密码学 - 第6章数字签名

发表于2024-07-20|更新于2026-05-04|密码学

|浏览量:

第6章：数字签名

数字签名的基本概念

背景

在政治、军事、外交、商业以及日常事务中，签名用于认证、核准、生效。在电子世界里，需要数字签名来替代手写签名，实现对数字信息的签名。

特性

不可伪造性：只有签名者能生成合法签名。
认证性：接收者可以确认签名来自签名者。
不可重复使用性：一个消息的签名不能用于其他消息。
不可修改性：签名后的消息不能被修改。
不可否认性：签名者不能否认自己的签名。

数字签名方案组成

包含签名算法和验证算法。
签名算法输入签名者的私钥和消息，输出消息的数字签名。
验证算法输入签名者的公钥、消息和签名，输出真或伪。

数字签名方案分类

按用途：普通数字签名、盲签名、不可否认签名、群签名、代理签名等。
按消息恢复功能：具有消息恢复功能和不具有消息恢复功能。
按随机数使用：确定性数字签名和随机化数字签名。

RSA数字签名

RSA算法描述

密钥生成
- 选择两个大素数 $ p $ 和 $ q $。
- 计算 $ n = pq $ 和欧拉函数 $ \phi(n) = (p-1)(q-1) $。
- 选择整数 $ e $，满足 $ 1 < e < \phi(n) $ 且 $ \gcd(e, \phi(n)) = 1 $。
- 计算 $ d $，使得 $ ed \equiv 1 \mod \phi(n) $。
- 公钥为 $ (e, n) $，私钥为 $ d $。
签名
- 对于消息 $ m $，签名为 $ s \equiv m^d \mod n $。
验证
- 对于消息签名对 $ (m, s) $，如果 $ m \equiv s^e \mod n $，则 $ s $ 是 $ m $ 的有效签名。

RSA数字签名的缺陷

伪造签名：任何人可以伪造随机消息 $ m $ 的签名 $ s $，方法是先选取 $ s $，再用公钥 $ (e, n) $ 计算 $ m \equiv s^e \mod n $。
签名同态性：若已知 $ m_1 $ 和 $ m_2 $ 的签名分别为 $ s_1 $ 和 $ s_2 $，则 $ m_1m_2 $ 的签名为 $ s_1s_2 $。
签名消息长度限制：每次只能对 $ \log_2 n $ 位长的消息进行签名。

引入Hash以解决上述缺陷

签名前先对消息进行Hash变换，对变换后的消息签名。签名为 $ s \equiv h(m)^d \mod n $。验证时，先计算 $ h(m) $，再检查 $ h(m) \equiv s^e \mod n $ 是否成立。

其他数字签名方案

ElGamal签名方案

参数与密钥生成
- 选择大素数 $ p $ 和本原元 $ g $。
- 随机选择整数 $ x $，计算 $ y \equiv g^x \mod p $。
- 公钥为 $ y $，私钥为 $ x $。
签名
- 对于消息 $ m $，随机选择整数 $ k $，计算 $ r \equiv g^k \mod p $， $ s \equiv (h(m) - xr)k^{-1} \mod (p-1) $。
- 签名为 $ (r, s) $。
验证
- 对于签名对 $ (m, (r, s)) $，验证 $ y^r r^s \equiv g^{h(m)} \mod p $ 是否成立。

Schnorr签名方案

基于离散对数问题，生成签名时选择随机数使得签名不可预测。

Neburg–Rueppel签名方案

类似于ElGamal签名，基于离散对数问题的随机化数字签名方案。

基于身份的签名方案

Shamir签名方案：基于身份的签名，利用身份信息生成签名。
Cha-Cheon签名方案：改进的基于身份的签名方案，增强了安全性。

特殊用途的签名方案

代理签名：允许原始签名者委托代理签名者代签。
多重签名：多个签名者对同一消息共同签名。
盲签名：签名者对盲化后的消息签名，不知道消息内容。
环签名：一组签名者中的任何一个可以代表群体签名，无法识别具体签名者。

