（应用数学专业论文）盲签名及其应用研究.pdf

盲签名及其应用研究 李萍 摘要随着计算机网络及通信技术的迅猛发展，信息安全问题也日益突出。 密码学为解决信息安全问题提供了许多实用的技术，它可用来对信息提供保密性， 对身份进行认证，保证数据的完整性和不可否认性。 数字签名是电子信息特殊的产物，是保证电子数据真实性的有效手段，而在 实际应用中，有些情况却是需要签名者不能得知明文消息的内容，这就是盲签名。 盲签名作为一种特殊的数字签名，由于它具有盲性和不可链接性的特性，因而能 适应许多商务活动的保密需求：在认证的同时不泄漏内容，如合同、遗嘱的公证， 保付支票的使用，电子货币、电子投票等。盲签名要待签名消息对签名者保密， 这是它的显著特性，但如果要保证签名的盲性必然造成参数的繁多和算法的复杂， 从而影响到其实现时运行的速度。如何在不影响其实现时速度的前提下保证签名 的盲性，是个有待解决的问题，也是现在和今后密码学界的一个重要的研究课 题。 作者的主要研究结果如下： 1 对已有的盲签名方案及其安全性进行分析、总结，并构造了一个基于r s a 公钥密码体制的不可跟踪盲签名。该方案不仅满足盲签名的特性，而且算法易于 实现。 2 对两个代理盲签方案及其安全性进行分析，证明了这两个方案不具有不可 伪造性和不可链接性。并在此基础上构造了一个基于身份的代理盲签名方案，该 方案不仅具有盲签名的特性，而且它不需要保存每个用户的公钥证书，系统中每 个用户都有一个身份，用户的公钥可以由任何人根据其身份计算出来，而私钥则 是由可信中心统一生成。 3 针对盲签名的应用，首先介绍了电子投票和电子现金的一些初步知识和发 展状况，其次介绍一些现有的电子现金和电子投票方案，并对其进行性能分析， 着重研究盲签名在电子现金和电子投票中的应用及其实现问题。 关键词：盲签名代理盲签名群盲签名电子投票电子现金 i i r e s e a r c ho nb l i n ds i g n a t u r es c h e m e s a n dt h e i r a p p l i c a t i o n s l i p i n g a b s t r a c t ：w i t ht h e r a p i dd e v e l o p m e n t o fc o m p u t e ra n dc o m m u n i c a t i o n t e c h n i q u e ，t h ep r o b l e mo fi n f o r m a t i o ns e c u r i t yi si n c r e a s i n 百yo u t s t a n d i n g i n f o r m a t i o n s e c u r i t yi sb a s e do nt h ec r y p t o l o g yt e c h n o l o g ya n dp r o t o c o l s t h ed i g i t a ls i g n a t u r ei sa s p e c i a lr e s u l to fi n f o r m a t i o nd e v e l o p m e n ta n di tc a nb eu s e dt op r o t e c tt h ei n f o r m a t i o n c o n f i d e n t i a l i t ya n d a u t h e n t i c a t et h ei d e n t i t y , a sw e l la st og u a r a n t e ed a t a si n t e g r i t y ab l i n ds i g n a t u r es c h e m ei sap r o t o c o lp l a y e db yt w op a t t i e si nw h i c hau s e r o b t a i n sas i g n e r ss i g n a t u r ef o rad e s i r e dm e s s a g ea n dt h es i g n e rl e a r n sn o t h i n ga b o u t t h em e s s a g e w i t hs u c hp r o p e r t i e s ，t h eb l i n ds i g n a t u r es c h e m e sa r eu s e f u li ns e v e r a l a p p l i c a t i o n ss u c ha se l e c t r o n i cv o t i n ga n de l e c t r o n i cc a s h w i t ht h ed e v e l o p m e n to f e l e c t r o n i cb u s i n e s s ，b l i n ds i g n a t u r et e c h n o l o g yi sp l a y i n gam o r ea n dm o r ei m p