DSA数字签名算法

DSA数字签名算法

美国国家标准与技术研究所（NIST）发布的联邦信息处理标准FIPS  186，称为数字签名算法（DSA）。DSA最初提出于1991年，1993年根据公众对其安全性的反馈意见进行了一些修改，1996年又稍作修改。2000年发布了该标准的扩充版，及FIPS 186-2，随后在2009年更新为FIPS 186-3，在2013年更新为FIPS  186-4。这个最新版本还包括基于RSA和椭圆曲线密码的数字签名算法。

下图是用DSA产生数字签名和用RSA产生数字签名的这两种方法的对比

 

分析：

• 在RSA方法中，Hash函数的输入值时要签名的消息，输出值是定长Hash码，用发送方的私钥PR将该hash码加密形成签名，然后发送其消息和签名。接收方收到消息后，计算hash码。接收方用发送方的公钥PU对签名进行解密，如果计算出的Hash码与解密出的结果相同，则认为签名是有效的。因为只有发送方拥有私钥，所以只有发送方能产生有效的签名
• 在DSA方法中，也使用了hash函数，它产生的hash码和为此次签名产生的随机数k作为签名函数的输入，签名函数依赖于发送方的私钥PR和一组参数PU，这些参数为一组通信伙伴所有，我们可以认为这些参数构成全局参数PU。签名由两部分组成，标记为s和r。接收方对于接收到的消息产生hash码，这个hash码和签名一起作为验证函数的输入，验证函数依赖于全局公钥和发送方公钥，该发送方公钥同发送方私钥组成密钥对。若认证函数的输出等于签名中的r成分，则签名有效。签名函数保证只有拥有私钥的发送方才能产生有效的签名。
• 对比：RSA与DSA安全性能差不多，但是DSA有两个素数公开，因此，当使用别人的p和q时，即使不知道公钥，仍能确定它们是否随机产生还是做了手脚，但是RSA则不行。

 

数字签名算法

下图归纳总结了DSA算法，其中有三个公开参数为一组用户所共有。选择一个N位的素数q；然后选择一个长度在512-1024间且满足q能整除（p-1）的素数p；最后选择形为的g，其中h是1到p-1间的整数，使得g>1.

DSA的公开参数的选择与Schnorr签名方案完全一样

      选定这些参数后，每个用户选择私钥并产生公钥。私钥x的选择必须是随机或伪随机选择的、位于1到q-1之间的数。由计算出公钥。由给定的x计算y比较简单，而由给定的y确定x则在计算上是不可行的，因为这是求y的以g为低的模p的离散对数

      要进行签名，用户需计算两个量r和s。r和s是公钥（p,q,g）、用户私钥x、消息的hash 码H（M)和附加整数k的函数，其中k是随机或伪随机产生的，且k对每次签名是唯一的。

      令为接收方收到的M，r，s，接收方用图上公式进行验证。接收方计算值v，它是公钥（p，q，g）、发送方公钥、接收到的消息的hash码的函数。若v与签名中的r相同，则签名是有效的

下图描述了DSA算法的签名和验证函数

 

上图所示的算法有这样一个特点：接收端的验证依赖于r，但是r却根本不依赖于消息，它是k和全局公钥的函数。k模p的乘法逆元传给函数f1，f1的输入还包含消息的hash码和用户私钥，函数的这种结构使接收方可利用其收到的消息和签名、他的公钥以及全局公钥来恢复r