第5章 数字签名 5.1 数字签名的基本概念 5.2 RSA数字签名 5.3 ElGamal数字签名 5.4 数字签名标准DSS

Slides:



Advertisements
Similar presentations
輔導處八月份主管會報 報告人 : 洪自強. 輔導組本月工作 【行政文書】 建置 100 學年度工作資料夾 擬訂 100 學年度第一學期行事曆 【認輔工作】 匯整 100 學年度續接個案資料 輔導教師持續關心責任班級高關懷個案 統整國小轉銜個案資料 (3 位 ) 【通報案件】 通報性騷擾案件 1 件.
Advertisements

1 ——含山县新教师集中培训 2015年10月17日 教学常规和课堂教学技能 含山县环峰第二小学 吴保东.
足太阴脾经在足大趾与足阳明胃经衔接, 在胸部与手少阴心经相接。 联系的脏腑器官有 咽、舌,属脾,络胃,注心中。 络脉从本经分出,走向足阳明经,进入腹腔,联络肠胃。 经别结于咽,贯舌本。 经筋结于髀,聚于阴器,上腹,结于脐,散于胸中。 第四章 足太阴经络与腧穴 第一节 足太阴经络.
鄉土報告 台灣出甜粿 指導老師 : 孫扶志 老師 組員 : 陳昀蓁 劉伊妮 張雅淇 沈秀真
2015 管理类专硕联考数学专场 (三)应用题 主讲人 于 宁. 常用方法 特值法 比例法 十字交叉法
不知者無罪嗎 ? 【本報台北訊】國內知名大學胡姓研究 生進口豬籠草在網路上販售,涉嫌違反 植物防疫檢疫法,胡姓研究生表示不知 道豬籠草是違禁品並當場認錯道歉 台北地檢署檢察官念他初犯,昨 天處分緩起訴,但命他繳交六萬 元緩起訴處分金作公益。 豬籠草有潛移性線蟲寄生,一旦植物感 染後,輕則枯萎凋零,重則危害農業經.
第二节 交通运输布局变化的影响 北京市第十一中学 张芊丽 2008年1月.
近期重点工作 教务处 2015年3月19日.
网络信息安全 第四章 数字签名与CA认证技术 网络信息安全 数字签名与CA认证技术.
3.2 农业区位因素与农业地域类型.
第5章 电子商务安全 学习目标: 1)了解电子商务对安全的基本需求。 2)理解防火墙的功能与技术。 3)掌握数据加密原理与技术。
103年度學生健康檢查.
第五十章 旅外华人现代汉语文学 回目录.
自然與生活科技領域 國中1上 第2單元 生命的維持(一) 生物體的協調 6-1 神經系統 6-2 內分泌系統.
区位因素分析专题.
西方行政学说史 导论:西方行政学的产生与发展历程.
明清文人集中的寓言 pg359-371 韓佩思 中碩一
文题: (1)请以“从此,我(他/她)不再________”为题,写一篇不少于600字的记叙文。 (2)以“做人从_____开始” 为题,写一篇不少于600字的文章。 (3)请以“你还会____吗”为题写一篇600字以上的文章,文体不限,诗歌除外。
第八章   股利分配 本章主要介绍了影响股利政策的因素、主要的股利政策、股利支付的程序及方式、 股票分割及股票回购等问题。通过本章的学习,要求掌握不同股利政策的具体做法,掌握股票股利的作用,了解股票分割和股票回购的涵义及影响。
导入新课 俄罗斯首任总统叶利钦.
1Z 会计基础与财务管理 1Z 会计的职能与核算方法 …2011 会计的职能(熟悉) 一、会计的概念
医疗工伤生育保险政策解读 金坛市职工医疗保险基金管理中心.
文明史范式.
歷史建築清水國小宿舍群修復工程 施工說明會
北京中医药大学东直门医院 把握“癌”的命脉 祁烁 血液肿瘤科.
第三課: 領袖的自處(一):時間.
岩層中的奧秘與寶藏.
上海交大医学院耳鼻咽喉科学系 新华教研室 向明亮
尾矿库综合调查 金属非金属矿山尾矿库安全技术中心.
专题三 生物圈中的绿色植物.
《女性消费行为与研究方法》 广东外语外贸大学 杨晓燕教授.
学年各年级上学期期末工作布置会 武昌区教研培训中心 黄志平 2015年12月.
