1、5.8 不可否認簽名,任何人都可以驗證普通簽名。有時候需要在簽名者參加的情 況下才能進行簽名驗證。滿足這個要求的簽名叫“不可否認簽 名”(Undeniable Signature Scheme)。例如： 1）實體A希望訪問實體B控制的“安全區域”。實體B在授予 實體A訪問權之前，要求A對“訪問時間、日期”進行簽名。實 體A不希望別人了解這個事實，即實體B沒有A的參與不能通 過出示A的簽名及驗證證明“實體A訪問該區域”這一事實,2）某公司A開發的一個軟件包。A將軟件包和他對軟件 包的簽名賣給用戶B，B當場驗證其簽名，以便確認軟件 包的真實性。用戶B決定把該軟件包的拷貝賣給第三者。 由于沒有公司A

2、參與，第三者不能驗證軟件包的真實性。 下面我們介紹1989年Chaum-van Antwerpen提出的不 可否認簽名方案: 密鑰生成 選擇隨機素數 ，q 也是素數。在 中 找 q 階元 ，顯然 是模 p的二次剩余,由生成的群G是 的子群，它由 中全體模p 二次剩 余組成。選擇秘密指數 ，計算 公 布 ，秘密保存私鑰 。 簽名算法 是對消息 m 的簽名. 驗證協議 驗證者 簽名者 隨機選取 計算 驗證 成立接受，否則拒絕,簽名者A想否認一個“由簽名算法構造出來的”合法簽名， 其方式有1）拒絕參與驗證協議；2）錯誤地執行驗證協 議；3）即使驗證協議成功，也斷言簽名是偽造的。對 于前者很明顯，而后

3、兩種情況難以防范，需要否認協議。 通過否認協議確定是否簽名者A試圖否認一個由簽名算 法得出的簽名，還是簽名是偽造的。否認協議由兩遍驗 證協議組成,否認協議（Disavowal Protocol） 驗證者 簽名者 任取 計算 計算 若 則接受是對的簽名。停止協議 否則，取 計算 計算,若 則接受s是對m的簽名 。停止協議 否則計算 進行一致性檢驗 ，若 ，則s是對m的偽造 簽名，若 ，則s是對m合法簽名，簽名者試 圖否認,在上述協議中， (1)如果驗證者和簽名者都遵守協議（正確執行協議）必 有 說明s是m的偽造簽名，即 。 (2)如果 ，則“驗證者把 看作對m的合法簽名” 的概率 (3)如果s是

4、對m的合法簽名，由于簽名者采取不合作的態 度，致使 且 不成立， 否認協議中最后 的概率為,5.9盲簽方案,發送者A送消息M給簽名者B，B簽名之后再還給A。 A可以從B對M的簽名計算出B對m的簽名。在簽名完成 時B既不知道m也不知道自己對m的簽名是什么。由此 看出盲簽的目的是防止簽名者B看到簽名的內容m及B 自己對m的簽名。正因為如此，其后簽名者B無法把被 簽名的信息m與發送者A聯系在一起,D.Chaum在1982年CRYPTO82上提出“用于不 可跟蹤支付的盲簽”一文，它是基于RSA的一種盲 簽方案（Blind Signature Schemes）。主要用在電 子選舉和電子貨幣中。例如顧客A

5、得到銀行B對錢 款m的盲簽名后，自己算出銀行的真正簽名 。 在支付時提交出m和 ，銀行不知道這是顧客A的 一筆消費從而使A保持匿名狀態，即消費行為不受 到監控,盲簽需要以下兩個組成部分： l簽名者B的數字簽名方案， 表示B對m的 簽名； l 只有發送者知道的盲化函數 及復明函數 g。 稱為被盲化的消息，要求,5.9.1基于RSA公鑰密碼系統的 Chaum盲簽協議,密鑰生成 且 ，選擇 使得 B 的公鑰是 私鑰是 盲簽協議 發送者A 簽名者B 隨機選取與 互素的k s是B對m的簽名，即,驗證算法 驗證 。若成立，則驗證了s是B對m的 簽名，否則拒絕,5.9.2基于離散對數的盲簽方案,方案一 密鑰

6、生成 簽名者選擇兩個大素數p,q， 在 上 離散對數問題是難解問題。 是 的q階元。選取私鑰x， 令 ， 為公鑰。 盲簽協議 盲簽由簽名者開始，簽名者最終沒有得到關 于信息m的簽名信息,發送者 簽名者 任取 任取 計算 計算 利用自己的私鑰 計算 計算 是對m的ElGamal簽名,驗證算法 驗證 。若成立，則接受 是對m的簽名。否則拒絕。 方案二 除了加進一個哈希函數H外，與方案一的密鑰生成階段相同。 發送者 簽名者 隨機選擇 ， 計算 隨機選擇 計算,隨機選擇 計算,計算,驗證 若成立，計算 是對m的簽名,驗證算法,5.10 群體數字簽名,1990年EUROCRYPT91由D.Chaum首次

7、提出群體數字 簽名的概念和算法。群體數字簽名可以與一個可信中心共 同工作，它的的特點是： （1） 只有群體的成員可以代表該群體簽發消息。 （2） 接收者對于收到的簽名可以驗證它是該群體的合 法簽名。 （3） 在發生爭執時，借助一個可信機構識別出簽名的群 體成員,群體數字簽名算法由簽名算法、驗證算法、識別算法組成 可信中心選取大素數p,使 上的離散對數是難解問題。g是 的生成元。群體中第i個成員有一個基本密鑰 ，對應 的公鑰是 ， 。可信中心為成員i選取隨機數 作為盲化因子，并將盲化公鑰 ， 以隨機排序后公布出去。可信中心保存一張群體成員姓名、 基本公鑰、盲化公鑰表,群體中第i個成員的私鑰是 公鑰 。 可以使用EIGamal等簽名算法進行簽名。接收者收到消 息的簽名后，使用公