第十章 数字签名与认证协议 1 EIGamal签名方案

Slides:



Advertisements
Similar presentations
等可能性事件的概率(二) 上虞春晖中学数学组欢迎你! 1 本课件制作于 §10.5 等可能事件 的概率 ( 二 )
Advertisements

金融一班 王亚飞 王亚飞 王浩浩 王浩浩 吴海玥 吴海玥 我 连云港 的 家 乡 连云港 连云港,位于东经118°24′~119°48′和北纬 34°~35°07′之间,古称郁洲、海州,民国时称 连云市,建国后称新海连市,别称“港城”。东 西长129公里,南北宽约132公里,水域面积 平方公里。连云港市也是我国于1984年.
東南科技大學餐旅管理系 新生選課輔導 何俊明 104 年 10 月 26 日. 東南科技大學餐旅管理系學生選課輔導辦法  一、本系為因應學生多元管道入學,輔導學生依個人專長、興趣及生涯規 劃進行選課,特訂定「東南科技大學餐旅管理系學生選課輔導辦法」(以 下簡稱本辦法)。  二、本系於新生入學二個月內,針對新生辦理「選課輔導說明會」,內容.
不知者無罪嗎 ? 【本報台北訊】國內知名大學胡姓研究 生進口豬籠草在網路上販售,涉嫌違反 植物防疫檢疫法,胡姓研究生表示不知 道豬籠草是違禁品並當場認錯道歉 台北地檢署檢察官念他初犯,昨 天處分緩起訴,但命他繳交六萬 元緩起訴處分金作公益。 豬籠草有潛移性線蟲寄生,一旦植物感 染後,輕則枯萎凋零,重則危害農業經.
配备计算机教室、多媒体教室、图书室、卫生室、 实验室、仪器室、音体美劳器材室、心理咨询室、少先 队活动室、教师集体备课室等专用教室。实验室、仪器 室全部按照省标准配备器材,演示实验开设率达 100% 。 学校现有图书 6050 册,生均 40 册。有一个 200 米环形跑 道的运动场地。 学校基本情况.
教育信息化专题培训 王延觉 2014年5月.
當我已老 謹以此文獻給像我一樣流浪在外的子女們.
我国青少年题材邮票欣赏 一、各个历史时期的重大题材 二、青少年德、智、体题材 三、童话题材 四、少儿绘画创作题材 五、儿童附捐邮票
第六章 杂凑函数 聂旭云
長得像的圖形 設計者:嘉義縣興中國小 侯雪卿老師 分享者:高雄市中山國小 江民瑜老師 高雄市勝利國小 許嘉凌老師.
课例评析—— 《回乡偶书》和《渔歌子》 评课人:冯琴.
就作文本身而言,题目堪称“眉目”,是作文的“眼睛”,从某种程度上说,它是作文材料和主题的浓缩或概括。
文化创新的途径.
2015年12月14日-2015年12月20日 缩略版.
科學論文 鰂魚涌街的衛生情況 作者:廖梓芯 學校:北角官立上午小學 班級:P.5A.
指導老師:羅夏美 組別:第四組 組員: 車輛二甲 蔡中銘 車輛三甲 莊鵬彥 國企二甲 陳于甄 國企二甲 詹雯晴 資傳二乙 林怡芳
2009—2010学年第一学期 小学品德与社会课程教学监控情况分析 潘诗求 2010年3月
15世纪欧洲人绘制的世界地图.
歷史建築清水國小宿舍群修復工程 施工說明會
校园信息管理系统 河北科技大学网络中心 2000/4/10.
第7课 新航路的开辟 第7课 新航路的开辟.
计算机安全与保密 身份认证与密钥协商 杭州电子科技大学.
股票、债券、和保险 投资理财的话题.
项目九 汽车维修服务核心流程.
《成佛之道》序~第三章 圓融 /
一. 上市以来,业绩稳定增长 2009年上市以来,公司业绩稳定增长,兑现上市承诺 业绩增长走势图.
高考考试说明解读 --政治生活.
迎向新時代的兩性關係: 性別平等與性騷擾 義守大學通識中心:鄭瓊月副教授.
“网络问政”给九江新闻网 带来新的发展机遇 -- 九江新闻网 高立东 --.
