（计算机应用技术专业论文）阈下信道中数字签名技术的研究与分析.pdf

硕十学位论文 lum，ii_。；。目i目!i目奠 摘要 阈下信道作为一种典型的信息隐藏技术，是指在公开信道中建立的实现隐蔽 通信的信道。利用阈下信道，通信双方可以在普通的数字签名中传递秘密信息， 除通信双方以外的任何人均不知道秘密信息的存在。正是由于其超常的隐蔽性， 阈下信道已经为很多应用提供了良好的平台，其军事价值、商业价值和社会价值 是非常巨大的，有着非常广阔的应用空间。 通过对常见数字签名中阈下信道的分析，本文首先对椭圆曲线数字签名的通 信应用进行了深入研究。针对阈下信道技术在椭圆曲线数字签名中的应用可能以 及存在的安全隐患问题，通过对其中存在的窄带阈下信道进行实时性测试，在平 衡传输信息容量与签名时间的条件下，确定了合理的阈下信息传输位数。实验结 果表明，窄带阈下信道在椭圆曲线数字签名中可以被有效利用。 其次，基于椭圆曲线离散对数问题，提出了一种基于椭圆曲线的( f ，1 ) ( 七，所) 强可验证门限阈下信道方案。方案中n 个阈下子信息拥有者中至少t 个合作得到 阈下信息进而生成有效的签名，而m 个接收者中至少k 个合作提取阈下信息。接 收者不需要和发送者共享其私钥，通过采用一种可验证门限秘密共享技术，使每 个接收者可以对提取的子信息有效性进行验证。同时又防止了接收者对签名进行 联合攻击和广义伪造攻击，且该方案分散了发送者的权利，使收发双方地位更加 公平。经对方案进行正确性和可行性分析，证明该方案适合应用在电子商务等非 安全环境中。 最后，研究了封闭阈下信道理论模型和方案，提出了一种新的封闭e c d s a 阈下信道方案。该方案令看守参与签名的生成，但没有伪造签名的能力，从而在保 证签名者的签名权力的前提下，实现了对因随机会话密钥而引入阈下信道的完全 封闭。 关键词：数字签名；阈下信道；椭圆曲线密码体制；可验证门限；阈下信道封闭 闽下信道中数字签名技术的研究与分析 a b s t r a c t a sat y p i c a li n f o r m a t i o nh i d i n gt e c h n o l o g y , t h es u b l i m i n a lc h a n n e li sac o v e r t c h a n n e l ，c o n s t r u c t e di nt h ep u b i l i cc h a n n e li no r d e rt or e a l i z es e c r e tc o m m u n i c a t i o n ac o v e r tm e s s a g ec a nb es e n tt oa na u t h o r i z e dr e c e i v e ro fs i g n e dm e s s a g e sb ya s i g n i n gp a r t yt h r o u g ht h es u b l i m i n a lc h a n n e li nas i g n a t u r es c h e m ea n dc a n n o tb e d e t e c t e di fn oa d d i t i o n a l k n o w l e d g e b e c a u s e o fi t s g o o di m p e r c e p t i v i t y ，t h e s u b l i m i n a lc h a n n e l ，w h i c hh a sp r o v i d e dag o o dp l a t f o r mf o rm a n ya p p l i c a t i o n s ，h a sa v e r yb r o a da p p l i c a t i o ns p a c ea n di t sm i l i t a r yv a l u e ，c o m m e r c i a lv a l u ea n ds o c i e t y v a l u ei sa l s og r e a t b a s e do na n a l y s i sa b o u tt h es u b l i m i n a lc h a n n e l so fc o m m o nd i g i t a ls i g n a t u r e s ， f i s t l y , t h e c o m m u n i c a t i o ni nt h ee c d s ai ss t u d i e d t h e r ea r en a r r o w b a n da n d b r o a d b a n ds u b l i m i n a lc h a n n e l si nt h ee c d s a ，b u tb r o a d b a n ds u b l i m i n a lc h a n n e l c a n tb es a f e l yu s e d t h e r e f o r e ，t h er e