全省电大系统评聘工作有关事项说明 2014年9月17日.
高考复习专题 高考命题与地理计算: 地理计算
第十一章 真理与价值 主讲人:阎华荣.
電子資料保護 吳啟文 100年6月7日.
06資訊安全-加解密.
微孢子虫生物研究.
研究發展處 業務簡報 報 告 人:國立高雄餐旅大學 張明旭 研發長 中華民國105年4月14日.
第七章 固 定 资 产.
1、命题:可以判断真假的语句,可写成:若p则q。 2、四种命题及相互关系:
計算機概論 蘇俊銘 (Jun Ming Su) 資料加密技術簡介 計算機概論 蘇俊銘 (Jun Ming Su)
一、汽车空调基本概念 1、汽车空调发展史 我国于70年代,最早的汽车空调装置使用在长春一汽红旗轿车上。1976年,由原上海内燃机油泵厂今上海汽车空调机厂制造汽车空调,配套在上海牌轿车SH760A轿车中 。
第三讲 地球的运动 一、地球自转和公转运动的基本特征 运动形式 自转 公转 概念 绕 的旋转 绕 的运动 示意图 地轴 太阳.
教育者,寂寞之事业,而实为神圣之天职,扶危定倾,端赖于此,有志者固不以彼而易此也。
公開鑰匙加密演算法 密碼學大革命 public key所想要解決的問題 public key密碼系統特性
表達技巧.
第三部分 动作与技能实验 实验一 反应时实验 实验二 反应时运动时实验 实验三 敲击速度实验 实验四 动作稳定性实验 实验五 手指灵活性实验
行政院國軍退除役官兵輔導委員會 嘉義榮民醫院.
密碼學簡介與簡單生活應用 Introduction to Cryptography & Simple Applications in Life 2010 Spring ADSP 05/07.
第八章 第一节 日本 邹旭丹 滨河中学初中部 湘教版地理初一年级.
Digital Signature Forged in USA Integrity Authenticity Unforgeability
第10章 网络安全 本章内容 网络安全的基本概念 信息安全技术 防火墙技术 网络病毒.
第三章 公钥基础设施PKI 本章学习重点掌握内容: 密码学基本术语 密码体制分类 私钥密码体制的主要特点 公钥密码体制的主要特点
现代密码学理论与实践 第13章 数字签名和认证协议
基礎密碼學 非對稱式金鑰加密法 樹德科技大學 資訊工程系 林峻立 助理教授.
第七讲:数字签字与身份证明 一、数字签字的基本概念 二、几种常用的数字签字:RSA、ElGamal 、 Schnorr 、DSS等
第十二讲 数字签名算法 郑东 上海交通大学计算机科学与工程系.
第七章数字签名和密码协议 主讲教师:董庆宽 研究方向:密码学与信息安全
公立學校教職員退休資遣撫卹條例重點說明 苗栗縣政府人事處編製 主講人:陳處長坤榮 107年5月2日.
公開金鑰密碼系統 (Public-Key Cryptosystems)
公式的真值表 离散结构 西安工程大学 计算机学院 王爱丽.
長虹虹頂新建工程 中鹿營造/ 宏林營造廠- 聯合承攬
密碼學 Chapter 4 基於電腦的非對稱性金鑰密碼學演算法
應用加密技術 A 譚惠心 指導教授:梁明章教授.
叠加定理和齐性定理的验证 一、实验目的: 1.用实验的方法验证叠加定理,以提高对定理的理解和应用能力
模块六 房地产定价策略 主要内容 定价目标及影响定价的因素 定价方法 企业定价策略.
介入及追蹤紀錄表 編號: 姓/稱謂: 初次103年 月 日 追蹤 月 日 問題型態 (可複選) □ 1. 覺得西藥都很傷胃
_14RSA加密的基本原理 本节课讲师——void* 视频提供:昆山爱达人信息技术有限公司 官网地址:
§1.3.3 地球公转的意义 ——昼夜长短的变化 凤阳县第二中学 柳家全.
Presentation transcript:

