第6章 数字签名技术1

1/34第1章密码学概述 第2章古典密码技术 第3章分组密码第4章公钥密码体制第5章散列函数与消息鉴别

第6章数字签名技术

第7章密钥管理技术第8章身份鉴别技术第9章序列密码基础第10章密码技术应用课程主要内容四川大学电子信息学院2/34本章主要内容6.1数字签名概述 6.2基于公钥密码体制的典型数字签名方案RSA数字签名方案ElGamal数字签名方案数字签名标准DSS基于椭圆曲线密码的数字签名算法ECDSA

6.3特殊数字签名方案 不可否认签名盲数字签名群签名

四川大学电子信息学院3/34数字签名的主要作用：

将消息和拥有消息的实体可信地联系起来。

数字签名在信息安全，包括鉴别、数据完整性、抗抵赖性等方面，特别是在大型网络安全通信中的密钥分配、鉴别及电子商务系统中，具有重要作用。6.1数字签名概述

数字签名普通签名特殊签名代理签名、不可否认签名、盲签名、公平盲签名、群签名、门限签名、一次性签名等。四川大学电子信息学院4/34

传统签名及其应用：

手写签名与印章。

(1)对其所签署的文件进行确认；

(2)如果日后签署文件的双方针对文件的内容发生争执，根据签署文件时留下的签名，第三方可以对签名进行检查以便对争执进行调解。数字签名

是一种作用类似于传统的手书签名或印章的电子标记，它可以达到与手写签名类似的作用，即使用数字签名。

定义：数字签名是这样一种鉴别机制，它可以使一个报文附加上一段起到签名作用的代码。这个代码可保证报文的来源和完整性。

数字签名概述(续)四川大学电子信息学院5/34(1)签名是不可伪造的；除了合法的签名者之外，任何其他人伪造其签名是困难的。(2)签名是不可抵赖的：签名者事后不能否认自己的签名。(3)签名是可信的：任何人都可以验证签名的有效性。(4)签名是不可复制的：对一个消息的签名不能通过复制变为另一个消息的签名。如果对一个消息的签名是从别处复制得到的，则任何人都可以发现消息与签名之间的不一致性，从而可以拒绝签名的消息。(5)签名的消息是不可篡改的：经签名的消息不能被篡改。一旦签名的消息被篡改，则任何人都可以发现消息与签名之间的不一致性。

数字签名应具有的特性四川大学电子信息学院6/34（1）数字签名：签名与消息是分开的，需要一种方法将签名与消息绑定在一起。

手写签名：签名认为是被签名消息的一部分。（2）数字签名：在签名验证的方法上，数字签名利用一种公开的方法对签名进行验证，任何人都可以对签名进行验证。

手写签名：验证是由经验丰富的消息接收者通过同以前的签名相比较而进行的。（3）数字签名：有效签名容易被复制。因此，在数字签名方案的设计中要预防签名的再用。手写签名：签名的复制是无效的。

数字签名与传统手写签名的比较7/34验证算法返回的结果为布尔值，“真(true)”或“假(false)”，即：Ver(M,S)＝truefalse；S＝Sig(M)；S≠Sig(M)验证算法的结果表示了签名是否真实可靠。(1)签名算法(SignatureAlgorithm)：签名密钥一定是秘密的。签名者A对消息M使用签名算法，记作S＝Sig(M)，有时为了强调用户A或所使用的签名密钥k，签名算法也记为

S＝SigA(M)或S＝Sigk(M)(2)验证算法(VerificationAlgorithm)：验证算法及有关参数一定是公开的。

验证者可以通过验证算法，记作Ver(M,S),有时为了强调用户A或所使用的签名密钥k，也记为

VerA(M,S)或Verk(M,S)判断其真实性。数字签名方案的组成部分8/34

签名必须依赖于被签名消息的比特模式(签名与消息应该是一个不可分割的整体)；签名必须使用某些对发送者是唯一的信息，以防止伪造和抵赖；数字签名的产生、识别和验证应该相对容易；伪造一个数字签名在计算上是不可行的；(无论是通过对已有的数字签名来构造新报文，还是对给定的报文伪造一个数字签名)6.数字签名的设计要求9/34

为了保证签名的有效性，对消息进行签名的签名者与对签名进行验证的验证者绝对不能拥有完全相同的用于签名和验证的信息，因为一旦验证者能够用与签名者相同的信息(参数和算法)来验证报文与签名，那么他同样可以伪造报文与签名。

