《信息安全工程》课件第6章.ppt

1、第6章数字签名 第6章数字签名 6.1数字签名的相关概念数字签名的相关概念 6.2数字信封和数字签名数字信封和数字签名 6.3RSA签名算法签名算法 6.4ElGamal签名算法签名算法 6.5Schnorr签名算法签名算法 6.6Rabin签名算法签名算法 6.7DSS签名算法签名算法 6.8盲签名盲签名 6.9门限数字签名门限数字签名 6.10 门限签名门限签名-门限验证签名门限验证签名 6.11 动态门限签名动态门限签名 6.12 其他数字签名其他数字签名 第6章数字签名 6.1数字签名的相关概念数字签名的相关概念随着计算机通信网的发展,人们希望通过电子设备实现快速、远距离的交易,数字(

2、或电子)签名技术应运而生,并开始用于商业通信系统,如电子邮递、电子转账以及办公自动化等系统。类似于手书签名,数字签名也应满足以下要求:第6章数字签名(1)收方能够确认或证实发方的签名,但不能伪造,简记为R1条件。(2)发方发出签名的消息给收方后,就不能再否认他所签发的消息,简记为S条件。(3)收方对已收到的签名消息不能否认,即有收报认证,简记为R2条件。(4)第三方可以确认收发双方之间的消息传送,但不能伪造这一过程,简记为T条件。数字签名与手书签名的区别在于:手书签名是模拟的,且因人而异;数字签名是0和1的数字串,因消息而异。第6章数字签名 数字签名与消息认证的区别在于:消息认证使收方能验证消

3、息发送者及所发消息内容是否被篡改过。当收发双方之间没有利害冲突时,消息认证对于防止第三者的破坏来说已经足够安全了;当收者和发者之间有利害冲突时,单纯用消息认证技术无法解决他们之间的纠纷,此时必须借助满足上述要求的数字签名技术。为了实现签名目的,发方必须向收方提供足够的非保密信息,使其能验证消息的签名,但又不能泄露用于产生签名的机密信息,以防止他人伪造签名。因此,签名者和证实者可公用的信息不能太多。任何一种产生签名的算法或函数都应当满足这两个条件,而且从公开的信息很难推测出用于产生签名的机密信息。此外,任何一种数字签名的实现都依赖于设计仔细的通信协议。第6章数字签名 数字签名有两种:一种是对整体

4、消息的签名,它是消息经过密码变换的被签消息整体;另一种是对压缩消息的签名,它是附加在被签名消息之后或某一特定位置上的一段签名图样。若按明文和密文的对应关系划分,每一种签名又可分为两个子类:一类是确定性(Deterministic)数字签名,其明文与密文一一对应,它对特定消息签名后，签名结果不发生变化,如RSA、Rabin等;另一类是随机化的(Randomized)或概率式数字签名,它对同一消息的签名是随机变化的,取决于签名算法中随机参数的取值。一个明文可能有多个合法的数字签名,如ElGamal等。第6章数字签名 一个签名体制一般含有两个组成部分:签名算法(SignatureAlgorithm)

5、和验证算法(VerificationAlgorithm)。对WTBXM的签名简记为Sig(M)=S,而对S的验证简记为Ver(S)=真,伪=0,1。签名算法和签名密钥是秘密的,只有签名人掌握;验证算法应当公开,以便于他人进行验证。一个签名体制可由量(M,S,K,V)来表示。其中,M是明文空间;S是签名的集合;K是密钥空间;V是验证函数的值域,由真、伪组成。第6章数字签名 设mM为任一消息,对于每一kK,有一签名算法,易于计算:()kSSigMS(6.1.1)验证算法:(,)kVer S M 真，伪(6.1.2)对每一mM,有签名Sigk(m)S(为MS的映射)。从m、s可以验证s是否为m的签名

6、,即 VerM SSSig MSSig Mk(,)()()真，当伪，当(6.1.3)签名体制的安全性在于:从明文m和其签名s难以推出k或伪造一个m,使m和s可被验证为真。第6章数字签名 6.2数字信封和数字签名数字信封和数字签名 6.2.1数字签名原理数字签名原理文件上的手写签名长期以来被用作作者身份的证明或表明签名者同意文件的内容。实际上,签名体现了以下几个方面的保证:(1)签名是可信的。签名使文件的接收者相信签名者是慎重地在文件上签名的。(2)签名是不可伪造的。签名证明是签名者而不是其他人在文件上签名。(3)签名不可重用。签名是文件的一部分,不可能将签名移动到不同的文件上。第6章数字签名(