第5章 数字签名 5.1 数字签名的基本概念 5.2 RSA数字签名 5.3 ElGamal数字签名 5.4 数字签名标准DSS 现代密码学 第5章 数字签名 5.1 数字签名的基本概念 5.2 RSA数字签名 5.3 ElGamal数字签名 5.4 数字签名标准DSS 5.5 其他数字签名 5.5.1 基于离散对数问题的数字签名 5.5.2 基于大整数分解问题的数字签名 5.5.3 具有特殊用途的数字签名 电子科技大学

5.1 数字签名的基本概念 数字签名应具有以下特性: (1)不可伪造性 除了签名者外,任何人都不能伪造签名者的合法签名。 现代密码学 5.1 数字签名的基本概念 数字签名应具有以下特性: (1)不可伪造性 除了签名者外,任何人都不能伪造签名者的合法签名。 (2)认证性 接收者相信这份签名来自签名者。 (3)不可重复使用性 一个消息的签名不能用于其他消息。 (4)不可修改性 一个消息在签名后不能被修改。 (5)不可否认性 签名者事后不能否认自己的签名。 电子科技大学

算法的安全性在于从m和s难以推出密钥k或伪造一个消息使和s可被验证为真。 现代密码学 一个数字签名体制(也称为数字签名方案)一般有两个组成部分,即签名算法(signature algorithm)和验证算法(verification algorithm)。签名算法的输入是消息m和密钥k,输出是对m的数字签名,记为s = (m)。验证算法输入的是消息m和签名s,输出是真或伪,记为: 算法的安全性在于从m和s难以推出密钥k或伪造一个消息使和s可被验证为真。 电子科技大学

数字签名的分类 数字签名可按以下几种方式进行分类: 现代密码学 数字签名的分类 数字签名可按以下几种方式进行分类: ① 按用途来分,数字签名可分为普通数字签名和具有特殊用途的数字签名[如盲签名(blind signature)、不可否认签名(undeniable signature)、群签名(group signature)、代理签名(proxy signature)等]。 电子科技大学

② 按是否具有消息恢复功能来分,数字签名可分为具有消息恢复功能的数字签名和不具有消息恢复功能的数字签名。 ③ 按是否使用随机数来分,数字签名可分为确定性数字签名和随机化数字签名(randomized digital signature)

5.2 RSA数字签名 1.参数与密钥生成 (1)选取两个保密的大素数p和q。 (2)计算n = pq, ,其中 是n的欧拉函数值。 现代密码学 5.2 RSA数字签名 1.参数与密钥生成 (1)选取两个保密的大素数p和q。 (2)计算n = pq, ,其中 是n的欧拉函数值。 (3)随机选取整数e,1<e< ,满足 。 (4)计算d,满足 。 (5)公钥为(e,n),私钥为d。 电子科技大学

5.2 RSA数字签名 2.签名 对于消息m∈ ,签名为: 3.验证 对于消息签名对(m, s),如果: 则s是m的有效签名。 现代密码学 电子科技大学

现代密码学 RSA数字签名方案存在以下缺陷: ① 任何人都可以伪造某签名者对于随机消息m的签名s。其方法是先选取s,再用该签名者的公钥(e,n)计算 。s就是该签名者对消息m的签名。 电子科技大学

② 如果敌手知道消息 和 的签名分别是 和 ,则敌手可以伪造 的签名 ,这是因为在RSA签名方案中,存在以下性质:

③ 由于在RSA签名方案中,要签名的消息 ,所以每次只能对位长的消息进行签名。然而,实际需要签名的消息可能比n大,解决的办法是先对消息进行分组,然后对每组消息分别进行签名。这样做的缺点是签名长度变长,运算量增大。

克服上述缺陷的方法之一是在对消息进行签名前先对消息做Hash变换,然后对变换后的消息进行签名。即签名为: 现代密码学 克服上述缺陷的方法之一是在对消息进行签名前先对消息做Hash变换,然后对变换后的消息进行签名。即签名为: 验证时,先计算h(m),再检查等式: 是否成立。 电子科技大学

现代密码学 5.3 ElGamal数字签名 电子科技大学

5.3 ElGamal数字签名算法 1.参数与密钥生成 ① 选取大素数p, 是一个本原元。p和g公开。 现代密码学 5.3 ElGamal数字签名算法 1.参数与密钥生成 ① 选取大素数p, 是一个本原元。p和g公开。 ② 随机选取整数x,1≤x≤p2,计算 ③ 公钥为y,私钥为x。 电子科技大学

5.3 ElGamal数字签名算法 2.签名 对于消息m,首先随机选取一个整数k, 1≤k≤p2 ,然后计算: 则m的签名为(r, s),其中h为Hash函数。

5.3 ElGamal数字签名算法 3.验证 对于消息签名对(m, (r, s)),如果: 则(r, s)是m的有效签名。

现代密码学 5.4 DSS数字签名标准 电子科技大学

现代密码学 5.4 DSS数字签名标准 1.参数与密钥生成 ① 选取大素数p,满足 <p< ,其中512≤L≤1024且L是64的倍数。显然,p是L位长的素数,L从512到1024且是64的倍数。 ② 选取大素数q,q是p1的一个素因子且 ,即q是160位的素数且是p1的素因子。 电子科技大学

5.4 DSS数字签名标准 1.参数与密钥生成 ③ 选取一个生成元 ,其中h是一个整数,满足1<h<p1并且 。 ④ 随机选取整数x,0<x<q,计算 。 ⑤ p、q和g是公开参数,y为公钥,x为私钥。

2.签名 5.4 DSS数字签名标准 对于消息m,首先随机选取一个整数k , 0<k<q,然后计算: 现代密码学 5.4 DSS数字签名标准 2.签名 对于消息m,首先随机选取一个整数k , 0<k<q,然后计算: 则m的签名为(r, s),其中h为Hash函数,DSS规定Hash函数为SHA-1。 电子科技大学

3.验证 对于消息签名对(m, (r, s)),首先计算: 然后验证: 如果等式成立,则(r, s)是m的有效签名;否则签名无效。

DSS的框图下图所示,其中的4个函数分别为: 现代密码学 DSS的框图下图所示,其中的4个函数分别为: 电子科技大学

现代密码学 5.5 其他数字签名 5.5.1 基于离散对数问题的数字签名 电子科技大学

ElGamal签名方案、DSA签名方案、Schnorr签名方案都可以归结为离散对数签名方案的特例。 现代密码学 1.离散对数签名方案 ElGamal签名方案、DSA签名方案、Schnorr签名方案都可以归结为离散对数签名方案的特例。 电子科技大学

(1)参数与密钥生成 p:大素数。 1.离散对数签名方案 q:p 1或p  1的大素因子。 g: ,且 ,其中 表示g 是从 中随机选取的,这里的 。 x:用户A的私钥,1<x<q。 y:用户A的公钥,y  g x mod p。

1.离散对数签名方案 (2)签名 对于消息m,A执行以下步骤: ① 计算的m的Hash值h(m)。 ② 随机选择整数k,1<k<q。 现代密码学 1.离散对数签名方案 (2)签名 对于消息m,A执行以下步骤: ① 计算的m的Hash值h(m)。 ② 随机选择整数k,1<k<q。 ③ 计算r  gk mod p。 ④ 从签名方程:ak (b+cx)mod q中解出s,其中方程的系数a、b、c有多种选择,表5-1给出了一部分可能的选择。对消息m的签名为(r, s)。 电子科技大学