徵收苗栗市福全段147、1588及文心段10、11地號等4筆土地之
电阻 新疆兵团四师76团中学.
外貌和能力哪个更重要.
工作任务23 冷却系结构 工作任务24 发动机防冻液相关知识 工作任务25 冷却系的检修
讲 义 大家好!根据局领导的指示,在局会计科和各业务科室的安排下,我给各位简要介绍支付中心的工作职能和集中支付的业务流程。这样使我们之间沟通更融洽,便于我们为预算单位提供更优质的服务。 下面我主要从三方面介绍集中支付业务,一是网上支付系统,二是集中支付业务流程及规定等,
从此,我不在沉默寡言 那一刻 就在这一刻 世上还有爸爸好 我 长 大 了 张绅 4 文苑芬芳
大气的受热过程 周南中学.
中国人民公安大学经费管理办法(试行) 第一章总则 第四条:“一支笔” “一支笔”--仅指单位主要负责人。负责对本 单位的经费进行审核审批。
仓颉造字 相传仓颉在黄帝手下当官。那时,当官的可并不显威风,和平常人一样,只是分工不同。黄帝分派他专门管理圈里牲口的数目、屯里食物的多少。仓颉这人挺聪明,做事又尽力尽心,很快熟悉了所管的牲口和食物,心里都有了谱,难得出差错。可慢慢的,牲口、食物的储藏在逐渐增加、变化,光凭脑袋记不住了。当时又没有文字,更没有纸和笔。怎么办呢?仓颉犯难了。
态度决定一切! 开创幸福、富有、健康的人生。.
第4讲 充分条件和必要条件.
1、命题:可以判断真假的语句,可写成:若p则q。 2、四种命题及相互关系:
从容行走,优雅为师 江苏省梁丰高级中学 任小文
社会工作概论 个案工作 课程培训 深圳电大 赖小乐.
第一节 人体的稳态 (第一课时) 学习目标 说明稳态的生理意义 描述体温调节过程.
觀察內容: 時間 作息 觀察內容 9:30~9:40 角落分享
弘ㄧ大師-李叔同.
前言.
概率及概率分布 专 业:心理学 课 程:心理统计学 授课者:章 永 单 位:教科院
表達技巧.
导入 21世纪教育网经纬社会思品工作室制作 我们可以通过哪些媒介(途径)获知这些消息?.
实施依法治安 推进地质勘探企业安全生产标准化
关检合作“一单两报” 项目介绍 数据中心 2014年 11月.
第七讲:数字签字与身份证明 一、数字签字的基本概念 二、几种常用的数字签字:RSA、ElGamal 、 Schnorr 、DSS等
德国 Beck 公司 ————————专业压力传感器生产者.
最速就業職種養成! 護理、軍人、職人 花蓮縣學生輔導諮商中心 適性輔導組 游賀凱
学习中苦多?乐多? ——高二(1)班主题班会.
管理的转型与实践 主讲:丁军.
目次检索 打印 下载 文字摘录 更换背景 多窗口阅读.
微信商城系统操作说明 色卡会智能门店.
你没看到的开幕式 超越电视画面 来自现场的照片.
静定结构位移计算 ——互等定理 主讲教师:戴萍.
7.2 浅基础类型 无筋扩展基础(刚性基础) 砖基础、灰土基础、素混凝土基础、毛石基础,等 钢筋混凝土基础(柔性基础)
介入及追蹤紀錄表 編號: 姓/稱謂: 初次103年 月 日 追蹤 月 日 問題型態 (可複選) □ 1. 覺得西藥都很傷胃
第13课 东汉的兴亡.
此方案适用于如下车辆与车辆,车辆与人之间实现防撞,安装简单、方便快捷,可以有效的降低各种车辆碰撞事故,车辆碾压人员事故的发生。
大綱 一.受試者之禮券/禮品所得稅規範 二.範例介紹 三.自主管理 四.財務室提醒.
鏈球的力學分析 日本奧運鏈球冠軍(82米91) 室伏廣治因小腿肌肉受傷,退出杜哈亞運。 俄羅斯「鐵娘子」泰亞娜.李森科 九十五年八月八日在
繁星推薦系統 楊曉婷 副理 教育的服務 是我們的責任.
初 等 数 论 辅导课程十 主讲教师 曹洪平.
單元主題名: 大家都是好朋友 設計者:柯淑惠、林雨欣.
Presentation transcript:

