密码学概述-数字签名

格式：ppt
大小：900.00 KB
文档页数：39

下载文档原格式

密码学第7章数字签名

7.1 基于公钥密码的数字签名
Bob
用其保密的解密密钥对消息m 加密。密文s 就是其对消息的签名。
Alice
用Alice 的公开密钥对s 进行解密, 得到 m*如果m* = m, 则确认s是消息m 的有效签名。
Alice将签名的消息 (m, s) 传送给Bob。
公钥密码的认证模型
密码分析员 (窃听者)
证明验证的正确性（P164）
DSS的框图下图所示，其中的4个函数分别为：
s f1 (h(m), k , x, r , q) k 1 (h(m) xr ) mod q
r f 2 (k , p, q, g ) ( g k mod p) mod q w f3 ( s, q) s 1 mod q
数字签名特性
由此可见，数字签名具有认证功能。为实现上述三条性质，数字签名应具有以下特性：
（1）不可伪造性除了签名者外，任何人都不能伪造签名者的合法签名。（2）认证性接收者相信这份签名来自签名者。（3）不可重复使用性一个消息的签名不能用于其他消息。（4）不可修改性一个消息在签名后不能被修改。（5）不可否认性签名者事后不能否认自己的签名。
( m1m2 ) m1 m2 mod n

克服上述缺陷的方法之一是在对消息进行签名前先对消息做Hash变换，然后对变换后的消息进行签名。即签名为：
s Sig k (m) H (m) mod n
d
验证时，先计算H(m)，再检查等式：
H (m) s e mod n
是否成立。
7.2 EIGamal 签名方案
根据签名权力委托的方式不同，代理签名可以分为以下几类：（1）完全代理（full delegation）（2）部分代理（partial delegation）（3）具有证书的代理（delegation by warrant）（4）具有证书的部分代理（partial delegation with warrant）

密码学第八讲：数字签名

手写签名不易复制；数字签名是一个二进制信息，十分容易复制，所以必须防止数字签名重复使用。
2
数字签名的基本概念
数字签名技术则可有效解决这一问题, 类似于手书签名，数字签名应具有以下性质： ① 能够验证签名产生者的身份，以及产生签名的日期和时间. ② 能保证被签消息的内容的完整性. ③ 数字签名可由第三方公开验证，从而能够解决通信双方的上述争议. 数字签名在网络安全中提供数据完整性、数据源认证性、数据不可否认性等性质
群签名就是一个群体中一个成员可以以匿名的方式代表整个群体对消息进行签名，一旦发生争论，从消息的群签名中权威者（组长）可以辨别签名者。在实际中有广泛的应用。特点匿名性可跟踪性
盲签名

盲数字签名是一种特殊的数字签名，当用户A发送消息m给签名者B时，一方面要求B对消息签名，另一方面又不让B知道消息的内容，也就是签名者B所签的消息是经过盲化处理的。盲签名除具有一般数字签名的特点外，还有下面两个特征：
现争议时，第三方可解决争端.
4
数字签名的攻击：
惟密钥攻击：攻击者只有用户公开的密钥. 已知消息攻击：攻击者拥有一些消息的合法签名，但是消息不由他选择. 选择消息攻击：攻击者可以自由选择消息并获取消息的签名. 攻击结果：完全破译：攻击者恢复出用户的密钥. 一致伪造：攻击者对于任意消息可以伪造其签名. 选择性伪造：攻击者可以对一个自己选取的消息伪造签名. 存在性伪造：攻击者可以生成一些消息的签名，但在伪造前对该消息一无所知.
Figure 13.2 Adding key to the digital signature process
Note A digital signature needs a public-key system. The signer signs with her private key; the verifier verifies with the signer’s public key.