7、4)签名后的文件是不可变的。在文件签名以后,文件就不能改变了，否则签名失效。(5)签名是不可抵赖的。签名和文件是不可分离的,签名者事后不能声称他没有签过这个文件。在计算机上进行数字签名,并使这些保证能够继续有效,还存在一些问题。首先,计算机文件易于复制,即使某人的签名难以伪造,但是将有效的签名从一个文件剪切和粘贴到另一个文件上是很容易的。这就使这种签名失去了意义。其次,文件在签名后也易于修改,并且不会留下任何修改的痕迹。第6章数字签名 有几种公开密钥算法都能用作数字签名,这些公开密钥算法的特点是不仅用公开密钥加密的消息可以用私钥解密,而且反过来用私钥加密的消息也可以用公开密钥解密。其基本协议如

8、下:(1)Alice用她的私钥对文件加密,从而对文件签名。(2)Alice将签名后的文件传给Bob。(3)Bob用Alice的公钥解密文件,从而验证签名。第6章数字签名 在下面的协议中,单向散列函数和数字签名算法是事先协商好的。(1)Alice产生文件的单向散列值。(2)Alice用她的私钥对散列值加密,以此表示对文件的签名。(3)Alice将文件和散列签名发送给Bob。(4)Bob用Alice发送的文件产生文件的单向散列值,同时用Alice的公钥对签名的散列值解密。如果签名的散列值与自己产生的散列值匹配,则签名是有效的。第6章数字签名 图6.2.1数字签名协议原理 第6章数字签名 6.2.2

9、数字签名应用实例数字签名应用实例现在Alice向Bob传送数字信息,为了保证信息传送的保密性、真实性、完整性和不可否认性,需要对要传送的信息进行数字加密和数字签名。Alice向Bob传送数字信息的过程如下:(1)Alice准备好要传送的数字信息(明文)。(2)Alice对数字信息进行哈希(Hash)运算,得到一个信息摘要。(3)Alice用自己的私钥(SK)对信息摘要进行加密得到Alice的数字签名,并将其附在数字信息上。(4)Alice随机产生一个加密密钥(DES密钥),并用此密钥对要发送的信息进行加密,形成密文。第6章数字签名(5)Alice用Bob的公钥(PK)对刚才随机产生的加密密钥进

10、行加密,将加密后的DES密钥连同密文一起传送给Bob。(6)Bob收到Alice传送过来的密文和加密过的DES密钥,先用自己的私钥(SK)对加密的DES密钥进行解密,得到DES密钥。(7)Bob用DES密钥对收到的密文进行解密,得到明文的数字信息,然后将DES密钥抛弃(即DES密钥作废)。(8)Bob用Alice的公钥(PK)对Alice的数字签名进行解密,得到信息摘要。(9)Bob用相同的Hash算法对收到的明文再进行一次Hash运算,得到一个新的信息摘要。(10)Bob将收到的信息摘要和新产生的信息摘要进行比较,如果一致,则说明收到的信息没有被修改过。第6章数字签名 6.3RSA签名算法签

11、名算法 6.3.1算法描述算法描述1.体制参数体制参数令n=p1p2,p1和p2是大素数,M=S=Zn随机选一整数e,1e(n),(n),e)=1,其中(n)=(p1-1)(p2-1)。然后,计算出d使ed1mod(n),公开n和e,将p1、p2和d保密,K=(n,p,q,e,d)。第6章数字签名 2.签名过程签名过程对消息mZn,定义:()moddkSSigMMn(6.3.1)为对m的签名。3.验证过程验证过程对给定的m、s,可按下式验证:(,)modekVer M SMSn真(6.3.2)第6章数字签名 图6.3.1RSA签名体制的基本框图 第6章数字签名 6.3.2安全性安全性在RSA算

