1、第十講 數字簽名1 這一講考慮設計用于模擬手寫簽名的數字簽名技術。一條消息的數字簽名是一個依賴于僅簽名者知曉的秘密而產生的數字，并需附加被簽名的消息。數字簽名必須可以被驗證：如果任何一方對文件的簽名的真實性產生爭議(導致的原因可能是不誠實的簽名者想否認自己產生的簽名，或者是認證者提出欺詐的權利要求)，一個公正的第三方就可以公平的解決這一問題，而不需要獲得簽名者的秘密 (秘密密鑰)。2 數字簽名有很多應用，包括：認證，數據真實性，和不可否認。數字簽名的一個非常重要應用是在大規模網絡上的公鑰數字證書。數字證書是可信第三方將用戶身份與其的公開密鑰綁定的方法，在此之后，其它實體認證公開密鑰的時候都不需

2、要可信第三方的協助。3 數字簽名的概念和用途在實用數字簽名技術產生之前就為人們所認識。第一個數字簽名方法是RSA數字簽名方案，它至今仍然是最為實用數字簽名技術。后續的研究也給出非常豐富的各種數字簽名方法。這些技術常常在功能性和執行性方面提供了相當大的改進。4本講提要 RSA簽名方案 ElGamal族簽名方案 生日攻擊51 RSA數字簽名方案1.1 算法描述61.1 算法描述(續)71.1 算法描述(續)81.2 例子91.3 RSA 簽名的可能攻擊1.3.1 整數分解101.3.2 RSA的乘法特性111.3.2 RSA的乘法特性(續)121.3.2 RSA的乘法特性(續)131.4 RSA

3、簽名的執行1.4.1 分塊問題141.4.1分塊問題(續)151.4.1分塊問題(續)161.4.1分塊問題(續)171.4.1分塊問題(續)181.4.1分塊問題(續)19 1.4.2 短消息與長消息 由于簽名和消息的規模相當，這在消息長的情況下非常不利。為了解決這一問題，通常采用hash函數。簽名方案只作用于消息的hash函數值，而不是消息的本身。在這種情況下，使用冗余函數R保障簽名方案安全就不再需要。201.4.2 短消息與長消息 (續)211.4.3 簽名產生和認證的執行特征22 1.4.4 參數選擇 當需要的簽名有長的生命周期或關系到整個網絡安全時，模的長度應該至少為1024比特。慎

4、重的態度是關注分解整數的進展，以便隨時調整相應參數的選擇。 目前，沒有RSA簽名方案選擇小公開指數e，如3或216+1存在安全漏洞的報道。但不推薦通過限制秘密指數d來達到改善簽名操作效率的方法。23 1.4.5 關于系統參數 每個實體必須使用不同的RSA模進行簽名；在整個系統中使用一個模的方法不安全。但是，在很多應用中，整個系統可以選擇相同的公開指數e。242 ElGamal族簽名方案 有一大類簽名方案是在mod p 算術結構上建立的，這里p是大素數，但是所有這些機制都可以推廣到有限乘法群。這里討論的所有方法都是隨機數字簽名方案。所有方案安全的基本要求是mod p上的離散對數問題不可計算。但是

5、，這一條件并不是保證這些方案安全的充分條件。25 2.1 數字簽名算法 1991年8月，美國國家標準與技術研究所(NIST)提出了數字簽名算法(DSA)。DSA成為美國聯邦信息處理標準(FIPS 186)稱為數字簽名標準(DSS)，這是第一個為政府所認可的數字簽名方案。DSA是ElGamal數字簽名方案的一種形式。262.1.1 算法描述272.1.1 算法描述 (續)282.1.1 算法描述 (續)292.1.2 例子302.1.3 DSA的安全與執行問題312.1.3 DSA的安全與執行問題(續)322.1.3 DSA的安全與執行問題(續)332.2 ElGamal簽名算法2.2.1 算法描述342.2.1 算法描述 (續)352.2.1 算法描述 (續)362.2.2 例子372.2.3 ElGamal簽名安全382.2.3 ElGamal簽名安全(續)392.2.3 ElGamal簽名安全(續)402.2.3 ElGamal簽名安全(續)412.2.4 ElGamal簽名的效能問題422.2.4 ElGamal簽名的效能問題(續)432.2.5 ElGamal方案的變化形式442.3 Schnorr 簽名方案2.3.1 算法描述 452.3.1 算法描述(續)462.3.2 例子472.3.3 效能問題482.4 消息恢復與消息添加493 生日攻