《应用密码学》课件第7章认证理论与技术-数字签名2

2025/8/1317.5其他专用数字签名方案针对实际应用中大量特殊场合的签名需要，数字签名领域也转向了针对特殊签名的广泛研究阶段。（1）盲签名用户需要让签名者对明文消息文件进行数字签名，而又不希望签名者知晓明文消息文件的具体内容，这就需要盲数字签名，简称盲签名(BlindSignature)。盲签名是一种特殊的数字签名方法，相对于一般的数字签名而言还应当具有下列2个特性：

①盲性：所签消息的内容对签名人是盲的，即签名人签名时不能看见消息的具体内容；

②不可追踪性：即使在盲签名公开后，签名者仍然不能跟踪消息-签名对，即不能把签名和其在签名时的看到的信息联系起来。

盲签名主要用于基于Internet的匿名金融交易，如匿名电子现金支付系统、匿名电子拍卖系统等应用中。2025/8/132

（2）门限签名：在有n个成员的群体中，至少有t个成员才能代表群体对文件进行有效的数字签名。

门限签名通过共享密钥方法实现，它将密钥分为n份，只有当将超过t份的子密钥组合在一起时才能重构出密钥。门限签名在密钥托管技术中得到了很好的应用，某人的私钥由政府的n个部门托管，当其中超过t个部门决定对其实行监听时，便可重构密钥，实现监听。（3）代理签名1996年，Mambo、Usuda和Okamoto提出了代理签名的概念。代理签名允许密钥持有者授权给第三方，获得授权的第三方能够代表签名持有者进行数字签名。代理签名相当于一个人把自己的印章托付给自己信赖的人，让他代替自己行使权力。由于代理签名在实际应用中起着重要作用，所以代理签名一提出便受到关注，被广泛研究。2025/8/133（4）群签名允许一个群体中的成员以整个群体的名义进行数字签名，并且验证者能够确认签名者的身份。一个好的群签名方案应满足以下的安全性要求：

①匿名性，给定一个群签名后，对除了唯一的群管理人之外的任何人来说，确定签名人的身份在计算上是不可行的；

②不关联性，在不打开签名的情况下，确定两个不同的签名是否为同一个群成员所做在计算上是困难的；

③防伪造性，只有群成员才能产生有效的群签名；

④可跟踪性，群管理人在必要时可以打开一个签名以确定出签名人的身份，而且签名人不能阻止一个合法签名的打开；2025/8/134

⑤防陷害攻击，包括群管理人在内的任何人都不能以其他群成员的名义产生合法的群签名；

⑥抗联合攻击，即使一些群成员串通在一起也不能产生一个合法的不能被跟踪的群签名。在D.Chaum和E.vanHeyst提出群数字签名的定义，并给出了四个实现方案后，由于群签名的实用性，人们对群签名加以了更加广泛的研究。提出了分级多群签名、群盲签名、多群签名、满足门限性质的群签名、前向安全的群签名等。2025/8/135（5）前向安全的数字签名方案

普通数字签名具有如下局限性：若签名者的密钥被泄漏，那么这个签名者所有的签名(过去的和将来的)都有可能泄漏，前向安全的数字签名方案主要思想是当前密钥的泄露并不影响以前时间段签名的安全性。

在提出以上这些签名之后，研究者们根据不同的需要，又给出了一些综合以上性质的签名，如前向安全的群签名、盲代理签名、代理门限签名、代理多重签名、公平盲签名等。2025/8/1367.6盲签名方案1983年，Chaum提出了盲签名概念，在此基础上提出了一个盲签名方案，并指出盲签名应该满足如下两个性质：

(1)盲性，所签消息的内容对签名人是盲的，即签名人签名时不能看见消息的具体内容;

(2)不可追踪性，即使在盲签名公开后，签名者仍然不能跟踪消息-签名对，即不能把签名和其在签名时的看到的信息联系起来。一般来说，盲签名的协议有如下几个步骤：初始化过程，盲化过程，签名过程，脱盲过程，验证过程。2025/8/1377.6.1基于整数分解难题的盲签名1．RSA盲数字签名描述（1）参数选择①选择两个满足需要的大素数p和q，计算n=p×q,φ(n)=(p-1)×(q-1)，其中φ(n)是n的欧拉函数值。②选一个整数e,满足1<e<φ(n)，且gcd(φ(n),e)=1。通过d×e≡1modφ(n)，计算出d。③以{e,n}为公开密钥，{d,n}为秘密密钥。选择安全的单向hash函数h(·)。仍然把Bob作为签名者，则Bob知道秘密密钥{d,n}；所有人都知道公开密钥{e,n}和算法中选择的hash函数h(·).2025/8/138（2）盲化过程设需要签名的消息为m，请求签名者Alice随机选择一个整数r作为盲化因子，然后进行如下计算：α≡re·h(m)modn，然后发送α给签名者Bob。（3）签名过程Bob在收到α后，计算t≡αdmodn，然后把t发送给Alice。（4）脱盲过程Alice接收到t后，计算s≡t·r-1modn.就得到了消息m的签名(m,s)。（5）验证过程通过如下计算，任何人都可以验证签名的有效性：se≡h(m)modn是否成立，若成立，则发送方的签名有效。2025/8/139下面来体会一下这个签名方案为什么叫做盲签名方案。

