第八章数字签名 ppt课件
合集下载
《数字签名技术应用》PPT课件
由于商情的千变万化,交易一旦达成是不能被否认的。否则必 然会损害一方的利益。再如订购黄金,订货时金价较低,但收到订单 后,金价上涨了,如果供货方能否认收到订单的实际时间,甚至否认 收到订单的事实,则订货方就会蒙受损失。因此电子交易通信过程的 各个环节都必须是不可否认的。 5)信息传递的不可重放性
如在日常生活中,A向B借了钱,同时写了一张借条给B;当A还 钱的时候,肯定要向B索回他写的借条撕毁,不然,恐怕他会再次挟 借条要求A再次还钱。在数字签名中,如果采用了对签名报文添加流 水号、时戳等技术,可以防止重放攻击。
21
7.2.3 数字签名算法
1)签名过程
对于给定的k,消息m的签名定义如下: sig(m,k)=(y,s)
其中 y = (gk mod p)mod q s = (k-1(MD5(m)+ay)mod q
杂凑函数MD5用于把可变长度的消息m转变为一个160比特的消 息摘要,然后再用数字签名方案对它进行签名。
3)安全性分析
由于DSA是基于有限域上离散对数问题,出于短期安全性考虑要 求域Zp的素数p的长度至少为1024比特,而考虑到长期安全性则要求 其长度至少为2048比特。
23
7.2.3 数字签名算法
签名算法
Rivest、shamir和Adleman于1978年提出了RSA数字签名和公钥算 法,这是第一个较完善的公开密钥算法,它既能用于加密也能用于数 字签名,而认证过程相当于保密过程的逆过程。
(1)H能够应用到大小不一的数据上; (2)H对任何输入报文数据生成固定长度的输出; (3)对于任意给定的x,H(x)的计算相对简单; (4)对于任意给定的h,要发现满足H(x)=h的x在计算上是不可行的; (5)要发现满足H(x)=H(y)的(x,y)对在计算上是不可行的。 由于消息摘要函数比对称加密算法的速度还快,因此有着广泛 的应用。消息摘要函数是数字签名和消息识别码(MAC)的基础。
如在日常生活中,A向B借了钱,同时写了一张借条给B;当A还 钱的时候,肯定要向B索回他写的借条撕毁,不然,恐怕他会再次挟 借条要求A再次还钱。在数字签名中,如果采用了对签名报文添加流 水号、时戳等技术,可以防止重放攻击。
21
7.2.3 数字签名算法
1)签名过程
对于给定的k,消息m的签名定义如下: sig(m,k)=(y,s)
其中 y = (gk mod p)mod q s = (k-1(MD5(m)+ay)mod q
杂凑函数MD5用于把可变长度的消息m转变为一个160比特的消 息摘要,然后再用数字签名方案对它进行签名。
3)安全性分析
由于DSA是基于有限域上离散对数问题,出于短期安全性考虑要 求域Zp的素数p的长度至少为1024比特,而考虑到长期安全性则要求 其长度至少为2048比特。
23
7.2.3 数字签名算法
签名算法
Rivest、shamir和Adleman于1978年提出了RSA数字签名和公钥算 法,这是第一个较完善的公开密钥算法,它既能用于加密也能用于数 字签名,而认证过程相当于保密过程的逆过程。
(1)H能够应用到大小不一的数据上; (2)H对任何输入报文数据生成固定长度的输出; (3)对于任意给定的x,H(x)的计算相对简单; (4)对于任意给定的h,要发现满足H(x)=h的x在计算上是不可行的; (5)要发现满足H(x)=H(y)的(x,y)对在计算上是不可行的。 由于消息摘要函数比对称加密算法的速度还快,因此有着广泛 的应用。消息摘要函数是数字签名和消息识别码(MAC)的基础。
《数字签名技术》PPT课件
3.2.1 RSA数字签名系统
RSA算法中数字签名技术实际上是通过一个哈 希函数来实现的。数字签名的特点是它代表了 文件的特征,文件如果发生改变,数字签名的 值也将发生变化。不同的文件将得到不同的数 字签名。
用RSA或其它公开密钥密码算法的最大方便是 没有密钥分配问题。因为公开密钥加密使用两 个不同的密钥,其中有一个是公开的,另一个 是保密的。公开密钥可以保存在系统目录内、 未加密的电子邮件信息中、 黄页(商业 ) 上或公告牌里,网上的任何用户都可获得公开 密钥。
一个Hash函数满足: ①H可以作用于一个任意长度的数据块; ②H产生一个固定长度的输出; ③H(x)对任意给定的x计算相对容易,无论是软件还是硬
件实现; ④对任意给定码h,找到x满足H(x)=h具有计算不可行性; ⑤对任意给定的数据块x,找到满足H(y)=H(x)的y x具
有计算不可行性; ⑥找到任意数据对(x,y),满足H(x) = H(y)是计算不可行的。
3.1.4 数字签名的作用
能证明:
– 信息是由签名者发送的(认证性) – 信息自签发后到收到为止未曾做过任何修改(完整性) – 发送者不能否认其发送过信息及信息的内容(不可否认
性)
可防止 – 发送者或接收者伪造 – 第三方冒充 – 接收方篡改
3.2.1 RSA数字签名系统 3.2.2 Hash签名 3.2.3 美国数字签名标准(DSA) 3.2.4 椭圆曲线数字签名算法(ECDSA)
(1) A取一文件并以一随机值乘之,称此随机值为盲因 子
(2) A将此盲文件发送给B; (3) B对盲文件签名; (4) A以盲因子除之,得到B对原文件的签名
Chaum将盲变换看做是信封,盲文件是对文件 加个信封,而去掉盲因子的过程是打开信封 的过程。文件在信封中时无人可读,而在盲 文件上签名相当于在复写纸信封上签名,从 而得到了对起文件(信封内容)的签名。
第八章 电子签名法(2010-10-17信息法)
二、我国电子签名法立法模式
我国电子签名法对电子签名的界定也与这些 法规一致,其中《电子签名法》第二条规定 了电子签名是指数据电文中以电子形式所含、 所附用于识别签名人身份并表明签名人认可 其中内容的数据。
第三条规定了数据电文是指以电子、光学、 磁或者类似手段生成、发送、接收或者储 存的信息。 数据电文的概念非常广泛,基本涵盖了所 有以电子形式存在的文件、记录、单证、 合同等,是信息时代所有电子信息的基本 存在形式。
二、实行电子签名的必要性
1、从技术角度看,电子签名可以解决身份 认定、信息来源认定、信息完整性和安全性 确认等诸多问题,解决了电子商务最关键的 问题——安全问题。 无论是电子支付、网上证券、网上交易、电 子合同、网上知识产权还是网上办公,在安 全性方面,电子签名成为更好的技术手段选 择。
据中国著名的IT咨询公司易观国际的研究 报告《互联网研究系列报告——电子商务 (2004)》估计,2005 年的中国电子商务 交易总额将从2004年的4400 亿人民币激增 至 6200 亿人民币。与电子商务相关的网站 和机构数量也有了较快增加,截至2004年4 月,我国已有4000多个电子商务网站和70 多家认证机构。
中立的电子签名
中立的电子签名包括一切能够鉴别当事人身份、表 明签字者确认文件内容并且同意受其约束的技术手 段。 这一概念着重阐明了电子签名的目的与作用,而对 电子签名所运用的技术方式几乎没有规定,凡是具 有一定鉴别作用的,数据电文中附加的,或与之有 逻辑上联系的电子形式的数据,都可成为电子签名 的方式。 在电子签名法案中,采用这种广义的电子签名概念 的,还有美国州法统一委员会的《统一电子交易 法》,联合国《电子商务示范法》等。
