数字签名基本概念

R1:receiver确认、证实sender的签名，这个签名不能被伪造
S:sender发送出签名的教习给receiver，不能否认他签发的消息
R2:receiver堆收到的签名消息不能否认，收报认证
T:第三方可以确认手法收发双方之间的消息传输，但不可伪造

与消息认证的区别：

消息认证：只用于防范第三者破坏，未验证sender身份（RS双方没有利害冲突）

receiver验证sender身份是否被篡改
receiver验证消息是否被篡改

数字签名：（RS双方存在利害冲突）

数字签名确定消息来源的真实性
数字签名保证实体身份的真实性
不可否认

与公钥加密的区别

公钥

A用B公开密钥加密data后，发送data（已加密）给B
B用私钥堆密文解密得到明文

签名

A用私钥加密消息m签名，将m与签名发送给B
B 收到A签名，使用A公钥验证签名有效性
签名消息可能要多年以后验证
签名可能要多次严正
签名安全性、防伪造要求高
签名速度要比验证速度快

构成

签名算法 signature algorithm
验证算法 verification algorithm

安全性约定： 签名算法、密钥是秘密的，只有签名人掌握；验证算法公开

签名

$(M, S, K, V)$

M 明文空间
S 签名集合
K 密钥空间
V 验证函数的值域，真、伪组成

$\forall k\in K, m\in M\\签名算法:s = Sig_k(m)\in S \\ 验证算法: Ver_l(s,m)\in\{true, false\}$

安全性：m和s很难推出签名者私钥 $k$ ,很难伪造信息 $m^{'}$ 使得 $Ver_k(s,m') = true$

签名体制

RSA数字签名

参数同之前讲过的RSA

$n = p * q$

选e计算出d让 $\equiv 1\ mod\ \phi(n)$

n和e公开，p,q,d保密

RSA密码： $c = m ^ e$
$\forall m \in Z_n, 签名s = Sig_k(m) = m^d\ mod\ n$

验证真实性:签名者才知道私钥d，其他人难以伪造
$m\equiv s^e\ mod \ n$

Rabin

$N = pq$ 。 p和q都是大质数
$m,s\in QR_p\cap QR_q$ QR是二次剩余集

pq密钥，N公钥

签名过程

$0<m<N,m\in QR_p\cap QR_q$
$Sig_k(m) = \sqrt{m}\ mod\ (p\times q)$

验证过程

$m\equiv s^2\ mod \ N$

二次剩余集

n为正整数，整数a满足
$g c d (a, n) = 1$
$x^2=a\ mod \ n有解$
a为mod n的平方剩余

如选n=7
$x^2=1\ mod \ 7\quad x = 1/6$
$x^2=2\ mod \ 7\quad x = 3/4$
$x^2=3\ mod \ 7\quad 无解$
$x^2=4\ mod \ 7\quad x = 2/5$
$x^2=5\ mod \ 7\quad 无解$
$x^2=6\ mod \ 7\quad 无解$
1, 2, 4是 mod 7的二次剩余，且每个二次剩余有两个平方根

3， 5， 6是 mod 7的非二次剩余

ELGamal

参数

p 大素数，在 $Z_p$ 中求解离散对数十分困难
g 群 $Z_p^*$ 的一个生成元或本原元素
M 消息空间 $Z_p^*$
S 签名空间 $Z_{p-1}$
x 用户密钥 $x\in Z_p^*$
y 用户公钥 $y\equiv g^x\ mod \ p$

p,g,y公钥，x密钥

签名过程

选择随机数 $k\in Z_p^*\quad m\in M$
得到 $H (m)$
得到 $r = g^k\ mod\ p$
得到 $s = [H(m) - xr]k^{-1} \ mod\ (p-1)$
得到签名 $Sig_k(m)=(r,s), m与(r,s)$ 发给对方

验证过程

得到 $m 与 (r, s)$
计算 $H (m)$
验证
$Ver_k(H(m), (r,s)) == true \Leftrightarrow y^rr^s=g^{H(m)}\ mod\ p$
$(rx+sk)=H(m)\ mod\ (p-1)$
得到
$y^rr^s=g^{H(m)}\ mod\ p$