公开密钥密码体制很好地满足了这一要求。7.基于公开密钥密码体制的数字签名带有消息恢复的数字签名方案MEEKRa(M)KRaDKUaM公钥加密：鉴别和数字签名10/34思考：该方法的问题？解决方案：将签名信息与报文分离，形成一个独立的签名块，无论报文多长，这个签名块的长度都是固定的。ME||MKRaH比较HEKRa(H(M))DKUaME||MKRaH比较HDKUaEKEKRa(H(M))EK[M||EKRa(H(M))]DK数字签名数字签名+机密性保护,为了防止攻击者窃密，可以在发送时用对称密码体制对整个消息和签名进行加密数字签名的产生可用加密算法或特定的签名算法。1.由加密算法产生数字签名利用加密算法产生数字签名是指将消息或消息的摘要加密后的密文作为对该消息的数字签名，其用法又根据是单钥加密还是公钥加密而有所不同。6.1.2数字签名的产生方式(1)单钥加密如图7.1(a)所示，发送方A根据单钥加密算法以与接收方B共享的密钥K对消息M加密后的密文作为对M的数字签名发往B。该系统能向B保证所收到的消息的确来自A，因为只有A知道密钥K。再者B恢复出M后，可相信M未被篡改。具体来说，就是B执行解密运算Y=DK(X)，如果X是合法消息M加密后的密文，则B得到的Y就是明文消息M，否则Y将是无意义的比特序列。(2)公钥加密如图7.1(b)所示，发送方A使用自己的秘密钥SKA对消息M加密后的密文作为对M的数字签名，B使用A的公开钥PKA对消息解密，由于只有A才拥有加密密钥SKA，因此可使B相信自己收到的消息的确来自A。然而由于任何人都可使用A的公开钥解密密文，所以这种方案不提供保密性。为提供保密性，A可用B的公开钥再一次加密，如图7.1(c)所示。 由加密算法产生数字签名又分为外部保密方式和内部保密方式，外部保密方式是指数字签名是直接对需要签名的消息生成而不是对已加密的消息生成，否则称为内部保密方式。外部保密方式便于解决争议，因为第3方在处理争议时，需得到明文消息及其签名。但如果采用内部保密方式，第3方必须得到消息的解密密钥后才能得到明文消息。如果采用外部保密方式，接收方就可将明文消息及其数字签名存储下来以备以后万一出现争议时使用。2.由签名算法产生数字签名 签名算法的输入是明文消息M和密钥x，输出是对M的数字签名，表示为S=Sigx(M)。相应于签名算法，有一验证算法，表示为Verx(S,M)，其取值为算法的安全性在于从M和S难以推出密钥x或伪造一个消息M′，使M′和S可被验证为真。四川大学电子信息学院17/346.3数字签名的执行方式数字签名的执行方式有两类：直接数字签名方式和具有仲裁的数字签名方式。1.直接数字签名方式

直接方式是指数字签名的执行过程只有通信双方参与，并假定双方有共享的秘密密钥，或者接收一方知道发送方的公开密钥。

直接数字签名的局限性：

方案的有效性依赖于发送方秘密密钥的安全性。四川大学电子信息学院18/34数字签名的执行方式（续）

具有仲裁的数字签名是在通信双方的基础上引入了第三方仲裁者参与。

2.具有仲裁的数字签名方式

下面给出几个需要仲裁者的数字签名方案。其中S表示发送方，R表示接收方，A是仲裁者，M是传送的消息。（1）

应用对称加密，仲裁者可以看到消息内容

该方案的前提是每个用户都有与仲裁者共享的秘密密钥。数字签名过程如下：

(1)S→A：M||EKSA[IDS||H(M)](2)A→R：EKAR[IDS||M||EKSA[IDS||H(M)]||T]

其中E是对称密钥加密算法，KSA和KAR分别是仲裁者A与发送方S、接收方R的共享密钥，H(M)是M的散列值，T是时间戳，IDS是S的身份标识。在①中，S以EKSA[IDS‖H(M)]作为自己对M的签名，将M及签名发往A。A用KSA解密签名，用H(M)验证消息M，确认此签名是由S发出的。在②中A将从S收到的内容和IDS、T一起加密后发往R，其中的T用于向R表示所发的消息不是旧消息的重放。R对收到的内容解密后,将解密结果存储起来以备出现争议时使用。（2）