第十章 数字签名与认证协议 1 EIGamal签名方案 第十章 数字签名与认证协议 1 EIGamal签名方案 该方案是特别为签名的目的而设计的。1985年提出,很大程度上为Diffe-Hellman密钥交换算法的推广和变形。这个方案的改进已被美国NIST(国家标准和技术研究所)采纳作为数字签名标准。 方案:P为素数,FP中的离散对数问题是难处理的。取本原元Fp*,消息集合M=Fp*,签名集合A=Fp*Zp-1,定义K={(p,,a,)| = a(modp)},值p,和是公开的,a是保密的。 对K=( p,,a,)和一个(秘密)随机数k Zp-1*,对消息x

M进行签名: SigK(x,k)=(,), 其中,=k(modp), =(x-  )k-1(modp-1) 对x, Fp*和Zp-1,验证签名定义为 Ver(x, ,)=真(true)x(modp) 对EIGamal签名方案安全性的讨论: 若Oscar在不知道a的情况下企图伪造一个给定消息x的签名: Sigoscar(x,k)=(,) (1)Oscar先选定一个,然后企图找,这样,他就必须解一个关于未知数的方程: x(modp) 这个方程是一个已知无可行解法的难处理问题!

(2)Oscar先选定一个 ,使其满足: x(modp),于是, log(-x)=?,这自然是难处理的问题! (3)若两者, 都被 Oscar首先选定,然后企图解出一个随机消息x,使得x(modp),于是Oscar利用这种方式也不能伪造随机消息的签名。 (4) Oscar同时选择, 和x来伪造签名问题: 假设i和j是整数,0<=I<=p-2,0<=j<=p-2,且(j,p-1)=1,先完成下列计算: ij(modp) -j-1(modp-1) x=-ij-1(modp-1) (其中j-1是用模p-1来计算的)

可以证实(, )是一个消息x的有效签名: 例子:假设p=467,=2和=132,它们为Bob公开的签名方案中的参数。Oscar利用这些参数伪造对一随机信息x的签名: 选择i=99和j=179,那么j-1(modp-1)=151,计算出下列的x,, :

那么(117,41)是消息331的一个有效签名。验证: 因此,这个伪造的签名有效! (5)其他类型的伪造签名: Oscar依据Bob已签名的消息来做伪签名。假设(, ) 是一个消息x的有效签名,那么Oscar可以用此来伪签其它 消息: 设h,i,j为整数,0<=h,i,j<=p-2且 ,计算

然后可验证出 (其中 是模p-1算出) 因此 , 为假消息 的一个有效签名 讨论两个问题: 因此 , 为假消息 的一个有效签名 讨论两个问题: (1)用EIGamal方案计算一个签名时,使用的随机数k为什么不能泄露? (2)若Bob用相同的值来签名不同的两份消息,Oscar能否攻破这个体制?

2 数字签名标准 公布于1994年5月19日的联邦记录上,并于1994年12月1日采纳为标准DSS。DSS为EIGamal签名方案的改进。 2 数字签名标准 公布于1994年5月19日的联邦记录上,并于1994年12月1日采纳为标准DSS。DSS为EIGamal签名方案的改进。 DSS:p为512bit的素数,q为160比特的素数,且q|p-1, Fp*,且为模p的q次单位根。消息集合P=Fp*,签名集合A=FqFq,定义K={(p,,a,)| = a(modp)},值p,q,和是公开的,a是保密的。 取xP,对K=( p,q,,a,)和一个(秘密)随机数k (1<=k<=q-1) ,定义 SigK(x,k)=(,), 其中,=k(modp)(modq), =(x+  )k-1(modq) 对xFp*和,Fq来说,按下述计算来验证签名的真伪:

注:1*.DSS的使用涉及到Smart卡的使用,要求短的签名。DSS以一个巧妙的方法修改了EIGamal方案,使得签名160bits消息产生一个320bit的签名,但是计算使用了512比特的模p. 2*.要求 在整个签名算法中,如果计算了一个值 ,程序自动拒绝,并且产生一个新的随机值计算新的签名,事实上, 的发生概率大约为2-160.

3*. DSS是一个产生签名比验证签名快得多的方案,验证签名太慢! 4*. Smart卡的应用!!Smart卡有有限的处理能力,但是能与计算机进行通信。人们企图设计一种让Smart卡仅作小量运算的签名方案。该方案必须完成签名、验证签名两部分,而且方便安全。 用DSS签名的例子: 假设取q=101,p=78*9+1=7879,3为F7879的一个本原 元,所以能取=378(mod7879)=170为模p的q次单位根。 假设a=75,那么a(mod7879)=4567.现在, 假设Bob想签 名一个消息x=1234,且他选择了随机值k=50,可算得 k-1(mod101)=99,签名算出: =(17050(mod7879)(mod101) =2518(mod101)=94

=(1234+75*94)99(mod101)=97 签名为(1234,94,97)。 验证: -1=97-1(mod101)=25 , e1=1234*25(mod101)=45,e2=94*25(mod101)=27 (17045*456727(mod7879))(mod101)=2518(mod101)=94 因此,该签名是有效的。

3 一次签名 任何单向函数都可用来构造一次签名方案。该签名对一个消息来说,唯一对应着一个确定的签名。这样的签名可验证任意多次。 3 一次签名 任何单向函数都可用来构造一次签名方案。该签名对一个消息来说,唯一对应着一个确定的签名。这样的签名可验证任意多次。 Lamport方案: 设k为一个正整数,P={0,1}K,设f:YZ是一个单向函数,签名集合A=YK,对于1<=i<=k, j=0,1来说,yijY可随机地选择。选后,可算得 Zij=f(yij) 1<=i<=k,j=0,1 密钥K由2k个y值和2k个Z值组成,y值保密而Z值公开.消息x=x1x2….xk(kbit串)。对于K=(yij,Zij|1<=i<=k,j=0,1)