密码学--数字签名讲义PPT课件(26张)

基于仲裁的数字签名方案三 ——公钥加密，A不能阅读消息
实来自X。
数字签名生成后，可对整个报文和签名进行进一步加密以增强数据通信的保密性。
加密可以是基于公开密钥方式，也可以是基于对称密钥方式。
报文及签名可以保存在存储介质中，以备解决争端时使用。
在这种情况下，第三方必须掌握解密密钥才能查看报文和签名。
对直接数字签名的讨论
直接数字签名方案在安全性上存在一个共同的弱点：方案的安全性依赖于发送方X 私有密钥的安全性。 ▪ 发送方可以声称自己的私ห้องสมุดไป่ตู้密钥丢失或被盗用，而否认其发送过某个报文。 ▪ 若对私有密钥引入额外的管理控制，将限制给签名方案的适用范围。
以防伪造和否认。 ▪ 产生数字签名比较容易。 ▪ 识别和验证签名比较容易。
数字签名的设计目标（2）
▪ 伪造数字签名在计算上是不可行的。 • 无论是从给定的数字签名伪造消息， • 还是从给定的消息伪造数字签名， • 在计算上都是不可行的。
▪ 保存数字签名的拷贝是可行的。
目前，已经有多种数字签名的解决方案和数字签名计算函数。按照其技术特点，这些方案可分为两类：
我们或许愿意在计算机上做这种事情，但还存在一些问题。
▪ 计算机文件易于复制，即使某人的签名难以伪造（例如，手写签名的图形），但是从一个文件到另一个文件剪裁和粘贴有效的签名都是很容易的。这种签名没有什么意义。
▪ 文件在签名后也易于修改，并且不会留下任何修改的痕迹。
但我们还是要解决计算机签名的问题——数字签名。
▪ X和Y对A是高度信任的
• X确信A不会泄漏密钥Kax，因此不会产生伪造的签名；
• Y也确信A发来的报文M是经过验证的、确实来自X;

密码学第八讲：数字签名(1)

签名. 存在性伪造：攻击者可以生成一些消息的签名，但在
伪造前对该消息一无所知.
5
数字签名的基本原理
发方A
消息
收方B
Hash函数消息摘要加密算法
消息签名
A的私钥
公开信道
消息
签名
解加密密算算法法
A的公钥
Hash函数
消息摘要
相等
否
是
签名有效
签名无效
13-2 Continued
Figure 13.1 Digital signature process
21
数字签名标准DSS
数字签名标准（Digital Signature Standard，简称DSS）
规定了用于产生与证实一个数字签名的一整套算法
包括数字签名和消息鉴别两部分功能
不能提供保密功能
DSS的数字签名算法DSA -1
发送方确定全局公开密钥KUG：p, q, g
素数p，素数q是p-1的因子 g=h(p-1)/q mod q, h是整数
Figure 13.7 RSA digital signature scheme
13.13
13.5.1 Continued
RSA Signature on the Message Digest
Figure 13.8 The RSA signature on the message digest
13.14
手写签名不易复制；数字签名是一个二进制信息，十分容易复制，所以必须防止数字签名重复使用。
2
数字签名的基本概念
数字签名技术则可有效解决这一问题, 类似于手书签名，数字签名应具有以下性质： ① 能够验证签名产生者的身份，以及产生签名的日期和时间. ② 能保证被签消息的内容的完整性. ③ 数字签名可由第三方公开验证，从而能够解决通信双方的上述争议. 数字签名在网络安全中提供数据完整性、数据源认证性、数据不可否认性等性质

现代密码学07 - 数字签名

34
ElGamal签名方案存在性伪造
• 对ElGamal签名的存在性伪造
• 攻击者随机选择0＜r,v≤p2，且gcd(v,p-1)=1
• 计算 u = gryv mod p
s = -uv-1 mod (p-1)
m = -ruv-1 mod (p-1)
则(u,s)是对伪造的消息m的有效签名
• 伪造的正确性 · yuus = yu(gryv)s = gxu(grgxv)s = gxu+rs+xvs = gm mod p
Q: 为什么对称密码技术不能实现非否认？
• 因为双方都持有相同的密钥（信息是对称的） • 接收方可以产生相同的消息，所以发送方可以诬赖消息是接收方伪技术
6
手写签名：Alice 对一份文件签名后
① 别人可以验证她的签名 ② 其他人很难模仿她的签名
② 签名：s＝md mod n, m∈Z*n ③ 校验：m ?＝se mod n
22
RSA签名方案安全性
• 安全性原理 – 只有签名者知道私钥d，所以他是产生签名s的唯一人 – 公钥e是公开的，任何人都可以验证签名s的合法性
• 但上述基本的RSA签名方案有安全漏洞 —— 存在性伪造
23
RSA签名方案存在性伪造
防篡改
任何人无法篡改已签名的消息
非否认
签名者事后无法否认自己的签名
消息认证
接收者可以确信消息发送者的身份
相当于在电子文件上签自己的名字
13
抗伪造是数字签名的核心安全性要求
14
什么叫伪造签名在不知道私钥 SK 的情况下，产生签名 s，使得 VerPK(M,s) = true 则称 s 是对 M 伪造的签名 (PK 是 SK 对应的公钥) 也即找到一对能通过验证算法校验的 (M,s)

