【正文】 CDAB89， C=98BADCFE， D=10325476， E=C3D2EIF0。 每一個(gè)循環(huán)模塊還使用一個(gè)常數(shù)值 K，其中四個(gè)模 塊分別使用6162,18,196,8 2 7 9 9 95 4321 DCCAKB B C D CFKE B AEDKAK ???? 。 設(shè) K是一個(gè)域 (可以是有理數(shù)域、實(shí)數(shù)域或者有限域 )， K 和 ?K ，分別為其代數(shù)閉域 和乘法群，橢圓曲線 E(K)定義為 KK? 上滿足 Weierstrass方程的點(diǎn)加上所謂的無(wú)窮遠(yuǎn)點(diǎn)的集合。 (2)方法二 取具有一定特殊性橢圓曲線的系數(shù)，計(jì)算該橢圓曲線的階，對(duì)該階進(jìn)行判斷，直至找到所需要的安全曲線。在政治、軍事、外交等活 動(dòng)中簽署文件，商業(yè)活動(dòng)中鑒定契約、合同，以及日常生活中寫信等，都是采用手寫簽名或蓋印章的方式來起到認(rèn)證和鑒別的作用。 (2)要求二 可驗(yàn)證性。 數(shù)字簽名一般的工作流程是：信息的發(fā)送方首先通過運(yùn)行一個(gè)哈希函燕山大學(xué)本科生畢業(yè)設(shè)計(jì)（論文） 22 數(shù) (hash function ]17[ )，對(duì)要發(fā)送的報(bào)文生成消息摘要，然后用自己的私鑰對(duì)這個(gè)消息 摘要生成數(shù)字簽名，將這個(gè)數(shù)字簽名和報(bào)文一起發(fā)送給接收方。 其正確性可由下面算式證明： 安全性分析 ]13[ ： nKKQnk K GGdnGkKdGm o d*m o dm o d)(1111???????rddGkeGkeGrGrekeGrsGervsGeGGdkKdGGdGdkGKGdKKQv????????????????????????????),()())(()()((21111111122222222222????燕山大學(xué)本科生畢業(yè)設(shè)計(jì)（論文） 24 （ 1）基本的不可偽造性 在該代理簽名協(xié)議 ]12[ 中， B雖然得 到 K 和 1? ，但是他不能推算出 1d ，這是由于從 K 不能得到 k，因此不能獲得 1d ，從而無(wú)法偽造 A 的簽名。 （ 7）可注銷性 A 如果想注銷 B 擁有的代理簽名 ? ，那么 A 可以公布K 不再有效，從而 B 所生成的所有代理簽名隨之失效。 燕山大學(xué)本科生畢業(yè)設(shè)計(jì)（論文） 26 橢圓曲線數(shù)字簽名方案及仿真實(shí)現(xiàn) 根據(jù) ECDSA 的原理 ]14[ ，我們用 C 語(yǔ)言開發(fā)了二元域 上的應(yīng)用程序。 橢圓曲線加密體制的安全性分析 基于模數(shù)運(yùn)算的整數(shù)因式分解問題和離散對(duì)數(shù)問題都存在亞指數(shù)時(shí)間復(fù)雜度的通 用算法。 主要參數(shù)如下。 Output： S=(r,s)為數(shù)字簽名。 （ 4）不可抵賴性 由于任何人都無(wú)法偽造 A 的普通數(shù)字簽名，所以不能否認(rèn)他的有效的普通數(shù)字簽名。 密鑰的生成 （ 1）步驟一 選擇一個(gè)隨即整數(shù) ]1,1[, ?? ndd ii ； （ 2）步驟二 計(jì)算 GdQ ii ? ，若 iQ 的橫坐標(biāo)為 0，則返回（ 1）； （ 3）步驟三 實(shí)體的公鑰為 iQ ，私鑰為 id ； 這里，記原始簽名 A 和代理簽名 B 的公鑰和私鑰對(duì)為 ),)(,( 2211 dQdQ ，其中 GdQGdQ 2211 , ?? 。 數(shù)字簽名方案一般包括三個(gè)過程 :系統(tǒng)的初始化過程、簽名產(chǎn)生過程和簽名驗(yàn)證過程。 它的實(shí)質(zhì)是一種密碼變換。 (4)方法四 首先給出具有安全條件的曲線階，然后構(gòu)造具有此階的橢圓曲線。