非对称加密算法区别于原有的单钥(对称密 钥)加密技术,其优点在于后者加密时的密 钥与用于解密的密钥相同,用于网络传输 数据加密时不可避免地存在安全漏洞,因 为在发送加密数据的同时,也需要将密钥 通过网络传输通知接收者,第三方在截获 加密数据后,只需再获取相应密钥即可将 数据解密使用或进行非法篡改。
数字签名技术 ppt课件
6.3.2安全认证技术
1、数字摘要 2、数字签名 3、数字信封和数字时间戳 4、数字证书 5、认证中心CA
1
1、数字摘要
采用单向散列函数Hash的方法对文件 中若干重要元素进行某种变换运算得 到的固定长度的摘要码。
2
2、数字签名
也称为电子签名,是指利用电子信息加密技术 实现在网络传送信息报文时,附加一小段只有 信息发送者才能产生而别人无法伪造的特殊个 人数据标记,代表发送者个人身份,起到传统 书面文件上手写签名或印章的作用,表示确认、 负责、经手和真实作用等。
1. SSL协议提供的服务 2. SSL协议的工作流程 SSL会话通过客户与服务器之间的“握手”建立连接,
SSL协议握手流程由两个阶段组成:服务器认证和客 户端认证。 (1)服务器认证阶段。 (2)用户认证阶段。
16
数字时间戳:DTS –是由专门机构提供网络安全服务项 目,提供电子文件发表时间的安全保护。因特网上的 “数字时间戳”是一个经过加密后形成的凭证文档。包 括三部分:
1)需要时间戳的文件摘要
2)收到文件的日期和时间
3)DTS的数字签名
DTS保护的不是报文上书面签署的日期和时间,而是
DTS收到摘要时的日期和时间。
3)遵循的标准和格式分:X.509 公钥证书、PKI证 书、PGP证书等。
11
5. 认证中心CA
1、概念:具有权威性和公正性的机构,CA认 证机构,是一个实体,可以是个人、群体、部 门、公司或其他实体。是证书的签发机关,是 公钥基础设施PKI体系中的核心环节。
2、认证中心的结构
1)RS接收用户证书申请的证书受理者
6
双重数字签名应用:
在我们用信用卡购物时,我们作为持卡人 向商户提出订购信息的同时,也给银行付款信 息,以便授权银行付款,但我们不希望商户知 道自己的账号的有关信息,也不希望开户行知 道具体的消费内容,只需按金额贷记或借记账 即可。这其实就是双重数字签名,它把需要寄 出两个相关信息给接收者,接收者只能打开一 个,而另一个只需转送,不能打开看其内容。 这有效的保护了消费者的隐私和商家的商业机 密。
1、数字摘要 2、数字签名 3、数字信封和数字时间戳 4、数字证书 5、认证中心CA
1
1、数字摘要
采用单向散列函数Hash的方法对文件 中若干重要元素进行某种变换运算得 到的固定长度的摘要码。
2
2、数字签名
也称为电子签名,是指利用电子信息加密技术 实现在网络传送信息报文时,附加一小段只有 信息发送者才能产生而别人无法伪造的特殊个 人数据标记,代表发送者个人身份,起到传统 书面文件上手写签名或印章的作用,表示确认、 负责、经手和真实作用等。
1. SSL协议提供的服务 2. SSL协议的工作流程 SSL会话通过客户与服务器之间的“握手”建立连接,
SSL协议握手流程由两个阶段组成:服务器认证和客 户端认证。 (1)服务器认证阶段。 (2)用户认证阶段。
16
数字时间戳:DTS –是由专门机构提供网络安全服务项 目,提供电子文件发表时间的安全保护。因特网上的 “数字时间戳”是一个经过加密后形成的凭证文档。包 括三部分:
1)需要时间戳的文件摘要
2)收到文件的日期和时间
3)DTS的数字签名
DTS保护的不是报文上书面签署的日期和时间,而是
DTS收到摘要时的日期和时间。
3)遵循的标准和格式分:X.509 公钥证书、PKI证 书、PGP证书等。
11
5. 认证中心CA
1、概念:具有权威性和公正性的机构,CA认 证机构,是一个实体,可以是个人、群体、部 门、公司或其他实体。是证书的签发机关,是 公钥基础设施PKI体系中的核心环节。
2、认证中心的结构
1)RS接收用户证书申请的证书受理者
6
双重数字签名应用:
在我们用信用卡购物时,我们作为持卡人 向商户提出订购信息的同时,也给银行付款信 息,以便授权银行付款,但我们不希望商户知 道自己的账号的有关信息,也不希望开户行知 道具体的消费内容,只需按金额贷记或借记账 即可。这其实就是双重数字签名,它把需要寄 出两个相关信息给接收者,接收者只能打开一 个,而另一个只需转送,不能打开看其内容。 这有效的保护了消费者的隐私和商家的商业机 密。
数字签名.ppt
数字签名技术专题
江西理工大学信息工程学院 返回总目录
内容安排
数字签名技术专题
授课内容安排
(一) 数字签名的概念 (二) 数字签名的实际应用 (三) 数字签名的作用 (四) 数字签名的实施方案(实例) (五) 数字签名的几个重要问题考虑 (六) 消息摘要产生背景 (七) 数字签名技术总体介绍 (八) SHA—1(安全散列算法)介绍 (九) 课后能力培养内容
数字签名技术专题
(一) 数字签名的概念
• 数字证书是证明用户身份的网上标识,在网络 中识别通讯各方的身份,即在虚拟社会中解决 “我是谁”的问题。通俗的讲,数字证书就好 像是网上用户的身份证,能够保证您在网络上 进行的交易是安全的和可信的。
• 数字签名就是对消息进行消息摘要计算,再利 用数字证书提供的密钥文件,达到利用计算机 数据签章的效果。
生成数字信封,包含CT和K2。 • 3、B用A的公钥(K3)解密一次性对称密钥(K1),
再用K1解密密文(CT),得明文(PT)。 • 缺点:没有减少数据量,只是保证了密钥安全。 • 启发:
实际过程可以对明文消息下工夫,减少数据量,而达到 相同目的。
数字签名技术专题
(六)消息摘要技术的产生背景(2)
3、验证体系 由CA利用公钥进行验证, 以确定数据未有更改。
数字签名技术专题
(四)数字签名的实施方案(实例)
数字签名印章解决方案
数字签名技术专题
(四)数字签名的实施方案(实例)
数字签名印章实现过程
数字签名技术专题
(五) 数字签名技术几个重要问题的考虑
• 1)文件的大小问题。签名文件很大的话如 何保证速度。 消息摘要方法
• 2)需要签名的文件本身如何传输的问题。 A:保密程度高。通过其他安全方式和通
江西理工大学信息工程学院 返回总目录
内容安排
数字签名技术专题
授课内容安排
(一) 数字签名的概念 (二) 数字签名的实际应用 (三) 数字签名的作用 (四) 数字签名的实施方案(实例) (五) 数字签名的几个重要问题考虑 (六) 消息摘要产生背景 (七) 数字签名技术总体介绍 (八) SHA—1(安全散列算法)介绍 (九) 课后能力培养内容
数字签名技术专题
(一) 数字签名的概念
• 数字证书是证明用户身份的网上标识,在网络 中识别通讯各方的身份,即在虚拟社会中解决 “我是谁”的问题。通俗的讲,数字证书就好 像是网上用户的身份证,能够保证您在网络上 进行的交易是安全的和可信的。
• 数字签名就是对消息进行消息摘要计算,再利 用数字证书提供的密钥文件,达到利用计算机 数据签章的效果。