a l t i m et e s to fn a r r o w b a n ds u b l i m i n a lc h a n n e li s d o n e t h er e a s o n a b l eb i tr a t eo ft h es e n tm e s s a g ei sc o n f i r m e dw h e nt h ec a p a c i t ya n d r e a l t i m er e q u e s to fn a r r o w b a n ds u b l i m i n a lc h a n n e la r es a t i s f i e d t h er e s u l ts h o w s ， n a r r o w b a n ds u b l i m i n a lc h a n n e lc a nb ee f f e c t i v e l yu s e di ne c d s a s e c o n d l y , a ( t ，n ) - ( k ，m ) v e r i f i a b l et h r e s h o l d s u b l i m i n a lc h a n n e ls c h e m ew a s p r e s e n t e db a s e do nt h ee l l i p t i cc u r v ed i s c r e t el o g a r i t h mp r o b l e m i nt h i ss c h e m e ，a t l e a s tt p a r t i c i p a n t sa m o n gnp o s s e s s o r so fs u b l i m i n a ls u b - i n f o r m a t i o nc o u l dg e t s u b l i m i n a li n f o r m a t i o ns ot h a tc o u l df o r mv a l i ds i g n a t u r e ，w h i l ea tl e a s tkp a r t i c i p a n t s a m o n gmr e c i p i e n t sc o u l de x t r a c tt h es u b l i m i n a li n f o r m a t i o n r e c i p i e n t sd o n tn e e dt o s h a r et h e i rp r i v a t ek e y sw i t ht h ep a r t i c i p a n t s b yu s i n go n ev e r i f i a b l et h r e s h o l ds e c r e t s h a r i n gt e c h n i q u e ，t h ee f f e c t i v e n e s so fe x t r a c t e ds u b i n f o r m a t i o nc a nb ev e r i f i e db y e a c hr e c e i v e r m e a n w h i l e ，i tc o u l da l s oa v o i dt h ec o a l i t i o na t t a c ku p o nt h es i g n a t o r y a n dg e n e r a l i z e ds i g n a t u r ef o r g e r y b ya n a l y s i so ft h ev a l i d i t ya n df e a s i b i l i t y ，t h ef a i r e r s c h e m ei sp r o v e dt os u i tf o ri n s e c u r ee n v i r o n m e n t ，s u c ha se - c o m m e r c ee t c f i n a l l y , an e ws u b l i m i n a l - f r e ep r o t o c o li ne c d s a i sd e s i g n e da f t e rt h er e s e a r c h o nt h ef r e ea n dm o d e lo fs u b l i m i n a lc h a n n e l i nt h ep r o c e s so ft h ep r o t o c o l ，t h e w a r d e nc o v e r sa l lt h ed a t ag e n e r a t e db yt h es i g n e ra n df i n i s h e st h es i g n a t u r e ，b u th e c a nn o tf o r g et h es i g n a t u r e s i ti st h ef