根據(jù)前面介紹的橢圓曲線加法運(yùn)算，假設(shè)橢圓曲線E上有點(diǎn) P， Q有： kP=Q，此時(shí) ECDLP就可以描述為 :已知 E上的點(diǎn) P， Q，求k使 kP=Q，顯然 E上不是任意兩個(gè)點(diǎn)都有離散對(duì)數(shù)解 k的。 燕山大學(xué)本科生畢業(yè)設(shè)計(jì)（論文） 18 橢圓曲線密碼體制數(shù)學(xué)原理 橢圓曲線的數(shù)學(xué)定義 橢圓曲線的研究來源于橢圓積分： ?)(xEdx （ 32） 這里的 E(x)是 x的三次多項(xiàng)式或四次多項(xiàng)式。四個(gè)循環(huán)體的結(jié)構(gòu)是相似的，但是使用不同的原始邏輯，創(chuàng)門分別是 fl,f2 ,S ,f4 。 此外，如果消息的最后分組剛好 512bit，此時(shí)由于需要加入 64bit的消息長(zhǎng)度，所以還是要再新增加一個(gè)分組，前面填充 100...0共 448bit；如果消息最后分組數(shù)據(jù)長(zhǎng)度大于 448bit，此時(shí)用 100...0填滿 512bit，再新增加一個(gè)分組；在新分組前面填充 000...0共 448bit，最后填寫消息長(zhǎng)度。該算法于 1993年公布為聯(lián)邦信息處理標(biāo)準(zhǔn) FIPS PUB 180。 （注釋） 初始向量?IV 鏈接變量?iCV 個(gè)輸入分組第 iYi ? 壓縮函數(shù)?f 輸入的分組數(shù)?L 散列值長(zhǎng)度?n 輸入分組長(zhǎng)度?b 圖 31 散列函數(shù)總體結(jié)構(gòu) 可以把散列函數(shù)總結(jié)如下： （ 31） 其中散列函數(shù)的輸出是 。 本結(jié)構(gòu)符合大多數(shù)散列函數(shù)的結(jié)構(gòu)，如 MD5， SHA1， RIPEMD160等。少量 有密鑰的散列函數(shù)，可以作為計(jì)算消息的認(rèn)證碼等其他用途，因其有密鑰而具有一定的身份鑒別功能。 數(shù)據(jù)完整性服務(wù)確保：接收到的信息如同發(fā)送的消息一樣，其在傳輸過程中沒有被攻擊或者插入、篡改、重排等。 設(shè)有限域 GF(q)上的多項(xiàng)式為： )(,)( 0111 pGFffxfxfxfxf innnn ????? ?? ? ni ,2,0 ?? , 用 ][xFp 表示系數(shù)取自域 GF(p)的一切多項(xiàng)式的集合。若 ab=ac，用 1?a 互乘等式兩端得 : )()( 11 acaaba ?? ? 根據(jù)結(jié)合律，可知 caabaaaba )()()( 111 ??? ?? ,所以， b=c （ 4）每一元素的逆元是唯一的。 自 19世紀(jì)中葉由拉格朗日、阿貝爾、伽羅瓦等人引入群的概念以來，經(jīng)過一百多年的發(fā)展，群論己經(jīng)成為現(xiàn)代代數(shù)學(xué)的重要分支，其內(nèi)容非常豐富。 設(shè) n為任意正整數(shù)，對(duì)于任意的 Ga? ，定義： nnnn aaeaa aaa )(, 10, ?? ??? ? ?個(gè) 則對(duì)于任意整數(shù) m，有 nmnmmnnm aaaaa ??? ,)( 。 若群 G對(duì)運(yùn)算還滿足交換律，即對(duì)于任意的 ig ， Ggi? ，都有 ig ig =ig ig成立，則稱群 G為交換群或阿貝爾群 (Abel Groups)。 設(shè)有一個(gè)由任意元素 a， b， c...組成的非空集合 G，即 }{ igG? 。對(duì)稱加密系統(tǒng)用鍵長(zhǎng)來衡量加密強(qiáng)度， 40比特的鍵長(zhǎng)被認(rèn)為比 較脆弱， 128比特比較健壯。 二是離散對(duì)數(shù)問題：如果 P是素?cái)?shù)， 9和 M是整數(shù)，找出 x，使得)(modpMgx ? ；還有一種方法，就是基于橢圓曲線的離散對(duì)數(shù)問題。如 RSA算法，密鑰對(duì)中的一個(gè)用于加密，另一個(gè)用于解密。而用私鑰加密文件公鑰解密則是用于簽名，即發(fā)方向收方簽發(fā)文件時(shí)，發(fā)方用自己的私鑰加密文件 傳送給收方，收方用發(fā)方的公鑰進(jìn)行解密。 