12、法中,由于只有签名者知道d,因此其他人不能伪造签名,但可以很容易地证实所给的任意m、s对是否符合消息m和相应签名构成的合法对。如第5章中所述,RSA体制的安全性依赖于n=p1p2分解的困难性。ISO/IEC9796和ANSIX9.30199X在1997年已将RSA作为建议的数字签名标准算法,这说明RSA签名具有足够的安全性。第6章数字签名 6.4ElGamal签名算法签名算法 1体制参数体制参数 p：一个大素数，可使在 Zp中求解离散对数成为困难问题；g：是 Zp中乘群Zp*的一个生成元或本原元素；M：消息空间，为 Zp*；S：签名空间，为 Zp*Zp1；x：用户秘密钥 xZp*；modxyg

13、p (6-4-1)密钥：K=(p,g,x,y)，其中 p，g，y为公钥，x 为秘密钥。第6章数字签名 2.签名过程签名过程给定消息m,发端用户进行下述工作。(1)选择秘密随机数kZ*p。(2)计算h(m):modkrgp1()mod(1)sH Mxr kp(6.4.2)(6.4.3)(3)以Sigk(m,k)=S=(rs)作为签名,将m、(rs)发送给对方。第6章数字签名 3.验证过程验证过程收信人收到m、(rs),先计算h(m),并按下式验证:()(),)modrsH MkVer H Mr sy rgp真(6.4.4)这是因为yrrsgrxgskg(rx+sk)mod p，由(6-4-3)式

14、有 由(6.4.3)式有:(,)kVer M SMM真()()mod(1)rxskH Mp(6.4.5)故有:(6.4.6)在此方案中,对同一消息m,由于随机数k不同,因而有不同的签名值S=(rs)。第6章数字签名 例例 6.4.1 选 p=467,g=2,x=127 则有 ygx2127132 mod 467。若待送消息为 M，其杂凑值为 H(M)=100，选随机数 k=213(注意：(213,466)=1 且 213-1 mod 466=431)，则有 r221329 mod 467。s(10012729)43151 mod 466。验证：收信人先算出 H(M)=100，而后验证 1322

15、92951189 mod 467，2100189 mod 467。第6章数字签名 modrsMy r abgp这些都是离散对数问题。至于能否同时选出a和b,然后解出相应m,这仍面临求离散对数的问题,即需计算loggyrrs。第6章数字签名 第6章数字签名 则(rs)是消息m的合法签名。但这里的消息m并非由攻击者选择的利于他的消息。如果攻击者想对其选定的消息得到相应的合法签名,则仍然面临解离散对数的问题。如果攻击者掌握了同一随机数r下的两个消息m1和m2,以及合法签名(a1b1)和(a2b2),则由 111mod(1)mrks rp222mod(1)mr ks rp就可以解出用户的秘密钥x。因此

16、,在实际应用中,对每个消息的签名,都应变换随机数k,而且对某消息m签名所用的随机数k不能泄露,否则将解出用户的秘密钥x。第6章数字签名 6.5Schnorr签名算法签名算法 6.5.1 算法描述算法描述 1系统参数系统参数 p,q：大素数，q|p-1，q是大于等于160 bits的整数，p是大于等于512 bits的整数，保证Zp中求解离散对数困难；g：Zp*中元素，且gq1 mod p；x：用户密钥1xq；y：用户公钥ygx mod p。消息空间M=Zp*，签名空间S=Zp*Zq；密钥空间k=(p,q,g,x,y):ygx mod p(6.5.1)第6章数字签名 2.签名过程签名过程令待签消

17、息为m,对给定的m进行下述运算。(1)发端用户任选一秘密随机数kZq。(2)计算:modkrgpmodskxep(6.5.2)(6.5.3)(6.5.4)()eH r M式中:(3)将消息m及其签名S=Sigk(m)=(es)送给收信人。第6章数字签名 3.验证过程验证过程收信人收到消息m及签名S=(es)后,进行如下运算。(1)计算计算:modkrgp(6.5.5)而后计算h(rm)。(2)验证:Ver(,)()m r sh r me(6.5.6)因为若(es)是m的合法签名,则有 modsek xexekg ygggrp(6.5.7)等号必成立。第6章数字签名 第6章数字签名 6.6Rab

18、in签名算法签名算法 6.6.1算法描述算法描述1.系统参数系统参数令n=pq,其中p和q为素数;密钥空间K=(n,p,q)，其中n是公钥，p、q是私钥;M=S=QRpQRq,其中QR为二次剩余集,M和S分别为消息空间和签名空间。第6章数字签名 1/2()()modkSSigMMn(6.6.1)第6章数字签名 3.验证过程验证过程任何人可计算:2modmSn(6.6.2)并检验:(,)kVer m mmm真(6.6.3)第6章数字签名 6.6.2安全性安全性攻击者选一x,求出x2=m mod n,送给签名者签名,签名者将签名s回送给攻击者。若sx(其概率为1/2),则攻击者有1/2的机会分解n