i r s tt i m et h a ts u b l i m i n a lc h a n n e l se x i t i n gi n r a n d o ms e s s i o nk e y si ne c d s aa r ec o m p l e t e l ya v o i d e d k e yw o r d s ：d i g i t a ls i g n a t u r e ；s u b l i m i n a lc h a n n e l ；e l l i p t i cc u r v ec r y p t o g r a p h y ( e c c ) ； v e r i f i a b l et h r e s h o l d ；f r e eo fs u b l i m i n a lc h a n n e l 硕十学位论文 插图索引 图1 1 信息隐藏技术分类图1 图2 1 数字签名原理图6 图2 2 “囚犯”通信问题示意图7 图2 3 阈下信道的基本模型8 图2 41 比特阈下信息通信系统示意图9 图3 1 带阈下信息的签名流程图2 2 图5 1 无监督方封闭阈下信道模型3 3 图5 2 监督者参与的封闭阈下信道模型。3 3 m 阈下信道中数字签名技术的研究与分析 附表索引 表3 1e c c 、r s a 和e 1 g a m a l 性能分析1 9 表3 2 测试结果2 4 i v 兰州理工大学学位论文原创性声明和使用授权说明 原创性声明 本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所取得的研 究成果。除了文中特别加以标注引用的内容外，本论文不包含任何其他个人或集体 已经发表或撰写的成果作品。对本文的研究做出重要贡献的个人和集体，均已在文 中以明确方式标明。本人完全意识到本声明的法律后果由本人承担。 作者签名：彻一战鹌 日期：如f 。年6 月7 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有权 保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借 阅。本人授权兰州理工大学可以将本学位论文的全部或部分内容编入有关数据库进 行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。同时授权 中国科学技术信息研究所将本学位论文收录到中国学位论文全文数据库，并通 过网络向社会公众提供信息服务。 作者签名：孙战旃 导师签名i 幺鳓各 彳 日期：9 - o f 0 年 日期：以加年 月7e t 石月苫日 硕十学位论文 一i i _ i 。 。一。i i i 鲁量皇蔓皇量毫皇量葛 第1 章绪论 1 1 课题的研究背景及意义 随着电子信息技术的日新月异发展，它彻底改变了传统的生产生活方式，给 人们的工作和学习方式带来了革命，对社会的进步和发展起到了越来越重要的促 进作用。整个社会将形成一个巨大的网络，任何网络环节出现安全问题，都会影 响到整个国家网络的安全。因此，信息安全的重要性将日益显露出来，其安全状 况直接关系到国家的安全和发展。 信息隐藏【1 1 兴起于二十世纪九十年代中期，是一门集多学科理论和技术于一 身的新兴技术领域。它是一种利用人体对数字媒体的感觉冗余，用空域隐藏或变 换域隐藏等方式，隐藏秘密消息于数字媒体等掩饰物的保密技术。其主要特点是 用于隐藏消息的掩饰物是数字媒体，包括数字信号和数字文件等。 下面是信息隐藏技术的分类图。 信 息 隐 藏 隐蔽信道厂闽下信道 数字指纹 一隐信道 辨榔i 黧黧 图i i 信息隐藏技术分类图 作为信息安全的两种主要技术手段，信息隐藏与信息加密都是为了保护秘密 信息免遭破坏和攻击，但二者之间存在着明显的区别。信息加密所保护的是信息 的内容。信息加密利用密码算法把明文变换成一堆乱码的密文，攻击者可以检测 并利用已有的各种方法进行破译。信息隐藏则不同，它把秘密信息嵌入到表面上 看起来无害的宿主信息之中，攻击者无法直接判断他所监视的信息中是否含有秘 密信息；换句话说，含有隐蔽信息的宿主信息不会引起别人的怀疑和注意。众所 周知，信息加密是利用密码算法来保证信息安全的，而密码算法的安全性是靠不 断增加密钥的长度来提高的。然而，随着计算机计算能力的迅速增长，密码的安 阈下信道中数字签名技术的研究与分析 全性面临越来越大的挑战，许多以前很安全的密码体制相继被破解。信息隐藏技 术的出现和发展，为信息安全的研究和应用拓展了一个新的领域。而且，由于近 年来各国政府出于国家安全方面的考虑，对密码的使用场合及密码强度都做了严 格的限制，这更激发了人们对信息隐藏技术研究的热情。 阈下信道【2 】作为本文的主要研究内容，其概念最早是由美国圣地亚实验室 ( s a n d i an a t i o n a ll a b s ) 的g u s t a v u s j s i m m o n s 提出的，是指在公开( o v e r t ) 信道中 建立的实现隐蔽通信的信道。