应用对称加密，仲裁者不能看到消息内容该方案的前提是每个用户都有与仲裁者共享的秘密密钥，而且两两用户间也有共享密钥。数字签名过程如下：

(1)S→A：IDS||EKSR[M]||EKSA[IDS||H(EKSR[M])](2)A→R：EKAR[IDS||EKSR[M]||EKSA[IDS||H(EKSR[M])]||T]其中KSR是S，R共享的密钥，其他符号与前面相同。S以EKSA[IDS‖H(EKSR[M])]作为对M的签名，与由KSR加密的消息M一起发给A。A对EKSA[IDS‖H(EKSR[M])]解密后通过验证散列值以验证S的签名，但始终未能读取明文M。A验证完S的签名后，对S发来的消息加一时戳，再用KAR加密后发往R。2.具有仲裁的方式（续）（3）应用公钥加密，仲裁者不能看到消息内容该方案的前提是每个用户都能安全获取仲裁者和其它用户的公开密钥。数字签名过程如下：

(1)S→A：IDS||EKRS[IDS||EKUR[EKRS[M]]](2)A→R：EKRA[IDS||EKUR[EKRS[M]||T]

其中KRS和KRA分别是发送方S和仲裁者A的私钥，KUR是接收方R的公钥。第①步中，S用自己的秘密钥KRS和R的公开钥KUR对消息加密后作为对M的签名，以这种方式使得任何第3方（包括A）都不能得到M的明文消息。A收到S发来的内容后，用S的公开钥可对EKRS[IDS||EKUR[EKRS[M]]]解密，并将解密得到的IDS与收到的IDS加以比较，从而可确信这一消息是来自于S的（因只有S有KRS）。第②步，A将S的身份IDS和S对M的签名加上一时戳后，再用自己的秘密钥加密发往R。四川大学电子信息学院22/346.3典型数字签名方案

数字签名方案的三个过程：（1）系统的初始化过程：产生的数字签名方案中用到的一切参数，有公开的，也有秘密的。（2）签名产生过程：在此过程用户利用给定的算法对消息产生签名，这种签名过程可以公开也可以不公开。（3）签名验证过程：验证者利用公开验证方法对给定消息的签名进行验证，得出签名的有效性。四川大学电子信息学院23/34RSA数字签名体制

RSA数字签名体制使用了RSA公开密钥密码算法进行数字签名。鉴于RSA算法在实践中已经被证明了的安全性，RSA签名体制在许多安全标准中得以广泛应用。ISO/IEC9796和ANSIX.30－199X以及美国联邦信息处理标淮FIPS186－2已经将RSA作为推荐的数字签名标准算法之一。另外，美国RSA数据安全公司所开发的安全标准PKCS＃l也是以RSA数字签名体制作为其推荐算法的。

RSA数字签名体制的安全性决定于RSA公开密钥密码算法的安全性。由RSA体制可知，由于只有签名者才知道用于签名的秘密密钥d，虽然其他用户可以很容易地对消息M(明文)的签名S(密文)进行验证，但他们将无法伪造签名者的签名。典型的数字签名体制(续)

RSA数字签名方案

基于RSA公钥密码体制的数字签名方案通常称为RSA数字签名方案。RSA数字签名体制的基本算法可以表述如下：用户A对消息M∈Zn进行签名，计算SA=Sig(M)=Mdmodn；其中d为签名方A的私钥。并将SA附在消息M后作为对用户对消息M的签名。(1)系统初始化过程①产生两个大素数p，q；计算n=p×q；②随机选取一个与Φ(n)互素的整数e作为公钥，私钥d满足ed=1modΦ(n)；用户A将公开公钥e与n，而私钥d，以及p，q则严格保密。签名产生过程:(3)签名验证过程假设用户B要验证用户A对消息M的签名，用户计算

M’=SAemodn；其中e为签名方A的公钥。并判断M’与M是否相等。如果相等则相信签名确实为A所产生，否则拒绝确认该签名消息。RSA数字签名算法如图所示。对于RSA数字签名方案的应用及安全性需要注意以下的几个问题：(1)上述RSA数字签名算法采用了对整个消息进行签名的方法，由于公开密钥密码体制一般速度都比较慢，这样当消息比较长时，整个签名与验证过程都会相当的慢。（可以改进为通过hash函数产生固定长度的散列码，对散列码进行签名）(2)RSA数字签名算法的安全性取决于RSA公开密钥密码算法的安全性（基于大整数分解的困难性）。(3)如果消息M1、M2的签名分别是S1和S2，则任何知道M1，S1，M2，S2的人都可以伪造对消息M1M2的签名S1S2，这是因为在RSA的数字签名方案中，Sig(M1M2)=Sig(M1)Sig(M2)。(4)任何人都可以通过获取某一用户的公钥e，并对某一消息Y∈Zn计算M=Yemodn来伪造该用户对随机消息M的签名Y，声称Y是该用户对消息M的数字签名，因为sig(M)=Md

