【考研—密码学】数字签名

参考：《网络安全技术与实践 第三版》 刘建伟 王育民

注：基于安全性证明，应当先签名后加密

一、基本概念

1. 基本要求

不能抵赖、不能伪造、不可复制、不可改变

2. 数字签名 与 消息认证 的区别

消息认证： 收发双方无利益冲突问题，因此防止第三方更改即可。
数字签名： 收发双方可能有利益冲突，数字签名的目的是，确保消息来源真实性、实体身份真实性、不可否认性。

3. 数字签名 与 公钥加密 的区别

公钥加密 公钥加密，私钥解密
数字签名 私钥签名，公钥认证

4. 分类

对整体消息进行签名 && 对压缩的信息进行签名

整体消息签名： 每段信息 签一次名
压缩信息签名： Hash(信息）,然后签名

确定性数字签名 && 随机化（概率式）数字签名

确定性签名： 消息与签名固定对应，对同一消息内的签名不发生改变，如 RSA 和 Rabin 。
随机化签名： 统一消息的签名是变化的，取决于算法中随机参数的取值，如 ELGamal 。

不可否认签名

防失败签名

盲签名：签名者不能看到消息的具体内容

群签名：面向社团或群体所有成员签名

代理签名：委托/授权他人代理签名

5. 环节

签名算法 + 验证算法
其中，签名算法保密， 验证算法公开

6. 定义 签名体制 (M,S,K,V)

M 明文空间 [签名前的消息内容]
S 签名集合 [签名后的消息内容]
K 密钥空间 [签名算法、验证算法所使用的密钥]
V 验证函数的值域

7. 基于数学问题：单向陷门函数

很难从 明文 和 签名 信息 推出 签名私钥 k

二、RSA 数字签名

数学原理：大整数分解

参数

大质数 p1, p2
n = p1 * p2
保证： 明文 m， 签名 s 在 Zn剩余域内
私钥 e , gcd( e , φ(n) ) = 1
公钥 d = e ^-1 mod φ(n)

签名/验证

签名： s = m^d mod n
验证： m == s ^e mod n ？：True , False
注： 验证过程中，需要判断的是 是否 恒等于，部分等于相当于不等于。

三、ElGamal 数字签名算法

数学原理：有限域上离散对数

参数

大质数 p, 对应群 Z_p^*
a, g, 群Z_p^* 内的生成元
β = g^a mod p
保证： 明文 m 在 群内，签名 S 在 Z_p-1 内
私钥： a ， a ∈ Z_p^*
公钥： p , g , β

签名/验证

对明文 m 签名：
生成随机数 k，k ∈ Z_p^*
计算 Hash(m)
y1 = g^k mod p
y2 = [ Hash(m) - a * y1 ] * k^-1 mod (p-1)
签名 Sig(m) = (y1, y2)
验证签名 (y1,y2)
β^y1 * y1^y2 == g^H(m) mod p ? : True, False

四、Schnorr 数字签名

数学原理：离散对数

参数

大质数p，(p-1)的大质因子 q，
Z_p^* 内选取 g， 满足 g^q mod p =1
选取私钥 a， 1<a<q
β mod p = g^a mod p
私钥： a
公钥： p,q,g,β

签名/验证

对明文 m 签名：
生成随机数 k，k ∈ Z_p
y1 = g^k mod p
hash = Hash( y1, m )
y2 = k - a * hash mod p
签名：Sig_k (m) = ( y2 , hash )
验证：
g^y2 * β^hash mod p == y1 mod p ?: True, False
注：ELGamal 算法的安全性高于 Schnorr

五、DSS 数字签名标准

美国的数字签名标准，使用DSA椭圆曲线签名算法。 随便链一个博客

六、ECC椭圆曲线数字签名

有限域GF(2ⁿ)内 椭圆曲线的点集 所构成的群 上 定义的离散对数
还是基点G、私钥K，参数P=k*G，随机数r
然后私钥签名、公钥加密。

七、RSA-PSS 数字签名算法

大概意思就是：类似于HMAC，这是一个使用RSA算法进行数字签名的算法，只不过内部额外留了位置，可以用于嵌入杂凑函数。
然后RSA-PSS框架体制，就可以直接实现 Sig( Hash(m) ) 。
随便链个博客

八、商用数字签名算法 SM2 的基本原理

有限域上，椭圆曲线上点集所构成的群上 定义的 离散对数。

参数/预备

GF( p )内选取合适的椭圆曲线，椭圆曲线上基点G
私钥： 整数d_A ∈ [1,n-1]
公钥： 椭圆曲线上一点 P_A = d_A * G
选择杂凑算法（如SM3）、选择安全的随机数发生器

签名/认证

签名 对消息M签名，签名后结果为(r,s)

认证