第18讲--数字签名1(密码学)

其他人伪造其签名是困难；
（3）签名是不可复制的：对一个消息的签名不能通过复
制变为另一个消息的签名。如果对一个消息的签名是从
别处复制得到的，则任何人都可以发现消息与签名之间的不一致性，从而可以拒绝签名的消息；
数字签名的特性
（4）签名的消息是不可改变的：经签名的消息不能被篡改，一旦签名的消息被篡改，则任何人都可以发现消息与签名之间的不一致性；（5）签名是不可抵赖的：签名者事后不能否认自己
m Z * p
,秘密选择一个整数
* *
，则密文为 c (c1 , c2 ) Z p Z p
其中
c1 k mod p c 2 m k mod p
* * 解密变换: 对任意密文 c (c1 , c 2 ) Z p Z p
明文为 m c2 (c1d ) 1 mod p
b
±s ±s ±ms ±rs ±rs
c
m 1 1 1 1
离散对数签名体制
签名验证过程
Ver( y, (r , s), m) True r g y (mod p)
a b c
一些基于离散对数问题的签名方案
下表给出了当{a,b,c}={r',s,m}时的签名等式和验证等式
签名等式（1） r'k = s+mx modq （2） r'k = m+sx modq （3） sk = r'+mx modq （4） sk = m+r'x modq （5） mk = s+r'x modq （6） mk = r'+sx modq 验证等式 rr' =gsym modq rr' =gmys modq rs = gr'ym modq rs = gmyr' modq rm = gsyr' modq rm = gr‘ysmodq

密码学数字签名

签名过程
假设用户A要对消息M进行数字签名，然后发送给用户B。（1）发送方A秘密选取随机整数看k，0<k<q；（2）发送方计算
其中，x为签名方A私钥，H(M)是使用SHA-1生成的消息M的散列码,（R,S）就是消息M的数字签名，是k模q的乘法逆元，为了安全起见，每次签名应该随机选取不同的k。若r=0或s=0则返回（1）重新计算。
（2）签名产生过程用户A对消息M进行签名，计算 S=Mmod n =2017mod 12091 其中d为A的私钥，并将S附在消息M后作为对用户对消息M的签名。（3）验证过程用户B验证用户A对消息M的签名，用户B 计算 M’= S mod n 其中e为A的公钥，并判断M’与M是否相等。如果相等则A的签名有效。
（1）、计算消息M的散列码H(M); （2）、计算yrmod p和mod p;其中y为签名方A 的公钥。若两式相等，即yr=mod p则确认（r,s）为有效签名。例子：设素数p=103，=2是p的本原元，用户A选择例子 x=58作为自己的私钥，消息的散列码H（M） =87，用户A选择的签名随机数k=9，计算A 用ElGamal数字签名算法对消息M的签名以及用户B对签名的验证。
2）签名过程给定消息M，签名者A将进行如下计算。（1）、选择随机数k，且k与（p-1）互素；（2）、签名方对消息M进行散列压缩得到消息散列码H(M),计算 r= mod p; s=(H（M）-xr)kmod(p-1) 其中x为签名方A的私钥。 3）验证签名过程接受放B在收是一个素数，要求，并且L为64的倍数，即位长度在512到1024之间，长度增量64。 q是p-1的素因子，，即q的长度为160位。 ,其中h是一个整数，满足1<h<p-1并且 >1。 >1 随机选择整数x作为用户的私钥，要求0<x<q。计算用户的公钥。显然给的x计算是容易的，但是给定y求x是离散对数问题。在上述参数中，p,q,g是公开的系统参数，x和y分别是用户的私钥和公钥。