利用阈下信道，通信双方可以在普通的数字签名中 传递秘密信息，除通信双方以外的任何人均不知道秘密信息的存在，因为它的特 性决定了其保密性要么是无条件的，要么是计算上不可破的。目前，阈下信道技 术是信息安全领域的一个研究热点，其原因在于它作为信息隐藏领域的一个重要 分支，是信息隐藏技术的发展相当重要的补充，必将在隐蔽通信中发挥越来越重 要的作用。阈下信道可以为很多应用提供良好的平台，其军事价值、商业价值和 社会价值是非常巨大的【3 】。例如： 军事情报：在当前，为了实现应用系统的安全介入，很多企业在开展业务时 需要通过数字签名技术对用户身份进行认证，这样合法的情报人员可以依此建立 阈下信道来从事谍报工作。 签名防范：收发双方可以事先建立一个嵌入确定标志信息的阈下信道，这样 攻击者能够伪造签名情况下，接收者可以通过阈下信道来辨别签名的真伪。另外， 如果签名者是在被胁迫的情况下进行签名，他可以通过阈下信道将被胁迫的信息 发送给确定的接收者。 个人隐私：传递不便于在网络上公开传送的个人隐私问题，也可以通过阈下 信道来实现。 另外，阈下信道在信用标志、罪犯追踪、违规记录、货币水印等方面也可以 有应用价值。可以预见，在信息技术高速发展和计算机网络逐步普及的今天，阈 下信道技术必将会有更加广阔的应用空间。 1 2 阈下信道国内外研究现状 1 2 1 阈下信道的国外研究现状 阈下信道，也称潜信道，最早是由g j s i m m o n s 于1 9 7 8 年提出的，提出的最 初目的是为了证明美国用于苏美某战略核武器限制条约核查系统中的安全协议存 在着漏洞，当时并未形成完整理论体系。在阈下信道构造的发展过程中，主要经 历两个阶段：存在性证明阶段和实质性设计阶段。在前一阶段，所设计的方案构 造技巧较简单，可行性较差，主要是为了存在性证明，关于容量、构造复杂度、 实用性和安全性等问题考虑甚少。在1 9 8 3 年，s i m m o n s 通过一个在看守( w a r d e n ) 2 硕十学何论文 的完全监视下两个囚犯如何协商逃跑计划的例子引入了该信道，并正式命名为阈 下信道，标志着阈下信道的存在性研究阶段已经结束。 到了二十世纪九十年代，随着公钥密码学的发展，人们对数字签名、数字认 证等密码学应用技术研究日益成熟。1 9 9 1 年，美国国家标准技术学会( n a t i o n a l i n s t i t u t eo fs t a n d a r d sa n dt e c h n o l o g y ) 推出了美国数字签名算法标准d s a j d s s 数 字签名算法标准，1 9 9 4 年5 月联邦记录中公布，1 9 9 4 年1 2 月被采纳。该标准包括一 个数字签名算法( d s a ，d i g i t a ls i g n a t u r ea l g o r i t h m ) ，它曾引起大量的争论【4 1 。这使 得阈下信道理想的宿主系统数字签名技术在全球得到长足发展和广泛应用，为阈 下信道发展提供好的时机。1 9 9 3 年，s i m m o n s 在d s a 中成功的建立起了一个宽带 阈下信道和几个窄带的阈下信道【5 1 ，提出了关于阈下信道的两个猜想，阐述了带 宽与密码系统安全性之间的难以调和的矛盾，阈下信道的研究进入了实质性的设 计阶段。在这以后，阈下信道的容量研究也逐渐成为热点。近年来，许多新的阈 下信道方案【6 - 7 】被相继设计出来，丰富了阈下信道的构造方法。n a r n 等【8 - 9 】提出一 种带门限阈下信道的数字签名方案，使得一个群组里可以进行阈下通信，本文对 其作了进一步研究，改进了存在的不足，后面将做详细说明。 阈下信道研究的另一个方面是设计有效的阻止阈下通信的方案。d e s m e d t 最 早从事阈下信道的封闭研究。他使用零知识证明和承诺掩蔽等方法，提出了几个 使看守控制系统参数产生的阈下信道封闭方案，但是实现比较复杂。1 9 9 3 年， s i m m o n s 提出一个封闭d s a 中阈下信道方案，但随后被证明不能实现完全封闭。 到目前为止，对是否能完全封闭阈下信道没有定论，而且研究成果都是理论的。 1 2 2 阈下信道的国内研究现状 在国内，阈下信道的研究起步比较晚，但也取得了些成果。刘晓川等【1 0 d 2 】 基于不同数字签名设计了一些阈下信道方案。张彤等【1 3 d 5 】用信息论方法对阈下信 道进行了安全性分析和带宽分析，推导出了带宽计算公式。祁明等【1 6 艺o 】提出了许 多封闭阈下的方法，但都存在缺陷，并未实现对阈下信道的完全封闭，也很难实 际应用。赵远志等【2 1 。2 2 】证明了在椭圆曲线数字签名算法中窄带阈下信道和宽带阈 下信道同时存在。最近，赵险峰等【2 3 】采用r s a p s s 公钥签名，利用签名中阈下信 道存储部分或全部压缩的r s 向量，提出了一种改进的r s ( r e g u l a r - s i n g u l a r ) 0 - 7 逆数 字水印方案。 1 3 论文的主要研究内容 阈下信道技术作为一种特殊的信息隐藏技术，有着十分广阔的应用前景。构 造阈下信道和封闭阈下信道是阈下信道研究的两个非常重要方面，也是最近的研 究热点。