o r t a n t r o l ei nt h i sf i e l d b l i n ds i g n a t u r em a k e st h ei n f o r m a t i o nu n k n o w nt ot h es i g n e r , w h i c h c a u s e sm o r ep a r a m e t e ra n dc o m p l e x i t yo fa l g o r i t h m ，s oi th a sa ne f f e c to nt h es p e e do f s i g n i n gam e s s a g e h o wt od e s i g nag o o db l i n ds i g n a t u r ei sav e r yi m p o r t a n tp r o b l e mi n t h ef u t u r er e s e a r c h t h ef o l l o w i n ga r et h ew r i t e r sm a i nr e s e a r c hr e s u l t s ： l 、i nt h es t u d y , w ea tf i r s tr e v i e wt h ev a r i o u sb l i ds i g n a t u r es c h e m e sa n dt h e n m a k ead e s c r i p t i o no ft h e i rc h a r a c t e r i s t i c s f u r t h e r m o r e ，w ep r o p o s ean e wu n t r a c e a b l e b l i n ds i g n a t u r es c h e m eb a s e do nr s ap u b l i ck e yc r y p t o s y s t e m i tn o to n l yh a st h e c h a r a c t e r i s t i c so fb l i n ds i g n a t u r eb u ta l s oh a sa l le a s ya l g o r i t h m 2 、t h r o u g ht h ea n a l y s i so ft w op r o x yb l i n ds i g n a t u r es c h e m e s ，w ew a n tt op r o v e t h a tt h i st w op r o x yb l i n ds i g n a t u r es c h e m e sc a l ln o tr e s i s tf o r g e r ya t t a c ka n db o t hh a v e l i n k a b i l i t y a n dan e wp r o x yb l i n ds i g n a t u r es c h e m e i sp r o p o s e d 3 、a st ot h eb l i n ds i g n a t u r es c h e m e sa p p l i c a t i o n s ，w ef i r s ti n t r o d u c et h ec o n c e p to f e l e c t r o n i cv o t i n ga n de l e c t r o n i cc a s h s e c o n d l y , w ea n a l y z et h eb l i n ds i g n a t u r e s a p p l i c a t i o nf i e l di ne l e c t r o n i cv o t i n ga n de l e c t r o n i cc a s h f i n a l l y , w ep u tf o r w a r dan e w e l e c t r o n i cv o t i n gs c h e m e k e yw o r d s ：b l i n ds i g n a t u r e e l e c t r o n i cv o t i n ge l e c t r o n i cc a s h p r o x yb l i n ds i g n a t u r e g r o u pb l i n ds i g n a t u r e 1 学位论文独创性声明 y 、9 0 0 2 8 i ；, 本人声明所呈交的学位论文是我在导师的指导下进行的研究工作及取得的研 究成果。尽我所知，除文中已经注明引用的内容外，论文中不包含其他个人已经 发表或撰写过的研究成果，也不包含为获得陕西师范大学或其它教育机构的学位 或证书而使用过的材料。对本文的研究做出重要贡献的个人和集体，均已在文中 作了明确说明并表示谢意。 作者签名：查堡日瓤翌! ：生 学位论文使用授权声明 本人同意研究生在校攻读学位期间论文工作的知识产权单位属陕西师范大 学t 本人保证毕业离校后，发表本论文或使用本论文成果时署名单位仍为陕西师 范大学。