计算机系统安全课件第5章数字签名技术.ppt

数字签名的基本原理
数字签名标准（DSS）
RSA签名
DSS签名方案
5. 5 盲签名及其应用
多重签名及其应用
定向签名及其应用
世界各国数字签名立法状况
美国国防通信、截获和破译国外政府的秘密通信负有责任。
NSA在美国的保密技术领域扮演着垄断者的身份。它的使命使它必须紧紧把握关键技术，努力保持它的垄断地位并由此抑制保密技术的私有化、非政府化发展和传播。
返回本节
4. NSA的发展
NSA保持它的垄断地位的努力并已延伸到出口和商业政策。
1995年美国政府和NSA一起支持Clipper Chip的新型加密芯片并在芯片里留了一个“***”。
国会在通过1987年《计算机安全条例》和民用领域保密技术革新限制时，希望限制NSA对机密领域的扩张。
返回本节
1. DSS签名的修改
DSS签名为计算和核实数字签名指定了一个数字签名算法（DSA）。
2. DSS签名的进展
DSS签名使用FIPS180-1和安全hash标准（SHS）产生和核实数字签名。它提供了一个强大的单向hash算法，该算法通过认证手段提供安全性。
返回本节
1. 安全参数
令n=pq，p和q是大素数，选e并计算出d，使e*d = 1 mod (p-1) (q-1)，公开n和e，将p，q和d保密。则所有的RSA参数为K=(n,p,q,e,d)。
返回本章首页
2. 数字签名
对消息 M Є Zn 定义 ：
S = sig(M) = Md mod n
为对M的签名。
3. 签名验证（与RSA的公密钥恰好相反）
对给定的M，S可按下式验证：
设M’=Se mod n，如果M = M’，则签名为真。
否则，不接受签名。
显然，由于只有签名者知道d，由RSA体制可知，其他人不能伪造签名，但容易证实所给任意（M,S）对是不是消息M 和相应的签名所构成的合法对。
返回本节
例5-1 在RSA签名方案中，p=251,q=503
则，n=251*503=126253
Z=（251-1）*（503-1）=125500
取b=2957，则a = 2957 -1 mod 125500 = 5093
其中，b是公钥，a是私钥，则对明文x=5601实施RSA签名
Sigk (x) = 56015093 mod 126253 = 5093
对（5601,5093）进行验证：
Verk (x,y) =true 《==》 50932957 mod 126253 =5601
所以（5601,5093）合法的RSA签名。
对（2005，2006）进行验证：
Verk (x,y) =false 《==》 20062957 mod 126253 =23717
所以（2005,2006）不是合法的RSA签名。
Elgamal签名方案
DSS签名方案
1．体制参数
p：一个大素数，可使Zp中求解离散对数为困难的问题。
g：是Zp中乘群Z*p 的一个生成元或本原元素。
M：消息空间为Z*p 。
S：签名空间为 Z*p  Zp-1。
X：用户密钥 x Є Z*p ，公钥为 y=gx mod p。
安全参数为： k=(p,g,x,y) ，其中p,g,y为公钥，x为秘密密钥。
返回本章首页
2．签名过程
给定消息，发送端用户进行下述工作：
（1）选择秘密随机数k Є Z*p 。
（2）计算压缩值H（M），并计算：
r=gk mod p
S=(H(M)-xr)k-1 mod (p-1)
（3）将Sig(M,k) = (M,r,s)作为签名，将(M,r,s)送给对方。
3．验证过程
收信人收到(M,r,s) ，先计算H(M)，并按下式验证签名。
yrrs= g H(M) mod p
这是因为yrrs grxgsk=g(rx+sk) mod p，由于上式有 ：(rx+sk)+H(M) mod (p-1)
故有： yrrs= g H(M) mod p
在此方案中，对同一消息M，由于随机数K不同而有不同的签名值 (M,r,s) 。
返回本节
设p是512位的素数，Zp上的离散对数问题是一个难解问题，q是一个160位的素数，且满足：
q t（p – 1）
取 ，满足：
αq ≡ 1 mod p
签名算法：
sigk（x，t）=（γ，δ）
其中：
γ =（a’ mod p）m