因此，本论文在前人研究的基础上，对一些数字签名中的阈下信道通信、 3 阈下信道中数字签名技术的研究与分析 构造和封闭问题进行了研究，主要创新性工作如下： ( 1 ) 针对阈下信道技术在椭圆曲线数字签名中的应用可能以及存在的安全隐 患问题，通过对其中存在的窄带阈下信道进行实时性测试，在平衡传输信息容量 与签名时间的条件下，确定了合理的阈下信息传输位数。实验结果表明，窄带阈 下信道在椭圆曲线数字签名中可以被有效利用。这对窄带阈下信道在其它数字签 名中利用有一定借鉴作用。 ( 2 ) 基于椭圆曲线离散对数问题，提出了一种o ，n ) 一 ，m ) 强可验证门限阈下 信道方案。方案中n 个阈下子信息拥有者中至少t 个合作得到阈下信息进而生成有 效的签名，而t n 个接收者中至少k 个合作提取阈下信息。使接收者在私钥安全的 情况下，每个接收者都可以验证自己收到的阈下子信息的有效性。当nr o l l t 一1 时， 此方案就恢复到一个发送者的情况。此方案适合在电子商务等非安全的团体环境 中共享秘密信息。 ( 3 ) 提出了一种完全封闭e c d s a 阈下信道的方案。该方案令看守参与签名 的生成，但没有伪造签名的能力，从而在保证签名者的签名权力的前提下，实现了对 因随机会话密钥而引入阈下信道的完全封闭。 1 4 论文组织结构安排 本文章节安排如下： 第1 章绪论，介绍了本课题研究的背景及意义，阈下信道的国内外发展现状， 以及论文的主要内容和组织结构安排。 第2 章介绍了数字签名和阈下信道的基本理论，包括数字签名的定义、特点 和一般组成，阈下信道的概念、一般模型、构造及分类、存在机理和容量等，分 析了常见数字签名中存在的阈下信道。 第3 章介绍了椭圆曲线密码体制及签名算法，讨论了椭圆曲线数字签名中的 阈下信道，通过实验分析了窄带阈下信道有效利用的可行性。 第4 章提出了一种基于椭圆曲线的强可验证门限阈下信道方案。 第5 章通过对现有封闭阈下信道方案和模型的研究，提出了一种新的封闭 e c d s a 阈下信道的方案。 4 硕+ 学何论文 第2 章数字签名中的阈下信道 2 1 数字签名简介 2 1 1 数字签名概述 到目前，数字签名技术已经在全球范围内得到广泛应用，其理论研究和应用 开发都得到长足的发展。随着研究的深入，数字签名的应用领域也在不断扩大， 匿名电子选举、电子拍卖、电子商务等许多基于网络的新应用都离不开数字签名 技术。 关于数字签名技术的研究，目前主要集中于基于公钥密码体制的数字签名技 术的研究。数字签名的研究内容非常丰富，包括普通数字签名和特殊数字签名。 普通数字签名算法有r s a 数字签名算法、e 1 g a m a l 数字签名算法、s c h n o r r 数字 签名算法【2 4 1 、美国的数字签名标准算法( d s s d s a ) 和椭圆曲线数字签名算法 等。对于普通数字签名而言，解决的最基本问题是通过数字方式实现了通信双方 的身份认证、通信的消息源真实性认证和消息的完整性认证等。由于各种不同的 应用背景需要，人们基于不同的目的，研究了具有特殊用途的数字签名。这些特 殊数字签名主要包括：代理签名【2 5 1 、盲签名【2 6 1 、可验证的加密签名【2 7 1 、不可否认 签名【2 引、前向安全签名【2 9 1 、密钥隔离签名 3 0 】、门限签名【3 、在线离线签名1 3 2 1 、 环签名【3 3 1 、以及它们各种变型签名等。 显然，数字签名的应用涉及到法律问题，美国等一些发达国家已经制定了数 字签名法。2 0 0 4 年8 月，我国也正式颁布了中华人民共和国电子签名法，用 于规范电子签名行为，确保其法律效力和地位，从而为电子签名的应用和推广提 供了最有力的保障。 2 1 2 数字签名基本理论 数字签名的基础是公钥密码学【3 4 彤】。iso 对数字签名f 3 6 j 是这样定义的：附加 在数据单元上的一些数据，或是对数据单元所做的密码变换，这种数据或变换允 许数据单元的接收者用以确认数据单元来源和数据单元的完整性，并保护数据， 防止被人( 如接收者) 伪造。签名机制的本质特征是该签名只有通过签名者的秘密 签名密钥才能产生，也就是说，一个签名者的签名只能唯一地由他自己产生。当 收发双方发生争议时，第三方能够根据附加在数据上的数字签名来裁定该消息是 否确实由发送方发出，从而防止发送方抵赖( 自己曾对该消息签名) 。 因此一个安全有效的数字签名方案有以下特性【3 7 1 ： 5 阂下信道中数字签名技术的研究与分析 ( 1 ) 签名是可信的：任何人都可以方便地验证签名的有效性； ( 2 ) 签名是不可伪造的：除了合法的签名者之外，任何其他人伪造其签名是 困难的。这种困难指实现时计算上是不可行的； ( 3 ) 签名是不可复制的：对一个消息的签名不能通过复制变成另外一个消息 的签名。假如一个消息的签名是从别处复制的，则任何人都可以发现消息与签名 之间的不一致性，从而可以拒绝签名的消息； ( 4 ) 签名消息是不可改变的：经签名的消息不能被篡改。一旦签名的消息被 篡改，则任何人都可以发现消息与签名之间的不一致； ( 5 ) 签名是不可抵赖的：签名者不能否认自己的签名。 