公開密鑰加密算法與對(duì)稱密鑰加密算法相比來說，安全性能更好，密鑰管 理、分配都容易實(shí)現(xiàn)，其中有些加密算法還能應(yīng)用在數(shù)字簽名上，但是它們相 對(duì)于對(duì)稱密鑰加密算法運(yùn)行速度要慢得多，所以不能加密大量的數(shù)據(jù)。 下面用字母分別表示這個(gè)概念，密鑰 K=Ke,Kd， Ke表示加密密鑰，Kd表示解密密鑰，設(shè)明文 M，密文 c，加密算法 E，解密算法 D。把明文偽裝成密文的過程稱為 (encryption)，該過程使用的 數(shù)學(xué)變換就是加密算法。 密碼學(xué)基本概念 1949年， Shannon發(fā)表了著名論文《保密系統(tǒng)的通信理論》 ]3[ ，把古老的 密碼學(xué)置于堅(jiān)實(shí)的 數(shù)學(xué)基礎(chǔ)之上。所以 ECC特別使用于計(jì)算能力和集成電路空間受限 (如工C智能卡 )、帶寬受限 (如高速計(jì)算機(jī)網(wǎng)絡(luò)通信 )等情況。由于網(wǎng)絡(luò)很容易受到攻擊，導(dǎo)致機(jī)密信息的泄漏，引起重大損失。 (4) 橢圓曲線離散對(duì)數(shù)問題（ ECDLP）比有限域離散對(duì)數(shù)問題（ DLP）困難得多。而關(guān)于橢圓曲線數(shù)字簽名的研究正處于開始狀態(tài)，所以很多問題都沒能有效解決。 數(shù)字 簽名又稱之為數(shù)字簽字、電子簽名、電子簽章等。 目前國(guó)內(nèi)對(duì)于橢圓曲線公鑰的快速實(shí)現(xiàn)、智 能卡應(yīng)用等研究較多。 用 MATLAB 仿真數(shù)字簽名，分析安全性能指標(biāo)。盡我所知，除文中特別加以標(biāo)注和致謝的地方外，不包含其他人或組織已經(jīng)發(fā)表或公布過的研究成果，也不包含我為獲得 及其它教育機(jī)構(gòu)的學(xué)位或?qū)W歷而使用過的材料。 自學(xué) MATLAB 仿真語(yǔ)言，并用 MATLAB 對(duì)某種典型的數(shù)字簽名進(jìn)行仿真，對(duì)其安全性能指標(biāo)進(jìn)行分析。 仿真寫論文答辯。大型信息系統(tǒng)將眾多的計(jì)算機(jī)和只能化設(shè)備連在一個(gè)四通八達(dá)的通信網(wǎng)絡(luò)中，共享豐富的數(shù)據(jù)庫(kù)信息和計(jì)算機(jī)資源，儲(chǔ)存大量的數(shù)據(jù)文件，完成異地之間的數(shù)據(jù)交換與通信。 實(shí)現(xiàn)數(shù)字簽名有很多方法，目前數(shù)字簽名采用較多的是公鑰加密技]1[術(shù) ，如基 TRSA Data Security 中的 PKCS(Public Key Cryptography Standards)， DSA (Digital Signature Algorithm), , POP (Pretty Good 燕山大學(xué)本科生畢業(yè)設(shè)計(jì)（論文） 2 Privacy)。因?yàn)椋? (1) 在有限域 qF 上的橢圓曲線很多，為我們用橢圓曲線構(gòu)造密碼系統(tǒng)提供了豐富的資源。但是綜合瀏覽后，發(fā)現(xiàn)關(guān)于在要進(jìn)行大量安全交易的電子商務(wù)領(lǐng)域中研究比較有限。 目前普遍采用的數(shù)字簽名算法，都是基于下面三個(gè)數(shù)學(xué)難題的基礎(chǔ)之]2[上 ： (1)難題 1 整數(shù)的因式分解 (Integer Factorization)問題，如 RSA算法； (2)難題 2 離散對(duì)數(shù) (Discrete Logarithm)問題，如 ElGamal , DSA , 等算法； (3)難題 3 橢圓曲線 (Elliptic Curve)問題，如 ECDSA算法； 而在眾多算法中，橢圓曲線密碼體制由于具有密鑰長(zhǎng)度短、數(shù)字簽名快、計(jì)算數(shù)據(jù)量小、運(yùn)算速度快、靈活性好等特點(diǎn)，已經(jīng)廣泛地被應(yīng)用。 