Example

p = 467, g = 2, x = 127
得到 $y = g^x = 2^{127}=132 \ mod\ 467$
得到m的哈希值 $H (m) = 100$ ,选随机数k = 213 (注意213和466互质，且 $213^{-1} = 431\ mod \ 466$ )
有 $r = 2^{213}=29\ mod\ 467$ $(100-127\times 29)\times 431 = 51\ mod\ 466$
验证：收信人计算出 $H (m) = 100$ , $132^{29}29^{51}=189\ mod\ 467$ , $2^{100}=189\ mod\ 467$

安全性

不知道<消息，签名>对的时候，伪造签名近似求离散对数

Attacker若掌握同一随机数k下两个消息 $m_1,m_2$ 的合法签名 $r_1,s_1),(r_2,s_2)$ 会构造如下方程
$m_1=r_1x+s_1k\\ m_2=r_2x+s_2k$
攻击者解此房产可求出x和k

确保安全性需要选签名的时候选择不同随机数k

Schnorr签名体制

参数

q,p 大素数，q|p-1, 在 $Z_p$ 中求解离散对数十分困难
g $Z_p$ 中乘群 $Z_p^*$ 的一个元素，满足 $g^q = 1\ mod\ p$
M 消息空间， $Z_p^*$
S 签名空间 $Z_p^*\times Z_{p-1}$
x 用户密钥 $1 < x < q$
y 用户公钥 $y\equiv g^x\ mod \ p$

p,q,g,y公钥，x密钥

过程

user 使用随机数 $k\in Z_q, m\in M$
计算 $w=g^k\ mod\ p$
计算 $r = H (w ∣∣ m)$ ||表示拼接
计算 $k+xr\ mod\ p$
签名 $Sig_k(m)=(r,s)$ 作为签名，将m和 $(r, s)$ 送给对方

验证

收到消息 $m$ 和签名 $(r, s)$
计算 $H (m)$
计算 $w' = g^s y^{-r}\ mod\ p$
计算 $H (w^{'} ∣∣ m)$
验证 $H (w^{'} ∣∣ m) = r, 即 V er (y, (e, s), m) = t r u e$

安全性

Schnorr与ElGamal区别

E体制中，g是 $Z_p$ 本原元素；S体制中，g是 $Z_p^*$ 中子集 $Z_q^*$ 的本原元，它不是 $Z_p^*的本原元$
S的签名比E短，由 $∣ q ∣$ 和 $∣ H (m) ∣$ 决定
$w = g^k\ mod\ p$ 可以预先计算，签名要一次乘法、一次加法，签名速度快，适合智能卡应用
S签名短，安全性逊于E签名

DSS签名体制

DSA事故DSS签名标准中采用的数字签名算法

参数

p 大素数， $2^L-1<p<2^L$ , $512\le L \le 1024$
q:(p-1)的素因子，且 $2^{159}<q<2^{160}$ 字长160b
g $g=h^{(p-1)/q}\ mod\ p$
x 用户私钥 $1 < x < q$
y 用户公钥 $y = g^x\ mod\ p$
p,q,g,y公钥，x是私钥

签名

user使用随机数
计算 $H (m)$
计算 $r = (g^k\ mod\ p)\ mod\ q$
计算 $s = [k^{-1}(H(m)+xr)]\ mod\ q$
签名 $Sig_k(m) = (r,s)$ 将m和(r,s)送给对方

验证

收到m与(r,s)
$H (m)$
$w=s^{-1}\ mod\ q$
$u_1 = [H(m)w]\ mod\ q$
$u_2 = rw\ mod\ q$
$v = [(g^{u1}y^{u2})\ mod\ p]\ mod\ q$
验证 $v = r$

在这里插入图片描述

ESIGN

n, $n = p^2q$ 大合数，公钥
p,q 两个大素数
M 消息空间
S 命名空间
k 安全参数

签名

选择随机数 $ 0<r<pq $
计算 $H (M)$
计算 $w = 大于等于[(H(M) - r^k)\ mod\ n]/ pq$ 的最小整数
计算 $[(w/kr^{k-1}\ mod\ p)]\times pq$
$Sig^{k}(M,k)=s$ 作为签名，M和s送给对方

