【正文】 。 A將軟件包和他對軟件包的不可否認簽名賣給用戶 B。 B當場驗證 A的簽名，以便確認軟件包的真實性。用戶 B想把該軟件包的拷貝私自賣給第三者。由于沒有公司 A參與，第三者不能驗證軟件包的真實性。從而保護了公司 A的利益 58 不可否認數(shù)字簽名 Chaum和 van Antwerpen在 1989年提出的不可否認數(shù)字簽名方案 ? (1) 密鑰生成 ? (2) 簽名算法 對消息 m的簽名是 : s=mx mod p。 59 不可否認數(shù)字簽名 ? (3) 驗證協(xié)議 ? 假設簽名者 A想否認一個“由簽名生成算法構(gòu)造出來的”合法簽名，其方式有：①拒絕參與驗證協(xié)議；②錯誤地執(zhí)行驗證協(xié)議；③即使驗證協(xié)議成功，也斷言簽名是偽造的。對于前者很明顯，而后兩種情況難以防范。使用“否認協(xié)議”（ disavowal protocol）能夠確定是簽名者 A試圖否認一個由簽名算法得出的簽名，還是簽名本身是偽造的。否認協(xié)議由兩遍驗證協(xié)議組成。 60 不可否認數(shù)字簽名 ? (4) 否認協(xié)議 進行一致性檢驗，若 C=C?，則 s是對 m的偽造簽名； 若 C?C?，則 s是對 m的合法簽名，簽名者試圖否認 . 2 1 2 1( ) m o d , ( 39。 ) m o d ,x x x xC w a p C w a p?? ???否 則 計 算 ：61 不可否認數(shù)字簽名 ? 否認協(xié)議的性質(zhì) ?性質(zhì) 1 如果驗證者和簽名者都正確執(zhí)行協(xié)議，則必有C=C?，說明 s是對 m的偽造簽名，即 p ms x m o d?? 性質(zhì) 2 ? 性質(zhì) 3 62 盲簽名 ? 對于前面介紹的數(shù)字簽名，簽名者知道所簽名的消息。但在數(shù)字現(xiàn)金、電子投票等應用領(lǐng)域，要求簽名者不能知道所簽名的消息。 ? 簽名者對所簽署消息和對消息的簽名都不可見的數(shù)字簽名稱為盲簽名（ blind signature） ? 盲簽名由 D. Chaum在 1982年首次提出 63 盲簽名 ? 盲簽名過程 ?A是消息 m的擁有者 , 稱為求簽名者 ?B稱為簽名者 ?盲簽名需要兩個基本構(gòu)件： ?1) 求簽名者 A知道的盲化函數(shù) f 及脫盲函數(shù) g。 f與 g必須滿足： g(SB(f(m)))=SB(m)。 ?2)簽名者 B的數(shù)字簽名方案 SB。 64 盲簽名 ? 考慮盲簽名在電子貨幣中的應用，例如顧客 A得到銀行B對錢款 m的盲簽名后，自己算出銀行的真正簽名 SB(m)。在支付時提交出 m和 SB(m)，銀行能驗證 SB(m)是否為 m的合法簽名，但不知道這是誰的一筆消費。從而使 A保持匿名狀態(tài)，即消費行為不受到監(jiān)控。 65 — 基于 RSA公鑰密碼系統(tǒng)的 Chaum盲簽名 ? Chaum提出的盲簽名方案是基于 RSA公鑰密碼系統(tǒng)的 ? (1) 密鑰生成 : 選取素數(shù) p、 q，令 nB=p?q， 1bB?(nB)且 gcd(bB, nB)=1，隨機選取 1aB?(nB)使得 aB?bB≡1 mod ? (nB)。 簽名者 B的公鑰是（ nB， bB），私鑰是 aB。 66 — 基于 RSA公鑰密碼系統(tǒng)的 Chaum盲簽名 ? (2)盲簽名協(xié)議：設需簽名的消息為 m ? (3)盲簽名 驗證算法 67 — 基于離散對數(shù)問題的盲簽名 ? 瑞士學者 J. Lcamenisch, J. M. Pivetean提出了基于離散對數(shù)問題的盲簽名 ? (1) 密鑰生成 : 簽名者選擇兩個大素數(shù) p， q， q|(p?1)，在 Zp*上離散對數(shù)問題是難解問題。 a是 Zp*的 q階元。選取私鑰 x，令 y=ax mod p，（ p， q， a， y）為公鑰。 68 — 基于離散對數(shù)問題的盲簽名 ? (2)盲簽名協(xié)議：設 A需簽名的消息為 m，盲簽名由簽名者 B開始 ? (3)盲簽名 驗證算法 69 第 6章 數(shù)字簽名 ? 數(shù)字簽名概念 ? RSA數(shù)字簽名體制 ? ElGamal數(shù)字簽名體制 ? 其它數(shù)字簽名方案 ? 數(shù)字簽名標準 ? 應用 70 美國數(shù)字簽名標準 ? 數(shù)字簽名標準（ DSS: Digital Signature Standard）由美國國家標準技術(shù)研究所（ NIST）于 1991年提出，并于1994年正式成為美國聯(lián)邦信息處理標準（ FIPS PUB186），這標志著數(shù)字簽名已得到政府的支持。 DSS使用的簽名算法稱為數(shù)字簽名算法（ DSA: Digital Signature Algorithm）。 2022年 1月美國政府將 RSA和橢圓曲線密碼引入數(shù)字簽名標準 DSS，進一步豐富了 DSS的算法。