＝(Ye)d

＝Ymodn。通过仔细设计数据格式或采用基于散列函数的签名方式可以抵抗这种攻击。27/342.ElGamal数字签名体制ElGamal数字签名体制是T.ElGamal在1985年发表关于ElGamal公开密钥密码时给出的两个体制之一(另外一个用于加密)。它的安全性主要基于求解离散对数问题的困难性。

ElGamal数字签名体制具有许多变体，其中重要的有美国NIST于1991年公布的数字签名标准(DSS)中所使用的数字签名算法DSA28/34ElGamal数字签名算法描述：

(1)系统初始化：选取大素数p，∈Zp*是一个本原元。p，作为系统参数公开。每个用户U随机选取整数dU，2≤dU≤p－2。计算：eU

=dU

modp

将eU

作为用户U的公开密钥，dU作为用于签名的秘密密钥，并严格保密。(2)签名变换：给定消息M，签名方A将进行下述签名计算：①选择随机数k∈Zp*

，且k与（p－1)互素②用单向散列函数H对消息M进行压缩。签名方A计算H(M)，并计算：r＝k

modps＝(H(M)－dA·r)k－1mod(p－1)③用户A将Sig(M)=(r,s)

作为自己对消息M的数字签名，与消息M一起传送给接收方。四川大学电子信息学院29/34(3)验证签名：接收方在收到消息M与数字签名(r，s)后：①计算H(M)；②计算eArrs

(modp)和H(M)(modp)

若两式相等，即

eAr·rs

(modp)＝H(M)(modp)则确认(r，s)为有效签名。

由于eAr·

rs

≡(dA

)

r·

(k

)s≡dA·r

k

·s≡dA·r＋k

·s(modp)eA

=dA

modp，r＝k

modps＝(H(M)－dA·r)k－1mod(p－1)又由s＝(H(M)－dA·r)k－1(modp－1)由模运算规则，上式为：k·s+dA·r=H(M)(modp－1)

即：dA·r+k·s=H(M)(modp－1)再由模运算的指数性质有：dA·r＋k·

s

≡H(M)(modp)所以有：eAr·rs

(modp)＝H(M)(modp)四川大学电子信息学院30/34完整地，验证算法可表述如下：Ver(M,(R,S))＝(eARRS(modp)=H(M)(modp))?True:false

在ElGamal签名方案中，签名过程需要保密的密钥dA和一个秘密的随机数k

，而对签名进行验证则只需要公开的参数(eA,p,)。验证签名算法（续）四川大学电子信息学院31/34ElGamal数字签名算法举例设p=11，＝2是Z11*的一个本原元。用户A选择随机整数dA=8，计算： eA=dA

modp=28mod11=3

系统参数p，和用户A的公钥eA公开，签名私钥dA保密。假设用户A要对消息M进行签名，且H(M)＝5。

(1)用户A选择随机数k=9;

因为(9,10)=1，所以9模10的逆一定存在，根据扩展的Euclid算法，有：k－1(modp－1)＝9－1(mod10)＝9。用户A计算：r＝k

modp

＝29mod11=6

s＝(H(M)－dA·r)k－1(modp－1)

＝(5－8×6)×9(mod10)

＝3四川大学电子信息学院32/34

用户A将(r,s)

＝(6,3)作为自己对H(M)=5的消息M数字签名，与消息M一起传送给接收方：

M||

(r,s)

=

M||

(6,3)

(2)设用户B要对消息M及签名进行验证，只需计算：

eAr·

rs

(modp)＝36×

63mod11＝10

和H(M)(modp)＝25mod11＝10

两者相等，则确认(6,3)为M的有效签名。ElGamal数字签名算法举例（续）四川大学电子信息学院33/34ElGamal数字签名的安全性：ElGamal数字签名体制是一个“非确定性的”数字签名体制，对于同一个报文M，它所产生的签名依赖于随机数k。

