电子商务安全技术第04章数字签名技术与应用

1、第三章 数字签名技术与应用3.1 3.1 数字签名的基本原理。数字签名的基本原理。3.2 3.2 几种常用的数字签名技术。几种常用的数字签名技术。3.3 3.3 美国数字签名标准美国数字签名标准(DSS(DSS) )。3.1 数字签名的基本原理数字签名的基本原理数字签名的要求数字签名的要求（1 1）收方能够确认或证实发方的签名，但不能伪造。）收方能够确认或证实发方的签名，但不能伪造。（2 2）发方发出签名的消息送收方后，就不能再否认他）发方发出签名的消息送收方后，就不能再否认他所签发的信息。所签发的信息。（3 3）收方对已收到的签名消息不能否认，即有收到认）收方对已收到的签名消息不能否认，即有

2、收到认证。证。（4 4）第三者可以确认收发双方之间的消息传送，但不）第三者可以确认收发双方之间的消息传送，但不能伪造这一过程。能伪造这一过程。 数字签名数字签名(Digital Signature):(Digital Signature):指发送者根据消息产生摘要，并对摘要用自身的签名指发送者根据消息产生摘要，并对摘要用自身的签名私钥进行加密。消息和用自身签名私钥加密的数字摘私钥进行加密。消息和用自身签名私钥加密的数字摘要组合成数字签名。要组合成数字签名。 数字签名数字签名的定义的定义数字签名的作用数字签名的作用 验证消息发送方的身份验证消息发送方的身份 验证消息内容的完整性验证消息内容的完整

3、性 B2C安全控制安全控制SETSET发卡银行发卡银行$银行专网银行专网SET/PKI认证中心认证中心CAPKISET/SSLSET/SSLPKIPKISET/SSL物流公司物流公司虚拟商店虚拟商店Trade Server收单银行收单银行Payment Gateway$Browser/Wallet消费者消费者InternetB2B安全控制安全控制PKI/SSLPKI/SSL发卡银行发卡银行$银行专网银行专网PKI/SSL认证中心认证中心CAPKI/SSLPKI/SSLPKI/SSL物流公司物流公司虚拟商店虚拟商店Trade Server收单银行收单银行Payment Gateway$Inter

4、net虚拟商店虚拟商店Trade ServerB2G安全控制安全控制PKI/SSLPKI/SSL发卡银行发卡银行$银行专网银行专网PKI/SSL认证中心认证中心CAPKI/SSLPKI/SSLPKI/SSL物流公司物流公司虚拟商店虚拟商店Trade Server收单银行收单银行Payment Gateway$Internet政政 府府数字签名与手工签名的区别数字签名与手工签名的区别数字签名数字签名数字的，因消息而异数字的，因消息而异手工签名手工签名模拟的，因人而异模拟的，因人而异数字签名与消息认证的区别数字签名与消息认证的区别数字签名数字签名第三者可以确认收发双方的消息传送第三者可以确认收发双

5、方的消息传送消息认证消息认证只有收发双方才能确认消息的传送只有收发双方才能确认消息的传送数字签名的分类数字签名的分类对整个消息的签名对整个消息的签名对压缩消息的签名对压缩消息的签名若按明、密文的对应关系划分，每一种又可分为：若按明、密文的对应关系划分，每一种又可分为：确定性数字签名：确定性数字签名：明文与密文一一对应，它对一特定明文与密文一一对应，它对一特定消息的签名不变化。消息的签名不变化。 随机化或概率式数字签名：随机化或概率式数字签名：它对同一消息的签名是随它对同一消息的签名是随机变化的，取决于签名算法中的随机参数和取值。机变化的，取决于签名算法中的随机参数和取值。 数字签名的组成数字签

6、名的组成签名算法签名算法秘密的秘密的验证算法验证算法公开的公开的对对M M的签名可简记为：的签名可简记为： SigSig（M M）=s =s 或或 SigSigk k（M M）或）或 SigSigk k（M M，k k） 一个签名体制可由量一个签名体制可由量（M，S，K，V）表示：表示： M是明文空间是明文空间 S是签名的集合是签名的集合 K是密钥空间是密钥空间 V证实函数的值域，由真、伪组成证实函数的值域，由真、伪组成数字签名的验证数字签名的验证签名算法：签名算法： s=Sigs=Sigk k（m m）S S验证算法：验证算法： VerVerk k(s,m) (s,m) 真，伪真，伪 验证签