19、,从而可破译此系统。因此,一个系统若可证明(如二次剩余体制)等于大整数分解的困难性,则要小心使用,否则不安全。RSA的安全性“被认为等于”大整数分解的困难性(无法证明),因而无上述缺点。ISO/IEC7996于1997年曾将Rabin算法作为建议的数字签名标准算法。第6章数字签名 6.7DSS签名算法签名算法6.7.1概况概况DSS(DigitalSignatureStandard)签名标准是1991年8月由美国NIST公布、1994年5月19日正式公布、1994年12月1日正式采用的美国联邦信息处理标准。其安全性基于解离散对数的困难性,它是在ElGamal和Schnorr(1991年)两个方

20、案的基础上设计的(见FIPS186,1994年)。DSS中所采用的算法简记为DSA(DigitalSignatureAlgorithm)。此算法由D.W.Kravitz于1993年设计。这类签名标准具有较大的兼容性和适用性,已成为网络安全体系的基本构件之一。第6章数字签名 6.7.2基本框图基本框图图6.7.1表示DSS签名体制的基本框图。图6.7.1DSS签名体制的基本框图 第6章数字签名 第6章数字签名 2.签名过程签名过程对消息mM=Z*p,其签名为(,)(,)kSSigM Kr s(6.7.1)其中:(mod)modkrgpq(6.7.2)1()modskh mxrq(6.7.3)第6

21、章数字签名 3.验证过程验证过程计算:112mod;()mod;mod;(2)modmod.uuwsq uH M wqurwq vg ypq(,)Ver M r svr真(6.7.4)第6章数字签名 6.7.4DSS签名和验证框图签名和验证框图 图6.7.2DSS签名和验证框图 第6章数字签名 6.7.5相关说明相关说明RSADataSecurityInc(DSI)想以RSA算法作为标准,因而对DSS的反对非常强烈，在标准公布之前就指出采用公用模可能使政府能够进行伪造签名。许多大的软件公司早已得到RSA的许可证,因而反对DSS。主要批评意见有:(1)DSA不能用于加密或密钥分配。(2)DSA由

22、NSA开发的,算法中可能设有陷门。(3)DSA比RSA慢。(4)RSA已是一个实际上的标准,而DSS与现行国际标准不相容。(5)DSA未经公开选择过程,还没有足够的时间进行分析证明。第6章数字签名(6)DSA可能侵犯了其他专利(Schnorr签名算法和DiffieHellman的公钥密钥分配算法)。(7)由512bit所限定的密钥量太小,尽管现已改为5121024中可被64除尽的即可供使用。关于DSA的速度需要说明的是,可以通过增加预计算来提高计算速度(随机数r与消息无关,选一数串k,预先计算出其r)。对k-1也可这样做。预计算能够大大加快DSA的速度。第6章数字签名 6.8盲签名盲签名一般数

23、字签名中,总是要先知道文件内容而后才签署,这正是通常所需要的。但有时我们需要某人对一个文件签字,但又不让他知道文件内容,通常称之为盲签名(BlindSignature),它是由Chaum在1983年最先提出的。在选举投票和数字货币协议中将会碰到这类要求。利用盲变换可以实现盲签名,参看图6.8.1。第6章数字签名 图6.8.1盲签名框图 第6章数字签名 6.8.1完全盲签名完全盲签名B是一位仲裁人,A要B签署一个文件,但不想让他知道所签的是什么,而B也并不关心所签的内容,他只要确保在需要时可以对此进行仲裁,这种情况下可通过下述协议完全盲签名协议实现。(1)A取一文件并以一随机值乘之,此随机值称为