学校有权保留学位论文并向国家主管部门或其它指定机构送交论文的电 子版和纸质版；有权将学位论文用于非赢利目的的少量复制并允许论文进入学校 图书馆、院系资料室被查阅；有权将学位论文的内容编入有关数据库进行检索； 有权将学位论文的标题和摘要汇编出版。 作者签名：盔盏日期：竺! - 第一章绪论 随着计算机网络及通信技术的迅猛发展，大量敏感信息要通过公共通信设施 或计算机网络进行交换，与此同时，信息安全问题也日益突出，网络入侵、信息 泄密及网络犯罪等案件也日益上升，因此，如何堵住网络的安全漏洞和消除安全 隐患己成为人们十分关注的问题，信息安全已成为信息科学领域的热点课题，对 此方向的研究不但具有理论价值，而且具有广泛的实际应用价值。 密码学为解决信息安全问题提供了许多实用的技术，它可用来对信息提供保 密性，对身份进行认证，保证数据的完整性和不可否认性。广泛应用的核心技术 有( 1 ) 信息加密算法，主要用来保护在公开通信信道上传输的敏感信息，以防被 非法窃取；( 2 ) 数字签名技术，用来对网上传输的信息进行签名，保证数据的完 整性和交易的不可否性。数字签名技术具有可信性、不可伪造性、不可重用性和 不可否认性。数字签名技术可迸步细分为一般数字签名、多重数字签名、门限 签名、秘密共享多重签名、盲签名、代理签名、多重代理签名及门限代理签名等， 各种签名技术都有它特定的适用范围；( 3 ) 身份认证技术，网上银行、网上证券 交易、电子商务等许多网上通信业务都需要对双方或多方的身份进行确认，传统 的身份认证方式通常采用“用户名+ 口令”的形式来确认，但这种形式有许多缺点， 安全的身份认证方式是采用公钥密码体制来进行身份识别。 数字签名是电子信息特殊的产物，是保证电子数据真实性的有效手段，而在 实际应用中，有些情况却是需要签名者不能得知明文消息的内容，这就是盲签名。 盲签名在需要实现某些参加者的匿名性的密码协议中有重要的应用，诸如在选举 协议、安全的电子支付系统中等，因而备受人们青睐，有广泛的应用前景。 综上所述，对盲签名的研究不但具有很重要的理论意义，而且在我国的经济 和社会领域具有非常广阔的应用前景。 1 1 数字签名的基本概念及方案构成 随着计算机技术的飞速发展，计算机通信逐渐被应用到政治、军事、外交、 商业等领域中，人们总是希望能通过网络通信传输对文件、契约、合同、信件和 帐单等进行数字签名来代替以往的手写签名。数字签名的目的是提供一种手段， 使得一个实体把他的身份与某个信息捆绑在一起。数字签名作为一种密码技术广 泛用于认证、授权和不可否认中。 1 1 1 手写签名与数字签名的区别 ( 1 1 手写签名是所签文件的物理组成部分，数字签名必须与所签文件捆绑在一 起。 手写签名通过与标准签名比较或检查笔迹来验证伪造签名比较容易。数 字签名是通过公开的验证算法来验证。好的数字签名算法应该具有不可伪造性。 数字签名作为一种密码技术，具有以下功能和性质： f 1 1 可信性。签名的接收者相信接收到的签名确实是合法的签名者所签署的。 ( 不可伪造注。只有签名者本人才能生成自己的签名。 ( 3 1 不可重用性。签名含有文件的信息，不能作为其它文件的签名。 不可否认性。签名者事后不能否认自己的签名。 d i f f i e 和h e l l m a n 【1 铡用公钥密码体制的思想提出了数字签名的概念。一般来 说一个数字签名方案包括两个部分：签名算法和验证算法。数字签名的正式定义 如下： 定义l d 1 个签名方案是一个满足下列条件的五元组( 尸，爿，k ，s ，v ) ： 1 1p 是由所有可能的消息组成的一个有限集合。 4 是由所有可能的签名组成的一个有限集合。 3 1k 为密钥空问，它是由所有可能的密钥组成的一个有限集合。 4 ) 对每一个k e k ，有一个签名算法s 喀e s 和一个相应的验证算法 v e r k e v 对每一个消息x e p 和每个签名y e a ，s 蛾：p 一爿和 v e r k ：p x a 一 t r u e ，如如曲满足： v 吲w ) = t r u e ：y ，= 咄s i g k ( 。x ； 由x p 和y e a 组成的数据对o ，) ，) 称为签名消息。 1 1 2 数字签名的分类 、 按目的可以把数字签名分成普通数字签名和特殊数字签名( 如不可否认签名， 盲签名，代理签名，群签名等) 。 普通签名：就是由签名者自己用自己的私钥对消息进行直接签名。任何人都 可以用公钥来验证签名的有效性。这是一种最简单的数字签名，同时也是应用最 广泛的一种数字签名。 不可否认签名：任何人都可以验证普通签名，但现实生活中有时候需要在签 名者参加的情况下才能进行签名验证过程。满足这个要求的签名称作不可否认签 2 名。它可以使用在如下场合： o ) a 希望访问b 控制的“安全区域”。b 在授予a 访问权之前，要求a 对“访 问时间、日期”进行签名。另一方面，a 不希望别人了解这个事实，即没有a 的参 与b 不能通过出示a 的签名及签名的验证，来证明“a 访问该区域”这一事实。 ( 2 ) 某公司a 开发的一个软件包。