《密码学》课程设计实验报告-数字签名

《密码学》课程设计实验报告实验序号：06 实验项目名称：数字签名RSA签名RSA签名核心代码说明由于在实验报告5中已经对RSA的相关代码进行了分析，这里主要给出签名和验签的代码。

在对某个二进制文件进行签名之前，我们首先需要计算其数据摘要，这里我们采用md5哈希算法，其对应的代码如下md5哈希算法在RSA的签名中，其实就是用私钥进行解密的过程，其对应的代码如下RSA签名其中解密对应的代码如下，pow函数提供了快速幂的功能RSA解密在RSA验签的过程中，其实就是用公钥进行加密的过程，其对应的代码如下RSA验签其中加密对应的算法如下RSA加密RSA签名实验结果演示首先是计算待签名文件的md5值md5结果对得到的md5值进行签名，可以得到如下的结果RSA签名结果对签名进行验签，可以发现成功验证签名验证签名ECC签名代码整体说明相关文件(ecc.py)由于在前面的ECC加解密(实验报告5)中已经对ECC的相关接口进行了介绍，这里我们不再重复。

这里主要给出签名和验签的主要流程签名的主要流程如下1.选择一个随机数k，k∈{1,2,⋯,n−1}2.计算点R(x R,y R)=kG，并记r=x R3.利用保密的解密钥d计算s=(Hasℎ(m)−dr)k−1 (mod n)4.以<r,s>作为消息m的签名，并以<m,r,s>的形式传输或者存储验签的主要流程如下1.计算s−1 (mod n)2.利用公开的加密钥Q计算U(x U,y U)=s−1(Hasℎ(m)G−rQ)3.如果x U=r，则<r,s>是用户A对m的签名ECC签名核心代码说明由于在实验报告5中已经对ECC的相关代码进行了分析，这里主要给出签名和验签的代码。

进行签名的代码主要如下，可以发现和我们上面提到的签名步骤是一一对应的ECC签名进行验签的代码如下，和上述我们提到的验签步骤也是一一对应的ECC验签ECC签名实验结果演示同RSA签名一样，我们首先需要计算文件对应的数据摘要，这里我们使用md5哈希算法md5数据摘要接着对数据摘要进行签名，得到如下的签名结果ECC签名结果对得到的签名进行验签，可以发现成功验证ECC验签五、分析与讨论1)与ECC的签名相比，RSA的签名和验签显得更为优雅，即解密对应签名，加密对应验签2)和RSA签名相比，ECC引入了随机数k，使得即使对同一个数据进行签名，产生的结果也可能不一样，这在一定程度上增加了ECC签名的安全性3)与传统的分组密码相比，使用公钥密码实现数字签名非常方便且更加安全。

现代密码学第8章：数字签名

4
数字签名应满足的要求
① B伪造一个消息并使用与A共享的密钥产生该消息的认证码，然后声称该消息来自于A。 ② 由于B有可能伪造A发来的消息，所以 A就可以对自己发过的消息予以否认。这两种欺骗在实际的网络安全应用中都有可能发生，例如在电子资金传输中，收方增加收到的资金数，并声称这一数目来自发方。又如用户通过电子邮件向其证券经纪人发送对某笔业务的指令，以后这笔业务赔钱了，用户就可否认曾发送过相应的指令。
以上过程中，由于Y不知KXA，因此不能直接检查X的签名，但Y认为消息来自于A因而是可信的。所以在整个过程中，A必须取得X和Y的高度信任： X相信A不会泄露KXA，并且不会伪造X的签名; Y相信A只有在对EKAY[IDX‖M‖EKXA[IDX‖H(M)]‖T]中的杂凑值及X的签名验证无误后才将之发给Y; X，Y都相信A可公正地解决争议。如果A已取得各方的信任，则X就能相信没有人能伪造自己的签名，Y就可相信X不能对自己的签名予以否认。
30
2.1 DSS的基本方式
首先将DSS与RSA的签名方式做一比较。 RSA算法既能用于加密和签名，又能用于密钥交换。与此不同，DSS使用的算法只能提供数字签名功能。图2用于比较RSA签名和 DSS签名的不同方式。
31
RSA 签名