数字签名可以解决否认、伪造、篡改及冒充等问题，具体要求为： ( 1 ) 发送者事后不能否认发送的签名； ( 2 ) 接收者能够核实发送者发送的签名、接收者不能伪造或部分篡改发送者签 名： ( 3 ) 网络中的某一用户不能冒充另一用户作为发送者或接收者。 对于一个典型的数字签名体系而言，它包括两个重要的组成部分：即签名算 法( s i g n a t u r ea l g o r i t h m ) 和验证算法( v e r i f i c a t i o na l g o r i t h m ) 。 t r u e 忱= 耐 f a l s e 。，行，菇 图2 1 数字签名原理图 图2 1 说明了数字签名过程，签名者用自己的私钥对消息摘要签名，然后将 其发送给接收者，接收者使用发送者的公钥来验证信息有效性。 2 2 阈下信道基本理论 2 2 1 阈下信道概念 1 9 7 8 年，s i m m o n s 为了证明美国用于s a l t o i i 苏美战略核武器谈判条约核查 系统中的安全协议存在严重的安全缺陷而提出阈下信道的思想。阈下信道也称为 潜信道，是指在基于公钥密码的数字签名、认证等应用密码体制中建立起来的一 种隐蔽信道，除指定的接收者外，任何人均不知道其中是否有阈下消息存在【3 8 1 。 6 硕士学位论文 阐下信道的宿主是密码系统，而且现在构建的闽下信道方案大多在数字签名系统 中。 闽下信道和一般隐蔽信道都是把秘密信息隐藏在宿主系统之中，但两者有着 本质的不同。一般隐蔽信道在嵌入秘密信息时要对宿主信息做一定程度的改变； 而闽下信道是把秘密信息隐藏在宿主系统的冗余中，不会对宿主信息做任何改动。 阈下信道的这种特点决定看守很难检测到收发双方是否正在进行阈下通信，即使 能确定正在进行阐下通信，也很难获得所传输的阅下信息。因为宿主系统多是基 于离散对数困难问题或者椭圆曲线离散对数问题的密码系统，这在理论上是不可 攻破的。 2 2 2s i m m o n s 的“囚犯问题” 1 9 8 3 年，s i m m o n s 通过一个在看守f w a r d e n ) 的完全监视下两个囚犯如何协商 逃跑计划的例子引入闽下信道并对其通信问题进行了总结归纳。“囚犯问题”模型 如图22 ，介绍如下； 假设a l i c e 和b o b 由于犯罪被捕入狱，分别被关押在不同牢房中，无法直接 通信。不过被捕前共享了一个密钥，他们唯一的通信方式是通过看守人w a r d e n 来传递信息。 对看守w a r d e n 而言，他允许a l i c e 和b o b 交换信息。但他要求知道交换信息 的内容，并且能通过一定手段检查到信息是否违法：同时，他希望伪造假的信息 以欺骗接收者。 对a l i c e 和b o b 而言，为了能够越狱成功必须接受看守w a r d e n 的条件。为此， 他们必须找到一个能够欺骗看守并能互相认证方法，这样，建立一个秘密信道一 闽下信道来进行隐蔽通信是个可行的方法。 三国国 圈2 2 “囚犯”通信问题示意图 以下以数字签名中传递阈下信息为例，协议可以按以下步骤执行： ( 1 ) a l i c e 生成一个公开的无害消息； ( 2 ) a l i c e 利用与b o b 共享的密钥签名此无害消息，并在签名的输入或输出 阈下信道中数字签名技术的研究与分析 曼曼黑i i iiii i 皇曼曼曼曼! 曼! 曼! 曼曼曼曼曼曼曼曼曼曼曼曼! 鼍曼皇量皇曼皇曼曼曼曼曼曼量曼量曼曼曼曼舅曼曼曼曼! 鼍量曼 参数中嵌入随机化的阈下消息； ( 3 ) a l i c e 将签名消息发送给w a r d e n 。w a r d e n 对签名进行检查，如果无可疑 之处，则将消息传递给b o b ； ( 4 ) b o b 首先验证签名以确认消息来自于a l i c e ，然后忽略无害消息，使用提 取算法密钥恢复出阈下消息。 从“囚犯问题 中可以准确地概括阈下通信问题的特点：隐蔽性和认证性。 隐蔽性决定传递给b o b 阈下信息不被w a r d e n 发现；认证性决定b o b 够认证这个消息 的有效性，并确定它来自a l i c e 而不是w a r d e n 。 接下来看看阈下信道一般模型。 2 2 3 阈下信道的一般模型 假设a l i c e 表示阈下消息的发送者，b o b 表示接收者，w a r d e n 为公开信道的 监督者。阈下信道一般模型【3 9 】如图2 3 所示。 图2 3 阈下信道的基本模型 在图2 3 中，m 是宿主系统输入的明文消息；u 是a l i c e 要发送给b o b 的阈下 消息：m ，是经随机化密钥k l 随机化后的阈下消息；k o 是a l i c e 和b o b 所共享的提 取阈下消息所必须的密钥；c 是宿主系统生成的加密数据。 “嵌入算法e m b 包括两部分，一部分是完成宿主系统的正常加密功能的密 码算法，另一部分是将阈下消息嵌入于宿主系统的嵌入算法。目前能够满足条件 的宿主系统主要有签名系统，某些认证系统等。“宿主验证是实现宿主系统功能 的过程，例如为了证明了密码数据c 来自于a l i c e ，需对数字签名中的签名进行验 证。