第六章数字签名算法:62基于公钥加密的签名RSA签名体制 622RSA签名的安全性 ●基本的RSA签名是不安全的,有多种伪造方式 1.一般方式 攻击者任选数据s并用公钥e和m,计算m=s°modm,则(m,s)就是一 个伪造的签名,因为它满足验证方程 这种攻击为存在性的伪造,但成功率并不是很高,因为选定s而计 算出来的m具有正确的语义的概率是很低的 2选择消息攻击 这来自于同态性,攻击者要伪造消息m的签名,可选定两个消息m1 和m2,满足m=m1xm2,并让签名者分别对m1和m2签名,得到 s1=m1modn和s2=m2modn ●然后可计算出m的签名s=s1Xs2=m1“×m2=(m1m2) md modn 历忠毛孑技*字
6.2.2 RSA签名的安全性 基本的RSA签名是不安全的,有多种伪造方式 1. 一般方式 ⚫ 攻击者任选数据s并用公钥e和n,计算m=se mod n,则(m , s)就是一 个伪造的签名,因为它满足验证方程 ⚫ 这种攻击为存在性的伪造,但成功率并不是很高,因为选定s而计 算出来的m具有正确的语义的概率是很低的 2.选择消息攻击 ⚫ 这来自于同态性,攻击者要伪造消息m的签名,可选定两个消息m1 和m2,满足m=m1m2 ,并让签名者分别对m1和m2签名,得到 s1=m1 d modn和s2=m2 d modn ⚫ 然后可计算出m的签名s=s1s2=m1 dm2 d=(m1m2 ) d=md modn 17/ 第六章 数字签名算法:6.2 基于公钥加密的签名-RSA签名体制
第六章数字签名算法:62基于公钥加密的签名RSA签名体制 622RSA签名的安全性 ●3利用签名进行攻击而获得明文 假设攻击者已获得密文c= me mod n,他要获得明文,于是选一小随 机数r,计算s= re mod n,= xcmd n, trl mod n;因为s=r°,所以 d=r mod n 然后攻击者设法让签名者对名,于是又得到k=modm,攻击者 再计算,t×k=r1x= rl sdxc=rl×rxch= cd=mmod n,于是获得明 文m 抵抗这些攻击的有效办法是对hash值进行签名,不具有同态性 适于实际应用的可证明安全的签名方案,是类似于RSA-OAEP的随机 化填充方法来构造的,同时也是概率签名方案 典型的方案是PSSR消息可恢复签名方案 历忠毛孑技*字 18
6.2.2 RSA签名的安全性 3.利用签名进行攻击而获得明文 ⚫ 假设攻击者已获得密文c=me mod n,他要获得明文,于是选一小随 机数r,计算s=re mod n, l=sc mod n, t=r -1 mod n;因为s=re,所以 s d=r mod n。 ⚫ 然后攻击者设法让签名者对l签名,于是又得到k=l d modn,攻击者 再计算,t k=r -1 l d=r -1 s d c d=r -1 rc d=c d=m mod n,于是获得明 文m 抵抗这些攻击的有效办法是对hash值进行签名,不具有同态性 适于实际应用的可证明安全的签名方案,是类似于RSA-OAEP的随机 化填充方法来构造的,同时也是概率签名方案 ⚫ 典型的方案是PSS-R消息可恢复签名方案 18/ 第六章 数字签名算法:6.2 基于公钥加密的签名-RSA签名体制