2由签名算法产生数字签名 签名算法的输入是明文消息M和密钥x, ●输出是对M的数字签名,表示为S=SigM 相应于签名算法,有一验证算法,表示为 ver(S,M),其取值为 Ver(S, M)=Ture S=Sig (M) False s≠Sgx(M 算法的安全性在于从M和S难以推出密钥x或伪造 一个消息M,使M和S可被验证为真。 1295 西安電子評核九擊
12/95 2. 由签名算法产生数字签名 ⚫ 签名算法的输入是明文消息M和密钥x, ⚫ 输出是对M的数字签名,表示为S=Sigx (M) ⚫ 相应于签名算法,有一验证算法,表示为 Ver(S,M),其取值为 ⚫ Ver(S,M)= ⚫ 算法的安全性在于从M和S难以推出密钥x或伪造 一个消息M ,使M和S可被验证为真。 = ( ) ( ) False S Sig M Ture S Sig M x x
71.3数字签名的执行方式 ≥数字签名的执行方式有两类:直接方式和具 有仲裁的方式 ≥1.直接方式(缺少监督的方式) 直接方式是指数字签名的执行过程只有通信双方参 与,并假定双方有共享的秘密钥或接收一方知道发 方的公开钥 直接方式的数字签名有一公共弱点,即方案的有效 性取决于发方秘密钥的安全性 13/95 西安電子評核九擊
13/95 7.1.3 数字签名的执行方式 数字签名的执行方式有两类: 直接方式和具 有仲裁的方式 1. 直接方式(缺少监督的方式) ⚫ 直接方式是指数字签名的执行过程只有通信双方参 与,并假定双方有共享的秘密钥或接收一方知道发 方的公开钥 ⚫ 直接方式的数字签名有一公共弱点,即方案的有效 性取决于发方秘密钥的安全性
●如果发方想对已发出的消息予以否认,就可声称 自己的秘密钥已丢失或被窃,因此自己的签名是 他人伪造的 可采取某些行政手段,虽然不能完全避免但可在某种程 度上减弱这种威胁 例如,要求每一被签名的消息都包含有一个时戳(日期 和时间)并要求密钥丢失后立即向管理机构报告 这种方式的数字签名还存在发方的秘密钥真的被 偷的危险 例如敌手在时刻T偷得发方的秘密钥,然后可伪造一消 息,用偷得的秘密钥为其签名并加上T以前的时刻作为 时戳 14/95 西安電子評核九擊
14/95 ⚫ 如果发方想对已发出的消息予以否认,就可声称 自己的秘密钥已丢失或被窃,因此自己的签名是 他人伪造的 ⚫ 可采取某些行政手段,虽然不能完全避免但可在某种程 度上减弱这种威胁 ⚫ 例如,要求每一被签名的消息都包含有一个时戳(日期 和时间)并要求密钥丢失后立即向管理机构报告 ⚫ 这种方式的数字签名还存在发方的秘密钥真的被 偷的危险 ⚫ 例如敌手在时刻T偷得发方的秘密钥,然后可伪造一消 息,用偷得的秘密钥为其签名并加上T以前的时刻作为 时戳
2.具有仲裁方式的数字签名 可解决直接方式的缺陷 具有仲裁方式的数字签名也有很多实现方案,这些方案 都按以下方式运行 ①发方X对发往收方Y的消息签名后,将消息及其签名先发 给仲裁者A ②A对消息及其签名验证完后,再连同一个表示已通过验证 的指令一起发往收方Y 此时由于A的存在,X无法对自己发出的消息予以否认。在 这种方式中,仲裁者起着重要的作用,并应取得所有用户的 信任 15/95 西安電子評核九擊
15/95 2. 具有仲裁方式的数字签名 ⚫ 可解决直接方式的缺陷 ⚫ 具有仲裁方式的数字签名也有很多实现方案,这些方案 都按以下方式运行: ⚫ ①发方X对发往收方Y的消息签名后,将消息及其签名先发 给仲裁者A ⚫ ②A对消息及其签名验证完后,再连同一个表示已通过验证 的指令一起发往收方Y ⚫ 此时由于A的存在,X无法对自己发出的消息予以否认。在 这种方式中,仲裁者起着重要的作用,并应取得所有用户的 信任
以下是具有仲裁方式数字签名的几个实例 其中X表示发方,Y表示收方,A是仲裁者,M是消息 X→→Y:M表示X给Y发送一消息M ●【例7-1】签名过程如下: ①X→A: MIEKXALD XIA(M ②A→Y:Ek4 DXIMIEKXALDXIH(M)川们 其中E是单钥加密算法 Kx4和K4分别是X与A共享的密钥和A与Y共享的密钥 ●H(M)是M的杂凑值,T是时戳,Ⅰ是X的身份 在①中,X以E团DⅪH(M作为自己对M的签名,将M及签名发往 在②中A将从X收到的内容和ⅠDxT一起加密后发往Y,其中的T用于 向Y表示所发的消息不是旧消息的重放。Y对收到的内容解密后将解 密结果存储起来以备出现争议时使用 16/95 西安電子評核六擊
16/95 以下是具有仲裁方式数字签名的几个实例 ⚫ 其中X表示发方,Y表示收方,A是仲裁者,M是消息 ⚫ X→Y: M表示X给Y发送一消息M 【例7-1】签名过程如下: ⚫ ① X→A:M‖EKXA[IDX‖H(M)] ⚫ ② A→Y:EKAY[IDX‖M‖EKXA[IDX‖H(M)]‖T] ⚫ 其中E是单钥加密算法 ⚫ KXA和KAY分别是X与A共享的密钥和A与Y共享的密钥 ⚫ H(M)是M的杂凑值,T是时戳,IDX是X的身份 ⚫ 在①中,X以EKXA[IDX‖H(M)]作为自己对M的签名,将M及签名发往 A ⚫ 在②中A将从X收到的内容和IDX、T一起加密后发往Y,其中的T用于 向Y表示所发的消息不是旧消息的重放。Y对收到的内容解密后,将解 密结果存储起来以备出现争议时使用