验证

收到M和s
计算 $H (M)$
计算 $s^{rk}\ mod\ p$
计算 a，它是大于等于 $2 n /3$ 最小整数
验证 $Ver_k(H(M),s) = true \Leftrightarrow H(M)\le s^k \land s^k\ mod\ n < H(M) + 2^a$

算法可以用预计算提高签名速度
发送方预计算: $r^k\ mod\ n\quad v = 1/(kr^{k-1})\ mod\ p$

计算w:w = 大于等于 $[H(M)-u\ mod\ n]/pq$ 的最小整数

计算s $(wv\ mod\ p)\times pq$

通过预先计算，让速度提高十倍。K = 2，3会被破解，建议k = 8,16,32,64,128,256,1024

Okamoto

p,q: 大素数，p至少512bit
q： (p-1)的素因子，q长约140bit
g1,g2:全局公钥，与q同长
s1,s2：秘钥，与q同长
M: 消息空间 $M\in Z^*_{P}$
S: 签名空间 $Z_P^*\times Z_{P-1}$
v: 用户公钥 $v = g_1^{-s1}g_2^{-s2}\ mod\ p$
p,q,g1,g2,v公钥， s1，s2密钥

如何签名？

选随机数 r1,r2，满足 $0 <r_1,r_2<q$
算 $e = H(g_1^{r_1}g_2^{r_2}\ mod\ p, M)$
算 $y_1 = (r_1 + es_1)\ mod\ q$
算 $y_2 = (r_2 + es_2)\ mod\ q$
$Sig_k(M,k)=S=(e,y_1,y_2)$ 做签名，M和S送给对方

$g_1^{y_1}g_2^{y_2}v^e\ mod\ p \\ =g_1^{r_1es_1}g_2^{r_2rs_2}(g_1^{-s1}g_2^{-s_2}) ^e\ mod\ p \\ = g_1^{r_1}g_2^{r_2}\ mod\ p$

所以
$H(g_1^{y_1}g_2^{y_2}v^e\ mod\ p, M) = H(g_1^{r_1}g_2^{r_2}\ mod\ p, M) = e$

OSS签名体制

n 大整数
k 随机数，满足(k, n) = 1
h 满足 $h = -k^{-2}\ mod\ n$
M: 消息空间 $M\in Z^*_{P}$
S: 签名空间 $Z_P^*\times Z_{P}^*$
h,n是公钥，k是密钥

签名过程

选随机数r满足(r, n) = 1
计算 $s_1 =(M/r + r)/2\ mod\ n$
计算 $s_2 =k(M/r - r)/2\ mod\ n$
$Sig_k(M,k) = S = (s_1,s_2)$

验证过程

收到M和 $s_1,s_2)$
计算 $M^{'} = s_1^2+h\times s+2^2\ mod\ n$
验证 $Ver_k(H(M), r, s) = true \Leftrightarrow M = M^{'}$

缺陷：
对于二次，三次多项式构造的签名并不安全
四次多项式已被拱北
ESIGN在OSS上提出的新方案

离散对数

p: 大素数
q： (p-1)的素因子
g: $g\in Z_P^* \land g^q=1\ mod\ p$
M: 消息空间 $M\in Z^*_{P}$
S: 签名空间
x: 用户密钥， $1 < x < q$
y：用户公钥 $y = g^x\ mod\ p$

p,q,g,y公钥，x密钥

签名过程

选择随机数k， $0 < k < q$
计算H(m)
计算 $r = g^k\ mod\ p$
签字 $cx\ mod\ q$
$Sig_k(m) = (r,s)$ 作为签名，将m和(r,s)送给对方

验证

收到m和(r,s)
$\Leftrightarrow r^a=g^by^c\ mod\ q$

以上签名可以看作其特例

a	b	c	对应体制
$\pm r$	$\pm s$	$\pm H (m)$	Yen； Laih
$\pm r$	$\pm H (m)$	$\pm s$	Agnew; Yen
$\pm s$	$\pm r$	$\pm H (m)$
$\pm s$	$\pm H (m)$	$\pm r$	ElGamal; DSA
$\pm H (m)$	$\pm s$	$\pm r$	Schonorr; Nyberg
$\pm H (m)$	$\pm r$	$\pm s$