生成数字信封,包含CT和K2。 • 3、B用A的公钥(K3)解密一次性对称密钥(K1),
再用K1解密密文(CT),得明文(PT)。 • 缺点:没有减少数据量,只是保证了密钥安全。 • 启发:
实际过程可以对明文消息下工夫,减少数据量,而达到 相同目的。
数字签名技术专题
(六)消息摘要技术的产生背景(2)
3、验证体系 由CA利用公钥进行验证, 以确定数据未有更改。
数字签名技术专题
(四)数字签名的实施方案(实例)
数字签名印章解决方案
数字签名技术专题
(四)数字签名的实施方案(实例)
数字签名印章实现过程
数字签名技术专题
(五) 数字签名技术几个重要问题的考虑
• 1)文件的大小问题。签名文件很大的话如 何保证速度。 消息摘要方法
• 2)需要签名的文件本身如何传输的问题。 A:保密程度高。通过其他安全方式和通
课件数字签名
南京师范大学刘海艳试讲课件
数字签名
主要内容
1 数字签名的背景及概述
2
3
数字签名的技术及原理
签名和数字水印、加密
南京师范大学刘海艳试讲课件
2
数字签名研究背景
• 政治、军事、外交等领域的文件、命令、条约、商 业中的契约、以及个人之间的书信等,传统上都采 用手书签名或印章,以便在法律上能认证、核准和 生效。 • 随着计算机通信网的发展,人们越来越多的通过电 子设备实现快速、远距离的交易。那么,如何实现 计算机通信中信息的安全呢? • 因此,如何数字化实现类似手书签名的功能已成为 迫切研究的问题。
南京师范大学刘海艳试讲课件
Hale Waihona Puke 14RSA数字签名算法总过程
• 第一步Bob选择大的质数p和q,并使他们相乘,从而 得到n; • 第二步Bob选择一个公共质数e,它与(p-1)(q-1)是互质 数; • 第三步Bob计算私有质数d; • 第四步Bob与Carol共享公钥,数字n和e; • 第五步Bob使用C=Me mod n把M加密成C,并把C发送 给Bob; • 第六步Bob使用M=Cd mod n把C解密成M
南京师范大学刘海艳试讲课件
19
南京师范大学刘海艳试讲课件
3
数字签名概述
• 数字签名作为一种新的认证技术,便应运而生,并逐 渐应用于商业通信系统,如电子邮递、电子转账和办 公自动化等系统中。并随着电子商务的发展,电子签 名的使用也越来越多 • 数字签名是就是附加在数据单元上的一些数据,或是 对数据单元所作的密码变换。这种数据或变换允许数 据单元的接收者用以确认数据单元的来源和数据单元 的完整性并保护数据,防止被人(例如接收者)进行伪 造。数字签名提供了对信息来源的确定并能检测信息 是否被篡改。
数字签名
主要内容
1 数字签名的背景及概述
2
3
数字签名的技术及原理
签名和数字水印、加密
南京师范大学刘海艳试讲课件
2
数字签名研究背景
• 政治、军事、外交等领域的文件、命令、条约、商 业中的契约、以及个人之间的书信等,传统上都采 用手书签名或印章,以便在法律上能认证、核准和 生效。 • 随着计算机通信网的发展,人们越来越多的通过电 子设备实现快速、远距离的交易。那么,如何实现 计算机通信中信息的安全呢? • 因此,如何数字化实现类似手书签名的功能已成为 迫切研究的问题。
南京师范大学刘海艳试讲课件
Hale Waihona Puke 14RSA数字签名算法总过程
• 第一步Bob选择大的质数p和q,并使他们相乘,从而 得到n; • 第二步Bob选择一个公共质数e,它与(p-1)(q-1)是互质 数; • 第三步Bob计算私有质数d; • 第四步Bob与Carol共享公钥,数字n和e; • 第五步Bob使用C=Me mod n把M加密成C,并把C发送 给Bob; • 第六步Bob使用M=Cd mod n把C解密成M
南京师范大学刘海艳试讲课件
19
南京师范大学刘海艳试讲课件
3
数字签名概述
• 数字签名作为一种新的认证技术,便应运而生,并逐 渐应用于商业通信系统,如电子邮递、电子转账和办 公自动化等系统中。并随着电子商务的发展,电子签 名的使用也越来越多 • 数字签名是就是附加在数据单元上的一些数据,或是 对数据单元所作的密码变换。这种数据或变换允许数 据单元的接收者用以确认数据单元的来源和数据单元 的完整性并保护数据,防止被人(例如接收者)进行伪 造。数字签名提供了对信息来源的确定并能检测信息 是否被篡改。
《数字签名技术》PPT课件
用到的知识:
1.模n的二次剩余集 2.模n的平方根 3.剩余类的集合 4.合数 5.勒让德符号 6.雅可比符号
RSA签名方案中p和q是不同的素数
,从而(n)=(p-1)(q-1)是偶数。 而e必须满足gcd(e, )=1,所以e是
奇数。
2021/4/26
30/47
➢Rabin公钥签名方案的密钥生成
1.计算m~ Rm
2.计算m~ mod n的一个平方根s
3.A对m的签名是s
为验证A的签名s且恢复消息m,B执行如下操作:
1.获得A的可信公钥n
2.计算m~ s2 mod n 3.验证m~ M R ;否则,拒绝接受签名
4.恢复m R1m~
2021/4/26
32/47
➢Rabin公钥签名方案举例
1995年我国也制定了自己的数字签名标准 (GB15851-1995)
2004年我国颁发《中华人民共和国电子签名法》
2021/4/26
7/47
➢数字签名的原理
2021/4/26
8/47
➢数字签名的功能
1.机密性 2.完整性 3.身份验证 4.防伪造 5.防抵赖 6.防重放攻击
2021/4/26
1)选择合适的冗余函数R对Rabin签名方案的安全性极为重 要。
2)对Rabin方案而言,设消息m是比特串,则R可以将它赋值 为二元表示是该消息的整数。然而,却不能保证那个整数是 模n的二次剩余,这可能导致无法计算平方根。所以人们试图 尝试用确定性方法。
2021/4/26
13/47
➢数字签名方案的分类
带附录的数字签名方案:要求初始消息作为验 证算法的输入
❖ DSA、ElGamal和Schnorr签名方案 ❖ 消息可以是任意长度
数字签名技术与应用.ppt
根据哈希函数的特性,我们可以让简短的摘要 来“代表”信息本身,如果两个摘要H和H’完全 符合,证明信息是完整的;如果不符合,就说 明信息被人篡改了。 哈希函数的安全性直接关系到数字签名的安全 性,如果哈希函数被攻破,数字签名的有效性 就会受到质疑。 目前,已经发明的Hash函数有多种,如Snefru、 N-Hash、LOKI、AR、GOST、MD、SHA等。 它们在数学上实现的方法各有不同,安全性也 各有不同。目前比较常用的Hash函数是MD5和 SHA-1。
6.3ElGamal签名
3.验证过程 收信人收到(M,r,s),先计算H (M),并按下式验证签名 y r r s g H ( M ) mod p 这是因为 y r r s g rx g sk g (rs sk ) mod p ,由上式 有 (rx sk ) H (M ) mod(p 1) r s H (M ) y r g mod p 故有 在此方案中,对同一消息M,由于随机数 K不同而有不同的签名(M,r,s)。
数字签名与加密的区别
