现代密码学 5.2RSA数字签名 ◆1.参数与密钥生成 (1)选取两个保密的大素数p和q (2)计算n=pq,如(n)=(p-1q-1),其中叭n) 是n的欧拉函数值。 (3)随机选取整数e,1<e<如(n),满 足gcd(e,(mn)=1。 (4)计算d,满足de≡lmod(n) (5)公钥为(e,n),私钥为d 电子科技大学
◆1.参数与密钥生成 (1)选取两个保密的大素数p和q。 (2)计算n = pq, ,其中 是n的欧拉函数值。 (3)随机选取整数e,1<e< ,满 足 。 (4)计算d,满足 。 (5)公钥为(e,n),私钥为d。 5.2 RSA数字签名 ( ) ( 1)( 1) n p q = − − ( ) n ( ) n gcd( , ( )) 1 e n = de n 1mod ( ) 现代密码学 电子科技大学
现代密码学 52RSA数字签名 ◆2.签名 对于消息m∈Zn,签名为:s=Sgk(m)= m modn ◆3.验证 对于消息签名对(m,s),如果: m=s modn 则s是m的有效签名。 电子科技大学
◆2.签名 对于消息m∈ ,签名为: ◆3.验证 对于消息签名对(m, s),如果: 则s是m的有效签名。 Z n ( ) mod d k s Sig m m n = = mod e m s n = 现代密码学 电子科技大学 5.2 RSA数字签名
现代密码学 RSA数字签名方案存在以下缺陷: ①任何人都可以伪造某签名者对于随机消息m的签名s。 其方法是先选取S,再用该签名者的公钥(e,n)计 算m=s°modn。s就是该签名者对消息m的签 名。 电子科技大学
RSA数字签名方案存在以下缺陷: ① 任何人都可以伪造某签名者对于随机消息m的签名s。 其方法是先选取s,再用该签名者的公钥(e,n)计 算 。s就是该签名者对消息m的签 名。 mod e m s n = 现代密码学 电子科技大学
现代密码学 ◆②如果敌手知道消息m1和m2的签名分别是 s1和S2,则敌手可以伪造m1m2的签名SS2 这是因为在RSA签名方案中,存在以下性质: m ,m,)=m, m, moan 电毛科棘,拳
电子科技大学 现代密码学 现代密码学 电子科技大学 ◆② 如果敌手知道消息 和 的签名分别是 和 ,则敌手可以伪造 的签名 , 这是因为在RSA签名方案中,存在以下性质: m1 m2 1 s 2 s m m1 2 1 2 s s 1 2 1 2 ( ) mod d d d m m m m n =
现代密码学 ◆③由于在RSA签名方案中,要签名的消 息ml∈=n,所以每次只能对位长的消息进行签名。 然而,实际需要签名的消息可能比m大,解决的办 法是先对消息进行分组,然后对每组消息分别进行 签名。这样做的缺点是签名长度变长,运算量增大。 电毛科棘,拳
电子科技大学 现代密码学 现代密码学 电子科技大学 ◆③ 由于在RSA签名方案中,要签名的消 息 ,所以每次只能对位长的消息进行签名。 然而,实际需要签名的消息可能比n大,解决的办 法是先对消息进行分组,然后对每组消息分别进行 签名。这样做的缺点是签名长度变长,运算量增大。 m z n