（计算机应用技术专业论文）整合性数字签名的研究及其应用.pdf

独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 本人为获得江南大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 签名：边瞧蛹日期：沁t 7 睥易月碉 关于论文使用授权的说明 本学位论文作者完全了解江南大学有关保留、使用学位论文的规 定：江南大学有权保留并向国家有关部门或机构送交论文的复印件和 磁盘，允许论文被查阅和借阅，可以将学位论文的全部或部分内容编 入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存、 汇编学位论文，并且本人电子文档的内容和纸质论文的内容相一致。 保密的学位论文在解密后也遵守此规定。 签名：边磁幽导师签名：刭逾 日期：耐年6 月五乒日 江南大学硕士学位论文 摘要 数字签名是近代密码学所提供的重要服务。它是网络通信双方互信的基础， 也是实施电子商务能否真正成功和全面普及的最主要因素。数字签名长期以来被 用作作者身份的证明，这是因为签名具有以下特点： ( 1 ) 签名是可信的。签名使文件的接收者相信签名者是慎重地在文件上签字的。 ( 2 ) 签名不可伪造。签名证明是签名者而不是其它人慎重地在文件上签字。 ( 3 ) 签名不可重用。签名是文件的一部分，不法之徒不可能将签名移到不同的文 件上。 ( 4 ) 签名的文件是不可改变的。在文件签名后，文件不能改变。 f 5 1 签名是不可抵赖的。签名和文件是物理的东西，签名者事后不能声称他没有 签过名。 数字签名的应用环境和方式变化繁多，虽然二十多年来国内外的学者已经发 展了很多不同类型的签名技术以适应不同的应用环境和方式，但是，随着网络通 信活动的方式和结构越来越复杂，有越来越多的应用系统需要同时有若干个不同 类型的签名技术。例如，在一个健全的电子付款系统中就可能同时需要用到盲签 名、不可否认签名以及多人签名技术。此时，如果使用各自独立的签名系统，则 势必会因为各个签名系统所使用的参数、模数、签名方式及验证方式的各不相同 而造成整个系统计算成本提高，降低整个系统的使用效益。因此，能否将若干个 不同类型的签名技术整合为一，使用共同的参数和模数，以降低整个应用系统的 计算成本和提高整个系统的使用效益有重要的现实意义。在本文中，首先提出整 合性签名的新概念同时提出一个具有下列特性的整合性数字签名技术： ( 1 ) 它是一个盲签名同时也是一个弱不可否认签名。 ( 2 ) 每一个参与签名的共同签名者所使用的模数均相同。 ( 3 ) 它的签名形式与一般的r s a 签名相同。 ( 4 ) 它的签名长度和参与签名的人数无关。 ( 5 ) 它具有和传统的r s a 签名相当的不可伪造性。 因为是多人签名，所以可以适度的分散签名者的权利和责任。因为具有盲签 名的盲目性和不可连接性，所以可以保护签名请求者的隐私性和匿名性。又因为 具有弱不可否认签名的确认性与否认性，所以可以保护签名接收者免于接收无效 的签名或拒绝有效的签名，同时也保障签名者一方面免于遭受签署无效签名的不 实指控，另一方面可以藉由有效的验证获取合法的收益。由此可知，本文的签名 方法比其它的签名方法更适合于很多重要的密码学的应用，例如安全的电子投 票、电子付款、电子竞标等。在将签名方法应用于电子竞标时，本文同时采用了 c a m e n i s h s t a e l l e r 群签名方案，对签名成员的身份进行注册。 关键词：数字签名、分布式多人签名、盲签名、不可否认签名、弱不可否认签名、 c a m e n i s h s t a e l l e r 群签名方案。 a b s t r a c t a b s t r a c t d i g i t a ls i g n a t u r ei sa l li m p o r t a n ts e r v i c et h a tc o n t e m p o r a r yc r y p t o g r a p h yp r o v i d e s i ti sf o u n d a t i o no fm u t u a lt r u s ti nt h ei n t e r n e t ；a l s o ，i ti st h ek e yt e c l m i q u eo fp u t t i n g e g o v e r n m e n ta n de c o m m e r c ei n t op r a c t i c es u c c e s s f u l l ya n dg e n e r a l l y i ti su s e df o r t h ep r o o f o f a u t h o ri d e n t i t y , b e c a u s ei th a s t h ef o l l o w i n gp r o p e r t i e s ： ( 1 ) s i g n a t u r ei s t r u s t e d i tm a k e st h er e c e i v e ro fd o c u m e n