“提取算法a b s 是接收者b o b 在宿主验证完成后提取阈下信息的过程。“随 机化 是对阈下信息u 通过加密算法加密或解密的过程，比如用v e r n a m 加密算法。 下面是根据上述模型建立的一个1 比特阈下信息通信系统。 8 硕十学位论文 图2 41 比特阈下信息通信系统示意图 2 2 4 阈下信道的构造及其分类 s i m m o n s 认为，在任何数字签名方案中，如果用口比特传输一个签名，比 特被用来提供保障合法签名的安全度，其中卢 1 ，则对方程( 2 4 ) 两边同除厂，得： 手暑c 等p ) ( k - 1m o d 学m o a 竽 仁6 ， 再令f ；k - 1r o o d 旦，方程( 2 6 ) 变形为 1 吲手) ( 警半) - 1 ( m o d 学 ( 2 7 ) 再求同余式，可得 k 一o + f p - 1 ) 厂，( o - ：i ，)( 2 8 ) 进而e hk - 1 求出k 。由( 2 8 ) 可见k 有多个解，则可以利用向前搜索技术来确定k 值， 从而求得阈下信息。 为了避免攻击者从m 。猜测签名者私钥x ，发送者可以用v e r n a m 算法加密m ， 把加密后的值作为会话密钥。 下面分析一下信道容量：e 1 g a m a l 签名中厂，s e z ，所以签名长度为2 6 一l 0 9 2p ， 理想情况下6 比特保障签名的安全度，剩下6 比特都可以用来传递阈下信息。但 是，从公式( 2 4 ) q b 可以看出，并不是所有的k 都能当做阈下信息来使用，因为需 1 3 阈下信道中数字签名技术的研究与分析 曼i i i i 曼曼曼曼曼鼍曼舅曼曼曼曼曼皇曼曼皇曼曼曼曼舅皇曼! 曼曼曼曼曼曼曼曼皇曼曼曼璺曼曼曼皇曼蔓曼曼曼鼍 要满足 ，p 一1 ) - 1 。而k 在仙2 ，p 一1 中是等可能取值，则满足条件的k 有妒0 1 ) 个，其中欧拉函数妒( p 一1 ) 表示不超过p 一1 且与p 一1 互素的正整数的个数。理论上 讲，只要是符合条件他，p 一1 ) 一1 的所有的会话密钥k 都能被当作阈下信息来传递。 故阈下信道的最大容量为：l o g ：矽 一1 ) 比特，损失的信道容量为6 一l o g ：驴p 一1 ) 比 特。但是实际情况下不可能达到最大带宽，因为收发双方必须约定1 比特来标识 是否正在发送阈下消息。 显然在e 1 g a m a l 签名中的阈下信道中影响阈下信道带宽的主要因素是嵌入子 群z 。阶的大小，阶越大，可嵌入容量越大。但是阂下信道嵌入容量越大，收发双 方所需要共享的签名私钥比特数也越多，如果泄漏太多私钥比特，会使发送者签 名权力被接收者滥用的风险增大。当泄漏足够的比特以使接收者的计算能力能够 求解单项函数的逆时，收发双方拥有相同的签名权。比如e 1 g a m a l 签名中的宽带 阈下信道，就是接收者共享了发送者全部签名私钥，于是接收者拥有了和发送者 一样的签名权力。 2 4 3e i g a m a l 签名中的窄带阈下信道 e 1 g a m a l 中的宽带阈下信道除了信道利用率低等缺点外，其最大的缺陷是接 收者必须共享发送者的私钥。当收发双方不是互相信任时，可以构建窄带阈下信 道。例如构造1 b i t 阈下信道。收发双方事先约定用v e r n a m 算法加密后的阈下消 息作为r 的最低有效位，发送方选择会话密钥k 满足( 七，p 一1 ) 一1 ，计算厂，若，- 的 最低有效位等于阈下消息加密后的值，则认可；否则重新选择k ，直到找到合适 的，为止。如果传“b i t 时，则大概要进行z 次选择使，得某“b i t 为合适的值。 2 5d s a 数字签名方案中的阈下信道 2 5 1d s a 签名算法 d s a 是e 1 g a m a l 和s c h n o r r 算法的一个变形，其安全性是基于求离散对数的 困难性的。下面我们来看看d s a 签名。 ( 1 ) 密钥生成： 随机选择一个大素数p ，满足2 p 1 。签名者随机选x e z 。，计算y1g 。m o d p 。将x 保密，即： s k1 缸 ，将p ，q ，g ，y 公开，即：p k 一0 ，q ，g ，y ) 。 ( 2 ) 签名生成： 给定消息m ，签名者计算m 的散列值日似) 。签名者进行下述工作： 首先选择秘密随机数k z ( 由伪随机生成器生成) ；然后计算：o k rg l l ( g r o o d p ) m o d q ( 2 9 ) 1 4 硕七学位论文 st k - 1 ( 日( 研) + x r ) m o d q( 2 1 0 ) 其中k k - l m o d q ，( 厂，5 ) 为签名结果。签名者将签名三元组沏；厂，s ) 发送给接收者 ( 签名验证方) 。 ( 3 ) 签名验证： 验证者收到( ；厂，s ) ，先计算日沏) ，并按下式验证： w s 一1m o d q ，“l 一( h w ) r o o d q ，“2t ( r w ) m o d q ，v 一“g 1 y “) r o o d p ) m o d q 。如 果，一i ，则表示签名有效，接受此签名。 