ElGamal数字签名体制的安全性建立在求解Zp上的离散对数的困难性上，当敌手在不知道用户的签名密钥的情况下伪造签名时，需要求解离散对数问题。需要注意的是，在签名时使用的随机数k不能被泄露，这是因为：如果敌手知道了随机数k，可以由

s＝(H(M)－dA·r)k－1(modp－1)

计算：dA=(H(M)－k·s)·

r－1(modp－1)

得到秘密的签名密钥dA，这样整个签名体制使被攻破。另外，还必须注意随机数k不能被重用。如果随机数r被重用，则敌手可根据得到的两个不同的签名将能够求得签名密钥dA

，从而攻破整个数字签名体制。四川大学电子信息学院34/343.数字签名标准*（DSS,DigitalSignatureStandard）

DSS是美国国家标准与技术研究所(NIST)于1994年5月19日正式公布，同年12月1日正式作为美国联邦信息处理标准FIPS186颁布(该标准后来经过了一些修改，目前的标准称为FIPS186－2)。DSS中所采用算法通常称为DSA(DigitalSignatureAlgorithm)。

DSA已经在许多数字签名标准中得到推荐使用，除了联邦信息处理标准则186－2外，IEEE的P1363标准中，数字签名体制也推荐使用了DSA等算法。

DSS中规定使用了安全散列算法(SHA－1)，DSA可以看作是ElGamal数字签名体制的一个变体，它也是基于离散对数问题，下图是DSS的签名与验证过程。数字签名SSHA－1散列算法DSA数字签名算法消息摘要秘密密钥||消息MM||S签名过程数字签名SDSA数字签名算法SHA－1散列算法消息M消息摘要公开密钥验证过程数字签名算法（DSA）数字签名标准（digitalsignaturestandard，DSS），中使用的签名算法称为数字签名算法（digitalsignaturealgorithm，DSA），其安全性基于离散对数问题的难解性。DSA数字签名过程可分为初始过程、签名过程和验证过程三个部分。（1）初始过程（即系统参数与密钥生成）

①系统参数p,q,g，可以供所有用户使用，在系统内公开。

p：一个大素数，满足2L-1<p<2L，其中512≤L≤1024且L是64倍数，即p的比特长度在512到1024间，长度增量为64比特。q：p-1的素因子,满足2159<q<2160，即q的比特长度为160位。g：g=h(p-1)/qmodp

，其中h是一个整数，1<h<(p-1)，且满足h(p-1)/qmodp>1

。②用户随机选取一个整数x为私钥，0<x<q。③用户公钥y，公开。计算y=gxmodp。给定私钥x计算公钥y很容易，但给定y求x却是离散对数问题，目前被认为在计算上是安全的。签名者的公钥是{p，q，g，y}，私钥为x。（2）签名过程

①对待签消息m，且0<m<p，任选一随机整数k，要求0<k<q。②计算式中h(m)是使用SHA-1函数计算m的消息摘要，则(r，s)就是基于Hash函数的对消息m的数字签名。式中k-1是k模q的乘法逆元，即若计算结果r=0或s=0，则重新选取k，并重新计算产生签名。（3）验证过程①首先验证是否满足：0<r<q，0<s<q，若不符合，则（r，s）不是签名。③比较v=r是否成立？若成立，则确认签名正确，（r，s）是签名者对m的合法签名。②计算DSA数字签名算法证明根据上述后三个公式有：再结合签名公式有：因此：DSA签名算法的安全性DSA的公共参数p—NIST建议p的长度为1024比特。签名过程中，签名者要选取一个秘密参数k，在DSA的应用中，应借助一个好的随机数生成器来产生随机参数k。DSA签名算法共用模数存在一定的潜在威胁。DSA中采用了SHA-1，但目前SHA-1已被证明是不安全的，因此也会导致其签名方案的不安全性。2例子四川大学电子信息学院42/344.基于椭圆曲线密码的数字签名算法ECDSA*

设E为定义在有限域Fp上的椭圆曲线（p为大于3的素数）。以E(Fp)记椭圆曲线E在Fp中的有理点集，它是一个有限群。在E(Fp)中选一个阶(order)为n的基点G，通常要求n是一个大素数。

每个每户选取一个大整数d(1<d<n)作为签名私钥（严格保密），而以点Q=d·G作为其公钥，这样便形成一个椭圆曲线密码系统（ECC）。该系统的公开参数有：③基点G及其阶n；④每个用户的公钥Q=dG。①基域Fp；定义的曲线）；②椭圆曲线E（如p＞3时，由四川大学电子信息学院43/34假设用户A要对报文M进行数字签名，其签名过程如图6.3所示。