tb e l i e v et h a ts i g n e r s i g n e do nt h ed o c u m e n td i s c r e e t l y ( 2 ) s i g n a t u r ec a n n o tb ef o r g e d s i g n a t u r ep r o v e si ti st h es i g n e rn o to t h e rp e r s o n s s i g n e do nt h ed o c u m e n t ( 3 ) s i g n a t u r ec a n n o tb er e u s e d s i g n a t u r ei sp a r to fd o c u m e n t a t t a c k e rc a n n o t d i v e r tt h es i g n a t l t r et od i f f e r e n td o c u m e n t ( 4 ) s i g n a t u r ec a n n o tb ec h a n g e d a f t e rs i g n i n g ，t h ed o c u m e n tc a n n o tb ec h a n g e d ( 5 ) s i g n a t u r ei su n d e n i a b l e s i g n a t u r ea n dd o c u m e n ta r ep h y s i c a lm a t e r i a l s t h e s i g n e rc a n n o td e n yt h a th eh a ss i g n e do ni t e l e c t r o n i cs i g n a t u r ei se x t e n s i v e l ya p p l i c a b l ei nv a r i o u ss u r r o u n d i n g sa n dw a y s a c c o r d i n g l y , m a n yd i f f e r e n tt y p e so fs i g n a t u r e sh a v eb e e nd e v e l o p e dt oa p p l yt o v a r i e da p p l i c a t i o ns u r r o u n d i n g sa n dw a y sd u r i n gt h ep a s tt w od e c a d e s h o w e v e r , w a y sa n ds t r u c t u r e so fi n t e r n e tc o m m u n i c a t i o nb e c o m em o r ea n d _ r d _ o r ec o m p l i c a t e d t h e r e f o r e ，t h e r ea r em o r ea n dm o r ec r y p t o g r a p h i cs e r v i c e se a c ho fw h i c hn e e d st h e a i do fs e v e r a ld i f f e r e n tt y p e so fs i g n a t u r e f o re x a m p l e ，i nar o b u s te l e c t r o n i cp a y m e n t s y s t e m ，b l i n ds i g n a t u r e ，u n d e n i a b l es i g n a t u r e ，a n dm u l t i - s i g n a t u r es h o u l db e a l l i n d i s p e n s a b l e i nt h i ss i t u a t i o n ，i fi n d e p e n d e n t l yd i f f e r e n ts i g n a t u r es c h e m e sa r eu s e d ， i tm a yc a u s ee x t r e m e l ye n o r m o u sc o m p u t a t i o nc o s t ，f o rt h ep a r a m e t e r sa n dm o d u l u s u s e di nd i f f e r e n ts c h e m e sc o u l db eq u i t ed i f f e r e n t i na d d i t i o n ，i tm a yl o w e rt h e p r a c t i c a le f f i c i e n c yo f t h es y s t e m ，a c c o r d i n g l y , t h ep r o b l e mo f d e s i g n i n ga ni n t e g r a t e d s y s t e mt h a