24、盲因子(BlindingFactor)。(2)A将此盲文件送给B。(3)B对盲文件签名。(4)A以盲因子除之,得到B对原文件的签名。若签名函数和乘法函数是可换的,则上述做法成立,否则要采用其他方法(而不是乘法)修改原文件。第6章数字签名 安全性讨论:B可以欺诈吗？是否可以获取有关文件的信息？若盲因子完全随机,则可保证B不能由协议(2)中所看到的盲文件得出原文件的信息。即使B将协议(3)中所签盲文件复制,他也不能(对任何人)证明在此协议中所签的真正文件,而只是知道其签名成立,并可证实其签名。即使他签了100万个文件,也无从得到所签文件的信息。第6章数字签名 完全盲签名具有如下特点:(1)B对文件

25、的签名合法,它证明B签了该文件,且具有以前介绍过的普通签名的属性。(2)B不能将所签文件与实际上签的文件联系起来,即使他保存所有曾签过的文件,也不能决定所签文件的真实内容,窃听者所得信息更少。第6章数字签名 6.8.2盲签名的应用盲签名的应用完全盲签名使A可以让B签任何他所想要的文件,例如,“B欠A1000万元”等,因而这种协议不可能真正实用。采用分割选择(CutandChoose)技术,可使B知道他所签的,但仍可保留盲签名的一些有用特征。下面我们借用王育民、刘建伟编著的通信网的安全理论与技术一书中给出的例子来说明盲签名的应用。第6章数字签名【例例6.8.1】每天有许多人进入某国,海关想知道他

26、们是不是贩毒者,于是海关用概率方法而不是检查每个人来实现这一目的。对入关者抽取1/10进行检查。贩毒者在多数情况下将可逃脱,但有1/10机会被抓获。为了有效惩治贩毒,一旦抓获,法院对其的罚金将大于其他9次的获利。要想增加捕获率,必须检查更多的人,因此利用搜查概率值可以成功地控制抓获贩毒分子的协议。第6章数字签名【例例6.8.2】反间谍组织成员的身份必须保密,甚至连反间谍机构也不知道他是谁。反间谍机构的头目要给每个成员一个签名的文件,文件上注明:持此签署文件人(为某掩蔽的成员名字)有充分外交豁免权。每个成员都有自己的掩蔽名单,使反间谍机构不能恰好提供出签名的文件。成员们不想将他们的掩蔽名单送给反

27、间谍机构,敌人也可能会破坏反间谍机构的计算机。另一方面,反间谍机构也不会对成员给他的任何文件都进行盲签名。例如,一个聪明的成员可能用“成员(名字)已退休,并每年发给100万退休金”进行消息代换后,请总统先生签名。此种情况下,盲签名可能有用。第6章数字签名 假定每个成员有10个可能的掩蔽名字,他们可以自行选用,别人不知道。假定成员们并不关心在那个掩蔽名字下他们得到了外交豁免权,并假定机构的计算机为AgencysIntelligentComputingEngine,简记为AICE,则可利用下述协议实现。协议协议6.8.1(1)每个成员准备10份文件,各用不同的掩护名字,以得到外交豁免权。(2)成员

28、以不同的盲因子盲化每个文件。(3)成员将10个盲文件送给AICE。(4)AICE随机选择9个,并询问成员每个文件的盲因子。第6章数字签名(5)成员将适当的盲因子送给AICE。(6)AICE从9个文件中移去盲因子,确信其正确性。(7)AICE将所签署的10个文件送给成员。(8)成员移去盲因子,并读出他的新掩护名字:“TheCrimsonStreak”,在该名字下这份签署的文件给了他外交豁免权。这一协议在抗反间谍成员欺诈上是安全的,他必须知道哪个文件不被检验才可进行欺诈,其机会只有10%。当然,他可以送更多的文件。AICE对所签的第10个文件比较有信心,虽然未曾检验。这具有盲签性,保存了所有匿名性

29、。第6章数字签名 反间谍成员可以按下述方法进行欺诈：他生成两个不同的文件,AICE只愿签其中之一,B找两个不同的盲因子将每个文件变成同样的盲文件。这样若AICE要求检验文件,则B将原文件的盲因子给他;若AICE不要求看文件并签名,则可用盲因子转换成另一蓄意制造的文件。以特殊的数学算法可以将两个盲文件做得几乎一样,显然,这仅在理论上是可能的。第6章数字签名 6.8.3信封信封D.Chaum将盲变换看做信封,盲化文件是对文件加个信封,而去掉盲因子的过程就是打开信封。文件在信封中时无人可读它,在盲文件上签名相当于在复写纸信封上签名,这样就得到了对(信封内)真文件的签名。第6章数字签名 6.8.46.