a 将软件包和他对软件包的不可否认签名卖 给用户b 。b 当场验证a 的签名，以便确认软件包的真实性。用户b 想把该软件 包的拷贝私自卖给第三者。由于没有公司a 参与，第三者不能验证软件包的真实 性，从而保护了公司a 的利益。 群签名：群签名的概念最早是由d c h a u m 和v a n h e y s t z l 提，之后又有许多 人对它进行了研究。一个群签名方案允许群体中的任一个成员代表该群体签名， 这个签名是可用一个群公钥公开验证的，同时它还实现了签名者的匿名性及签名 文件的不可链接性。 群签名协议主要包括以下几个过程： 创建是产生群公钥y 和群管理员的管理密钥5 的一个概率算法。 加入是群管理员和新成员a 之间的一个交互式协议，它产生a 的密钥x ， 成员证书v 和a 的公钥。 签名 是群成员a 和用户之间的个交互式协议，输入是用户的信息t n 和a 的密钥石，输出是对m 的签名s 。 验证 是一个输入沏，s ，y ) ，用群公钥l ，确定s 是否是m 的一个合法的签名的 算法。 打开 是给定一个签名信息和群密钥，确定签名者身份的算法。 群签名必须满足下列安全性质： 匿名性给定一个签名，确定实际签名者身份除了唯一的群管理员之外，对 任何人都是计算困难的。 不可伪造性只有合法的群成员才能代表群体来签名；任何一个群成员，甚 至群管理员也不能代表其它成员签名。 无关性确定两个不同的签名是否由同一个群成员签署的，在计算上是困难 的。 可跟踪性群管理员可以打开任意一个签名，识别出实际签名者的身份；此 外，签名者不能阻止一个合法签名的打开。4 抵抗联合攻击群成员中部分成员串通起来也不能生成一个不可跟踪的合法 的群签名，即不能生成一个合法群签名，这个签名不能由群管理员打开。 代理签名：是原始签名者将自己的签名权委托给别人，由受委托者代替原始 3 签名者进行签名。代理人的签名和原始签名人本人的签名具有同等法律效力，但 是代理签名和原始签名者本人签名很容易识别。 盲签名：是签名者在不知道签名消息具体内容的情况下对消息进行的签名。 它在电子支付系统与电子投票中均有重要的应用。盲签名是本文研究的对象。 1 2 盲签名的研究背景、发展状况及现实意义 盲签名的概念首先由d c h a u m l 3 】于1 9 8 2 年提出，它是一个两方协议。盲签名 是一种特殊的数字签名，他与通常的数字签名的不同之处在于，签名者并不知道 他所要签发文件的具体内容。d c h a u m 用一个形象的事例说明了盲签名：签名前 先把文件放入一个带有复写纸的信封( 盲化) ，签名人直接在信封上签名，透过复 写纸写到文件上。这个过程中信封没有打开，所以无法了解文件的真实内容。事 后当文件持有者打开信封( 脱盲) ，签名者可以验证签名，但他不能在签名和文件 问建立联系。即盲签名是具有下面两种特性的一种数字签名方案。 ( 1 ) 盲性：消息的内容对签名者来说是不可见的。 ( 2 ) 不可链接性：签名者事后不能将签名与盲消息联系起来。盲签名的这种特 性能适应许多商务活动的保密需求：在认证的同时不泄漏内容，如合同、遗嘱的 公证，保付支票的使用，电子货币、电子投票等。 1 2 1 盲签名的发展状况 自d c h a u m 3 于1 9 8 2 年提出盲签名的概念以来，盲签名便因其潜在的应用价 值而得到密码学界的广泛关注。于是，各种体制的盲签名如r s a 盲签名、e 1 g a m a l 盲签名、s c h n o r r 盲签名等相继而出。盲签名在其发展过程中，经历了大致两个阶 段。第一个阶段是从1 9 8 2 年一1 9 9 6 年，这一阶段的工作主要集中在对盲签名方案 的研究上，许多性能良好的盲签名就是在这一时期提出的。第二个阶段是从1 9 9 6 年至今，主要是研究盲签名在电子商务和电子政务中的应用与实现这一更深层次 上。 1 2 2 对盲签名研究的现实意义 随着网络经济时代的到来，电子商务已逐步从理论转变为一种重要的商务发 展模式。电子商务与传统模式的根本不同在于用户和商家通过网络交易，双方不 必见面。这种方式可以降低双方的交易成本，拓宽了选择的余地，交易便捷可行， 是一种互惠互利的方式。目前电子商务在各地己陆续开展，逐步崭露头角。但与 传统就经济相比，它占的比重还是很小。相当多的商家和用户持谨慎观望态度， 4 他们的主要顾虑是交易的安全性。由于交易时双方不见面，因而对认证双方的身 份合法性，保护交易数据安全传输等的安全性措施，对于电子商务能否受广大用 户认可是相当关键的。 电子商务的安全性是通过以密码学为基础的技术和协议来保障的。盲签名技 术是其中实现电子现金、电子投票等的关键技术。总之，盲签名由于它的盲性在 电子商务和电子政务中有着广泛的应用前景。随着科技的进步，必将有更多的领 域会应用盲签名技术，同时这也会促进盲签名技术的进步。 1 1 3 论文的内容安排和主要研究成果 1 j 1 论文内容安排 ( 1 ) 第二章主要介绍一些要用到的数论知识和相关的密码学知识。数字签名是 基于数学上某种在计算上是困难性问题设计的，和数学有着密切的关系。许多数 学知识尤其是数论中的许多问题如整数分解问题( i f p ) 、离散对数问题( d l p ) 、 二次剩余问题( q r ) 等都是设计数字签名的基础，并且也是设计盲签名方案的基础。 ( 2 ) 第三章首先介绍了一些经典的盲签名方案，对其的安全性进行了分析，并 结合自己的研究构造了两个盲签名方案；其次，介绍了部分盲签名的概念，并分 析了其优劣。最后介绍了群盲签名的概念并分析了其安全性。 ( 3 ) 第四章首先介绍了电子投票的一些初步知识及其发展状况，其次介绍一些 现有的电子投票方案，并对其进行性能分析，着重研究盲签名在电子投票中的应 用及其实现问题。 ( 4 ) 第五章首先介绍了电子现金的一些初步知识及其发展状况，其次介绍一些 现有的电子现金方案，并对其进行性能分析，着重研究盲签名在电子现金中的应 用及其实现问题。 ( 5 ) 结束语对本文进行了归纳总结。 1 3 2 主要研究成果 作者取得了以下研究成果： 1 本文分析了盲签名方案的研究状况及背景，阐述了r s a 公钥密码体制的 盲签名方案及其安全性分析，并在此基础之上构造了一个基于r s a 公钥密码体制 的不可跟踪盲签名。 2 研究了代理盲签名方案并结合自己的研究构造了一个基于身份的代理盲签 名方案。最后讨论了盲签名在电子商务中的应用。 第二章知识背景 盲签名是一种特殊的数字签名，它与数字签名一样都是基于数学上某种在计 算上是困难性问题设计的，和数学有着密切的关系。许多数学知识尤其是数论中 的许多问题如因子分解问题( f p ) 、离散对数问题( d l p ) 、二次剩余问题( q r ) 等都是设计数字签名和盲签名的基础。因而数论中的因子分解问题、离散对数求 解、二次剩余问题及密码学中的单项函数和知识签名问题，都是我们进行盲签名 研究的基础。 2 1 数论基础 2 1 1 整数分解问题 到目前为止，整数分解问题仍然是困难问题。许多密码技术的安全性都是基 于整数分解问题的困难性，如r s a 体制、r a b i n 体制等。下面给出整数分解问题 的定义： 定义2 1 1 设n 是一给定的正整数，求n 的素因子。即：把 表示成 h = 力疗p ，其中p 。，i = 1 ，2 ，k 是互不相同的素数，乞l ，f _ 1 ，2 ，k 2 1 2 离散对数问题 到目前为止，离散对数问题仍然是困难问题。在密码学上，很多数字签名方 案的安全性都是基于离散对数问题的困难性，如数字签名标准( d s a ) 、e 1 g m a l 数字签名、s c l m o r t 数字签名等。下面给出离散对数问题的定义： 定义2 1 2 设p 是一个大素数，a 是z ，的本原元素，卢是z ，上的任一非零元 素，求唯一的整数4 ，0 s n5 p 一2 ，使得 卢；口4 m o d p 记整数4 为l o g ! 若我们知道a ，p ，则声很容易被计算出。反过来，如果我们知道卢，a ，p ，则计算a 是 困难性问题。为了抵抗已经知道的攻击，一般p 至少取1 5 0 位，p 一1 应该有大的素因子。 2 2r s a 公钥密码体制 r s a 是使用最为广泛的公钥密码系统，它可用在保密和数字签名上。公钥密 码的思想是d i f f i e 和h e l l m a n 于1 9 7 6 年在他们的论文1 1 】“密码学的新方向”一文中 首先提出的。他们指明了实现在某些已知的数学难解问题上建立密码的具体途径。 随后r i v e s t ，s h a m i r 和a d l e m a i l 【4 】于1 9 7 7 年首次实现了著名的r s a 密码系统，它 6 的安全性是基于大整数素因子分解的困难性上。该体制运用了下面三个事实和一 个定理。， ( 1 ) 模n 的幂运算。给定m 和e ，从c ；m 。m o d n 计算c 相对来说是易运算的。 ( 2 ) 给出c 及e ，n 求模n 的e 次根是困难的。即：给出c 及e ，l 计算卅；c r o o d n 是困难的。 ( 3 ) 若n 的素因子分解已知，求模，l 的e 次根是易求的。 定理2 3 1 1 5 1 设口和，l 是两个正整数，若( 口，n ) ；1 贝j j a ( 4 ；l m o d n 。其中妒( h ) 是 欧拉函数，表示小于等于n 的正整数中与z 互素的数的个数。若n 是素数，则 妒0 ) = h 一1 若n = p x ，p ，q 为素数，则0 ) = p 一1 ) ( q 一1 ) 2 2 1r s a 密码系统的描述 b 欲加密消息小，将密文在公开信道上传送给a 。a 接到密文后对其解密。 具体的算法如下： 密钥建立 为了生成用户a 的基本参数，用户a 执行以下步骤： 1 随机选择两个大素数p 和口，计算, = p q ，庐0 ) = 0 1 ) ( q 一1 ) ； 2 随机选择整数e t 庐o ) ，满足( e ，庐o ) ) ；1 ，并计算整数d 满足： e d l m o d 庐( 月) 3 a 公开自己的公钥( h 力，安全地销毁p ，q 和庐0 ) ，将d 作为a 自己的私 钥。 加密算法 为了秘密的将m c 一发送给a ，发送者b 生成密文c 如下： 1 计算c = e ) = m 。r o o d n ： 2 将密文c 发送给a 解密算法： a 收到密文c 后，用自己的私钥d 计算= d i ( c ) = c 。