tw i l ls i m u l t a n e o u s l yp r o v i d es e r v i c eo fs e v e r a ld i f f e r e n tt y p e so fs i g n a t u r e s i st h ev e r ys i g n i f i c a n tr e s e a r c hi s s u et oc o n t e r r i p o r a r yc r y p t o g r a p h y , a n dn e e d e dt o s o l v ei ta ss o o na sp o s s i b l e i nt h i st h e s i s ，ip r o p o s et h ef i r s tc o n c e p to fi n t e g r a t e d s i g n a t u r ea n dc o n c e n t r a t eo u r s e l v e so nt h ed e s i g no fa ni n t e g r a t e ds i g n a t u r es c h e m e t h a th a st h ef o l l o w i n ge n g a g i n gp r o p e r t i e s ： ( 1 ) i ti sb o t hab l i n ds i g n a t u r ea n daw e a k l yu n d e n i a b l es i g n a t u r e ( 2 ) t h em o d u l u su s e db ye a c hp a r t i c i p a n tc o s i g n e ri si d e n t i c a l ( 3 ) i ti si d e n t i c a li nf o r mt oas t a n d a r dr s as i g n a t u r e 江南大学硕二l 学位论文 ( 4 ) t h el e n g t ho f t h es i g n a t u r ei si n d e p e n d e n to f t h en u m b e ro f p a r t i c i p a n tc o s i g n e r s ( 5 ) t h eu n f o r g e a b i l i t yo ft h es c h e m ei se q u i v a l e n tt oa l lo r d i n a r yr s as i g n a t u r e s c h e m e b e i n gam u l t i s i g n a t u r e ，t h ep o w e ra n dr e s p o n s i b i l i t yo ft h es i g n e rc a nb e d i s t r i b u t e d l ys h a r e db yas e to fc o s i g n e r s ；b e i n gb l i n da n du n l i n k a b l e ，t h ep r i v a c ya s w e l la sa n o n y m i t yo ft h es i g n a t u r er e q u e s t e ri sp r o t e c t e d f u r t h e r , b e i n gw e a k l y u n d e n i a b l e ，i tp r o t e c t st h es i g n e r sa n dg i v e st h e m m o r ec o n t r o lo v e rt h ev e r i f i c a t i o no f t h es i g n a t u r e a c c o r d i n g l y , t h es u g g e s t e ds c h e m ei sm o r es u i t a b l ef o rm a n yi m p o r t a n t c r y p t o g r a p h i cs e r v i c e s ，s u c ha ss e c u r ee l e c t r o n i cv o t i n gs e r v i c e ，e l e c t r o n i cp a y m e n t s e r v i c ea n do t h e re l e c t r o n i cc o m m e r c es e r v i c ee t c ，t h a na t lo r d i n a r ys i g n a t u r es c h e m e t h e r e f o r e ，b a s e du p o nt h es u g g e s t e dw e a k l yu n d e n i a b l ea n db l i n dm u l t i s i g n a t u r e s c h e