现代密码学 表5-1 参数a、b、c可能的选择 1 注:表中 。 电子科技大学

接收者在收到消息m和签名(r, s)后,可以按照以下验证方程检查签名的合法性: 现代密码学 1.离散对数签名方案 (3)验证 接收者在收到消息m和签名(r, s)后,可以按照以下验证方程检查签名的合法性: 电子科技大学

2.Schnorr签名方案 (1)参数与密钥生成 p:大素数且p≥2512 。 q:大素数且q|(p1), q≥2160 。 现代密码学 2.Schnorr签名方案 (1)参数与密钥生成 p:大素数且p≥2512 。 q:大素数且q|(p1), q≥2160 。 g: ,且gq  1 mod p。 x:用户A的私钥,1<x<q。 y:用户A的公钥,y  gx mod p。 电子科技大学

2.Schnorr签名方案 (2)签名 对于消息m,A执行以下步骤: ① 随机选择整数k,1<k<q。 ② 计算r  gk mod p。 现代密码学 2.Schnorr签名方案 (2)签名 对于消息m,A执行以下步骤: ① 随机选择整数k,1<k<q。 ② 计算r  gk mod p。 ③ 计算e=h(r,m)。 ④ 计算s (xe+k)mod q。 对消息m的签名为(e, s)。 电子科技大学

2.Schnorr签名方案 (3)验证 接收者在收到消息m和签名(e, s)后,通过以下步骤来检验签名的合法性: ① 计算 。 现代密码学 2.Schnorr签名方案 (3)验证 接收者在收到消息m和签名(e, s)后,通过以下步骤来检验签名的合法性: ① 计算 。 ② 按照以下方程进行验证: Schnorr签名的正确性可由下式证明: 电子科技大学

3.Nyberg-Rueppel签名方案 (1)参数与密钥生成 p:大素数。 q:大素数且q|(p1)。 现代密码学 3.Nyberg-Rueppel签名方案 (1)参数与密钥生成 p:大素数。 q:大素数且q|(p1)。 g: ,且gq  1 mod p。 x:用户A的私钥,1<x<q。 y:用户A的公钥,y  gx mod p 电子科技大学

(2)签名 对于消息m,A执行以下步骤: ① 计算 ,其中R是从消息空间到签名空间的一个单一映射,并且容易求逆,称为冗余函数。 ② 随机选择整数k,1≤k≤q1。 ③ 计算r  g-k mod p。 ④ 计算 。 ⑤ 计算s (xe+k)mod q。 对消息m的签名为(e, s)。

接收者在收到消息m和签名(e, s)后,通过以下步骤来验证签名的合法性: ①验证是否有0<e<p成立,如果不成立,拒绝该签名。 现代密码学 (3)验证 接收者在收到消息m和签名(e, s)后,通过以下步骤来验证签名的合法性: ①验证是否有0<e<p成立,如果不成立,拒绝该签名。 ②验证是否有0≤s<p成立,如果不成立,拒绝该签名。 电子科技大学

④验证是否有 ,如果 ,拒绝该签名,这里M R 表示R的值域。 ⑤恢复消息 。 下面证明Nyberg-Rueppel签名方案的正确性。 因为 现代密码学 ③计算 和 。 ④验证是否有 ,如果 ,拒绝该签名,这里M R 表示R的值域。 ⑤恢复消息 。 下面证明Nyberg-Rueppel签名方案的正确性。 因为 所以 电子科技大学

1.Feige-Fiat-Shamir签名方案 (1)参数与密钥生成 n:n=pq,其中p和q是两个保密的大素数。 k:固定的正整数。 现代密码学 5.5.2 基于大整数分解的数字签名方案 1.Feige-Fiat-Shamir签名方案 (1)参数与密钥生成 n:n=pq,其中p和q是两个保密的大素数。 k:固定的正整数。 :用户A的私钥, 。 :用户A的公钥, 电子科技大学

