参考:《网络安全技术与实践 第三版》 刘建伟 王育民
注:基于安全性证明,应当先签名后加密
一、基本概念
1. 基本要求
不能抵赖、不能伪造、不可复制、不可改变
2. 数字签名 与 消息认证 的区别
消息认证: 收发双方无利益冲突问题,因此防止第三方更改即可。
数字签名: 收发双方可能有利益冲突,数字签名的目的是,确保消息来源真实性、实体身份真实性、不可否认性。
3. 数字签名 与 公钥加密 的区别
公钥加密 公钥加密,私钥解密
数字签名 私钥签名,公钥认证
4. 分类
对整体消息进行签名 && 对压缩的信息进行签名
整体消息签名: 每段信息 签一次名
压缩信息签名: Hash(信息),然后签名
确定性数字签名 && 随机化(概率式)数字签名
确定性签名: 消息与签名固定对应,对同一消息内的签名不发生改变,如 RSA 和 Rabin 。
随机化签名: 统一消息的签名是变化的,取决于算法中随机参数的取值,如 ELGamal 。
不可否认签名
防失败签名
盲签名:签名者不能看到消息的具体内容
群签名:面向社团或群体所有成员签名
代理签名:委托/授权他人代理签名
5. 环节
签名算法 + 验证算法
其中,签名算法保密, 验证算法公开
6. 定义 签名体制 (M,S,K,V)
M 明文空间 [签名前的消息内容]
S 签名集合 [签名后的消息内容]
K 密钥空间 [签名算法、验证算法所使用的密钥]
V 验证函数的值域
7. 基于数学问题:单向陷门函数
很难从 明文 和 签名 信息 推出 签名私钥 k
二、RSA 数字签名
数学原理:大整数分解
参数
大质数 p1, p2
n = p1 * p2
保证: 明文 m, 签名 s 在 Zn剩余域内
私钥 e , gcd( e , φ(n) ) = 1
公钥 d = e -1 mod φ(n)
签名/验证
签名: s = md mod n
验证: m == s e mod n ?:True , False
注: 验证过程中,需要判断的是 是否 恒等于,部分等于相当于不等于。
三、ElGamal 数字签名算法
数学原理:有限域上离散对数
参数
大质数 p, 对应群 Zp*
a, g, 群Zp* 内的生成元
β = ga mod p
保证: 明文 m 在 群内,签名 S 在 Zp-1 内
私钥: a , a ∈ Zp*
公钥: p , g , β
签名/验证
对明文 m 签名:
生成随机数 k,k ∈ Zp*
计算 Hash(m)
y1 = gk mod p
y2 = [ Hash(m) - a * y1 ] * k-1 mod (p-1)
签名 Sig(m) = (y1, y2)
验证签名 (y1,y2)
βy1 * y1y2 == gH(m) mod p ? : True, False
四、Schnorr 数字签名
数学原理:离散对数
参数
大质数p,(p-1)的大质因子 q,
Zp* 内选取 g, 满足 gq mod p =1
选取私钥 a, 1<a<q
β mod p = ga mod p
私钥: a
公钥: p,q,g,β
签名/验证
对明文 m 签名:
生成随机数 k,k ∈ Zp
y1 = gk mod p
hash = Hash( y1, m )
y2 = k - a * hash mod p
签名:Sigk (m) = ( y2 , hash )
验证:
gy2 * βhash mod p == y1 mod p ?: True, False
注:ELGamal 算法的安全性高于 Schnorr
五、DSS 数字签名标准
美国的数字签名标准,使用DSA椭圆曲线签名算法。 随便链一个博客
六、ECC椭圆曲线数字签名
有限域GF(2n)内 椭圆曲线的点集 所构成的群 上 定义的离散对数
还是基点G、私钥K,参数P=k*G,随机数r
然后私钥签名、公钥加密。
七、RSA-PSS 数字签名算法
大概意思就是:类似于HMAC,这是一个使用RSA算法进行数字签名的算法,只不过内部额外留了位置,可以用于嵌入杂凑函数。
然后RSA-PSS框架体制,就可以直接实现 Sig( Hash(m) ) 。
随便链个博客
八、商用数字签名算法 SM2 的基本原理
有限域上,椭圆曲线上点集所构成的群上 定义的 离散对数。
参数/预备
GF( p )内选取合适的椭圆曲线,椭圆曲线上基点G
私钥: 整数dA ∈ [1,n-1]
公钥: 椭圆曲线上一点 PA = dA * G
选择杂凑算法(如SM3)、选择安全的随机数发生器
签名/认证
签名 对消息M签名,签名后结果为(r,s)
认证