5
数字签名应满足的要求
因此在收发双方未建立起完全的信任关系且存在利害冲突的情况下，单纯的消息认证就显得不够。数字签名技术则可有效解决这一问题。类似于手书签名，数字签名应具有以下性质： ① 能够验证签名产生者的身份，以及产生签名的日期和时间。 ② 能用于证实被签消息的内容。 ③ 数字签名可由第三方验证，从而能够解决通信双方的争议。

密码学中的公钥加密和数字签名

密码学中的公钥加密和数字签名随着互联网与人工智能技术的蓬勃发展，我们的数字信息被广泛传播并储存在云端，安全问题也随之受到了广泛关注。

密码学是一门研究保护信息安全，以及与数据传输和计算机安全相关的学科。

公钥加密和数字签名是现代密码学领域中最重要的技术之一，能够有效保护我们的数字信息安全。

一、公钥加密公钥加密是一种在密码学中广泛使用的方法，简单来说就是使用两个相互关联的密钥来进行信息加密和解密。

其中一个密钥为公钥，另一个则为私钥。

我们常说的RSA算法就是一个公钥加密算法。

公钥加密中，发送方使用接收方的公钥对信息进行加密。

只有接收方拥有私钥才能够解密该信息，其他人都无法解密。

相应的，接收方也可以使用自己的私钥对信息进行加密，只有拥有接收方的公钥的人才能够解密。

公钥加密的优点是信息安全性高，信息的传输过程中公钥是公开的，而私钥仅限于接收方保存，大大降低了信息泄露的概率。

同时，公钥加密预防了一些中间人攻击，保证了信息的完整性。

二、数字签名数字签名是一种将数字信息与签名者身份关联起来的技术，可以用于验证信息的完整性和真实性，常用于经济、贸易等领域。

公钥加密中使用数字签名来保证信息的安全性。

数字签名的基本原理是：发送方使用自己的私钥对信息进行加密，接收方使用发送方的公钥进行解密，同时使用发送方的公钥对数字签名进行验证，确保信息的完整性和真实性。

数字签名的优点在于验证信息的完整性和真实性，减小了信息篡改和窜改的概率。

同时，数字签名是一种匿名性质的对称加密方案，可以保护签名者的身份。

三、公钥加密与数字签名的联系公钥加密和数字签名可以完成互相独立的任务，但是它们也是密切相关的。

公钥加密可以实现信息的安全传输，保证信息不被窥探、篡改和窜改，数字签名则用于保证信息的真实性和完整性。

在实际应用中，公钥加密和数字签名应该同时使用，以保证信息的安全性和完整性。

四、应用案例公钥加密和数字签名技术的应用非常广泛，比如电子商务（如付款相关信息）、银行（如转账、客户数据）、医院（如患者医疗记录）等等都需要应用这些技术来保护隐私。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