数字签名标准（DSS）

DSS算法

1991年NIST提出，基于ElGamal和Schnorr签名方案，安全性基于离散对数问题。
只可用于签名，不可用于加密。

参数与密钥生成

选择素数 $ p $ 和 $ q $，其中 $ q $ 是 $ p-1 $ 的因子。
选择生成元 $ g $，随机选取私钥 $ x $，计算公钥 $ y \equiv g^x \mod p $。

签名

对消息 $ m $，随机选择整数 $ k $，计算 $ r \equiv (g^k \mod p) \mod q $， $ s \equiv k^{-1}(h(m) + xr) \mod q $。
签名为 $ (r, s) $。

验证

计算 $ w = s^{-1} \mod q $， $ u_1 = h(m)w \mod q $， $ u_2 = rw \mod q $， $ v = (g^{u_1} y^{u_2} \mod p) \mod q $。
验证 $ v = r $ 是否成立。

文章作者: moyuan

文章链接: https://moyuan10086.github.io/2024/07/20/%E5%AF%86%E7%A0%81%E5%AD%A6-%E7%AC%AC6%E7%AB%A0-%E6%95%B0%E5%AD%97%E7%AD%BE%E5%90%8D/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Moyuan"s website！

相关推荐

密码学题目 - DSS数字签名标准

在数字签名标准DSS中，设q=13，p=4q+1=53，g=16，签名者的私钥x=3，公钥y=16^3 mod 53=15，消息m的Hash值为5，试给出选取随机数k=2时的签名和验证过程。在数字签名标准（DSS）中，签名和验证过程涉及计算签名值和验证签名的有效性。让我们一步步进行计算。给定参数 q = 13 p = 4q + 1 = 4 \times 13 + 1 = 53 g = 16 私钥 x = 3 公钥 y = 16^3 \mod 53 = 15 消息的 Hash 值 h(m) = 5 随机数 k = 2 签名过程计算 r r = (g^k \mod p) \mod q代入已知值： r = (16^2 \mod 53) \mod 13计算 16^2 \mod 53： 16^2 = 256然后取模 p： 256 \mod 53 = 44然后取模 q： 44 \mod 13 = 5所以，r = 5。计算 s s = k^{-1} (h(m) + xr) \mod q这里，k^{-1} 是 k 的模逆元，满足 k \times k^{-1} \equiv...

密码学题目 - LFSR流密码破译

设一个流密码算法使用了一个GF(2)上的8级线性反馈移位寄存器作为密钥流生成器，已知明文0110000101101100的密文为1011010000010011，试破译该密码算法。解密过程：使用线性反馈移位寄存器（LFSR）破译流密码已知条件明文：\text{01100001 01101100} 密文：\text{10110100 00010011} 根据流密码的工作原理，密文是通过明文和密钥流进行按位异或生成的。因此，密钥流可以通过明文和密文进行异或恢复： \text{密钥流} = \text{明文} \oplus \text{密文}计算密钥流第一部分： 01100001 \oplus 10110100 = 11010101第二部分： 01101100 \oplus 00010011 = 01111111因此，密钥流为： \text{11010101 01111111}构造LFSR的状态LFSR状态可以表示为一个矩阵形式，通过线性方程组来恢复状态。已知初始状态s_0 到s_7： s_0 = 1, s_1 = 1, s_2 = 0, s_3 = 1, s_4 = 0, s_...

密码学 - 第7章身份认证与访问控制

第7章：身份认证与访问控制基于生物特征识别的身份认证基于生物特征的身份认证通过人体固有的生理或行为特征进行身份验证，分为身体特征和行为特征。常用的生物特征识别技术指纹识别优点：指纹是人体独一无二的特征。识别速度快，使用方便。手指与指纹采集头相互接触，更成熟。采集头体积小，价格低廉。缺点：成像质量与识别技术的限制。指纹库规模的限制。指纹采集在采集头上留下印痕，使得复制成为可能。掌纹识别优点：特征丰富、旋转不变性和唯一性。终身不变，不易仿造。采集设备成本较低，图像质量稳定。不涉及隐私，易于推广。容易与其他特征结合，实现一体化识别。人脸识别应用系统：嵌入式系统、服务器、个人电脑。研究内容：脸检测、脸表征、脸鉴别、表情/姿态分析、生理分类。声音识别优点：语音获取方便，接受度高。获取语音的成本低廉。适合远程身份确认。算法复杂度低。不涉及隐私问题。声纹识别：说话人辨认、说话人确认、说话人探测/跟踪。虹膜识别特点与依据：虹膜的纤维组织细节复杂而丰富，具有极大的随机性。具有因人而异...

