密码学-数字签名

数字签名

数字签名概述

特征

• 验证签名者、签名日期和时间
• 认证被签名消息内容
• 能够由第三方仲裁

数字签名具有认证功能，具有可验证性和不伪造性

攻击

• 唯密钥攻击

攻击者知道公钥

• 已知消息攻击

攻击者掌握一些<消息，签名>对

• 一般选择消息攻击

攻击者选择一些消息获得签名，不针对特定签名者

• 定向选择消息攻击

攻击者掌握公钥，选择一些消息获得签名，针对特定签名者

• 适应性选择消息攻击

攻击者选择与已知<消息，签名>对相关的消息获得签名

攻击方案

• 完全破译

获得私钥

• 通用伪造

伪造对任意消息的签名

• 选择性伪造

伪造对特定消息的签名

• 存在性伪造

至少可以生成一个消息的有效签名

ElGamal数字签名方案

ELGamal安全性基于有限域上离散对数问题的难解性。

参数

• 素数$p$
• 生成元$\alpha$
• 私钥$1<X_A<p-1$
• 公钥$Y_A={\alpha }_A^X\mathrm{m}\mathrm{o}\mathrm{d}p$

签名

• 选择$1⩽K⩽p-1,\gcd (K,p)=1$
• $S_1={\alpha }^K\mathrm{m}\mathrm{o}\mathrm{d}p$
• $S_2=K^{-1}(m-X_A{S}_1)\mathrm{m}\mathrm{o}\mathrm{d}p-1$
• 签名$(S_1,S_2)$

验证

• $V_1={\alpha }^m\mathrm{m}\mathrm{o}\mathrm{d}p$
• $V_2={Y_A}^{S_1}{S_1}^{S_2}\mathrm{m}\mathrm{o}\mathrm{d}p$
• 验证$V_1=V_2$

Schnorr数字签名方案

Schnorr安全性基于有限域上离散对数问题的难解性。

安全性较ElGamal更低，但计算效率更高。

参数

• 素数$p$

  • 1024位

• 素数$q$，满足$q|p-1$

• 选择$\alpha$，满足${\alpha }^q=1\mathrm{m}\mathrm{o}\mathrm{d}p$

• 私钥$1<X_A<q$

• 公钥$Y_A={\alpha }^{-X_A}\mathrm{m}\mathrm{o}\mathrm{d}p$

签名

• 选择$0<r<q$，计算$x={\alpha }^r\mathrm{m}\mathrm{o}\mathrm{d}p$
• $e=Hash(M||e)$
• $y=(r+X_{A}e)\mathrm{m}\mathrm{o}\mathrm{d}q$
• 签名$(e,y)$

验证

• $x^{\prime }={\alpha }^y{Y_A}^e\mathrm{m}\mathrm{o}\mathrm{d}p$
• 验证$e=Hash(M|x^{\prime })$

椭圆曲线数字签名算法

安全性基于椭圆曲线上离散对数问题难解性。

参数

• 素数$p$
• 椭圆曲线参数$a,b$
• 基点$G$
• 基点的阶$n$
• 私钥$1⩽X_A⩽n-1$
• 公钥$Y_A=X_{A}G$

签名

• 选择$0<k<n$
• $P=kG=(x,y)，r=x\mathrm{m}\mathrm{o}\mathrm{d}n$
• $e=Hash(m)$
• $s=k^{-1}(e+X_{A}r)\mathrm{m}\mathrm{o}\mathrm{d}n$
• 签名$(r,s)$

验证

• 验证$0<r,s<n$
• $e=Hash(m)$
• $w=s^{-1}\mathrm{m}\mathrm{o}\mathrm{d}n$
• $u_1=ew,u_2=rw$
• $X=u_{1}G+u_{2}Q=(x^{\prime },y^{\prime })$
• $v=x^{\prime }\mathrm{m}\mathrm{o}\mathrm{d}n$
• 验证$v=r$