消息签名与消息加密有所不同,消息加密和解 密可能是一次性的,它要求在解密之前是安全 的。 而一个签名的消息可能作为一个法律上的文件 (如合同等),很可能在对消息签署多年之后才验 证其签名,且可能需要多次验征此签名。 因此,签名的安全性和防伪造的要求会更高, 且要求证实速度比签名速度要快些。特别是联 机在线时进行实时验证。
4.2RSA签名
这里有一个RSA加密的示例,同样为了简洁起见, 在这个例子中使用的数字都很小。 Bob选择了质数p=5和q=11,然后把这两个数字 相乘,从而得到模数n=55。 Bob计算出f(n)=(p-1)*(q-1)=4*10=40 Bob选择一个数字e,e与40是互质数。40的质因 数是2、2、2、5和1,所以Bob选择的私有指数 e=3。 Bob选择了一个公共指数d=3(-1)mod 40。这个 模数反函数实际上是非常困难的,但是对于所用 的这些小数字,可以看到 27*3mod40=81mod40=1。所以d=27。
第八章数字签名(2)
(a) A取一文件并以一随机值乘之,称此随机值为盲因子(盲化处理)。 (b) A将此盲文件送给B。 (c) B对盲文件签字。 (d) A以盲因子除之,得到B对原文件的签字。 若签字函数和乘法函数是可换的,则上述作法成立。否则要采用其它方法(而不是乘法)修改原文件。
盲签字协议-安全性讨论
B可以欺诈吗? 是否可以获取有关文件的信息? 若盲因子完全随机,则可保证B不能由(b)中所看到的盲文件得出原文件的信息。即使B将(c)中 所签盲文件复制,他也不能(对任何人)证明在此协议中所签的真正文件,而只是知道其签字成立, 并可证实其签字。即使他签了100万个文件,也无从得到所签文件的信息。
第八章 数字签名续 Email:
数字签名的扩展
指定验证者(不可否认)签名 盲签名 多重签名 群签名 代理签名
前言
在数字签字的实际应用当中,一些特殊的场合往往有特殊的要求。因此需要在基本数字签名技 术的基础上进行扩展,以满足这些要求。例如,为了保护信息拥有者的隐私,产生了盲签名;为了实 现签名权的安全传递,产生了代理签名;为了实现多人对同一消息的签名,产生了多重签名等等。
不可否认签名的组成
不可否认签名方案由三部分组成:数字签名算法、验证协议、否认协议。 否认协议(Disavowal Protocol):在签字者合作下才能验证签字,这会给签字者一种机会,在不利于 他时他“拒绝”合作以达到否认他曾签署的文件。为了防止此类事件而引入 。构成签字算法的第三 个组成部分,签字者可利用否认协议向法庭或公众证明一个伪造的签字确是假的;如果签字者拒绝 参与执行否认协议,就表明签字事实上是真的由他签署的。
不可否认签名的算法(初始化)
S为签名者; V为签名的验证者; p和q是满足安全的大素数, q是p-1的大因子,g是域GF(p)的本原元; S拥有公私钥对(x,y),其中y=gx mod p; m为待签名的文件; h是安全的哈希函数;
盲签字协议-安全性讨论
B可以欺诈吗? 是否可以获取有关文件的信息? 若盲因子完全随机,则可保证B不能由(b)中所看到的盲文件得出原文件的信息。即使B将(c)中 所签盲文件复制,他也不能(对任何人)证明在此协议中所签的真正文件,而只是知道其签字成立, 并可证实其签字。即使他签了100万个文件,也无从得到所签文件的信息。
第八章 数字签名续 Email:
数字签名的扩展
指定验证者(不可否认)签名 盲签名 多重签名 群签名 代理签名
前言
在数字签字的实际应用当中,一些特殊的场合往往有特殊的要求。因此需要在基本数字签名技 术的基础上进行扩展,以满足这些要求。例如,为了保护信息拥有者的隐私,产生了盲签名;为了实 现签名权的安全传递,产生了代理签名;为了实现多人对同一消息的签名,产生了多重签名等等。
不可否认签名的组成
不可否认签名方案由三部分组成:数字签名算法、验证协议、否认协议。 否认协议(Disavowal Protocol):在签字者合作下才能验证签字,这会给签字者一种机会,在不利于 他时他“拒绝”合作以达到否认他曾签署的文件。为了防止此类事件而引入 。构成签字算法的第三 个组成部分,签字者可利用否认协议向法庭或公众证明一个伪造的签字确是假的;如果签字者拒绝 参与执行否认协议,就表明签字事实上是真的由他签署的。
不可否认签名的算法(初始化)
S为签名者; V为签名的验证者; p和q是满足安全的大素数, q是p-1的大因子,g是域GF(p)的本原元; S拥有公私钥对(x,y),其中y=gx mod p; m为待签名的文件; h是安全的哈希函数;
现代密码学第8章:数字签名
4
数字签名应满足的要求
① B伪造一个消息并使用与A共享的密 钥产生该消息的认证码,然后声称该消息来 自于A。 ② 由于B有可能伪造A发来的消息,所以 A就可以对自己发过的消息予以否认。 这两种欺骗在实际的网络安全应用中都 有可能发生,例如在电子资金传输中,收方 增加收到的资金数,并声称这一数目来自发 方。又如用户通过电子邮件向其证券经纪人 发送对某笔业务的指令,以后这笔业务赔钱 了,用户就可否认曾发送过相应的指令。
以上过程中,由于Y不知KXA,因此不能直接检查X的 签名,但Y认为消息来自于A因而是可信的。 所以在整个过程中,A必须取得X和Y的高度信任: X相信A不会泄露KXA,并且不会伪造X的签名; Y相信A只有在对EKAY[IDX‖M‖EKXA[IDX‖H(M)]‖T]中 的杂凑值及X的签名验证无误后才将之发给Y; X,Y都相信A可公正地解决争议。 如果A已取得各方的信任,则X就能相信没有人能伪造 自己的签名,Y就可相信X不能对自己的签名予以否认。
30
2.1 DSS的基本方式
首先将DSS与RSA的签名方式做一比较。 RSA算法既能用于加密和签名,又能用于密 钥交换。与此不同,DSS使用的算法只能提 供数字签名功能。图2用于比较RSA签名和 DSS签名的不同方式。
31
RSA 签名
5
数字签名应满足的要求
因此在收发双方未建立起完全的信任关 系且存在利害冲突的情况下,单纯的消息认 证就显得不够。数字签名技术则可有效解决 这一问题。类似于手书签名,数字签名应具 有以下性质: ① 能够验证签名产生者的身份,以及产生签 名的日期和时间。 ② 能用于证实被签消息的内容。 ③ 数字签名可由第三方验证,从而能够解决 通信双方的争议。
数字签名
1.DSA是美国国家技术与标准局在1991时选作为数字 是美国国家技术与标准局在1991 注 1.DSA是美国国家技术与标准局在1991时选作为数字 签名的标准。 签名的标准。 2.DSA类似于Elgamal,但它比Elgamal具有优势 类似于Elgamal,但它比Elgamal 2.DSA类似于Elgamal,但它比Elgamal具有优势 (1)效率更高 (1)效率更高 (2)签名更短 (2)签名更短 3.DSA的安全性依赖于 的安全性依赖于Z 阶子群上的DLP DLP只有指 3.DSA的安全性依赖于Zp﹡的q阶子群上的DLP只有指 数算法. 数算法. 4.DSA的利用大群的小阶子群的思想来源于德国密码 4.DSA的利用大群的小阶子群的思想来源于德国密码 学家Schnorr. 学家Schnorr.
