6 数字签名

格式：ppt
大小：1.23 MB
文档页数：95

下载文档原格式

/ 95

数字签名方案的实现

数字签名方案的实现欧家权、应用数学、2111011451一:数字签名的背景随着信息、电子技术的迅速发展，全球己步入信息社会。

由于整个社会将形成一个巨大的计算机网络，任何部门的计算机网络一旦出现安全问题,都会直接影响到整个国家的网络安全，所以计算机网络安全问题已引起了各国的高度重视。

随着我国信息化进程的加快，网络化将向各经济部门、政府机关、军队、学校和社会团体等方向延伸，先进的计算机系统能把整个社会乃至军队联结起来。

计算机作为国家的关键基础设施和战略命脉，其安全状况直接影响到国家的安全和发展。

加密技术是保证信息安全的关键技术,其理论是信息安全的核心内容之一。

密码学是一门古老而又年轻的学科，1949年以前，密码学是一种艺术而并不是作为一门严格的科学存在。

1949年shannon［']发表的“保密系统的信息理论"一文为私钥密码系统建立了理论基础,从此密码学成为了一门科学。

而1976年Diffie和Hellman［2］的“密码学的新方向”则开创了公钥密码学的新纪元。

目前的数据加密、数字签名、消息认证等技术都是以密码技术作为基础设计出来的。

随着信息化的高速发展，密码学理论的研究和应用越来越受到重视。

数字签名的概念由Diffie和Hellman提出，是现代密码学最重要最基本的概念之一。

数字签名的设计思想等同于手写签名，即将签名者的身份与其签署的消息绑定，表示某人已对某消息进行了签字。

任何的验证者均能验证消息确实为签名者所签署，而伪造一个合法用户的签名却是困难的。

数字签名是实现数字通信中可认证性、完整性和不可否认性的重要密码技术，是应用最为广泛的公钥密码技术之一.综上所述，数字签名的应用范围相当广泛，而数字签名最重要的应用之一就是数字版权管理系统的应用。