m e ，ia l s od e v e l o pas e c u r em u l f i a u t h o r i t yi n t e m e tb i d d i n gs y s t e mi no r d e rt o p r e v e n tp o s s i b l ec h e a t i n gf i o mas i n g l ea u t h o r i t ys y s t e m t h ec a m e n i s h - s t a e l l e r g r o u ps i g n a t u r ei s u s e df o rr e g i s t i n gt h em e m b e r sw h e no u rs i g n a t u r ei su s e df o r e l e c t r o n i cb i d k e y w o r d s ：d i g i t a ls i g n a t u r e ，d i s t r i b u t e dm u l t i s i g n a t u r e ，b l i n ds i g n a t u r e ，u n d e n i a b l e s i g n a t u r e ，w e a k l yu n d e n i a b l es i g n a t u r e ，i n t e r a c tb i d d i n gs y s t e m ，s i n g l ea u t h o r i t y b i d d i n gs y s t e m ，m u l t i a n t h o r i t yb i d d i n gs y s t e m 4 第一章对不同类型签名的回顾 第一章对不同类型签名的回顾 1 1 研究动机 数字签名技术是近代密码学所提供的最重要服务，主要是用来在电脑网络的 通信世界中辨认电子文件( 或信息) 的发送者，确保电子文件不易遭到伪造或篡 改，以防止通讯双方事后否认曾经进行通讯的事实等的主要技术。它是电脑网络 通信双方的互信基础，也是电子化政府、电子商务以及3 c 科技整合能否真正成 功和全面普及的关键。它基本上是一种将信息或文件签署者的密钥结合以产生一 个新的信息( 代表签署者对原信息的签名) 的运算技术。一套实用的签名技术必 须满足：( 1 ) 可以验证有效性；( 2 ) 不可被他人伪造；( 3 ) 签名后，原有的信息无法 改动；f 4 ) 签名者事后无法否认曾经签名的事实。 数字签名的应用环境和变化方式繁多，虽然，为了适应不同的应用环境和方 式，国内外的密码学专家和学者经过二十多年的努力研究，已经发展出诸多不同 类型的签名技术，包括传统的签名技术、盲签名技术、不可否认签名技术、代理 签名技术、群体签名技术、门槛式签名技术以及多人签名技术等。然而，随着网 络通讯活动的方式和结构越来越复杂，有越来越多的应用系统可能需要同时有若 干个不同类型的签名技术支援。例如，：芷一个健全的电子付款系统中就可能同时 用到盲签名、不可否认签名以及多人签名等技术。此时，如果使用各自独立的签 名系统，则势必会因为各个签名系统所使用的参数、模数、签名方式以及验证方 式的各不相同而造成整个系统极为巨大的计算成本，降低整个系统的实用效益， 也将令不具有专业知识的普通大众感觉不便望而生畏。因此，能否降低整个系统 的计算成本与提高整个系统的实用效益，可以说是近代密码学的一个非常重要而 且必须尽快解决的研究课题。因为( 1 ) 盲签名的盲目性及不可连接性可以有效 的保障发送者的隐私性和匿名性；( 2 ) 不可否认签名的确认协定和否认协定可以 有效的保护签名接收者免于接收无效的签名或拒绝有效的签名，同时也保护签名 者一方面免于遭受签署无效签名的不实指控，另一方面可以藉由有效性的验证获 取合法的收益；( 3 ) 多人签名可以有效的分散签名者的权利和责任；( 4 ) r s a 签名是目前最广泛被采用而且数学形式最为简单的签名技术，所以，本文致力于 设计一个能够将盲签名、弱不可否认签名以及多人签名的特性整合为并且是属 于r s a 型的整合型签名技术。 1 2 密码学简单介绍 以前紧急事件的通报，人们总想到电报，随着时代的发展，通信技术日益成 熟，使得通信方式不断推陈出新。目前全球公认最及时最便利的通信工具网 络，正发挥着越来越重要的作用。由于网络使用频繁，其使用者开始注意到网络 上所传输的秘密资料会不会遭到修改或拦截? 有没有办法证明网络上所收到的 资料是为何人所送出? 这些一连串的疑问都将问题指向网络安全。而有效的解决 江南大学硕士学位论文 方式便是利用密码学研究中所发展出的密码系统。 密码系统为维护资料安全的机制，其由加密与解密两大步骤组成，资料经过 这两个步骤可达到隐藏资料实际意义以及辨认签名功能。密码系统由算法以及所 有可能的明文、密文、和密钥组成。密码算法是用于加密和解密的数学函数( 通 常情况下，有两个相关函数：一个用作加密，另一个用作解密) 。基于密钥的算 法可分为对称密钥算法( 秘密密钥算法) 和非对称密钥算法( 公开密钥算法) 。 1 2 1 对称密码算法 对称算法有时又叫传统密码算法，就是加密密钥能够从解密密钥中推算出 来，反过来也成立。