m o d n ，m z 。 2 2 2r s a 实现过程及安全性 密钥生成 a 建立自己的公钥和相应的私钥： 生成两个随机素数p 和q ，p q 并且它们的长度大体相同； ( 9 r 算，z = p g ，妒( ，1 ) ；( p 一1 ) ( g 一1 ) ： 选择随机数e ，0 c ec 妒0 ) ，使得0 ，0 ) ) = 1 ； 求d = e 1 m o d 伽) ： a 公布公钥o ，e ) ，并秘密的销毁p ，q ，将d 作为私钥。 r s a 安全性分析 对r s a 的攻击方法有： 分解模数n ； 确定庐伽) ； 直接确定d 首先，给定n ，确定妒0 ) 等价于分解模数以。这是因为已知，l 和( n ) ，由 n = p 。口，庐0 ) = ( p 一1 ) 0 - 1 ) ，得n p 2 一伽一o ) + 1 咖+ ，l = 0 。该方程的两个根为 p ，q ，即能够分解n 。反过来，知道模数，l 的素因子分解，自然可计算庐( n ) 。 显然，已知模数n 的素因子分解，使用扩展的e u c l i d e a n 算法可从e 计算出私 钥d 。反过来，如果有算法可以由公钥( n ，e ) 直接计算出私钥d ，利用它可以构造 分解模数n 的概率算法。由此可见，从公钥( n ，e ) 计算私钥d 与分解模数n 在计算 上是等价的。 另外从b k a l i s k i 和m r o b s h a w 在1 9 9 5 年发表的文章【6 】知道，给定e 和n ， 使用目前己知的算法求出d 在时间开销上至少和因子分解问题一样大。为此我们 可以把“因子分解性能”作为评价r s a 安全性的基准。当数字n = p q 足够大时，分 解它的素因子是个困难问题。1 9 9 6 年使用较新的广义数域筛法分解长度为1 3 0 的 十进制数n 的时间是5 0 0 个m i p s 年( 即每秒1 0 0 万条指令的处理器工作5 0 0 年) 。 当前整数素因子分解算法能分解十进制长度是1 3 0 ，故选取的素数p 和4 应该是长 度为1 0 0 的十进制数( 相当3 2 2 位二进制数) 。目前r s a 的一些硬件实现使用5 1 2 位二进制数n ( 相当1 5 4 位十进制数) ，所以不能提供长期的安全性。我们推荐7 6 8 位，长期安全应该至少使用1 0 2 4 位。 2 2 3r s a 在实现时要注意的问题 下面列举在实现r s a 时要注意的一些问题。 ( 1 ) 在构造n 时应选择p 和吁的长度差不多，数值上不要太接近，并且p 一1 和 q 一1 有大的素因子。q l q 一1 ) 应该较小。一般选择p 使得p 和0 1 ) 2 均是素数。 ( 2 ) 每个用户必须有自己的模数，l ，用户之问不要共享n 。有两个原因： 某中心选择公用的r s a 模数n ，然后把( e id ，) 分发给众多用户。由任何一 对 ，d ；) 都能分解模数n 。从而本质上任何用户都可以求出共享该模数的每个用户 的解密密钥d ：。 如果用户1 的公钥为n ，岛，用户2 的公钥为n ，乞，其中心，e ：) = 1 。用户3 8 要把同一条消息x 发送给用户1 和用户2 ，它们分别为y l = 妒m o d n ，y 2 = 驴r o o d n ， 窃取者截获y 。，y ：就可以计算出x 具体步骤是： 因( e l ：e ：) = 1 ，可以计算出啊= q - 1 m o d e 2 ，一以，e x 一1 ) e 2 ，故可计算 x = y j ( y 争) r o o d n 2 3e i g a m a l 数字签名方案 1 9 8 5 年，t e l g a m a l l 7 基于离散对数问题提出了公钥密码体制，该方案可用 于数字签名方案和加密算法中。e l g a m a l 数字签名方案是一种随机化的签名机制， 生成数字签名与被签名消息和随机选取的k 有关。下面是e l g a m a l 7 1 数字签名方 案 密钥生成：设p 是一个大素数，o 是z 。的本原元素，选择整数口，0 5 口s p 一2 ， 计算，卢= 口4 m o d p p ，t 2 是公开参数，卢是公钥，口是私钥。 签名生成算法：选择秘密随机数k e z ：, - 1 ，对消息z 的签名为( y ，5 ) ，其中 y = a 。m o d p ，6 = o a y ) k m o a ( p - 1 ) 签名验证算法：验证卢7 y 6 ；a 1m o d p ，若成立，则( y ，6 ) 是对消息x 的签名。 在签名生成算法中只需要一个模指数( 口r o o d p ) 运算、一个扩展的e u c l i d e a n 算法( 计算k m o d ( p 一1 ) ) 和两次模乘运算，其中前两者可以离线计算。e 1 g a m a l 数字签名方案参数p 的选择与在z ：中计算离散对数算法的进展有直接关系。从目 前情况来看，p 至少应该是二进制5 1 2 位的素数，从长期安全性考虑应使用1 0 2 4 位或更长的素数。另外，p 一1 最好有大的素因子，口最好是z ：的素数阶子群( 而 不是z ：本身) 的生成元。 