③ 计算e=(e , e ,…, e )=h(m, u),e ∈{0,1}。 ④ 计算 。 对消息m的签名为(e, s)。 现代密码学 (2)签名 对于消息m,A执行以下步骤: ① 随机选择整数r,1≤r≤n1。 ② 计算u  r mod n。 ③ 计算e=(e , e ,…, e )=h(m, u),e ∈{0,1}。 ④ 计算 。 对消息m的签名为(e, s)。 电子科技大学

接收者在收到消息m和签名(e, s)后,通过以下步骤来检验签名的合法性: ① 计算 。 ② 按照以下方程进行验证: 现代密码学 (3)验证 接收者在收到消息m和签名(e, s)后,通过以下步骤来检验签名的合法性: ① 计算 。 ② 按照以下方程进行验证: Feige-Fiat-Shamir签名的正确性可由下式证明: 电子科技大学

2.Guillou-Quisquater签名方案 现代密码学 2.Guillou-Quisquater签名方案 (1)参数与密钥生成 n:n = pq,其中p和q是两个保密的大素数。 k:k ∈{1, 2,, n1}且 x:用户A的私钥, 。 y:用户A的公钥, 且 。 电子科技大学

(2)签名 对于消息m,A执行以下步骤: ① 随机选择整数 。 ② 计算u  rk mod n。 ③ 计算e=h(m,u)。 现代密码学 (2)签名 对于消息m,A执行以下步骤: ① 随机选择整数 。 ② 计算u  rk mod n。 ③ 计算e=h(m,u)。 ④ 计算s=rxe mod n。 对消息m的签名为(e, s)。 电子科技大学

接收者在收到消息m和签名(e, s)后,通过以下步骤来验证签名的合法性: ① 计算 。 ② 按照以下方程进行验证: 现代密码学 (3)验证 接收者在收到消息m和签名(e, s)后,通过以下步骤来验证签名的合法性: ① 计算 。 ② 按照以下方程进行验证: Guillou-Quisquater签名的正确性可由下式证明: 电子科技大学

5.5.3 具有特殊用途的数字签名 1.群签名 群签名具有以下特点: 只有群体中的合法成员才能代表整个群体进行签名。 现代密码学 5.5.3 具有特殊用途的数字签名 1.群签名 群签名具有以下特点: 只有群体中的合法成员才能代表整个群体进行签名。 接收者可以用群公钥验证群签名的合法性,但不知道该群签名是由群体中的哪个成员所签。 在发生争议时,群管理员(权威机构)可以识别出实际的签名者。 电子科技大学

1.群签名 一个群签名方案由以下几个部分组成: (1)建立(setup) 一个用以产生群公钥和私钥的多项式概率算法。 现代密码学 1.群签名 一个群签名方案由以下几个部分组成: (1)建立(setup) 一个用以产生群公钥和私钥的多项式概率算法。 (2)加入(join) 一个用户和群管理员之间的交互式协议。执行该协议可以使用户成为群成员,群管理员得到群成员的秘密的成员管理密钥,并产生群成员的私钥和成员证书。 电子科技大学

群签名 (3)签名(sign) 一个概率算法,当输入一个消息、一个群成员的私钥和一个群公钥后,输出对该消息的签名。 (4)验证(verify) 给定一个消息的签名和一个群公钥后,判断该签名相对于该群公钥是否有效。 (5)打开(open) 给定一个签名、群公钥和群私钥的条件下确定签名者的身份。

一个好的群签名方案应该满足以下几条性质: ① 正确性(correctness) ② 不可伪造性(unforgeability) 现代密码学 群签名 一个好的群签名方案应该满足以下几条性质: ① 正确性(correctness) ② 不可伪造性(unforgeability) ③ 匿名性(anonymity) ④ 不可关联性(unlinkability) ⑤ 可跟踪性(traceability) ⑥ 可开脱性(exculpability) ⑦ 抗联合攻击(coalition-resistance) 电子科技大学 电子科技大学