dB
再用A的公开密钥作变换：m y mod N A
eA
从而验证签名来自A。
二、RSA数字签名方案
2、当NA>NB时，先加密，后签名（1）用户A先用B的公开密钥eB对消息m进行加密，得到： y meB mod N B （2） A再用自己的保密密钥dA对y进行签名，
d 得到： c y A mod N A
(B) 对一个文件的签名不能复制或篡改成对另
一个文件的签名; (4) 可仲裁性: 出现争议时第三方可仲裁。
一、数字签名概述
仲裁的内容:
(1) 签名者是否在抵赖，否认签名;
(2) 验证者是否在欺诈，伪造签名。
签名的实现方式：
就是在原文件上追加一定的笔迹信息，并使
二者形成一个整体。对电子文档的签名也应达到同样的目的。
生成一个签名，并公布恰当信息使第三方能够验证签名。
三、数字签名标准算法DSA
1991年8月，美国国家标准技术研究所（NIST）
提出了DSA(Digital Signature Algorithm)，将其用作数字签名标准DSS(Digital Signature Standard)。 1994年5月公布DSA算法； 1994年12月DSA算法被正式采纳。
一、数字签名概述
4、如何达到签名的目的
(1) 签名实现：对消息进行某种变换完成签名;
(2) 识别和验证: 利用签名者的公开信息(签名识别密钥)和文件的公开性; (3)签名不能伪造: 签名应与签名者独有的秘密信息(签名密钥)密切相关;
(4) 可仲裁性:靠法律解决争端。签名者的签名
识别密钥应由可信的第三方确认并公布。法律介入：在发证中心和认证中心(仲裁中心)认可、参与下解决争端。
二、RSA数字签名方案
(3) 对长文件的签名
若采取电码本方式逐块签名,则 (A)签名变长,签名速度慢; (B)会遭遇替换攻击（重新组合和替换文件块）。
解决方案: 先将文件压缩成一个摘要,再对
摘要签名。
二、RSA数字签名方案
数字签名的一般过程
报文
杂凑函数报文摘要
签名者的身份
报文
对摘要的签名
公布
一、数字签名概述
5、数字签名方案的分类
(1) 用对称钥密码算法进行数字签名和验证
与B共享密钥KB.签名和验证过程如下：
（1）A用KA加密好准备给B的消息，并将其发送给C; (2) C用KA解密消息
第三方C是可信的仲裁者，能同时与A,B通信，与A共享密钥KA
（3） C把解密的消息和他收到的A消息的声明，一起用KB 加密。
一、数字签名概述
用户B对签名的验证过程：
利用用户A的签名识别密钥ke对签名sign(m) 执行加密变换E,得到 Eke (sign(m)) Eke ( Dkd (m)) 若它与m相等，则判断Sign(m)是用户A对文件m的签名；
否则，Sign(m)不是用户A对文件m的签名。
仲裁: 与签名识别过程相同。
三、数字签名标准算法DSA
（3）选取整数 g=h(p-1)/qmodp;（g>1；其中1<h<p-1）
（4）随机选取整数x；（0<x<q）（5）计算y=gxmodp；公开参数：p,q,g；公开密钥：y；保密密钥：x
三、数字签名标准算法DSA
2、签名过程
设用户A要对消息 m 进行签名，则：
（1） A秘密选取一个小于q的随机数k；
1、当NA<NB时，先签名，后加密得到：
（1）用户A先用自己的保密密钥dA对消息m进行签名，
y md A mod N A
（2）A再用用户B的公开密钥eB 对签名y进行加密，得到： c y eB mod N B 然后将既签名，又加密了的 c 发送给用户B ；
y （ 3）B收到c后，先进行变换： c mod N B
( N A ) lcm( pA 1, qA 1) lcm(2,12) 12
eA＝5 与 ( N ) 12 互素，故可解模方程 5d A 1(mod12)，
二、RSA数字签名方案
利用扩展的欧几里德算法计算
12＝5×2 + 2 2 ＝12 - 5×2
5＝2×2 + 1
1 ＝5 - 2×2
第七章认证技术及数字签名
数字签名概述
RSA数字签名方案数字签名标准算法DSA
1
2
3
信息认证技术 • 信息认证技术。通过数字签名、信息摘要以及身份认证理论和技术，实现信息完整性检测；保护信息的抗否认性。利用知识、推理、生物特征和认证的可信协议及模型完成实体的身份认证，防止身份的假冒。
• 认证技术应用于： • 一：验证信息的发送者是否合法性，也即实体认证或身份认证，包括信源、信宿的认证和识别。 • 二：验证信息的完整性即数据在存储、传输中是否被篡改、重放或延迟等。