随着网络和数字技术的快速发展，以数字形式存在的产品在人们的日常工作、学习和生活中占据越来越重要的地位。

数字证书使用方法

数字证书使用方法数字证书（Digital Certificate）是一种用于提供身份验证和加密网络通信的安全证书。

数字证书使用非对称加密算法，通过数字签名对公钥进行加密，从而保证密钥的安全性和可靠性。

数字证书能够保护用户的个人隐私和维护网络安全。

数字证书的使用方法如下：一、获取数字证书1.在合法的证书颁发机构（CA）处申请数字证书。

2.申请时需要提供个人或企业的证件信息，如姓名、地址、电话、邮箱等，以便证书颁发机构进行身份验证。

3.证书颁发机构对身份信息进行验证通过后，将向用户颁发数字证书，这个数字证书将包含用户的公钥信息、证书颁发机构的信息以及数字签名等。

4.用户获得数字证书后，可以通过安装数字证书的方式将其安装在个人电脑或移动设备上，以便在网络通信时使用。

二、使用数字证书1.加密通信通过使用数字证书进行加密通信，可以保证通信过程中的数据传输安全，防止数据被窃取或篡改。

用户可以使用数字证书的公钥进行加密，然后将加密后的数据传输给接收方，接收方通过使用自己的私钥进行解密。

2.网络身份验证数字证书可以用于网络身份验证，用户可以通过向验证方展示其数字证书来证明自己的身份。

网络身份验证常见的应用场景包括登录认证、电子签名等。

3.数字签名数字证书中包含数字签名信息，可以被用来进行数字签名的验证，该技术可以用于保证信息的完整性和信任关系。

数字签名算法是利用私钥对文档进行加密得到签名，通过公钥进行验证签名的真实性。

三、注意事项1.在申请数字证书时，需要提供准确的个人或企业信息，以保证证书申请的合法性。

2.在安装数字证书时，需要注意保护证书的私钥信息，避免泄露私钥，从而导致信息被篡改。

3.在使用数字证书进行身份验证和数字签名时，需要保证数字证书的真实性和有效性。

如果发现证书存在问题，应及时联系证书颁发机构进行处理。

总而言之，数字证书是保证网络传输安全的重要手段。

虽然数字证书存在一定的安全问题，但是通过正确的使用方法，用户可以最大限度地保证网络通信的安全性和可靠性。

电子签名的工作原理

电子签名的工作原理
电子签名的工作原理是利用了公钥基础设施（PKI）技术来确
保数字文档的身份、完整性和不可否认性。

工作流程如下：
1. 生成公钥和私钥：用户首先生成一对密钥，其中一个是私钥，只有用户自己拥有；另一个是公钥，可以分享给其他人。

2. 数字签名：用户使用他们的私钥对要签名的文档进行加密计算，生成一个数字签名。

数字签名是唯一的，只能由私钥持有者生成。

3. 文档传输：文档和数字签名一起传输给接收方。

4. 验证签名：接收方使用签名者的公钥对数字签名进行解密，得到原始的哈希值。

5. 哈希值匹配：接收方对接收到的文档进行哈希运算，得到一个哈希值。

6. 比对哈希值：接收方将原始的哈希值与计算得到的哈希值进行比对，如果相同，则表明文档的完整性没有被篡改。

7. 验证公钥：接收方还需验证签名者的公钥是否有效，以确保签名者的身份。

通过这个过程，电子签名可以提供可信度和不可否认性，保护数字文档的完整性，并确认签署者的身份。

数电票的数字签名值规则

数电票的数字签名值规则一、引言。

二、数字签名的基本概念。

1. 数字签名的定义。

- 数字签名是一种基于公钥密码体制的技术手段。

简单来说，它是一段由发送者生成的特殊数据串，这个数据串是对发票相关数据（如发票内容、发票元数据等）进行特定算法处理后得到的结果。

例如，发送者（开票方）使用自己的私钥对发票数据进行加密处理，生成数字签名。

2. 数字签名在数电票中的作用。

- 真实性验证：接收方（受票方或监管部门等）可以通过发送方的公钥来验证数字签名。

如果验证成功，说明该发票确实是由声称的开票方开具的，防止了假冒开票方开具虚假发票的情况。

- 完整性保护：数字签名能够确保发票数据在传输过程中没有被篡改。

因为任何对发票数据的修改都会导致数字签名验证失败。

- 不可抵赖性：一旦开票方生成了数字签名，就不能否认自己开具过该发票。

因为只有开票方拥有对应的私钥才能生成有效的数字签名。

三、数电票数字签名值规则。

1. 算法要求。

- 数电票的数字签名通常采用符合国家密码管理局规定的加密算法。

例如，目前常用的非对称加密算法如SM2算法。

SM2算法是一种椭圆曲线公钥密码算法，具有较高的安全性和效率。

这种算法能够在保证签名安全性的同时，适应数电票在不同场景下的快速处理需求。

- 算法的参数设置也有严格规定。

例如，椭圆曲线的参数选择必须符合相关标准，以确保不同参与方在验证数字签名时能够使用统一的标准参数，从而保证验证的准确性。

2. 签名数据的来源。

- 数字签名所基于的数据来源是数电票的关键信息。

这包括发票的基本内容，如发票号码、开票日期、购买方和销售方信息、商品或服务明细、金额等。

这些数据在进行签名之前，需要按照特定的格式进行整理和编码。

- 以发票金额为例，它必须是准确的不含税金额或者含税金额（根据发票类型和相关规定），并且在数据格式上要符合财务数据的规范，如保留到小数点后两位等。