对于e 1 g a m a l 数字签名算法有下面两种伪造攻击： 对手同时选择0 f ，5p 一2 ，使( ，p 一1 ) = 1 计算y = a 卢m o d p ， 6 一y ，m o d ( p 一1 ) ，x 一埘m o d ( p 一1 ) 不难证明( y ，6 ) 是a 对消息x 的合法签 名。 对手已知( y ，6 ) 是a 对消息x 的合法签名，利用它在伪造一批a 的签名。选 择0 s ，i ，s p 一2 使得( y p ，p 一1 ) = 1 。计算： a = y “a 卢m o d p ， 9 “；却( h r j 6 ) 一1 m o d ( p 一1 ) ， 葺= a ( 衙+ i a ) ( h r j 6 ) m o d ( p - 1 ) 不难证明( ，弘) 是a 对消息x ，的合法签名。 可以通过对消息的哈希函数值签名d = q 一a r ) k 。r o o d o 一1 ) 来抵抗上述攻 击。 在使用e l g a m a l 数字签名时，要注意如下两点： 不能泄露随机数k 。否受| j 利用随机数k ，由6 = o a t ) k m o d ( p 一1 ) 可求出密 钥口= 0 一a k ) r m o d ( p 一1 ) a 不能使用相同的k 对两个不同消息进行签名。假如使用相同的t 对消息 ，的 签名分别是( r ，哦) ，( y ，6 2 ) 由签名生成算法得知a = y 一r o o d p ，由 y = a r o o d p 得出气一x 2 i 女( 6 l 一6 2 ) m o d ( p - 1 ) 令d 一( p 一1 6 l 一6 2 ) ，6 1 6 22 6 - d ， p 一1 ：p7 d ，一屯：x 1 d ，由x m k d m o d p 得到d 个k 的候选值。通过验证 y ：tm o d p 确定唯一的k 值，再由岛= ( 葺一日y 冰m o d ( p 1 ) 求出私钥 口= c b 一6 乒) y 1 m o d ( p 一1 ) 一一 1 0 第三章盲签名 数字签名是一种重要的密码与计算机网络安全技术，它的使用可以保证所传 送的信息不被篡改和伪造，并能确认签名者的身份。而盲签名的概念首先由 d c h a u m l 3 】于1 9 8 2 年提出，它是一种特殊的数字签名，它与通常的数字签名的不同 之处在于，盲签名是在发送者a 和签名者b 之间的一个两方协议。签名者并不知 道他所要签发消息的具体内容，而消息拥有者又可获得签名者关于真实消息的有 效签名。它的基本思想是：a 欲让b 对消息m 签名，但又不想让b 知道消息的具 体内容。 。 3 1 盲签名概念及性质 为了说明盲签名的概念，文中我们设a 为消息的拥有者，而b 为签名者。在 盲签名协议中a 的目的是让b 对某消息m 进行签名，但又不想让b 知道消息m 的 具体内容。而b 并不关心消息m 的内容，他只是保证他在某一时刻以公证人的资 格证实这个文件。 。 3 1 1 盲签名的概念 关于盲签名，d c h a u m 用一个形象的事例说明了盲签名：所谓的盲签名，就 是先将文件放入一个带有复写纸的信封( 盲化) ，签名人直接在信封上签名，透过 复写纸写到文件上。这个过程中信封没有打开，所以无法了解文件的真实内容。 而除去盲因子的过程就是打开信封，签名者可以验证签名，但他不能在签名和文 件问建立联系。即盲签名是具有下砸两种特性的一种数字签名方案。 ( 1 ) 盲性：签名者对其所签署的消息的具体内容是不可见的。 ( 2 ) 不可链接性：当签名信息被公布后，签名者不能将签名与盲消息联系起来。 下面给出盲签名的定义 定义3 1 1 1 8 盲签名：就是接收者在不让签名者获取所签署消息具体内容的情 况下所采取的一种特殊的数字签名技术，它除了满足一般的数字签名条件外，还 必须满足下面的两条性质： 盲性：签名者对其所签署的消息的具体内容是不可见的。 不可链接性：当签名信息被公布后，签名者不能将签名与盲消息联系起来。 3 1 2 盲签名的性质和实现效率 一般来说，一个好的盲签名应该具有以下性质： 不可伪造性：除了签名者本人以外，任何人都不能以他的名义生成有效的盲 签名。这是一条最基本的性质。 不可否认性：签名者一旦签署了某个消息，他无法否认自己对消息的签名。 盲性：签名者对其所签署的消息的具体内容是不可见的。 不可链接性：当签名信息被公布后，签名者不能将签名与盲消息联系起来。 满足上面几条性质的盲签名，被认为是安全的。这四条性质既是我们设计盲 签名应遵循的标准，又是我们判断盲签名性能优劣的依据。 另外，方案的可操作性和实现效率也是我们设计盲签名时所必须考虑的重要 因素。一个盲签名的可操作性和实现速度取决于以下几个方面： ( 1 ) 密钥的长度； ( 2 ) 签名的长度； ( 3 ) 签名的算法和验证算法。 3 2 对现有盲签名体制的分析 在前面我们已经介绍了两个数学问题大数分解问题及离散对数问题。大 多数的公钥密码体制都是建立在这些问题上。这些密码体制具有很强的抗攻击能 力。 近期，有很多学者提出了盲签名方案。 