在大多数对称算法中，加密密钥和解密密钥是相同的。这些 算法也叫秘密密钥算法或单密钥算法，它要求发送者和接收者在安全通信之前， 商定一个密钥。对称算法的安全性依赖于密钥，泄漏密钥就意味着任何人能对消 息进行加密和解密。只要通信需要保密，密钥就必须保密。 对称算法的加密和解密表示为： 取似) = c d 。( c ) = m 对称算法可分为两类。一次只对明文的单个位( 有时对字节) 运算的算法称 为序列算法或序列密码。另一类算法是对明文的一组位进行运算，这些组称为分 组，相应的算法称为分组算法或分组密码。现代计算机密码算法的典型分组长度 是6 4 位，这个长度大到足以防止分析破译，但又小到足以方便使用。 对称加密算法中最为普遍的是d e s 方法。d e s 是一个分组加密算法，它以 6 4 位为分组对数据加密。6 4 位一组的明文从算法的一端输入，6 4 位的密文从另 一端输出。d e s 是一个对称算法：加密和解密用的是同一算法( 除密钥编排不 同以外) 。 密钥的长度为5 6 位。( 密钥通常表示为6 4 位的数，但每个第8 位都用作奇 偶校验，可以忽略。) 密钥可以是任意的5 6 位的数，且可以在任意的时候改变。 其中极少量的数被认为是弱密钥，但能容易避开它们。所有的保密性依赖于密钥。 简单的说，算法只不过是加密的两个基本技术混乱和扩散的组合。d e s 基本组建分组是这些技术的一个组合( 先代替后置换) ，它基于密钥作用于明文， 这是众所周知的轮。d e s 有1 6 轮，这意味着要在明文分组上1 6 次实施相同的 组合技术 1 2 1 。 此算法只使用了标准的算术和逻辑运算，而其作用的数也最多只有6 4 位， 因此用7 0 年代末期的硬件技术很容易实现。算法的重复特性使得它非常理想地 用在一个专用芯片中。 1 2 2 非对称密码算法 非对称密码算法又称公开密钥算法，是这样设计的：用作加密的密钥不同于 用作解密的密钥，而且解密密钥不能根据加密密钥计算出来( 至少在合理假定的 6 第一章对不同类型签名的回顾 长时间内) 。之所以叫做公开密钥算法，是因为加密密钥能够公开，即陌生者能 用加密密钥加密信息，但只有用相应的解密密钥才能解密信息。在这些系统中， 加密密钥叫做公开密钥( 简称公钥) ，解密密钥叫做私人密钥( 简称私钥) 。私人 密钥有时也叫秘密密钥。 用公开密钥k 加密表示为： e r l ) = c 虽然公开密钥和私人密钥不同，但用相应的私人密钥置：解密可表示为： d 。：p ) = m 有时消息用私人密钥加密而用公开密钥解密，这用于数字签名，这些运算可 表示为： s e z 似) = c 一 d 。( c ) = m 公开密钥算法中最常用的是r s a 算法。r s a 公开密钥加密算法是由r i v e s t ， s h a m i r 和a d l e m a n 在1 9 7 7 年提出来的，是第一个比较完善的公开密钥算法， 它既能用于加密，电能用于数字签名。该算法的安全性是基于大数分解的难度， 其公开密钥和私人密钥是一对大素数的函数，从一个公开密钥和密文中恢复出明 文的难度等价于分解两个大素数之积。 1 2 2 1r s a 算法原理 为了产生两个密钥，选取两个大素数，p 和q 。为了获得最大程度的安全性， 两数的长度一样。计算乘积 n 2 p g 然后随机选取加密密钥e ，使e 和0 1 x q 一1 ) n 2 为质数。最后用欧几里德扩 展算法计算解密密钥d ，以满足 e d = - i m o d ( ( p l 一1 ) ) ( 1 1 ) 则 d = e m o d ( ( p 一1 一1 ) ) 注意d 和n 也互为质数。e 和m 是公开密钥，d 是私人密钥。两个素数p 和g 不再需要，它们应该被舍弃，但绝不可泄露。 加密消息m 时，首先将它分成比行小的数据分组( 采用二进制，选取小于n 的2 的最大次幂) ，也就是说，p 和g 为1 0 0 位的素数，那么以将有2 0 0 位，每 江南大学硕士学位论文 个消息分组m ，应小于2 0 0 位长( 如果你需要加密固定的消息分组，那么可以在 它的左边填充一些0 并确保该数比n 小) 。加密后的密文c ，将由相同长度的分组 c ，组成。加密公式简化为： c ，= 啪；( m o d n ) ( 1 2 ) 解密消息时，取每个加密后的分组c i 并计算： m ，= c ? ( m o d n ) ( 1 3 ) 由于： c ? = k 尸= m 7 4 = m f f ( pi ) ( 一卜1 = 科川舯) = 啊x 1 = m l ( 全部( r o o d n ) ) 这个公式能恢复出明文，总结如下： 表1 1r s a 解密 公开密钥： n ：两个素数p 和q 的乘积( p 和q 必须保密) e ：与0 1 x q 1 ) 互素 私人密钥：d ：e ( ( m 0 4 p l x q i ) ) ) 加密 解密m = c 4 m o d n 下面举一个简单的例子来说明r s a 算法。如果p = 4 7 ，g = 7 1 ，那么 加密密钥e 与0 1 ) 0 1 ) = 4 6 x7 0 = 3 2 2 0 没有公因子。 