30、8.4盲签名算法盲签名算法D.Chaum在1985年曾提出第一个实现盲签名的算法,他采用了RSA算法。令B的公钥为e,秘密钥为d,模为n。(1)A要对消息m进行盲签名,选1k t/km k/km mod n任何盲签名都必利用分割选择原则。Chaum在1987年给出了一种更复杂的算法来实现盲签名,他还提出了一些更复杂、但更灵活的盲签名算法。第6章数字签名 6.9门限数字签名门限数字签名 6.9.1系统参数系统参数一个(t,n)门限签名方案表明n个签名者中任何t个能够代表所有签名者对消息m进行签名,而t-1个或更少的签名者合作不能完成对m的有效签名。不失一般性,假设U=U1,U2,Un是n个签名者

31、的集合。首先,系统中的所有成员需要协商选定公共参数:安全的大素数p和q以及元素g,其中q|(p-1),并且g在素域Zp上的阶为q;h()为一个强的密码哈希函数(见第7章)。接着,每个成员Ui对外公开自己的唯一标识号ui,它可以唯一地代表签名者Ui。第6章数字签名 第6章数字签名,1()()0()modlijji ltfuuflggp(6.9.1)如果上面的等式成立,那么fi(uj)是有效的;否则,是无效的。第6章数字签名 第6章数字签名 第6章数字签名(2)在收到其他参与签名的成员发送的zi后,Ui计算:r=1tiiz mod p (6-9-2)si=Xiaih(m)rwidi-1 mod q

32、 (6-9-3)1,tjijj ijiuauu其中,(3)Ui将r,si作为自己对m的签名，并将其发送给指定的群签名生成者。第6章数字签名 1modtiissq(6.9.4)第6章数字签名 6.9.5群签名验证协议群签名验证协议任何群签名的接收者都可以通过验证下面的等式是否成立来验证群签名r,s是否有效:()modsrh mUg rYp(6.9.5)第6章数字签名 第6章数字签名 第6章数字签名 第6章数字签名(4)在个体签名产生阶段，攻击者试图冒充某个签名者 Ui伪造其个体签名。分析：由攻击(3)的分析可知，攻击者无法得到签名者 Ui的私钥 Xi。攻击者为了伪造 Ui的个体签名，首先必须选择

33、一个随机数 wi使得 1wiq1，然后计算并广播 Wi=iwgmod p。这时，他面临着计算一个 si并满足()()modiiisdh m ariiiR WYp的困难性，即求解离散对数问题的困难性。根据攻击(2)的分析可知，假的个体签名不能通过群签名计算者的验证。因此，这种攻击无法奏效。第6章数字签名 111111()()()()()modttiiiiiihm h m sX a hmhm h m rwdq第6章数字签名 令h-1(m)h(m)s=s，要使群签名验证成立，攻击者需要根据下面的等式 11111()()()()modtti iiiiiX a hmhm h m rw drh mUgrY

34、p(6.9.6)第6章数字签名 6.10 门限签名门限签名-门限验证签名门限验证签名第6章数字签名 第6章数字签名 第6章数字签名 第6章数字签名 当 Usi收到其他 t1 个参与签名的签名者广播的信息后，计算r=1tsiiz mod ps和ssi=Xsiasih(M)rwsidsi-1 mod qs，其 中asi=1,(/()tsjsjsijj iuuu。将r,si作为自己对 M的个体签名提交给指定的群签名生成者。第6章数字签名 第6章数字签名 第6章数字签名 第6章数字签名 第6章数字签名 第6章数字签名 6.11动态门限签名动态门限签名 第6章数字签名 第6章数字签名 第6章数字签名 第

35、6章数字签名 第6章数字签名,00,11,11mod,mod,mod.iii nnXaqXaqXaq第6章数字签名 第6章数字签名(2)iU 计算校验信息,0,1,1111,iii nfffnnnggg；然后，在素域pF 中随机选取一个非零秘密整数id，对于每个门限值(1,2,)l ln，计算,i lD：,1idi llDg (6-11-1)并以任何认证的方式将,0,1,1111,iii nfffnnnggg和,1,2,iii nDDD向系统中所有成员广播。第6章数字签名,1()()110()modlijji lnfuufnnlggp(6-11-2)第6章数字签名 第6章数字签名 第6章数字签