目前， DSS的應用已十分廣泛，并被多個國際標準化組織采納作為標準。美國的一些州已經(jīng)通過相關(guān)法律，正式承認數(shù)字簽名的法律意義。這是數(shù)字簽名得到法律支持的重要標志。 71 美國數(shù)字簽名標準 ? (1) 算法參數(shù) : DSA使用的參數(shù)如下 ?p， q， g是公開參數(shù)，可為一組用戶公用 ?x和 y分別為一個簽名者的私鑰和公鑰，私鑰 x用于產(chǎn)生簽名，必須保密 ?所有這些參數(shù)可在一定時間內(nèi)固定 72 美國數(shù)字簽名標準 ? (2) 簽名算法： 設 SHA是一個安全 hash函數(shù) 73 美國數(shù)字簽名標準 ? (3) 驗證算法 74 俄羅斯數(shù)字簽名標準 ? 1994年俄羅斯頒布了自己的數(shù)字簽名標準（ GOST），1995年啟用，官方稱為 GOST ?94。 GOST算法使用的單向 Hash函數(shù) H(x)是在分組密碼算法 GOSY ? (1) 算法參數(shù) : DSA使用的參數(shù)如下 75 俄羅斯數(shù)字簽名標準 ? (2) 簽名算法： 設要簽名的消息為 M，簽名過程如下 76 俄羅斯數(shù)字簽名標準 ? (3) 驗證算法： 接收者收到（ M， r， s）后，按以下步驟驗證簽名的有效性 77 第 6章 數(shù)字簽名 ? 數(shù)字簽名概念 ? RSA數(shù)字簽名體制 ? ElGamal數(shù)字簽名體制 ? 其它數(shù)字簽名方案 ? 數(shù)字簽名標準 ? 應用 78 應用 ? 對于電子郵件的安全性，主要有兩個要求：其一是確保只有收信人才能閱讀信件內(nèi)容；其二收信人能夠判斷信件確由發(fā)信人發(fā)送，而未被別人偽造、或篡改。 ? 目前應用最多的安全電子郵件系統(tǒng)是 PGP（ pretty good privacy）。 PGP是一種基于 Inter的保密電子郵件軟件系統(tǒng)，能提供郵件加密、數(shù)字簽名、認證、數(shù)據(jù)壓縮和密鑰管理功能，它是由美國 Phi Zimmermann開發(fā)的。由于 PGP系統(tǒng)功能強大，使用方便，所以在 Windows、Unix和 Mashintosh平臺上得到廣泛應用。 ? PGP采用 ZIP壓縮算法對郵件數(shù)據(jù)進行壓縮，采用 IDEA對壓縮后的數(shù)據(jù)進行加密，采用 MD5對郵件數(shù)據(jù)進行散列處理，采用 RSA對郵件數(shù)據(jù)的散列值進行數(shù)字簽名，采用支持公鑰證書的密鑰管理，采用先簽名后加密的數(shù)字簽名方案 79 應用 ? PGP發(fā)送數(shù)據(jù)的過程 ?Kd—— 發(fā)送者的 RSA私鑰 ?K —— IDEA密鑰 ?Ke—— 接收者的 RSA公鑰 ?BASE 64碼制轉(zhuǎn)換 —— 將 8bit字節(jié)流變?yōu)?ASCII碼 80 應用 ? PGP發(fā)送數(shù)據(jù)的過程 ?（ 1）對郵件數(shù)據(jù) M使用 MD5進行散列處理，形成數(shù)據(jù)的摘要； ?（ 2）用發(fā)送者的 RSA私鑰 Kd對數(shù)據(jù)摘要進行數(shù)字簽名，以確保真實性； ?（ 3）將郵件數(shù)據(jù)與數(shù)字簽名值鏈接，規(guī)定郵件數(shù)據(jù)在前，簽名值在后； ?（ 4）用 ZIP對鏈接后的數(shù)據(jù)進行壓縮，以便于存儲與傳輸； ?（ 5）用 IDEA對壓縮后的數(shù)據(jù)進行加密，以確保秘密性，密鑰為 K； ?（ 6）用接收者的 RSA公鑰 Ke加密 IDEA的密鑰 K； ?（ 7）將經(jīng) IDEA加密的數(shù)據(jù)與經(jīng) RSA加密的 IDEA密鑰鏈接，規(guī)定數(shù)據(jù)在前，密鑰在后； ?（ 8）將加密數(shù)據(jù)進行 BASE 64碼制轉(zhuǎn)換，將 8bit字節(jié)流變?yōu)锳SCII碼。因為許多 E?Mail系統(tǒng)只支持 ASCII碼。 81 應用 ? PGP巧妙地將公鑰密碼 RSA和單鑰密碼 IDEA結(jié)合在一起，兼顧了安全性和效率。支持公鑰證書的密鑰管理使PGP系統(tǒng)更安全方便。 PGP具有很好的靈活性，可支持IDEA、 3DES等單鑰密碼體制， MD SHA等 Hash函數(shù)，Diffe?Hellman等密鑰協(xié)議。這些顯著的技術(shù)特色使得PGP成為 Inter環(huán)境最著名的保密電子郵件軟件系統(tǒng)。 ? PGP采用 1024位的 RSA、 128位的 IDEA密鑰、 128位的MD Diffe?Hellman密鑰協(xié)議、公鑰證書，因此 PGP是安全的。如果采用 160位的 SHA，將進一步提高 PGP的安全性。 82 第 6章 習 題 ? , 110