随机选取8 = 7 9 ，那么： d = 7 9 m o d 3 2 2 0 = 1 0 1 9 该数用扩展的欧几里德算法 1 2 】计算，公开和n ，将d 保密，丢弃p 和q 。 加密消息 m = 6 8 8 2 3 2 6 8 7 9 6 6 6 6 8 0 0 3 首先将其分成小的分组，在本例中，按三位数字一组进行加密，这个消息将 分成六个分组m ，进行加密： 第一章对不同类型签名的回顾 m ，= 6 8 8 m 。= 2 3 2 m ，= 6 8 7 m 4 = 9 6 6 m ；= 6 6 8 m 6 = 0 0 3 第一组加密为： 6 8 8 ”r o o d 3 3 3 7 = 1 5 7 0 = c 1 对随后的分组进行同样的操作产生加密后密文： c = 1 5 7 0 2 7 5 6 2 0 9 1 2 2 7 6 2 4 2 3 1 5 8 解密消息时需要用解密密钥1 0 1 9 进行相同的指数运算。因而： 15 7 0 ”( m o d 3 3 3 7 ) = 6 8 8 = m 1 消息的其余部分可用同样的方法恢复出来。 r s a 系统的安全性基本上是依赖于分解以为两个质数p ，g 计算上的不可行 性。相应的，为了抵抗一些已知的因子分解攻击，p ，g 必须仔细选择为强质数。 而且，为了抵抗密文攻击，必须保证0 一l ，g 一1 ) 互质。 1 , 2 2 2 建立在r s a 算法上的签名 建立：首先，团体管理者选择两个质数p ，日，并且满足n = p q ，计算组 的公钥，k = 1 m o d 0 ) ，然后，他公开( ，) 。 加入：如果用户u 想加入团体，他必须执行下列步骤： ( 1 ) 管理者把组的公开密钥，k 和矽( ) 给用户u 。 ( 2 ) 用户阢首走选择他自己的私钥d j 并计算相应的公钥g 。，满足 e ，d ，= l m o d ( n ) ，然后选择一个随机数口，产生盲公开密钥，并通过计算 l ；口，巳m o d5 k ( n ) ，只；肋，。4 m o d o ( n ) 来产生他的相关参数“，e ) 。最后， 这些参数被发送到管理者。 ( 3 1 在管理者收到组成员的参数后，他通过增加或删除相关参数来执行加八 江南大学硕士学位论文 新成员和删除旧成员的任务。 消息签名：在完成上述过程后，团体成员首先选择一个随机数t 并通过等式 s ，= z 噬。”“m o d n ，t x m ；0 ，x s ，) m o d 妒( ) 来产生签名 ，s ：) ，然后，他公 开签名k ，e ，墨，s ：】。 验证：一旦签名有争议，任何实体都可以通过下面的步骤验证签名： ( 1 ) 通过检查只是否属于组菜单来检查签名者是否是一个合法的组成员。 ( 2 ) 如果签名者是合法的，则可以通过团体公开密钥，k 和相关成员的参数 只及等式s ，。；p 5 ：m o d n 来验证签名。如果上述过程成立，就可以验证签名 是由团体的一个成员签署的。 打开签名者的身份：在有争议的情况下，团体管理者首先比较和签名有关的 相应参数来验证签名是否合法，然后，如果签名者是合法成员，可以通过等式 d rse 1m o d n 揭示相关的盲公开密钥，从而发现签名者的真实身份。然而， 任何人只能检查参数# 而不能知道相应的参数，只有团体管理者知道这两个参 数。 为了理解上述方案，下面给出了一个用例。 在代表团体签名前，首先为组建立一些参数。 建立：团体管理者首先选择两个质数p = 2 3 ，q = 1 7 ，这样n = 2 3 x 1 7 = 3 9 i 。 然后选择团体秘密密钥，缸= 3 1 ，并通过下列等式计算相关质数妒( ) 和公开密钥 ，耳3 1 ；l m o d 3 5 2 ，s 1 5 9 。最后，团体管理者公开团体参数 心= 3 9 1 ，y p x = 1 5 9 ) 。 加入：如果b o b 想加入团体，他先执行下列步骤： ( 1 ) 团体管理者以秘密方式把团体公开密钥眈。= 1 5 9 ) 和( ) = 3 5 2 ) 传送给 b o b ( 2 ) 令b o b 的z q = 2 4 ，并选择一个秘密密钥p ，= 4 1 ) ，从q 4 1 ；l m o d 3 5 2 中得出q = 2 4 9 。然后，他选择一个随机数口，= 5 ，并计算口i 1 = 1 4 1 ，这样 ；5 2 4 9 m o d 3 5 2 ，；1 8 9 ，只；2 4 4 “”1 m o d 3 9 1 ，；3 0 0 。最后，这些参数 被发送给团体管理者。 ( 3 ) 团体管理者收到团体成员的参数时，通过增加或者删除相关公开参数 第一章对不同娄型签名的回顾 来执行加入新成员或者删除旧成员的任务。 消息签名：如果要被b o b 签名的明文是= 1 2 ，b o b 选择一个随机数f = 7 7 并通过等式s 1 ；2 4 7 7 ”“1m o d 3 9 1 i3 6 9 ，7 7 x 1 2 i 4 1 x s 2 m o d 3 5 2 斗s 2i 2 2 0 来 产生签名 。，s ：) 。最后，签名被公开为似= 1 2 ，只= 3 0 0 ，s l = 3 6 9 ，s 2 = 2 2 0 ) 。 验证：一旦签名有争议，任何实体都可以用辅助信息( 只= 3 0 0 ) i 雠以 检查签名者是否为一个合法的团体成员。