密码学 - 第4章公钥密码

第4章：公钥密码公钥密码的基本原理公钥密码的基本概念历史背景 1976年，Diffie和Hellman在”密码学的新方向”一文中首次提出了公钥密码体制的思想。公钥密码的基本概念公钥密码体制与对称密码体制完全不同，使用数学函数而不是代替和置换。公钥密码算法是非对称的，使用两个独立的密钥：公钥和私钥。公钥密码体制在消息的机密性、密钥分配和认证方面具有重要意义。优势密钥分配：公钥可以通过公开信道传输，而对称密码体制需要通过安全的秘密通道共享密钥，代价较大。密钥管理：在N个用户的系统中，每个用户只需安全保管自己的私钥和N-1个其他用户的公钥，整个系统仅需维护N个公钥；而对称密码体制中，每个用户需使用n-1个密钥，总密钥数量为n(n-1)/2。数字签名：提供类似书面手写签名的方法，确保数字签名出自某特定人，并且各方对此无异议。对称密码体制中难以解决陌生人之间的身份认证问题。原理公钥密码体制在加密和解密时使用不同的密钥：公钥用于加密，私钥用于解密。公钥是公开信息，不需要保密，私钥需保密。给定公钥，要计算出私钥在计算上是不可行的。这样的通信无需双方预...

密码学题目 - RSA签名方案

在RSA签名方案中，设p=7，q=17，公钥e=5，消息m的Hash值为19，试计算私钥d并给出对消息的签名和验证过程。求私钥 d 的计算过程已知参数： p = 7 q = 17 n = p \times q = 7 \times 17 = 119 \phi(n) = (p - 1) \times (q - 1) = 6 \times 16 = 96 公钥 e = 5 我们需要找到私钥 d，满足： d \equiv e^{-1} \mod 96即： 5 \times d \equiv 1 \pmod{96}5×d 与 1 在模 96 下是同余的使用扩展欧几里得算法求解逆元扩展欧几里得算法步骤：使用欧几里得算法找到 e 和 \phi(n) 的最大公约数： 96 = 5 \times 19 + 1这里我们得到了 1 = 96 - 5 \times 19。改写成扩展欧几里得算法形式： 1 = 96 - 5 \times 19即： 1 = 96 \times 1 - 5 \times 19从而： 1 \equiv -5 \times 19 \pmod{96}因此： d...

密码学 - 第1章密码学概述

密码学概述第1章：密码学概述密码学基础密码学的基本概念密码学：研究在有敌手的情况下如何隐密地传递信息的科学，常被认为是数学和计算机科学的分支。密码编码学：对消息进行变换，以保证消息在信道传输过程中不被窃取、篡改和利用。密码分析学：破译和分析密码体制。基本概念明文（m）：要变换的消息密文（c）：变换后的消息密钥（k）：秘密参数加密（E）：将明文变换成密文的过程解密（D）：由密文恢复出明文的过程密码体制分类按密钥数量：对称密码体制：加密密钥和解密密钥相同或可相互推导。非对称密码体制：加密密钥和解密密钥不同，且难以从一个密钥推导出另一个密钥。按加密方式：流密码：按位加密明文。分组密码：将明文分成定长的块进行加密。密码体制分析安全性要求机密性（Confidentiality）：保证信息仅供授权者使用。完整性（Integrity）：信息在传输或存储过程中不能被破坏。认证性（Authentication）：保证消息来源和通信实体的真实性。不可否认性（Non-repudiation）：防止通信方对行为的否认。密码体制的攻击方法...