图6.3ECDSA的签名过程四川大学电子信息学院44/34签名时，用户A进行以下操作：①选择一个随机数k，1<k<n－1;②计算：kG=(x1,y1)，取r=x1modn。若r=0，回到①；

③计算：s=k-1(h(M)+d·r)modn,其中d为签名方A的私钥。

若s=0，回到①否则用户A把（r，s）作为消息M的数字签名，与M一起发送给接收方。接收方B在受到消息M和数字签名（r，s）后，其签名验证过程如图6.4所示：基于椭圆曲线密码的数字签名算法ECDSA（续）四川大学电子信息学院45/34验证时，接收方B进行以下操作：③利用签名方A的公钥Q计算：

X=(x2，y2)=u1·G+u2·Q，取v=x2modn。④若v=r，接受签名，否则拒绝签名。①验证r和s是否是区间[1,n－1]中的整数，若不是则拒绝签名：②计算u1=h(M)·s－1modn

u2=rs－1modn基于椭圆曲线密码的数字签名算法ECDSA（续）四川大学电子信息学院46/34对ECDSA数字签名算法正确性的证明如下：基于椭圆曲线密码的数字签名算法ECDSA（续）代入上式，有而由∴x2＝x

1，即v＝r6.3特殊数字签名方案不可否认签名

在现实生活中，有时需要在签名者参加的情况下才能进行签名的验证，而签名者又不能否认签名。满足这个要求的数字签名称为不可否认签名方案（Undeniablesignaturescheme）。这一方案的主要目的是阻止签名文件的随便复制和任意散布。一个不可否认数字签名方案通常由三个部分组成：签名算法、验证算法和否认协议。（1）签名生成算法合法的签名者可以使用该算法生成有效的数字签名，其他的任何人都不能伪造签名者的签名。（2）签名的验证协议签名者和验证者执行交互式协议，验证协议必须具备完备性和合理性：只要签名者和验证者都是诚实的，则签名者签署的签名总是能够通过验证协议，从而被验证者接受；同时，若一个不是由签名者签署的签名，无论签名者如何狡辩，要使得签名通过验证协议，并使得验证者接受的概率是可以忽略的。（3）签名的否认协议签名者和验证者执行交互式协议，使得签名者能够向验证者证明某个签名不是自己签署的。否认协议同样也必须具备完备性和合理性。1、不可否认数字签名

盲数字签名在常规的数字签名方案中，签名者总是先知道数据的内容后才实施签名，这是通常的办公事务所需要的。但有时却需要某个人对某数据签名，而又不能让他知道数据的内容，这种签名方式称为盲数字签名（BlindSignature），简称盲签名。与普通数字签名比较，盲数字签名具有两个显著特点：(1)消息的内容对签名者是不可见的。(2)在签名被接收者公开后，签名者不能追踪签名。盲签名在电子投票中的应用下面我们介绍D.Chaum利用RSA算法设计的第一个盲数字签名方案。设签名者B的公钥为e，私钥为d，模数为n。用户A有消息M需要签名者B对消息M进行盲签名。(1)用户A随机选取一个整数1≤k≤M，做盲化处理：t＝M·kemodn

将t发送给签名者B;(2)签名B对t进行签名

s=td

＝(M·ke)dmodn＝Md·kmodn然后将签名s发送给用户A；(3)用户A收到盲签名信息s后，通过解盲计算得到B对消息M的签名信息S：S＝s·k-1modn＝Md·k·k-1modn＝Mdmodn

至此，用户A得到了签名者B对消息M的盲签名。

代理签名在现实世界里，人们经常需要将自己的某些权力委托给可靠的代理人，让代理人代表自己去行使权力，如委托他人代理自己签署文件。代理签名：原始签名者可以将他的数字签名权力委托给另外一个被称为代理签名者的用户，代理签名者可以代表原始签名者对消息进行签名。与其它数字签名一样，代理签名也是可以公开验证的。

代理签名的基本特性

不可伪造性。除原始签名者之外，只有获得授权的代理签名者能够代表原始签名者签名，任何其他人都不能生成有效的代理签名。可验证性。验证者可以验证代理签名的有效性，并且根据有效的代理签名确定被签名的文件已经得到原始签名者的认可。可区分性。验证者能够区分代理签名和普通的数字签名，即区分代理签名者的代理签名和原始