36、名 6.11.4个体签名产生协议个体签名产生协议假设l(1ln)个签名者构成的子集同意代表整个团体对消息m进行门限值为l的签名。其中,每个签名者Ui(i=1,2,l)可以应用下面的过程生成自己的个体签名。首先，每个签名者需要从中随机选取一个秘密整数，计算：12,()lBU UUBU1modiwilWgp11modiiw dilzgp(6.11.8)(6.11.9)第6章数字签名 当每个iU 收到其他(1)l 个签名者广播的信息后，计算：1modliirzp11()modiiiiilsX c h Mrwdq(6.11.10)(6.11.11)其中，1,ljijj ijiucuu。最后,Ui将r,

37、si作为自己对m的个体签名提交给指定的群签名生成者DC(DesignatedCombiner)。第6章数字签名 第6章数字签名 当收到l个有效的个体签名后，DC计算如下信息：,1()ilcA li liDD(6.11.13)11modlilissq(6.11.14)然后，DC 以,A lN lr s DD作为消息M 的群签名进行发布。第6章数字签名 6.11.6 群签名验证协议群签名验证协议任何群签名的接收者都可以通过验证下面的等式是否成立来验证群签名 是否为的有效签名：()1,()modsrh MllA lN lgrYD Dp(6.11.15)如果等式(6-11-15)成立，那么,A lN

38、lr s DD为M 的有效签名；否则该签名是无效的。第6章数字签名 6.12其他数字签名其他数字签名 6.12.1代理签名代理签名代理(Proxy)签名是某人授权其代理进行的签名。在不将其签名秘密钥交给代理人的条件下代理签名是如何实现的呢？Mambo等人在1995年提出了一种解决办法,能够使代理签名具有如下特点:(1)不可区分性(Distinguishability):代理签名与某人通常的签名不可区分。(2)不可展延拓性(Unforgeability):只有原来的签名人和所托付的代理签名人可以建立合法的代理签名。第6章数字签名(3)代理签名的差异(Deviation):代理签名者不可能制造一个

39、合法的代理签名,而不被检测出来。(4)可证实性(Verifiability):签名验证人可以相信代理签名就是原签名人认可的签名消息。(5)可识别性(Identifiability):原签名人可以从代理签名确定出其代理签名人的身份。(6)不可抵赖性(Undeniability):代理签名人不能抵赖他所建立的已被接受的代理签名。第6章数字签名 6.12.2指定证实人的签名指定证实人的签名一个机构中指定一个人负责证实所有人签的字,任何成员所签的文件都具不可否认性,但证实工作均由指定人完成,这种签名称做指定证实人的签名(DesignatedConfirmerSignatures)。指定证实人的签名是普

40、通数字签名和不可否认数字签名的折中,签名人必须限定由谁才能证实他的签名;另一方面如果让签名人完全控制签名的实施,则他可能以肯定或否定的方式拒绝合作,他可能为此宣布密钥丢失,或可能根本不提供签名。指定证实人的签名给签名人以一种不可否认签名的保护,而不会让他滥用这类保护。这种签名也有助于防止签名失效,例如,在签名人的签名密钥确实丢失,或在他休假、病倒甚至已去世时都能对其签名提供保护。第6章数字签名 这种签名可以用公钥体制结合适当设计的协议来实现,证实人相当于仲裁角色,他将自己的公钥公开,任何人对某文件的签名可以通过他来证实。具体算法可参见相关研究成果(Chaum,1994年;Okamoto,199

41、4年)。第6章数字签名 6.12.3一次性数字签名一次性数字签名若数字签名机构至多可用来对一个消息进行签名,否则签名就可被伪造,则称之为一次性(Onetime)签名体制。在公钥签名体制中要求对每个消息都用一个新的公钥作为验证参数。一次性数字签名的优点是:产生和证实都较快,特别适用于要求计算复杂度低的芯片卡。目前已提出几种实现方案,如Rabin一次性签名方案(1978年)、DiffieLamport方案(1979年)、Merkle一次性签名方案(1989年)(Bleichenbacher等于1994年对其进行了推广)、GMR一次性签名方案(Goldwasser等,1988年)、Bos和Chaum的一次性签名方案(1994年)。这类方案多与可信赖的第三方相结合,并通过认证树结构实现(Menezes等,1997年;Merkle,1980年和1989年)。