【正文】 DSS簽名方案 DSS算法說明 算法參數(shù) ? 全局公開密鑰分量 – p 素數(shù) , 其中 2L1p2L,512?L1024,且 L為 64的倍數(shù) :即比特長度在 512到 1024之間 ,長度增量為 64比特 – q (p1)的素因子 , 其中 2159q2160 – g=h(p1)/q mod p, 其中 h是一整數(shù) ,1h(p1) ? 用戶私有密鑰 – x 隨機(jī)或偽隨機(jī)整數(shù) , 其中 0xq ? 用戶公開密鑰 – y=gx mod p ? 用戶每個報文的密數(shù) – k隨機(jī)或偽隨機(jī)整數(shù) , 其中 0kq DSS算法的簽名與驗(yàn)證過程 ? 簽名 – r=(gkmod p)mod q – s=[k1(H(M)+xr)] mod q – 簽名 =(r,s) ? 驗(yàn)證 – w=(s?)1 mod q – u1=[H(M ?)w] mod q, u2=( r ?) w mod q – v=[(gu1yu2)mod p] mod q ? TEST: v=r ? ? 符號 : – M 要簽名的消息 – H(M)使用 SHA1生成的 M的散列碼 – M ?,r ?,s ? 接收到的 M,r,s版本 DSS簽名和驗(yàn)證 DSS的特點(diǎn) ?DSS的簽名比驗(yàn)證快得多 ?DSS不能用于加密或者密鑰分配 ?s1 mod q要存在 ? s ? 0 mod q,如果發(fā)生 ,接收者可拒絕該簽名 . 要求重新構(gòu)造該簽名 ,實(shí)際上 , s ? 0 mod q的概率非常小 ?若 p為 512位 , q為 160位 ,而 DSS只需要兩個 160位 ,即320位 一次數(shù)字簽名 ? 一次意味著只能簽一個消息 ,當(dāng)然可以進(jìn)行若干次驗(yàn)證 ? Lamport 數(shù)字簽名方案 ? Lamport方案缺陷 :簽名信息比較長 . ?離散對數(shù) :p是 1024位 ,則簽名信息擴(kuò)大1024倍 ?對稱密碼 :密鑰是 128位 ,則簽名信息擴(kuò)大128倍 ?改進(jìn)方案之一 :BosChaum簽名方案 群簽名方案 ?群中各個成員以群的名義匿名地簽發(fā)消息 .具備下列三個特性 ?只有群成員能代表所在的群簽名 ?接收者能驗(yàn)證簽名所在的群 ,但不知道簽名者 ?需要時 ,可借助于群成員或者可信機(jī)構(gòu)找到簽名者 ?應(yīng)用 : 投標(biāo) 盲簽名 ?盲簽名要求 : ?消息內(nèi)容對簽名者不可見 ?簽名被接收者泄漏后 ,簽名者無法追蹤簽名 ?應(yīng)用 : 電子貨幣 ,電子選舉 ?盲簽名過程 : 消息 ?盲變換 ?簽名 ?接收者 ?逆盲變換 Reference ? William Stallings, Cryptography and work security: principles and practice, Second Edition. ? 馮登國 裴定一 ,密碼學(xué)導(dǎo)引 , 科學(xué)出版社 ,1999 思考與練習(xí) ? 習(xí)題 ? 習(xí)題 。 離散對數(shù) ? 若 a是素數(shù) p的一個原根 ,則對任意整數(shù) b, b?0 mod p,存在唯一的整數(shù) i, 1?i?(p1),使得 : b?ai mod p i稱為 b以 a為基模 p的 指數(shù) (離散對數(shù) ),記作 inda,p(b) ? 離散對數(shù)的計算 : y?gx mod p – 已知 g,x,p,計算 y是容易的 – 已知 y,g,p,計算 x是困難的 數(shù)字簽名標(biāo)準(zhǔn) 公布于 1994年 5月 19日的聯(lián)邦記錄上，并于1994年 12月 1日采納為標(biāo)準(zhǔn) DSS。