如果签名者是一个合法的团体成员，可 以通过使用公开密钥= 1 5 9 ) 和相关的成员参数= 3 0 0 ) 及等式 3 6 9 ”“”m o d 3 9 1 ；3 0 0 2 2 0m o d 3 9 1 来验证签名。 打开签名者的身份：在有争议的情况下，团体管理者比较和签名有关的相应 的参数只；3 0 0 来验证签名者是否合法，如果签名者是一个合法的成员，可以通 过上d ；3 0 0 ”9 m o d 3 9 1 ；2 4 揭示相关的盲公开密钥一= 1 8 9 ，从而发现签名者的 真实身份。因此，团体中签名者b o b 的身份被验证为1 1 3 ，= 2 4 。 然而i 对咒分解因子的保护使得r s a 不能直接应用到面向组或分布式交流 环境中。因为，面向组或分布式系统有很多人参与，对所有的参与者使用普遍的 且每一个参与者都知道f l 的分解因子来决定他自己的秘密密钥，那么对所有的网 络成员来说就没有秘密可言。 为了适应数字电子文件的要求，现代密码系统应具备数字签名的功能，如同 人们在纸上的文件签名一样，可于电子文件上签名，而此签名必须能公开的证明 签名者的身份，由于签名可能被更改，所以完整的签名系统必须能辨别签名的真 伪及证明签名者的身份。非对称密钥算法也可以进行数字签名处理，其运作示意 图如图1 1 所示，其中c k u 及p 分别为u 的私人密钥和公开密钥。若u 欲传送 可验证身份的信息给矿，即v 可以证明所收到的信息是由u 发出，u 可使用自 己的私人密钥将信息做加密处理，从而对文件签名，并将签名处理后的结果连同 原信息传送至y ，而矿将证明所收到的信息是否由u 发出，y 可于公开密钥目录 中取得u 的公开密钥，使用u 的公开密钥做解密运算，最后将解密后的信息与 原信息比较，相同则代表信息由u 发出，不相同则代表信息不是由u 发出，因 为u 的私人密钥只有u 自己知道，所以只有u 可进行代表自己身份的签名，而己， 的公开密钥是公开的，所以验证能以公开方式进行。公开密钥算法使用于签名必 须满足： d n ( s n ，嘶，l p 颤，) = m ( 1 4 ) 江南大学硕上学位论文 综上所述，非对称密钥算法可用来进行加解密运算，又可进行签名及验证 的运算，其运算如图1 2 所示。u 先使用自己的私人密钥做签名，再使用矿的公 开密钥进行加密，矿收到信息后，先使用自己的私人密钥进行解密，再使用u 的 公开密钥做验证，若由u 传送给矿，则最后所得之结果为原文，否则无法得到原 文。一个完整的非对称密钥算法系统应该具备下列特性： 1 原文能使用公开密钥进行加密处理，再使用私人密钥做解密运算，仍能得 到原文。 2 加密与解密应容易了解及计算。 3 无法由公开密钥得到私人密钥。 4 若欲进行签名运算，则原文能使用私人密钥进行签名，再使用公开密钥进 行解密，其结果仍为原文。 s = 茸酵i n 最c r 瞪；驾捌篱t 砖甜i s = - d z ( c 埘0 ) 肼= t 毋谬；凄蕲) 原衰一 撇? ，圈 圈! 鐾；蚓滢名跚h 渤密瓤i 奉尊 m 的感a谚酌越开 者称客掂 矿的私人u 的鐾开 密钥s 岛密胡触p “ ，聊 瓷转口 矿 尊翰 图1 ，o 具有簦名功能韵盛开密码系统一 第一章对不同类型签名的回顾 1 3 相关类型签名的简单介绍 1 3 1 盲签名 盲签名的概念首先由c h a u m 在1 9 8 2 年所提出。二十年来，已有许多具有不 同的性能、安全性与特性的做法相继公诸于世。与一般签名不同的是，盲签名要 求签名者不能知道所要签署的文件内容，这个特性称为盲签名的盲特性。所以， 在盲签名的产生过程中，签名的请求者必须先执行类似加密的动作，将所要送签 的信息内容与盲因子结合后，转换为乱码信息，再将此处理过的乱码信息传送给 签名者，签名请求者再进行类似解密的动作除掉盲因子，以得到签名者对真正信 息的签名。除了盲特性之外，盲签名还要求以后即使公布所签名的文件及其对应 的签名，签名者也仅能验证签名的有效性，而无法追踪到该签名是何时以及为何 人所产生的，这就称为盲签名的不可连接性。由于以上的两个特性，因此盲签名 具有保护签名请求者的隐私性以及匿名性的功能。也因此，它在许多强调使用者 的隐私权及匿名性的密码学应用里，例如电子投票、电子付款或电子竞标等都扮 演了很重要的角色。目前有关盲签名的研究，则着重在发展除了盲特性和不可连 接性以外，也能具有其它特性，包括部分盲特性、公平盲特性以及低计算量的盲 特性等的盲签名技术。 在一个典型的盲签名协议中，有两种参与者：签名者和组签名要求者，签 名要求者首先通过执行类似于加密的过程使消息变成乱码，然后把变成乱码的消 息提交给签名者，签名者通过执行公开的签名函数对提交的消息签名，然后把结 果回送给签名要求者。最后，通过执行类似于解密的过程，签名要求者可以得到 签名者对消息的签名，并且可以通过检查有签名消息对的公开认证等式是否作为 输入参数来进行认证。 相应的，在一个盲签名系统中，签名者不知道他签名的消息的内容，对签名 者来说，无法计算盲和非盲参数之间的关系，这个属性被称为无连接性。根据不 可伪造性和无连接性，盲签名可以防止权威文档被伪造并保护文档所有者的隐私 性。 