(1)惟密钥攻击下的存在性伪造; (2)已知消息攻击下的存在性伪造; (3)选择消息攻击下的泛伪造。
两类改进的RSA RSA签名方案 8.3 两类改进的RSA签名方案 可通过加盐或使用hash hash函数克服前面对 可通过加盐或使用hash函数克服前面对 教科书式RSA签名方案的攻击. RSA签名方案的攻击 教科书式RSA签名方案的攻击.
安全模型关系图
EU SU UU UB KOA KMA CMA
数字签名设计的最高安全要求是: !数字签名设计的最高安全要求是: 设计的数字签名方案在选择消息攻 击下不可存在性伪造(EU-CMA) 击下不可存在性伪造(EU-CMA).
对教科书式RSA签名的攻击 对教科书式RSA签名的攻击: RSA
8.7 具有特殊功能的数字签名 1.盲签名(blind signature) 需要盲签名的情形:当Bob想让Alice对一个文档签名, 但他又不想让Alice知道这个文档的内容,且Alice在 签署文档后不能将这次签名追踪到Bob时需要盲签名. 盲签名的步骤: (1)Bob对要签署的消息进行盲化, (2)Alice对盲化过的消息进行签名, (3)Bob进行脱盲恢复原来消息的签名.
数字签名密钥管理PPT课件
– 对方(自己)否认发送过或收到过某个报文 – 向对方表明自己的身份
Copyright by © 王鲲鹏
kpwang@
数字签名
• 消息认证基于共享秘密,不能防止抵赖
– 只是2方合作抵抗第3方窜改/假冒
• 共享的秘密不具有排他性质
– 双方有同样的不分彼此地能力;因此对某个报文的存在和 有效性,每一方都不能证明是自己所为,或者是和自己无 关
– MGF mask generation function (output, an octet string)
– mLen <= k-2hLen-2
– L optional label to be associated with the message
• |L| <= 2^61-1 octets for SHA-1
Copyright by © 王鲲鹏
kpwang@
数字签 名的一 般模型
Copyright by © 王鲲鹏
kpwang@
数字签 名过程 机制
Copyright by © 王鲲鹏
kpwang@
无中心数字签名
• 直接使用自己的私钥加密作为签名
Copyright by © 王鲲鹏
kpwang@
13.1a PKCS#1V2.1 Outline
• RSA public key :(n,e)
• RSA private key:(n,d)
ed≡1 mod λ(n)
其中λ是n的(素因子-1)的LCM
• I2OSP (Integer-to-Octet-String primitive)
• RSAES-PKCS1-v1_5 EME-PKCS1-v1_5+RSAEP/RSADP
Copyright by © 王鲲鹏
kpwang@
数字签名
• 消息认证基于共享秘密,不能防止抵赖
– 只是2方合作抵抗第3方窜改/假冒
• 共享的秘密不具有排他性质
– 双方有同样的不分彼此地能力;因此对某个报文的存在和 有效性,每一方都不能证明是自己所为,或者是和自己无 关
– MGF mask generation function (output, an octet string)
– mLen <= k-2hLen-2
– L optional label to be associated with the message
• |L| <= 2^61-1 octets for SHA-1
Copyright by © 王鲲鹏
kpwang@
数字签 名的一 般模型
Copyright by © 王鲲鹏
kpwang@
数字签 名过程 机制
Copyright by © 王鲲鹏
kpwang@
无中心数字签名
• 直接使用自己的私钥加密作为签名
Copyright by © 王鲲鹏
kpwang@
13.1a PKCS#1V2.1 Outline
• RSA public key :(n,e)
• RSA private key:(n,d)
ed≡1 mod λ(n)
其中λ是n的(素因子-1)的LCM
• I2OSP (Integer-to-Octet-String primitive)
• RSAES-PKCS1-v1_5 EME-PKCS1-v1_5+RSAEP/RSADP
节数字签名概要优秀PPT资料
Rabin公钥签名
• 签名:
• 计算 x2 mmodn 的一个平方根s.
• 消息m的签名即为s.
• 验证:
• 若等式 ms2modn 成立,则认为签
名有效,否则认为签名无效。
有关Rabin签名的可能攻击
• 1、利用整数的因子分解 • 要求:选择p和q使得分解n是计算不可行
的任务。
• 2、利用Rabin 的乘性质 • 要求:冗余函数R是非乘性的。
人为小参数的RSA签名
• 签名: 要对消息m=31229978签名,计算:
s m d m o d n 3 1 2 2 9 9 7 8 4 4 3 6 0 2 3 7 m o d 5 5 4 6 5 2 1 9 3 0 7 2 9 4 3 5
• 验证: • 计算
m s e m o d n 3 0 7 2 9 4 3 5 5 m o d 5 5 4 6 5 2 1 9 3 1 2 2 9 9 7 8
DSS数字签名
• 密钥生成:
• 1、素数p,范围是从512到1024位。
• 2、q是p-1的素因子,2159 q2160
• 3、计算 gh(p1)/qmodp其中
1hp 1 , h(p 1 )/qm o dp 1
• 4、随机选择 x ,且 0 x q
• 5、计算 y gx modp
• 6、单向Hash函数:h(x)
•
x 公钥: (p,q,g,y),私钥:
DSS数字签名
• 签名:
• 1、选择随机数k,0<k<q。 (1)选取素数p=7927,q=6997.
2、计算 和
。
(1)选取素数p=7927,q=6997.