這個方案的改進(jìn)已被美國 NIST（國家標(biāo)準(zhǔn)和技術(shù)研究所）采納作為數(shù)字簽名標(biāo)準(zhǔn) 。 數(shù)字簽名算法 ? 普通數(shù)字簽名算法 – RSA – EIGamal – DSS/DSA ? 不可否認(rèn)的數(shù)字簽名算法 ? 群簽名算法 ? 盲簽名算法 RSA簽名方案 RSA簽名 ?A的公鑰私鑰對 {KUa||KRa} ?A對消息 M簽名 : SA=EKRa(M) ?問題 : –速度慢 –信息量大 –第三方仲裁時必須暴露明文信息 –漏洞 : EKRa(x?y)?EKRa(x)?EKRa(y) mod n o先做摘要 : HM = hash(M) o再對 HM簽名 SA=EKRa(HM) ?hash函數(shù)的無碰撞性保證了簽名的有效性 簽名與加密 ?簽名提供真實(shí)性 (authentication) ?加密提供保密性 (confidentiality) ?“簽名 +加密”提供“真實(shí)性 +保密性” ?兩種實(shí)現(xiàn)方式 : (A?B) ?先簽名 ,后加密 : EKUb{M||SigA(M)} ?先加密 ,后簽名 : {EKUb(M)||SigA(EKUb(M))} ?方式 ?的問題 : –發(fā)生爭議時 ,B需要向仲裁者提供自己的私鑰 –安全漏洞 : 攻擊者 E截獲消息 ,把 SigA(EKUb(M))換成SigE(EKUb(M)),讓 B以為該消息來自 E –保存信息多 :除了 M,SigA(EKUb(M)), 還要保存 EKUb(M) (∵ KUb可能過期 ) EIGamal簽名方案 ? ElGamal于 1985年提出 ,很大程度上為 DiffeHellman密鑰交換算法的推廣和變形。并 將包含 IDx、雙重加密的消息和時間戳構(gòu)成的 消息用 KRa簽名后 發(fā)送給 Y。這種內(nèi)部、 雙重加密的消息對 A以及對除 Y以外的其它人都是安全的。形成一個簽名的、保密的消息。然后 A將來自 X的所有信息加上時間戳并用 Kay加 密后發(fā)送給 Y。 (b) 單密鑰加密方式，仲裁者不可以看見消息 (1) X?A： IDx || EKxy[M]||EKxa[IDx|| H(EKxy[M])] (2) A?Y： EKay[IDx||EKxy[M] || EKxa[IDx|| H(EKxy[M])] || T] 在這種情況下， X與 Y之間共享密鑰 Kxy， X：將標(biāo)識符 IDx ,密文 EKxy[M]，以及對 IDx和密文消息的散列碼用 Kxa加密后形成簽名 發(fā)送給 A。 只要 A遵循上述要求，則 X相信沒有人可以偽造其簽名； Y相信 X不 能否認(rèn)其簽名。 解決糾紛： Y：向 A發(fā)送 EKay[IDx|| M || EKxa[IDx|| H(M)]] A：用 Kay恢復(fù) IDx， M，和簽名（ EKxa[IDx|| H(M)]），然后用 Kxa解密簽 名并驗(yàn)證散列碼 注意： 在這種模式下 Y不能直接驗(yàn)證 X的簽名， Y認(rèn)為 A的消息正確，只 因?yàn)樗鼇碜?A。 – 所有的參與者必須極大地相信這一仲裁機(jī)制工作正常。 – 通常的做法是所有從發(fā)送方 X到接收方 Y的簽名消息首先送到仲裁者 A， A將消息及其簽名進(jìn)行一系列測試，以檢查其來源和內(nèi)容，然后將消息加上日期并與已被仲裁者驗(yàn)證通過的指示一起發(fā)給 Y。 ? X的某些私有密鑰確實(shí)在時間 T被竊取，敵方可以偽造 X的簽名及早于或等于時間 T的時間戳。 – 通常需要采用與私有密鑰安全性相關(guān)的行政管理控制手段來制止或至少是削弱這種情況，但威脅在某種程度上依然存在。 ? 傳輸中沒有被篡改； ? 需要某些格式信息 /冗余度； ? 任何第三方可以用 KUa 驗(yàn)證簽名 (1’) A?B: EKUb [EKRa(M)] 提供了保密 (KUb)、 鑒別與簽名 (KRa)： 直接數(shù)字簽名 (2) A?B: M||EKRa[H(M)] 提供鑒別及數(shù)字簽名 H(M) 受到密碼算法的保護(hù)； 只有 A 能夠生成 EKRa[H(M)] (2’) A?B: EK[M||EKRa[H(M)]] 提供保密性、鑒別和數(shù)字簽名。 數(shù)字簽名 ?傳統(tǒng)簽名的基本特點(diǎn) : ?能與被簽的文件在物理上不可分割 ?簽名者不能否認(rèn)自己的簽名 ?簽名不能被偽造 ?容易被驗(yàn)證 ?數(shù)字簽名是傳統(tǒng)簽名的數(shù)字化 ,基本要求 : ?能與所簽文件 “ 綁定 ” ?簽名者不能否認(rèn)自己的簽名 ?簽名不能被偽造 ?容易被 自動 驗(yàn)證 數(shù)字簽名應(yīng)具有的性質(zhì) ? 必須能夠驗(yàn)證作者及其簽名的日期時間； ? 必須能夠認(rèn)證簽名時刻的內(nèi)容； ? 簽名必須能夠由第三方驗(yàn)證，以解決爭議； 因此，數(shù)字簽名功能包含了鑒別的功能 數(shù)字簽名的設(shè)計要求 ? 簽名必須是依賴于被簽名信息的一個位串模式； ? 簽名必須使用某些對發(fā)送者是唯一的信息，以防止雙方的偽造與否認(rèn)； ? 必須相對容易生成該數(shù)字簽名； ? 必須相對容易識別和驗(yàn)證該數(shù)字簽名； ? 偽造該數(shù)字簽名在計算復(fù)雜性意義上具有不可行性，既包括對一個已有的數(shù)字簽名構(gòu)造新的消息，也包括對一個給定消息偽造一個數(shù)字簽名； ? 在存儲器中保存一個數(shù)字簽名副本是現(xiàn)實(shí)可行的。 – A可以否認(rèn)發(fā)過該消息， B無法證明 A確實(shí)發(fā)了該消息。!D) –f5(B,C,D) = B ? (C|!D) –?: 7,4,13,1,10,6,15,3,12,0,9,5,2,14,11,8 –?: 5,14,7,0,9,2,11,4,13,6,15,8,1,10,3,12 RIPEMD160總結(jié) ?RIPEMD160使用 littleendian ?抵抗生日攻擊 : 160位 hash值 ?沒有發(fā)現(xiàn)兩個不同的 512bit塊 ,它們在RIPEMD160計算下產(chǎn)生相同的“ hash” ?速度略慢于 SHA1 ?安全性優(yōu)于 MD5 ?對密碼分析的抵抗力好于 SHA1 比較： MD5 SHA1 RIPEMD160 摘要長度 128位 160位 160位 基本處理單位 512位 512位 512位 步數(shù) 64(4 of 16) 80(4 of 20) 160(5 paired of 16) 最大消息長度 無限 2641位 2641位 基本邏輯函數(shù) 4 4 5 加法常數(shù) 64 4 9 Endianness Littleendian Bigendian Littleendian 性能 Mbps C++ on Pentium 266Mhz hash函數(shù)小結(jié) ?hash函數(shù)把變長信息映射到定長信息 ?hash函數(shù)不具備可逆性 ?hash函數(shù)速度較快 ?hash函數(shù)與對稱密鑰加密算法有某種相似性 ?對 hash函數(shù)的密碼分析比對稱密鑰密碼更困難 ?hash函數(shù)可用于消息摘要 ?