（三）RSA签名与加密的结合
由于RSA算法满足E(D(m))=D(E(m))=m，因
此可实现带有签名的保密通信。如果要实现带有签名的保密通信，只需将两个用户的加、脱密变换结合在一起即可。由于在变换过程中用到两个模数，为了使逆变换唯一，
需区分两个模数的大小，具体处理如下：
二、RSA数字签名方案
157 5 (mod55)
所以用户A 向用户 B 传送的对消息 m = 6 的保密签名为 5
二、RSA数字签名方案
3、仲裁问题当A、B之间因A的签名的真实性问题发生争执时，可通过可信的第三方S，用如下方法解决。（1）当NA<NB时（c= EB ( DA(m)）
B向S提供：m和x=DB(c)；实际上DB(c)=DA(m)
ElGamal密码系统
• ElGamal算法既能用于数据加密也能用于数字签名，其安全性依赖于计算有限域上离散
对数这一难题。
（1）首先选择一个素数p，两个随机数, g 和x，（g, x < p,）计算 y = gx ( mod p )，则其公钥为 y, g 和p。私钥是x。g和p可由一组用户共享。（2）被签信息为M，首先选择一个随机数k, k与 p - 1互质，计算 a = gk ( mod p ) 再用扩展 Euclidean 算法对下面方程求解b： M = xa + kb ( mod p - 1 ) 签名就是( a, b )。随机数k须丢弃。验证时要验证下式： ya * ab ( mod p ) = gM ( mod p ) 同时一定要检验是否满足1<= a < p。否则签名容易伪造。
1＝ 5 - 2×(12 - 5×2) ＝ 5×5 - 12 ×2 可得
5 5 1 (mod12) ，即 dA＝5，
二、RSA数字签名方案
第一步，用户A 先用自己的保密密钥 dA ＝5 对消息 m = 6 进行签名，得到：
65 15 (mod39)
第二步，用户A再用用户B的公开密钥 eB ＝7 对签名15进行加密，得到：
然后将既签名，又加密了的 c 发送给用户B ；
y （ 3）B收到c后，先进行变换： c mod N A
eA
m 再用自己的保密密钥作变换： y mod N B
dB
从而验证签名来自A。
二、RSA数字签名方案
例: 设用户A，B 要应用RSA进行签名加密，用户A
的公开密钥为(39，5)，用户B的公开密钥为(55, 7)，求用户A 向用户B 传送的对消息 m = 6 的保密签名。解: 因为NA ＝39 < 55 ＝ NB ，所以对消息 m = 6 应该先签名，后加密。此时 NA＝pA×qA ＝3×13＝39， eA＝5，因此
名。
二、RSA数字签名方案
(2) 如果用户A对文件x1和文件x2的签名分别为y1和 y2,由于(x1x2)dmodn= [(x1dmodn)(x2dmodn)]modn 故任何第三方知道x1,x2,y1,y2，都可伪造出用户A对
文件x1x2modn的签名y1y2modn。
注意: 文件x1x2modn 是哪个值伪造者无法控制。
（2）A计算：
r ( g k mod p) mod q s k 1 ( H (m) xr) mod q
（3）接收者能验证签名，而任何其他人都不能伪造签名；
实现：签名必须与特定的公开信息相对应，
使收方能够验证；签名应与签名者独有的秘密
信息密切相关，使其他人不能伪造。
（4）当双方关于签名的真伪发生争执时，一个
法官或第三方能解决双方之间发生的争执。
实现：签名对应的验证密钥应由可信的第三方确认并公布。当发生争执时，靠法律解决争端。
一、数字签名概述
3、数字签名应满足的条件
（1）签名应与文件是一个不可分割的整体 ;
实现：对消息进行某种变换完成签名；使签名
是报文或待签名的文件的函数。
（2）签名者事后不能否认自己的签名；
实现：签名是通过发方所独有的秘密信息来完
成，并且该秘密信息对应惟一公开的验证信息，使
签名者不能抵赖自己的签名。
一、数字签名概述
二、RSA数字签名方案
RSA数字签名方案
记用户A的参数为（NA，eA, d A），用户B的
参数为（NB，eB, d B），E为加密算法，D为脱密算法。（一）实现保密通信的RSA算法
加密：
A
c m mod N B
eBBΒιβλιοθήκη BB 脱密：计算 : c d mod N B m mod N B
二、RSA数字签名方案
二、RSA数字签名方案
（四）RSA数字签名的缺点 (1) 利用用户A的签名识别密钥ke，任意给定y,任何
人都可计算出：x=yemodn，因而可以伪造对消息x
的签名y。