一 举例来说，考虑r s a 密码系统，假设b o b 想让a l i c e 对消息签名但是不想 让她知道她签名的消息的内容，另g 么盲签名产生和认证可以描述如下： 盲签名产生 步骤：1b o b 决定消息m z 。 o ，1 ，2 ，肝一1 和随机数r ，然后计算 c ；r 。( m o d ) 作为盲消息并把它发送给a l i c e ，o ，p ) 是a l i c e 的 r s a 公钥。 2 收到c 后，a l i c e 需要计算t z c 4 ( m o d 疗) 作为她的签名并发回给 b o b ，0 ，d ) 是a l i c e 的r s a 私钥。 江南大学硕士学位论文 3b o b 通过非盲过程丁；r - i t ( m o d n ) ；m 4 ( m o d n ) 衍1 a l i c e 的盲签 名。 盲签名认证 b o b ( 或任何感兴趣的人) 可以通过认证t 8s mm o d n l 是否为真来检查t 是 否真的是a l i c e 对消息m 的签名，n ，e ) 是a l i c e 的r s a 公开密钥，如果是，那么 签名就被认证。 讨论 1 盲目性：在盲签名产生过程的步骤2 中，a l i c e ( 签名者) 不了解由b o b 选 择的消息，因为b o b 通过类似加密过程使得消息变成乱码，a l i c e 实际上是通过 乘以一个整数r 。来签名的，r 代表一个随机数( 或称作盲因子) 是由b o b 在步 骤1 中决定的，e 是a l i c e 的r s a 公钥。 2 不可连接性：因为上述描述的盲属! 陛，a l i c e 不知道c 和r 之间的关系，因 此，当b o b 后来公开展示签名丁时，a l i c e 也不能知道或跟踪r 是何时为何人产 生的。 3 不可伪造性：因为盲签名是规则的r s a 数字签名，具有两个属性( 1 ) 消 息内容对签名者来说是不可知的( 2 ) 在签名被签名要求者后来公开时，签名是 不可跟踪的，它仍满足不可伪造性的要求。也就是说，任何人想伪造一个有效的 盲签名就必须解决因子分解问题。 l ! ：竺i圈 b l i n dm e s s a g e s i g nt h eb l i n dm e s s a g e _ 一 图1 3 盲签名架构图 1 3 2 不可否认签名与弱不可否认签名 不可否认签名的概念是c h a u m 与v a na n t w e r p e n 在1 9 8 9 年首先提出的。不 可否认签名的数学描述很复杂，但是其基本思想很简单： ( 1 ) a l i c e 向b o b 出示一个签名。 ( 2 ) b o b 产生一个随机数，并送给a l i c e 。 ( 3 ) a l i c e 利用随机数和其私人密钥进行计算，将计算结果送给b o b 。a l i c e 只能计算该签名是否有效。 ( 4 ) b o b 确认这个结果。 b o b 不能让c a r o l 确信a l i c e 的签名是有效的，因为c a r o l 不知道b o b 的数 字是随机数。b o b 很容易在文件上完成这个协议，而不使用a l i c e 的任何帮助， 第一章对不同类型签名的回顾 然后将结果出示给c a r o l 。c a r 0 1 只有在她与a l i c e 本人完成这个协议后才确认 a l i c e 的签名是有效的。 这个方案并不完善，在某些隋况下，b o b 让c a r o l 确信a l i c e 的签名有效是 可能的。 例如，b o b 买了a l i c e 软件公司发布的d e w 的一个合法拷贝，他能在任何 时候检验软件包的签名。然后，b o b 使c a r o l 相信他是来自于a l i c e 软件公司的 销售商。他卖给c a r o l 一个d e w 的盗版。当c a r o l 试图验证b o b 的签名时，他 同时要验证a l i c e 的签名。当c a r o l 发给b o b 随机数时，b o b 然后把它送给a l i c e 。 当a l i c e 响应后，b o b 就将响应送给c a r o l 。于是c a r o l 相信他是该软件的合法买 主，尽管他并不是。 即使如此，不可否认签名仍然有许多应用，在很多情况中，a l i c e 不想让任 何人能够验证她的签名。她不想让她的个人通信被媒体核实、展示并从文中查对， 或者甚至在事情已经改变后被验证。如果她对自己卖出的消息签名，不希望没有 对消息付钱的那些人能够验证它的真实性。控制谁验证她的签名是a l i c e 保护个 人隐私的一种方法。 1 9 8 9 年以后迄今，也有许多具有不同安全性与特性的不可否认签名技术相 继被发表出来，其中大多数属于以离散对数为基石的签名技术，只有g e r m a r o ， k r a u c a y k 与r a b i n 等人在1 9 9 7 年所提出的方法是属于r s a 型的签名技术。与一 般签名最大的不同是，一般签名可以由任何人利用签名者的公开密钥来验证其有 效性( 此称为一般签名的全体验证或自身确认性) ，而不可否认签名则除非有原 签名者通过对话的方式合作及帮助，否则任何人( 包括签名请