2 5 2d s a 中的宽带阈下信道 d s a 提供了到现在为止的最适合阈下通信的环境，使人们方便地可以在其签 名中嵌入秘密消息。除了在宽带阈下信道中发送方仍需和接收方共享其私钥的缺 点外，它几乎克服了在e i g a m a l 阂下信道方案中所以缺点。 签名者事先把自己的私钥x 秘密发送给完全信任阈下信息接收者。假设要发 送的阈下消息为m 。，则签名者只需要把本应随机生成的会话密钥选成m ，即使 k m ，因为ke z q , m 。z 。然后然后签名者进行签名，一( g r o o d p ) r o o d q ， s k - 1 ( 日仰) + x r ) m o d q ，把生成的签名沏；r ，s ) 发送给阈下信息接收者。由于g 是 大素数，则z 。中任何非零元都有乘法逆元。阈下信息接收者收到签名后，就能通 过m ，。k s - 1 旧伽) + x r ) m o d q ，很容易地恢复出阈下信息。 如果攻击者知道了阂下信息，就能通过签名算法x r - 1 ( b 一日( m ) ) m o d q 计 算出发送者的私钥x 。所以说，阈下信息m 。( 即k ) 和签名者私钥x 是等效的。为 了阻止其他人通过猜测阈下消息研。来得到发送者的秘密密钥x ，可以利用v e r n a m 加密法对阈下消息m ，加密，把加密后的值作为会话密钥k 即可。 d s a 数字签名中的r 和s 都是z 。中的元素，故签名长度为：2 6 2 l o g ：q 1 。由 于q 是素数，k 以一定存在，因此理论上阈下信道容量为6b i t 。同e 1 g a m a l 签名相 比有主要有以下优点：一是相同条件下阈下信道有更大的带宽。d s a 中阈下信道 容量为6b i t ，而e i g a m a l 签名中的阈下信道容量为l o g ：妒。一1 ) 比特：二是阈下信 息和可用k 的编译码非常简单；三是阈下信息的提取比较简单。但两者的建立的 宽带信道有共同的缺陷，那就是发送者需和接收者共享其私钥，宽带阈下信道建 立对签名者有很大风险，因为接收者知道签名者的私钥，可以伪造签名。 2 5 3d s a 中的窄带阈下信道 如果阈下消息接收者不被信任，即他没有得到签名者的签名密钥x ，双方也 能进行窄带阈下信道的通信。s i m m o n s 介绍了d s a 中窄带阈下信道的三种构造方 法：( 1 1 通过控制签名成份厂对某秘密模数的二次剩余特性，使之与阂下比特相适 应来构造信道；( 2 ) 通过搜索适合的，使之最后“比特等于待传的“比特阈下消息 所构造的信道；( 3 ) 根据具有较短指数的离散对数的可解性构造信道。前两种构造 阈下信道中数字签名技术的研究与分析 1 - -。 。i i 皇曼皇曼曼鼍曼舅曼舅曼曼曼曼舅舅曼曼曼曼曼曼皇曼曼曼曼曼曼鼍曼鼍曼曼曼曼量曼曼曼曼蔓曼曼曼曼皇曼曼曼曼曼曼皇曼曼曼曼量量量曼 窄带阈下信息方法是安全的，对指数的选取没有要求，具有普遍性；而第三种方 法则要求指数较短，导致d s a 签名较容易破解，因此构造的阈下信道是相对不安 全的。 下面分别通过前两种方法构建窄带阈下信道方案。 通过第一种方法建立1 比特阈下信道方案： ( 1 ) 双方商定一个大素数素数p 作为会话密钥； ( 2 ) 签名者签名消息坍，如果他想发送的阈下消息为“1 ，则他通过选择会 话密钥k ，使签名成分厂是模p 的二次剩余；如果发送的阈下消息是“0 ，则，必 须是模p 的二次非剩余。其中，“1 和“0 ”分别代表一定含义的信息。然后签 名者把签名发送给阈下消息接收者； ( 3 ) 阈下消息接收者收到签名后，先验证签名有效性，然后他计算r 是模p 的 二次剩余还是二次非剩余，从而恢复出阈下消息。 该方案可以很容易地扩展到多个比特的情况。如果要传u 位阈下信息，只需 协商好u 个大素数，签名者通过控制，是这u 个大素数的二次剩余或二次非剩余， 得到实现约定好比位阈下信息。阈下信息接收者通过重复计算( 3 ) 恢复出u 位阈下 信息。 通过第二种方法构建1 比特阈下信道传输方案： ( 1 ) 签名者签名消息t ，如果他想发送给阈下消息接收者的阈下消息“1 ， 则他通过选择会话密钥k ，使签名成分，是模2 的二次剩余；如果发送的阈下消息 是“0 ，则，必须是模2 的二次非剩余。其中，“1 和“o 分别代表一定含义 的信息。然后，签名者发送签名给阈下消息接收者； ( 2 ) 阈下消息接收者收到签名后，先验证签名有效性，然后他计算r 是模2 的二次剩余还是二次非剩余，从而恢复出阈下消息。 该方案也可以很容易地扩展到多个比特的情况。如果要传u 位阈下信息m 。， 签名者通过控制，使，m o d 2 m 。即可。 在其它数字签名方案中也可利用以上两种方法构建窄带阈下信道，如 e i g a m a l 签名和椭圆曲线数字签名等。但所有构造的窄带阈下信道都是随着嵌入 的阈下信息位数的增加计算量呈指数级增加，而且要求签名者的计算能力比接收 者大。 2 6 本章小结 本章系统地介绍了数字签名和阈下信道相关理论，包括数字签名的定义、特 点和一般组成，阈下信道的概念、一般模型、构造及分类、存在机理和容量等。 然后分析了数字签名和阈下信