r (g mod p)modq, • 2、计算: ElGamal数字签名
《计算机网络技术基础》课件第八章
在对称加密技术中,最为著名的算法是IBM公司研发的数据加密标准(Data Encryption Standard)分组算法。DES使用64位密钥,经过16轮的迭代、乘积变换、压缩变化等处理, 产生64位的密文数据。
8.2 网络加密技术
16
2 非对称加密技术
非对称加密技术使用非对称加密算法,也称为公用密钥算法。在非对称加密算法中,用作 加密的密钥与用作解密的密钥不同,而且解密密钥不能根据加密密钥计算出来。
8.1 网络安全基础
6
概括起来,一个安全的计算机网络应具有以下特征。
(1)完整性
(2)保密性
(3)可用性
• 指网络中的信息 安全、精确和有 效,不因种种不 安全因素而改变 信息原有的内容、 形式和流向,确 保信息在存储或 传输过程中不被 修改、破坏或丢 失。
• 指网络上的保密 信息只供经过允 许的人员,以经 过允许的方式使 用,信息不泄露 给未授权的用户、 实体或过程,或 供其利用。
在网络上传输采用对称加密技术的加密文件时,当把密钥告诉对方时,很容易被其他人窃 听到。而非对称加密方法有两个密钥,且其中的“公钥”是公开的,收件人解密时只要用自 己的“私钥”即可解密,由于“私钥”并没有在网络中传输,这样就避免了密钥传输可能出 现的安全问题。
非对称密码技术成功地解决了计算机网络安全的身份认证、数字签名等问题,推动了包括 电子商务在内的一大批网络应用的不断深入和发展。非对称加密算法的典型代表是RSA算法。
网络安全是指网络系统的硬件、软件及数据受到保护,不遭受偶然的或者恶意的破坏、更 改、泄露,系统能够连续、可靠、正常地运行,网络服务不中断。从本质上讲,网络安全问 题主要就是网络信息的安全问题。凡是涉及网络上信息的保密性、完整性、可用性、真实性 和可控性的相关技术和理论,都是网络安全的研究领域。
8.2 网络加密技术
16
2 非对称加密技术
非对称加密技术使用非对称加密算法,也称为公用密钥算法。在非对称加密算法中,用作 加密的密钥与用作解密的密钥不同,而且解密密钥不能根据加密密钥计算出来。
8.1 网络安全基础
6
概括起来,一个安全的计算机网络应具有以下特征。
(1)完整性
(2)保密性
(3)可用性
• 指网络中的信息 安全、精确和有 效,不因种种不 安全因素而改变 信息原有的内容、 形式和流向,确 保信息在存储或 传输过程中不被 修改、破坏或丢 失。
• 指网络上的保密 信息只供经过允 许的人员,以经 过允许的方式使 用,信息不泄露 给未授权的用户、 实体或过程,或 供其利用。
在网络上传输采用对称加密技术的加密文件时,当把密钥告诉对方时,很容易被其他人窃 听到。而非对称加密方法有两个密钥,且其中的“公钥”是公开的,收件人解密时只要用自 己的“私钥”即可解密,由于“私钥”并没有在网络中传输,这样就避免了密钥传输可能出 现的安全问题。
非对称密码技术成功地解决了计算机网络安全的身份认证、数字签名等问题,推动了包括 电子商务在内的一大批网络应用的不断深入和发展。非对称加密算法的典型代表是RSA算法。
网络安全是指网络系统的硬件、软件及数据受到保护,不遭受偶然的或者恶意的破坏、更 改、泄露,系统能够连续、可靠、正常地运行,网络服务不中断。从本质上讲,网络安全问 题主要就是网络信息的安全问题。凡是涉及网络上信息的保密性、完整性、可用性、真实性 和可控性的相关技术和理论,都是网络安全的研究领域。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
16
盲签名存在问题(举例)
反间谍组织的成员的身份必须保密,甚至连反间谍机构 也不知道他是谁。反间机构的头头要给每个成员一个签字的 文件,文件上注明:持此签署文件人(将成员的掩蔽名字写于 此)有充分外交豁免权。每个成员都有他自己的掩蔽名单。成 员们不想将他们的掩蔽名单送给反间谍机构,敌人也可能会 破坏反间谍机构的计算机。另一方面,反间机构也不会对成 员给他的任何文件都进行盲签字,例如,一个聪明的成员可 能用“成员(名字)已退休,并每年发给100万退休金”进行消 息代换后,请总统先生签字。此情况下,盲签字可能有用。
24
弱盲签名
所谓弱盲签名方案是指签名者S仅知道Sign(R(m))而不知 道Sign(m),但一旦公开Sign(m),S可以建立两者间的联系, 即S能把盲签名Sign(R(m))的行为与文件m的内容关联起来。 如果把文件m看作是一个电子现金,则用户U使用这个电子 现金支付给商家,再由商家到银行兑付时,银行就可以从签 名Sign(m)中了解是U消费的,从而可以追踪U的行为,这显 然不满足不可跟踪性。但是从另一角度看,这种方案可以用 于遗嘱、合同等电子公证,在一段时间内保护信息秘密,在 合适的场合公布有关内容及用户身份。
上讲的主要内容
数字签名的简介 基于RSA数字签名 基于ElGamal数字签名 Schnorr数字签名 基于ECC数字签名
1
第八章 数字签名续
主讲人:马秀文
Email:
数字签名的扩展
指定验证者(不可否认)签名 盲签名 多重签名 群签名 代理签名
3
前言
在数字签字的实际应用当中,一些特殊的场 合往往有特殊的要求。因此需要在基本数字签名技 术的基础上进行扩展,以满足这些要求。例如,为 了保护信息拥有者的隐私,产生了盲签名;为了实 现签名权的安全传递,产生了代理签名;为了实现 多人对同一消息的签名,产生了多重签名等等。
5
不可否认签名简介
这类签名有一些特殊性质,其中最本质的是
在无签字者合作条件下不可能验证签字,从而可
以防止复制或散布他所签文件的可能性,这一性 质使产权拥有者可以控制产品的散发,在电子出 版系统知识产权保护中将有用场。
特点:在得不到签名者配合的情况下其他人不能正确进行
签名验证,即验证时,需由验证者与签名者合作才可证明 其正确性。这样的签名是不允许使用者任意复制的。
r g yh(m,R) 1 mod p(m h(m, R) 1 mod q)
r g y h(m,R) mod p y h(m,R) R mod p(R r g mod p)
27
盲签名在电子投票中的应用
投票者
投票管理中心
身份ID 合法身份号
生成身份号
身份确认协议 公布投票者身份号
投票 签名S(投票)
7
不可否认签名的算法(初始化)
S为签名者; V为签名的验证者; p和q是满足安全的大素数, q是p-1的大因子,g是域 GF(p)的本原元; S拥有公私钥对(x,y),其中y=gx mod p; m为待签名的文件; h是安全的哈希函数;
8
不可否认签名的算法(签名)
签名者S进行如下计算:
1. k , K R [ 1, q ] r g K k mod p R y K mod p
g g(mxk) mod p(s mx k modq) g gk gmx mod p r g ym mod p(r gk mod p, y gx mod p)
r g y(h(m,R) )1 mod p(m (h(m, R) )1 modq)
r g yh(m,R) y mod p yh(m,R)Rmod p(R r g y mod p)
25
弱盲签名(举例)
设U签名的接受者,S为签名者,其拥有公私钥对(x,y),其 中y=gx mod p,m为待签名的文件,U和S的签名过程如下:
U
, R Zq*
R r g mod p
m h(m, R) 1 mod q
签名请求 r
m
S
k R Z q* r g k mod q
sm xkmo qd
17
盲签名实现的方法(举例)
假定每个成员可有10个可能的掩护名字,他们可以自行选用,别人不知 道。假定成员们并不关心在那个掩护名字下他们得到了外交豁免,并假定机 构的计算机为Agency’s Intelligent Computing Engine,简记为ALICE。则 可利用下述协议实现:
(a)每个成员准备10份文件,各用不同的掩护名字,以得到外交豁免权。 (b)成员以不同的盲因子盲化每个文件。 (c)成员将10个盲文件送给ALICE。 (d)ALICE随机选择9个,并询问成员每个文件的盲因子。 (e)成员将适当的盲因子送给ALICE。 (f)ALICE从9个文件中移去盲因子,确信其正确性。 (g)ALICE将所签署10个文件送给成员。 (f) 成员移去盲因子,并读出他的新掩护名字:“The Crimson Streak”, 在该名字下这份签署的文件给了他外交豁免权。
18
盲签名的安全性分析
这一协议在抗反间成员欺诈上是安全的,他必须知道哪个 文件不被检验才可进行欺诈,其机会只有10%。(当然他可以送 更多的文件)ALICE对所签第10个文件比较有信心,虽然未曾 检验。这具有盲签性,保存了所有匿名性。
反间成员可以按下述方法进行欺诈,他生成两个不同的文 件,ALICE只愿签其中之一,B找两个不同的盲因子将每个文 件变成同样的盲文件。这样若ALICE要求检验文件,B将原文 件的盲因子给他;若ALICE不要求看文件并签字,则可用盲因 子转换成另一蓄意制造的文件。以特殊的数学算法可以将两个 盲文件做得几乎一样,显然,这仅在理论上是可能的。
信息
签名验证
是/否
注:将盲变换看作是信封,盲化文件是对文件加个信封,而去掉盲因子过程
是打开信封。文件在信封中时无人可读它,而在盲文件上签字相当于在复写 纸信封上签字,从而得到了对真文件(信封内)的签字。
14
盲签字协议
(a) A取一文件并以一随机值乘之,称此随机值为 盲因子(盲化处理)。
(b) A将此盲文件送给B。 (c) B对盲文件签字。 (d) A以盲因子除之,得到B对原文件的签字。 若签字函数和乘法函数是可换的,则上述作法成 立。否则要采用其它方法(而不是乘法)修改原文件。
2. e h(R,r,m) s k xe mod q
消息m的不可否认签名是 ( s, R , r )
3.签名者的验证:h(R, r, m) e
?