7、名的真伪：验证签名的真伪：散列函数（散列函数（Hash function）数字签名的要求数字签名的要求3.2 几种常用的数字签名技术几种常用的数字签名技术（1 1）RSA签名签名（2）ElGamal签名签名（3）盲签名）盲签名（4）多重签名）多重签名（5）代理签名）代理签名 （1）RSA签名签名RSA算法不仅可用于信息加密算法不仅可用于信息加密，还可用于数字签名。还可用于数字签名。 RSA算法的理论基础：算法的理论基础：大数分解：大数分解：两个大素数相乘在计算上是容易实现的两个大素数相乘在计算上是容易实现的，但将该乘积分解为两个大素数因子的计算量却相当，但将该乘积分解为两个大素数因子的计算量却

8、相当巨大。巨大。 素数检测：素数检测：素数检测就是判定一个给定的正整数是素数检测就是判定一个给定的正整数是否为素数。否为素数。 RSA签名的具体过程签名的具体过程RSA签名的过程：签名的过程：设计密钥，设计签名，验证签名设计密钥，设计签名，验证签名（1 1）设计密钥：先选取两个互素的大素数）设计密钥：先选取两个互素的大素数P P和和Q Q，令，令N=PN=PQ Q， z=(P-1) z=(P-1) (Q-1)(Q-1)，接着寻求加密密钥，接着寻求加密密钥e e，使，使e e满足（满足（e, e, (N)(N)）=1=1，另外，再寻找解密密钥另外，再寻找解密密钥d d，使其满足，使其满足gcd

9、(d, z)=1,egcd (d, z)=1,ed=1(mod z)d=1(mod z)。这里的（。这里的（N,eN,e）就是公开的加密密钥。（）就是公开的加密密钥。（N，d）就是私钥。）就是私钥。（2 2）设计签名：对消息）设计签名：对消息M M进行签名进行签名，其签名过程是：，其签名过程是： S=SigS=Sig（M M）=M=Md d (mod N)(mod N)（3 3）验证签名：对）验证签名：对S按下式进行验证：按下式进行验证： M=SM=Se e (mod N)(mod N)，如果，如果M=MM=M，则签名为真，则签名为真RSA签名举例签名举例（1）若）若Bob选择了选择了p=11

10、和和q13（2）那么，）那么，n=11 13=143, (n)=1012120（3）再选取一个与再选取一个与z=120互质的数互质的数,例如例如e=7（4）找到）找到一个值一个值d=103d=103满足满足e ed=1 mod zd=1 mod z （7 7103=721103=721除除以以120120余余1 1）（5 5）（）（143,7143,7）为公钥，（）为公钥，（143143，103103）为私钥。）为私钥。（6）Bob在一个目录中公开公钥：在一个目录中公开公钥：n=143和和e=7（7）现假设）现假设Bob想发送消息想发送消息85给给Alice，他用自己的密钥，他用自己的密钥（d

11、=103）进行签名：）进行签名：85103(mod 143)=6，于是发送消息，于是发送消息85和签名和签名6给给Alice（8）当）当Alice接收到消息接收到消息85和签名和签名6时，用时，用Bob公开的公钥公开的公钥（e7）进行验证：）进行验证：67（mod 143)=85，跟，跟Bob发送的消息发送的消息一致，于是确定该消息是由一致，于是确定该消息是由Bob所发送，且没有被修改。所发送，且没有被修改。相同点相同点RSA签名和签名和RSA加密的异同点加密的异同点都使用一对密钥：公钥和私钥都使用一对密钥：公钥和私钥不同点不同点RSA加密：用公钥加密，用私钥解密加密：用公钥加密，用私钥解密R

12、SA签名：用私钥签名，用公钥验证签名：用私钥签名，用公钥验证（2）ElGamal签名签名ElGamal算法由算法由T.ElGamal在在1985年提出，其修正形式年提出，其修正形式已被美国已被美国NIST作为数字签名标准（作为数字签名标准（DSS）。）。ElGamal算法既可用于信息加密算法既可用于信息加密，也，也可用于数字签名。可用于数字签名。 ElGamal算法的理论基础：算法的理论基础：求解离散对数的困难性：求解离散对数的困难性：求解离散对数是模指数运算的逆过程，例如求求解离散对数是模指数运算的逆过程，例如求x x，使，使得得x x满足满足 3 3x (mod 17)=15对于素数域上寻