3 2 1 基于r s a 公钢密码系统的d c h a u m 盲签名方案 基于大数分解的盲签名方案是由d c h a u m 3 1 首先提出的，d c h a u m 的盲签 名方案由以下几个部分组成： 初始化阶段： 签名者b 随机选取两个大素数p 和玎，计算： h = p q 0 ) = ( p - 1 ) ( q 1 ) a b 随机选取两个大整数p 和d 使得e d = 1 m o d e ( n ) ，( p ，扣”= 1 。 b 公开e ，”和一个安全的单向哈希函数 ( ，秘密保存p ，q 和d 。 b 的公钥是研，e ) ，私钥d 。 盲化阶段： 签名的索取者a 有消息m z ：，随机选取一个整数r g z 。计算 m = r 。 r m ) m o d n a 将m 发送给b 1 2 签名阶段： 签名者b 计算s 一似) 4 m o d n ，将s 发送给a 。 脱盲阶段： 签名的索取者a 计算s = s t r r o o d n ，s 就是消息m 的签名。 验证阶段： a 可以验证如下等式 ( 5 ) 。h ( m ) m o d n 是否成立，由此可确定签名是否有效。若成立，则验证了s 是b 对m 的签名，否 则拒绝。 r s a 签名体制的安全性依赖大数分解的困难性，分解，l 是最长用的攻击方法， 攻击者只要能分解n ，求出签名者的私钥是轻而易举的事。所以，n 的取值尽可能 大些。目前r s a 的一些硬件实现使用5 1 2 位二进制数 ( 相当1 5 4 位十进制数) ， 所以不能提供长期的安全性。我们推荐7 6 8 位，长期安全应该至少使用1 0 2 4 位。 另外，为了防止攻黼的穷举攻击，在构造l 时应选择p 和g 的长度差不多， 数值上不要太接近，并且p 一1 - j q 一1 有大的素因子。( p 一1 ，q 一1 ) 应该较小。一般 选择p 使得p 和( p i ) 2 均是素数。可以有效防止攻击者迭代逐- n 试攻击。 3 2 。2 基于离散对数问题的盲签名方案 3 2 。2 1 方案一( e i g a m a l 盲签名) 1 9 8 5 年，t e l g a m a l l 7 基于离散对数问题提出了公钥密码体制；该方案可用 于数字签名方案和加密算法中。e l g a r n a l 数字签名方案是一种随机化的签名机制， 生成数字签名与被签名消息和选取的随机数k 有关。e i g a m a l 盲签名是对e i g a m a l 签名协议稍作修改得到的，但这丝毫不影响它的安全性。 e i g a m a l 盲签名由以下几个部分组成： 密钥生成 签名者b 选择两个大素数p ，毋q f 0 1 ) ，在z ：上离散对数问题是困难性问题。 a 是z ：的q 阶元。选取私钥x ，令y = a 。m o d p ，y 为公钥。 签名协议 ( 1 ) 签名者b 任取z ，计算： i = a i m o d p ，并将i 发送给a ( 2 ) 发送者a 收到，后，任取口，b e z 。，计算： r = y c t 6 r o o d p r h = a m r y m o d q ，并将历发送给b ( 3 ) 签名者b 收到前后，计算： i = + k r i ) m o d q ，并将i 发送给a ( 4 ) a 收到i 后，计算： 5 = f g r f + b m ) m o d q 则p ，s ) 是对m 的e i g a m a l 盲签名。 验证算法 验证方程：a 5 ；v 7 r ”r o o d p 若成立，则接受( ，s ) 是对n 的签名。否则拒绝。 3 2 2 2 方案二 除了加进一个哈希函数 ( ) 外，与方案一的密钥生成阶段相同。 签名阶段 ( 1 ) 发送者a 随机选择f z ；，计算m 。= 小m o d p ，并将发送绘b ( 2 ) 签名者b 随机选择5 z 。，计算： a o = 口r o o d p b o = m o m o d p b ；肌；m o d p 将a 。，b 0 ，发送给a ( 3 ) 发送者a 随机选择h z ：，v e z q ，计算： a = o “”) 4 m o d p ， b ；( b g m ”) ”m o d p ， z ；0 。) 彳， c = h ( m ，z ，a ，b ) m o dq ， c 0 么m 。d q 将c 。发送给签名者b ( 4 ) 签名者b 计算r o = 5 + v 并将r 0 发送给a ( 5 ) a 验证a = a o y “，肌0 = 6 0 z 1 4 若成立，计算r = ( r o + v m o d q ，6 一( z ，a ，b ，) 是对m 的签名。 验证算法： 验证方程：a 7 = a y ，m 7 = b z 若成立，则6 = ( z ，4 ，b ，r ) 是对m 的签名。否则拒绝。 3 2 2 3 基于s c h n o r r 体制的盲签名方案 1 9 9 2 年，o k a m o t o 基于s c h n o r r 签名体制，构造了一种盲签名方案9 1 0 1 ，该 方案的安全性依赖于离散对数问题的难解性。s c h n o r r 盲签名协议比r s a 盲签名协 议更复杂，需要更多的交互过程。该签名协议如下： 初始化阶段： 签名者b