签名者看到的信息是α，根据α,e,n，签名者显然不能计算出h(m)来，因为还有一个变量r（盲化因子），即所签消息的内容对签名人是盲的，即签名人Bob签名时不能看见消息的具体内容；在Alice得到Bob的签名后，Bob即使看到了自己的签名(m,s),仍然不能把它与签名时的α联系起来，即盲签名的第二个性质，不可追踪性。2025/8/13107.6.2盲签名的应用（略）著名密码学家DavidChaum1982年首次提出了利用盲签字实现电子现金的方法，DigiCash是DividChaum发起的提供电子支付系统的专业公司，eCashTM是DigiCash开发的用软件实现的第一个完全匿名的在线电子现金系统，它的基本算法是RSA盲签名算法。1995年MarkTwain银行就开始发行Internet网上电子现金。一个电子现金支付系统通常包括三个参与方：银行，电子现金支付者，电子现金接收者。在电子货币支付时，电子现金支付者从银行取出他的电子货币，然后将电子货币支付给接收者，接收者将收到的电子货币存入银行。其关系可以用下页图表示，其中箭头方向表示了电子货币的流向。2025/8/13111．eCashTM系统相关的参数设银行的签名公钥为e,支付公钥PKbank,秘密钥为d,模为n,采用安全单向函数为h(.).h(.)的使用使伪造电子现金的变得不可行银行的公开信息是{e,n,h(.)},支付公钥PKbank

；秘密信息是{d,p,q,n=p*q},p,q是安全素数，使得分解大整数n是困难的。系统假设用户Alice已经在银行里存了一笔钱在账户NA上以备提取。一个电子现金支付系统通常包括三个参与方：银行，电子现金支付者，电子现金接收者。在电子货币支付时，电子现金支付者从银行取出他的电子货币，然后将电子货币支付给接收者，接收者将收到的电子货币存入银行。2025/8/13122．电子现金提取协议这里使用的是一个单位面值的电子现金，即对给定消息m，约定h(m)的e次根，即d次幂值为一个单位面值。用户提取电子现金的协议如下：（1）Alice选取随机数r，serial#，计算b≡re*h(serial#)modn，发送b,账号NA和身份IDA给银行。其中serial#表示选取的电子现金的面值，这里仅指一个单位面值；（2）银行验证身份IDA的合法性，若合法，计算B≡bdmodn，在用户账户上减掉一个单位面值的电子现金，发送B给Alice；（3）Alice计算S≡B/rmodn。于是用户Alice获得了银行发行一个的单位面值的电子现金Coin={serial#，S}。在这里使用了盲签名技术，实现了用户Alice的电子现金的不可追踪性。2025/8/13133．支付协议用户支付Coin时,不能让接收者看到Coin.eCashTM

为了保证这点，银行使用了一个用来完成支付的公钥PKbank,用户支付时用PK

bank对Coin加密，保证了只有电子现金拥有者在申请后和银行在电子现金拥有者完成支付时才能看到它。假定电子现金支付者和接收者商定了支付银行bankID、支付金额amount、币种currency、电子现金个数nCoins、时戳timestamp、接收者身份merchant_Ids与其银行帐户对应、交易描述description以备将来解决支付者和接收者的可能争议，支付者的秘密随机数payer_code也用来解决支付者和接收者的可能争议。2025/8/1314Payment_inf={bankID,amount,currency,nCoins,timestamp,merchant-Ids,h(description),h(payer_code)}在支付过程中，银行不能知道description的信息，只能知道description的hash值。具体支付协议如下：（1）电子现金支付者计算payment={payment_inf,{nCoins，merchant_Ids}PKbank}发送payment到电子现金接收者。其中{nCoins，merchant_Ids}PKbank表示用PKbank加密{nCoins，merchant_Ids}。（2）电子现金接收者验证payment_inf，发送payment给银行；（3）银行验证{nCoins，merchant_Ids}PKbank确信Coins