13、求离散对数的复杂性等同于对大整数对于素数域上寻求离散对数的复杂性等同于对大整数n进行因子分解的复杂性进行因子分解的复杂性ElGamal签名的过程签名的过程ElGamal签名的过程：签名的过程：设计密钥，设计签名，验证签名设计密钥，设计签名，验证签名（1 1）设计密钥：）设计密钥：首先选择一个素数首先选择一个素数p p，两个随机数：，两个随机数：g g和和x x，g, x g, x p, p, 计算计算 y = gx ( mod p )y = gx ( mod p )，则其公钥为，则其公钥为 y, g y, g 和和p p。私钥是。私钥是x x。（2 2）设计签名：对消息）设计签名：对消息M M

14、进行签名进行签名，其签名过程是：，其签名过程是： 先选择一个随机数先选择一个随机数k, kk, k与与p-1p-1互质，计算互质，计算r=gk ( mod p )r=gk ( mod p ) S=(H(M)-xr) k S=(H(M)-xr) k-1(mod p-1)(mod p-1)，则签名，则签名S=Sig(M,k)=(M,r,s)S=Sig(M,k)=(M,r,s)（3 3）验证签名：对）验证签名：对S按下式进行验证：按下式进行验证： y yk r rs= g= gH(M) (mod p) (mod p)，如果相等，则签名为真，如果相等，则签名为真对同一消息对同一消息M，由于随机数，由于

15、随机数k不同而有不同的签名值不同而有不同的签名值（M，r，s） （3）盲签名）盲签名盲签名（盲签名（blind signature）是一种允许一个人让另是一种允许一个人让另一个人签署文档，而第一个人不向签名者泄露任何关于一个人签署文档，而第一个人不向签名者泄露任何关于文档内容的技术。文档内容的技术。 盲签名的过程：盲签名的过程：（1 1）AliceAlice将文件将文件M M乘一个随机数得乘一个随机数得M M，这个随机数通常称，这个随机数通常称为盲因子，为盲因子，AliceAlice将盲消息将盲消息M M送给送给BobBob；（2 2）BobBob在在M M上签名后，将其签名上签名后，将其签名

16、SigSig（M M）送回）送回AliceAlice；（3）Alice通过除去盲因子，可从通过除去盲因子，可从Bob关于关于M的签名的签名Sig（M）中得到）中得到Bob关于原始文件关于原始文件M M的签名的签名Sig（M）。）。（4）多重签名）多重签名 多重数字签名的目的是将多个人的数字签名汇总成一多重数字签名的目的是将多个人的数字签名汇总成一个签名数据进行传送，签名收方只需验证一个签名便可个签名数据进行传送，签名收方只需验证一个签名便可确认多个人的签名。确认多个人的签名。设设U U1 1，U U2 2，U Un n为为n n个签名者，他们的密钥分别为个签名者，他们的密钥分别为x xi i，

17、相应，相应的公钥为的公钥为y yi i=g=gxi xi mod pmod p（i=1i=1，2 2，n n）。）。他们所形成的对消息他们所形成的对消息m m的的n n个签名分别为（个签名分别为（r ri i，s si i），其中），其中r ri i=g=gkiki mod p mod p和和s si i=x=xi im+km+ki ir mod p-1r mod p-1（i=1i=1，2 2，n n），这），这里里r rr ri i mod p mod p，形成的签名（，形成的签名（r ri i，s si i）满足方程）满足方程g gsisi=y=yi im mr ri ir r mod p

18、mod p。n个签名人最后形成的多重签名为：（个签名人最后形成的多重签名为：（m，r，s）=（m，ri mod p，Si mod p-1），它满足方程），它满足方程gs=ymrr mod p，其中，其中y=yi mod p。 （5）代理签名）代理签名 代理签名的目的是当某签名人因公务或身体健康等原代理签名的目的是当某签名人因公务或身体健康等原因不能行使签名权力时，将签名权委派给其他人替自己因不能行使签名权力时，将签名权委派给其他人替自己行使签名权。行使签名权。 假设假设A A委托委托B B进行代理签名，则签名必须满足三个最基本的进行代理签名，则签名必须满足三个最基本的条件：条件：（1 1）签名收方能够像验证）签名收方能够像验证A A的签名那样验证的签名那样验证B B的签名；的签名；（2 2）A A的签名和的签名和B B的签名应当完全不同，并且容易区分；的签名应当完全不同，并且容易区分；（3 3）A A和和B B对签名事实不可否认。对签名事实不可否认。3.3 美国数字签名标准（美国数字签名标准（DSSDSS） 1994年美国国家标准与技术学会年美国国家标准与技术学会NIST公布了数公布了数字签名标准字签名标准(DSS，Digital Signature Standard )； DSS标准采用的算法是标准采用的算法是DSA（Digital Signa