最后，深 入探討了基于橢圓曲線的數(shù)字簽名體制， 同時(shí)設(shè)計(jì)了一種基 燕山大學(xué)本科生畢業(yè)設(shè)計(jì)（論文） 4 于 ECDSA 算法的數(shù)字簽名 系統(tǒng)，分析了其系統(tǒng)架構(gòu)，并對(duì) ECDSA 數(shù)字簽名進(jìn)行了成功的仿真。密碼分析學(xué)是為了取得秘 密的消息，而對(duì)密碼系統(tǒng)及其流動(dòng)數(shù)據(jù)進(jìn)行分析，是對(duì)密碼原理、手段和方 法進(jìn)行分析、攻擊的 技術(shù)和科學(xué) ]7[ 。相同時(shí)稱為對(duì)稱型或單鑰的，不相同時(shí) 稱為非對(duì)成型或雙鑰的。根據(jù)所基于的數(shù)學(xué)難題來分類，有以下三類系統(tǒng)目前被認(rèn)為 是安全和有效的： (1) 基 于大整數(shù)因子分解的： RSA和 RabinWilliams。但是，若想用這個(gè)乘積來求出另一個(gè)質(zhì)數(shù)，就要進(jìn)行對(duì)大數(shù)分解質(zhì)因 子，分解一個(gè)大數(shù)的質(zhì)因子是十分困難的，若選用的質(zhì)數(shù)足夠大，這種求解幾 乎是不可能的。 公鑰證書和私鑰是用加密文件存放在證書介質(zhì)中，證書 是由認(rèn)證服務(wù)機(jī)構(gòu) CA所簽發(fā)的權(quán)威電子文檔， CA與數(shù)字證書等是公鑰基礎(chǔ)設(shè)施 PKI的主要組成 機(jī)構(gòu)和元素。 因?yàn)?iD 是保密的，所以除了用戶 i之外，他人不能產(chǎn)生 x對(duì)應(yīng)的正確的第 2 章 密碼學(xué)基本理論及基本概念 9 x ； 也就是說，他人不能假冒用戶 i進(jìn)行數(shù)字簽名。實(shí)際上，所有的對(duì)稱密鑰加密算法都采用 Feistel網(wǎng)、 S盒及多次迭代等思 想。較早出現(xiàn)的數(shù)字簽名算法，如 1978年前后提出的 RSA， Rabin等數(shù)字簽名算法，至今還在使用 。 (4) 存在逆元 對(duì)任意 Ga? ，有 Ga ??1 ,使 eaaaa ?? ?? ** 11 ；稱aa,1? 互為逆元。”為“乘法”，稱 a 設(shè) n為任意正整數(shù)，對(duì)于任意的 Ga? ，稱滿足 Ean? 的最小正整數(shù) n為群元 a的階數(shù)。若 e1和 e2都是群 G的單位元，則根據(jù)群的公有： 21221121 eeeeeeee ??? ，則， 。在同構(gòu)意義下，對(duì)任一素?cái)?shù) P和正整數(shù) n，存在且僅存在一個(gè)含廠個(gè)元素的有限域 ，記作 )( npGF 。 數(shù)據(jù)完整性與散列函數(shù) 散列 (Hash)函數(shù)，又稱為哈希函數(shù)、雜湊函數(shù)。 散列函數(shù)原理 散列函數(shù) H(M)，就是把任意長(zhǎng)度的消息 M，通過函數(shù) H，將其變換為一個(gè)固定長(zhǎng)度的散列值 h: h=H(M)。 散列函數(shù)的一般結(jié)構(gòu) 散列函數(shù)是建立在壓縮函數(shù)的基礎(chǔ)之上的，它通過對(duì)消息分組的反復(fù)迭代 壓縮，生成一個(gè)長(zhǎng)度固定的散列值。在算法開始時(shí)，鏈接變量是一個(gè)初始化向量 IV。而需要做 的是要把尋找沖突在計(jì)算上變?yōu)椴豢赡堋? (1)附加填充比特 對(duì)于末尾分組，要求其是 512bit長(zhǎng)度，并且包含 64bit的消息長(zhǎng)度值。 (4)處理報(bào)文分組 處理一個(gè) 512bit的報(bào)文分組比較復(fù)雜。其實(shí)1K 是 3022? 次方取整， 次方取整是 302 23 ?K ， 次方取整是 303 25 ?K ，4K 是 30210? 次方取整。 36242232312 ZaZXaZXaXYZaXY ZaZY ?????? , 其中 Kai? 。 (3)方