定义 其中,yixi=ai,f(ai)=Zixi 验证: 注:1*. 待签名的消息为一个二进制 元组,每一个都单独签名.这个特征决定了 “一次签名” 2*.验证是简单的检查:签名结果的每一个元素是相应公开钥元素的愿象. 例子:取单向函数f(x)=x(modp),设p=7879(素数),3为F7879的本原元,定义f(x)=3x(mod7879) 假设Bob想签名3比特消息,他选择了6个(秘密的)随机数:

y10=5831,y11=735,y20=803,y21=2467,y30=4285,y31=6449 在f的作用下计算y的像: z10=2009,z11=3810,z20=4672,z21=4721,z30=268,z31=5732 将这些Z值公开。现在Bob打算签名消息x=(1,1,0),那么对的签名为(y11,y21,y30)=(735,2467,4285). 验证签名: 3735(mod7879)=3810 32467(mod7879)=4721 34285(mod7879)=268 因此,该签名有效。 注:该方案,仅能用于签一个消息!一次,无法伪造。

4 不可否认的签名 (Chaum和Van Antwerprn 1989年提出) 该签名的特征是:验证签名者必须与签名者合作。验证签名是通过询问------应答协议来完成。这个协议可防止签名者Bob否认他以前做的签名。 一个不可否认的签名方案有三个部分组成: 签名算法、验证协议、否认协议 设p=2q+1是一个素数,它满足q为素数,且Fp中的对数问题是难解的。 ,且阶为q,取1<=a<=q-1,定义 , G表示阶为q的FP*的子群。易见G=<>,(事实上G由模p的二次剩余组成) 设P=A=G,且定义K={(p,,a,)| = a(modp)},值p,和是公开的,a是保密的。

对K=(p,,a,)和消息xG,定义y=SigK(x)=xa(modp) 易见y G 。按如下协议完成验证: (1).Alice 随机选择 (2)Alice计算 , 且将C送给Bob. (3)Bob计算 , 且d将送给Alice. (4)Alice接受y作为一个有效签名,当且仅当 对上述这个签名方案,要证明以下两点: 1)Alice将回接受按如上方案的有效签名 2)Bob几乎不可否认经Alice 验证过的自己的签名。 证明(1):(alice接受Bob的签名)。下面计算的所有指数都已做到模q约简.

知 代入上式得 刚好与协议(4)相符,故Alice接受Bob的签名。对于(2) Bob几乎不可否认经Alice验证过的自己的签名。相当于证 明下述定 理。 定理1:若 ,那么Alice以概率1/(q-1)接受y作 为x的有效签名. 证明: Bob对x做了签名y(=xa)给Alice后。Bob接受了Alice的 一个询问 ,这个询问对应于q-1个有序对 (e1,e2)。( 原因是 一旦固定,e2=f(e1)。然而, Bob不知Alice选择了哪一对(e1,e2)来构造出C。

如果 ,那么Bob能做的任何可能回答 , 刚好与q-1个可能的有序对(e1,e2)中的一个相对应。 由 G=<>, 所以对C,d,x,y来说,可设 C=  i,d= j,x= k,y=  l,i,j,k,l , 考虑同余式: 写出关于 的指数表示: 等价于下述方程组:

既然假设 而 y=2l,xa=(k)a=  ak,所以lak, 相当于说上述方程的系数行列式: 知该方程组仅有唯一一组解。 即对每一个dG, 对于q-1个可能的有序对中(e1,e2),刚好 有一个是正确的回答,Bob给Alice的一个回答d,将被验证 的概率刚好为1/(q-1)。定理得证!

下面讨论否认协议: 目的:(1)Bob能使Alice相信一个无效的签名是伪造的. (2)Bob签名有效,而导致Alice判决错误的概率为小概率事件。 否认协议:(y?=xa)暂视为对的签名 1)Alice 随机选取 2)Alice计算 且将送给Bob, 3)Bob计算 ,且将他回送Alice 4)Alice验证 5)Alice再随机选取 6)Alice计算 ,且将他送给Bob 7)Bob计算 ,且将他回送给Alice 8)Alice验证

9)Alice推出 y是伪造的 定理2:如果 yxa(modp) ,且Alice和Bob都遵守否认协议,那么 证明:注意, , 而 又 ,从而有 进一步有

类似地,按如上方式推出 证毕。 注:我们不能假设遵守了否认协议,他可以想方设法构造d,D,来达到否认自己签过名的目的。然而,只要Alice严格遵守协议,Bob是无法否认的。可证。 定理3,假设yxa(modp) 且Alice遵守否认协议,如果 那么 成立的概率为1-1/(q-1)。