(g s yer)x R
9
不可否认签名的算法(验证)
验证者V
签名者S
a,bR[1,q] ch(gsyer)a.gb modp
ch
h1 , h2
?
S(投票),投票
盲签名 秘密通道
盲签名B(投票)
盲签名除具有一般数字签名的特点外,还有 下面两个特征: (1)签名者无法知道所签消息的具体内容,虽然他 为这个消息签了名。(匿名性) (2)即使后来签名者见到这个签名时,也不能将之 与盲消息对应起来。(不可跟踪性)
13
盲签名的实现过程
签名接受者
信息 盲化处理
信息
签名者
私钥
签名
去盲处理 信息签名
信息盲签名
21
强盲签名(RSA)
设签名人S有公钥(e,n),私钥d,要对用户U的文件m进 行完全盲签名。 (1) U选取随机整数k∈[1,n],盲化m为:t=mke mod n,并将t 发给S。
(2) S签名t: td (mek)d mond。
(3) U对t去盲: std/kmon。d
s是文件m最终的签名,易证 td(m ke)dm dk(m o dn ),
6
不可否认签名的组成
不可否认签名方案由三部分组成:数字签名算法、验证协 议、否认协议。 否认协议(Disavowal Protocol):在签字者合作下才能验证 签字,这会给签字者一种机会,在不利于他时他“拒绝” 合作以达到否认他曾签署的文件。为了防止此类事件而引 入 。构成签字算法的第三个组成部分,签字者可利用否认 协议向法庭或公众证明一个伪造的签字确是假的;如果签 字者拒绝参与执行否认协议,就表明签字事实上是真的由 他签署的。
所以 std/kmdmod。ns的效果相当于签名人S直接
对m签名,但S不知道m的内容。这个协议中,由于S不知道k, 不能从td得到s,从而得不到m。
22
强盲签名(DSA)
设U签名的接受者,S为签名者,其拥有公私钥对(x,y),其中 y=gx mod p,m为待签名的文件,U和S的签名过程如下:
U
签名请求
15
盲签字协议-安全性讨论
B可以欺诈吗? 是否可以获取有关文件的信息?
若盲因子完全随机,则可保证B不能由(b)中 所看到的盲文件得出原文件的信息。即使B将(c) 中所签盲文件复制,他也不能(对任何人)证明在此 协议中所签的真正文件,而只是知道其签字成立, 并可证实其签字。即使他签了100万个文件,也无 从得到所签文件的信息。
验证:gs ymr modpsS s modq签名值(: m, R,S)
验证签名:gS yh(m,R)Rmodp
26
弱盲签名(举例)(正确性)
g S g s mod p(S s mod q)
g g (mxk ) mod p(s mx k mod q) g g k g mx mod p r g ym mod p(r g k mod p, y g x mod p)
20
强盲签名
强盲签名又称为完全盲签名,它的原始定义是指签 名者在文件上签名是有效的,但不能把签署文件的行为 与签署了的文件相关联,即无法建立Sign(R(m))到 Sign(m)的联系。正是这些特点实现了不可追踪性 (untraceable)和匿名性(anonymous),也是盲签名 的重要特色。它主要应用于电子商务中,诸如电子现金 的使用和电子投票等有匿名性要求的领域。完全盲签名 的研究已经比较成熟,如盲RSA签名和盲Schnorr签名 方案是主要的实现方案。下面以最早的RSA盲签名实现 方案为例,介绍强盲签名方案。
盲签名存在问题(举例)
反间谍组织的成员的身份必须保密,甚至连反间谍机构 也不知道他是谁。反间机构的头头要给每个成员一个签字的 文件,文件上注明:持此签署文件人(将成员的掩蔽名字写于 此)有充分外交豁免权。每个成员都有他自己的掩蔽名单。成 员们不想将他们的掩蔽名单送给反间谍机构,敌人也可能会 破坏反间谍机构的计算机。另一方面,反间机构也不会对成 员给他的任何文件都进行盲签字,例如,一个聪明的成员可 能用“成员(名字)已退休,并每年发给100万退休金”进行消 息代换后,请总统先生签字。此情况下,盲签字可能有用。
24
弱盲签名
所谓弱盲签名方案是指签名者S仅知道Sign(R(m))而不知 道Sign(m),但一旦公开Sign(m),S可以建立两者间的联系, 即S能把盲签名Sign(R(m))的行为与文件m的内容关联起来。 如果把文件m看作是一个电子现金,则用户U使用这个电子 现金支付给商家,再由商家到银行兑付时,银行就可以从签 名Sign(m)中了解是U消费的,从而可以追踪U的行为,这显 然不满足不可跟踪性。但是从另一角度看,这种方案可以用 于遗嘱、合同等电子公证,在一段时间内保护信息秘密,在 合适的场合公布有关内容及用户身份。
上讲的主要内容
数字签名的简介 基于RSA数字签名 基于ElGamal数字签名 Schnorr数字签名 基于ECC数字签名
1
第八章 数字签名续
主讲人:马秀文
Email:
数字签名的扩展
指定验证者(不可否认)签名 盲签名 多重签名 群签名 代理签名
3
前言
在数字签字的实际应用当中,一些特殊的场 合往往有特殊的要求。因此需要在基本数字签名技 术的基础上进行扩展,以满足这些要求。例如,为 了保护信息拥有者的隐私,产生了盲签名;为了实 现签名权的安全传递,产生了代理签名;为了实现 多人对同一消息的签名,产生了多重签名等等。
5
不可否认签名简介
这类签名有一些特殊性质,其中最本质的是
在无签字者合作条件下不可能验证签字,从而可
以防止复制或散布他所签文件的可能性,这一性 质使产权拥有者可以控制产品的散发,在电子出 版系统知识产权保护中将有用场。
特点:在得不到签名者配合的情况下其他人不能正确进行
签名验证,即验证时,需由验证者与签名者合作才可证明 其正确性。这样的签名是不允许使用者任意复制的。
r g yh(m,R) 1 mod p(m h(m, R) 1 mod q)
r g y h(m,R) mod p y h(m,R) R mod p(R r g mod p)
27
盲签名在电子投票中的应用
投票者
投票管理中心
身份ID 合法身份号
生成身份号
身份确认协议 公布投票者身份号
投票 签名S(投票)
7
不可否认签名的算法(初始化)
S为签名者; V为签名的验证者; p和q是满足安全的大素数, q是p-1的大因子,g是域 GF(p)的本原元; S拥有公私钥对(x,y),其中y=gx mod p; m为待签名的文件; h是安全的哈希函数;
8
不可否认签名的算法(签名)
签名者S进行如下计算:
1. k , K R [ 1, q ] r g K k mod p R y K mod p
