者把 看作对m的合法签名”的概率(3)如果s是对m的合法签名,由于签名者采取不合作的态度,致使 且 不成立,否认协议中最后 的概率为 pmsamodpmsamodCCq1pmwxxmod 21pmwxxmod 21CC)1(1qs