2.代理签名 一个代理签名方案由以下几个部分组成: 系统建立 选定代理签名方案的系统参数,用户的密钥等。 现代密码学 2.代理签名 一个代理签名方案由以下几个部分组成: 系统建立 选定代理签名方案的系统参数,用户的密钥等。 签名权力的委托 原始签名者将自己的签名权力委托给代理签名者。 代理签名的产生 代理签名者代表原始签名者产生代理签名。 代理签名的验证 验证人验证代理签名的有效性。 电子科技大学

根据签名权力委托的方式不同,代理签名可以分为以下几类: (1)完全代理(full delegation) 现代密码学 2.代理签名 根据签名权力委托的方式不同,代理签名可以分为以下几类: (1)完全代理(full delegation) (2)部分代理(partial delegation) (3)具有证书的代理(delegation by warrant) (4)具有证书的部分代理(partial delegation with warrant) 电子科技大学

根据原始签名者能否产生同代理签名者一样的签名,代理签名又可分为两类: 现代密码学 2.代理签名 根据原始签名者能否产生同代理签名者一样的签名,代理签名又可分为两类: 1)代理非保护(proxy-unprotected) 原始签名者能够产生有效的代理签名。 2)代理保护(proxy-protected) 原始签名者不能够产生有效的代理签名。 电子科技大学

① 可区分性(distinguishability) ② 可验证性(verifiability) 现代密码学 一个强代理签名方案应满足以下几条性质: ① 可区分性(distinguishability) ② 可验证性(verifiability) ③ 强不可伪造性(strong unforgeability) ④强可识别性(strong identifiability) ⑤ 强不可否认性(strong undeniability) ⑥ 防止滥用(prevention of misuse) 电子科技大学

现代密码学 3. 盲签名 盲签名允许使用者获得一个消息的签名,而签名者既不知道该消息的内容,也不知道该消息的签名。盲签名可用于需要提供匿名性的密码协议中,如电子投票和电子现金。 一个盲签名方案由以下几个部分组成: (1)消息盲化 使用者利用盲因子对要签名的消息进行盲化处理,然后将盲化后的消息发送给签名者。 电子科技大学

3. 盲签名 (2)盲消息签名 签名者对盲化后的消息进行签名,因此他并不知道真实消息的具体内容。 3. 盲签名 (2)盲消息签名 签名者对盲化后的消息进行签名,因此他并不知道真实消息的具体内容。 (3)恢复签名 使用者除去盲因子,得到真实消息的签名。

习题 1.在RSA签名方案中,设p = 7,q = 17,公钥e=5,消息m的Hash值为19,试计算私钥d并给出对该消息的签名和验证过程。 现代密码学 习题 1.在RSA签名方案中,设p = 7,q = 17,公钥e=5,消息m的Hash值为19,试计算私钥d并给出对该消息的签名和验证过程。 2.在ElGamal签名方案中,设p=19,g=2,私钥x=9,则公钥y=29 mod 19=18。若消息m的Hash值为152,试给出选取随机数k=5时的签名和验证过程。 电子科技大学

习题 3.试给出椭圆曲线上的ElGamal签名方案。 4.在DSA签名算法中,如果一个签名者在对两个不同的消息签名时使用了相同的随机整数k,试显示攻击者可以恢复出该签名者的私钥。

现代密码学 习题 5.在数字签名标准DSS中,设q=13,p=4q +1=53,g=16,签名者的私钥x=3,公钥y=163 mod 53=15,消息m的Hash值为5,试给出选取随机数k=2时的签名和验证过程。 6.如果用户A想对消息m进行签名并秘密地将m发送给用户B,请问A是先签名后加密好还是先加密后签名好,并说明理由。 7.简述群签名、代理签名和盲签名的用途。 电子科技大学