g g(mxk) mod p(s mx k modq) g gk gmx mod p r g ym mod p(r gk mod p, y gx mod p)
r g y(h(m,R) )1 mod p(m (h(m, R) )1 modq)
r g yh(m,R) y mod p yh(m,R)Rmod p(R r g y mod p)
25
弱盲签名(举例)
设U签名的接受者,S为签名者,其拥有公私钥对(x,y),其 中y=gx mod p,m为待签名的文件,U和S的签名过程如下:
U
, R Zq*
R r g mod p
m h(m, R) 1 mod q
签名请求 r
m
S
k R Z q* r g k mod q
sm xkmo qd
17
盲签名实现的方法(举例)
假定每个成员可有10个可能的掩护名字,他们可以自行选用,别人不知 道。假定成员们并不关心在那个掩护名字下他们得到了外交豁免,并假定机 构的计算机为Agency’s Intelligent Computing Engine,简记为ALICE。则 可利用下述协议实现:
(a)每个成员准备10份文件,各用不同的掩护名字,以得到外交豁免权。 (b)成员以不同的盲因子盲化每个文件。 (c)成员将10个盲文件送给ALICE。 (d)ALICE随机选择9个,并询问成员每个文件的盲因子。 (e)成员将适当的盲因子送给ALICE。 (f)ALICE从9个文件中移去盲因子,确信其正确性。 (g)ALICE将所签署10个文件送给成员。 (f) 成员移去盲因子,并读出他的新掩护名字:“The Crimson Streak”, 在该名字下这份签署的文件给了他外交豁免权。
18
盲签名的安全性分析
这一协议在抗反间成员欺诈上是安全的,他必须知道哪个 文件不被检验才可进行欺诈,其机会只有10%。(当然他可以送 更多的文件)ALICE对所签第10个文件比较有信心,虽然未曾 检验。这具有盲签性,保存了所有匿名性。
反间成员可以按下述方法进行欺诈,他生成两个不同的文 件,ALICE只愿签其中之一,B找两个不同的盲因子将每个文 件变成同样的盲文件。这样若ALICE要求检验文件,B将原文 件的盲因子给他;若ALICE不要求看文件并签字,则可用盲因 子转换成另一蓄意制造的文件。以特殊的数学算法可以将两个 盲文件做得几乎一样,显然,这仅在理论上是可能的。
信息
签名验证
是/否
注:将盲变换看作是信封,盲化文件是对文件加个信封,而去掉盲因子过程
是打开信封。文件在信封中时无人可读它,而在盲文件上签字相当于在复写 纸信封上签字,从而得到了对真文件(信封内)的签字。
14
盲签字协议
(a) A取一文件并以一随机值乘之,称此随机值为 盲因子(盲化处理)。
(b) A将此盲文件送给B。 (c) B对盲文件签字。 (d) A以盲因子除之,得到B对原文件的签字。 若签字函数和乘法函数是可换的,则上述作法成 立。否则要采用其它方法(而不是乘法)修改原文件。
2. e h(R,r,m) s k xe mod q
消息m的不可否认签名是 ( s, R , r )
3.签名者的验证:h(R, r, m) e
?
(g s yer)x R
9
不可否认签名的算法(验证)
验证者V
签名者S
a,bR[1,q] ch(gsyer)a.gb modp
ch
h1 , h2
?
S(投票),投票
盲签名 秘密通道
盲签名B(投票)
盲签名除具有一般数字签名的特点外,还有 下面两个特征: (1)签名者无法知道所签消息的具体内容,虽然他 为这个消息签了名。(匿名性) (2)即使后来签名者见到这个签名时,也不能将之 与盲消息对应起来。(不可跟踪性)
13
盲签名的实现过程
签名接受者
信息 盲化处理
信息
签名者
私钥
签名
去盲处理 信息签名
信息盲签名
21
强盲签名(RSA)
设签名人S有公钥(e,n),私钥d,要对用户U的文件m进 行完全盲签名。 (1) U选取随机整数k∈[1,n],盲化m为:t=mke mod n,并将t 发给S。
(2) S签名t: td (mek)d mond。
(3) U对t去盲: std/kmon。d
s是文件m最终的签名,易证 td(m ke)dm dk(m o dn ),
6
不可否认签名的组成
不可否认签名方案由三部分组成:数字签名算法、验证协 议、否认协议。 否认协议(Disavowal Protocol):在签字者合作下才能验证 签字,这会给签字者一种机会,在不利于他时他“拒绝” 合作以达到否认他曾签署的文件。为了防止此类事件而引 入 。构成签字算法的第三个组成部分,签字者可利用否认 协议向法庭或公众证明一个伪造的签字确是假的;如果签 字者拒绝参与执行否认协议,就表明签字事实上是真的由 他签署的。
所以 std/kmdmod。ns的效果相当于签名人S直接
对m签名,但S不知道m的内容。这个协议中,由于S不知道k, 不能从td得到s,从而得不到m。
22
强盲签名(DSA)
设U签名的接受者,S为签名者,其拥有公私钥对(x,y),其中 y=gx mod p,m为待签名的文件,U和S的签名过程如下:
U
签名请求
15
盲签字协议-安全性讨论
B可以欺诈吗? 是否可以获取有关文件的信息?
若盲因子完全随机,则可保证B不能由(b)中 所看到的盲文件得出原文件的信息。即使B将(c) 中所签盲文件复制,他也不能(对任何人)证明在此 协议中所签的真正文件,而只是知道其签字成立, 并可证实其签字。即使他签了100万个文件,也无 从得到所签文件的信息。
验证:gs ymr modpsS s modq签名值(: m, R,S)
验证签名:gS yh(m,R)Rmodp
26
弱盲签名(举例)(正确性)
g S g s mod p(S s mod q)
g g (mxk ) mod p(s mx k mod q) g g k g mx mod p r g ym mod p(r g k mod p, y g x mod p)
20
强盲签名
强盲签名又称为完全盲签名,它的原始定义是指签 名者在文件上签名是有效的,但不能把签署文件的行为 与签署了的文件相关联,即无法建立Sign(R(m))到 Sign(m)的联系。正是这些特点实现了不可追踪性 (untraceable)和匿名性(anonymous),也是盲签名 的重要特色。它主要应用于电子商务中,诸如电子现金 的使用和电子投票等有匿名性要求的领域。完全盲签名 的研究已经比较成熟,如盲RSA签名和盲Schnorr签名 方案是主要的实现方案。下面以最早的RSA盲签名实现 方案为例,介绍强盲签名方案。