任何对这些数据的不准确录入或者格式错误都可能导致数字签名验证失败。

6可信计算基础-加密与认证技术

数字证书（续）
• 证书的内容(证书格式遵循 X.509国际标准) —证书的数据：版本信息、证书序列号、CA使用的签名算法、发行证书CA的名称、证书的有效期、被证明的公钥信息 —发行证书的CA签名：CA签名和签名算法 • 证书的有效性 —证书没有过期 —密钥没有修改 —用户仍然有权使用这个密钥 —CA负责回收证书，发行无效证书清单 • 证书使用证书帮助证实个人身份，你的证书和你的密钥就是你是谁的证据
加密技术
明文P
加密算法E
密文C
解密算法D
明文P
加密密钥Ke
解密密钥Kd
单钥(对称密钥、秘密密钥)加密算法
• 对信息的加密、解迷密使用相同的密钥
– C=E(P, K), P=D(C, K)
• 代表：DES、3DES、和 IDEA • 优点：简单、速度快 • 问题：
– 密钥的分发 – 密钥的管理
CA的基本功能
• 生成和保管符合安全认证协议要求的公共和私有密钥、数字证书及其数字签名 • 对数字证书和数字签名进行验证 • 对数字证书进行管理，重点是证书的撤消管理，同时追求实施自动管理（非手工管理） • 建立应用接口，特别是支付接口。CA是否具有支付接口是能否支持电子商务的关键
证书的树形验证机构
信息认证（Authentication）
内容
—确认信息的来源
技术
数字签名技术身份认证技术数字签名技术时间戳消息的流水作业号
—验证信息内容的完整性
—确认信息的序号和时间
身份认证
• 目标：可信性、完整性、不可抵赖性、访问控制 • 基本方式
—用户所知道的某个秘密信息（如口令） —用户所持有的某个秘密信息或硬件（如智能卡） —用户所具有的某些生物学特征（如指纹）

数字签名算法实验报告

竭诚为您提供优质文档/双击可除数字签名算法实验报告篇一：数字签名实验报告附件2：北京理工大学珠海学院实验报告ZhuhAIcAmpAusoFbeIJIngInsTITuTeoFTechnoLogY实验题目数字签名实验实验时间20XX.4.8一、实验目的：(1)掌握数字签名技术的原理；(2)熟悉密钥的生成及其应用。

二、实验内容以及步骤：RsA-pKcs签名算法(一)签名及验证计算(1)进入实验实施，默认选择即为“RsA-pKcs”标签，显示RsA-pKcs签名实验界面。

(2)选择明文格式，输入明文信息。

点击“计算shA1值”按钮，生成明文信息的散列值。

(3)选择密钥长度，此处以512bit为例，点击“生成密钥对”按钮，生成密钥对和参数。

选择“标准方法”标签，在标签下查看生成的密钥对和参数。

(4)标准方法签名及验证点击“标准方法”标签下的“获得签名值”按钮，获取明文摘要的签名值，签名结果以十六进制显示于相应的文本框内；点击“验证签名”按钮，对签名结果进行验证，并显示验证结果；上述过程如图1.1.8-3所示。

(5)选择“中国剩余定理方法”标签，在标签下查看生成的密钥对和参数。

(6)中国剩余定理方法签名及验证点击“中国剩余定理方法”标签下的“获得签名值”按钮，获取明文摘要的签名值，签名结果以十六进制显示于相应的文本框内；点击“验证签名”按钮，对签名结果进行验证，并显示验证结果。

eLgAmAL签名算法(1)在“RsA-pKcs”标签下的扩展实验中，点击“eLgAmAL 扩展实验”按钮，进入eLgAmAL签名算法扩展实验窗体。

(2)设置签名系统参数。

在文本框“大素数p”内输入一个大的十进制素数（不要超过8位）；然后在文本框“本原元a”内输入一个小于p的十进制正整数，点击“测试”。

(3)注册用户，在“用户名”文本框中输入一个“注册用户列表”中未出现的用户名，如“alice”，点击“注册”按钮。

(4)在“用户注册”窗口中的文本框“私钥x”中输入一个小于素数p的十进制非负整数，点击“确定”按钮；然后，点击“计算公钥”按钮，系统会为该用户生成一对公私钥。

【计算机应用】_群签名_期刊发文热词逐年推荐_20140723

推荐指数 7 2 2 2 2 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1
2009年序号 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28
科研热词群签名短群签名完全匿名性门限群签名数字签名改进的cramer-shoup加密不可陷害性 ind-cca2安全防陷害性秘密共享生物信息环签名标准模型智能卡成员撤销安全性分析合谋攻击可验证性可追踪性双线性对双线性动态群签名前向安全分布式方案不可伪造性 p2p ind―cca2安全 cs98加密
推荐指数 4 4 4 2 2 2 2 2 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1
2010年序号 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27
科研热词群签名盲签名椭圆曲线基于身份零知识证明门限签名远程证明短签名直接匿名证明电子现金标准模型无关联性数字签名批验证小指数算法安全数据访问系统基于时间的分级密钥同底构造合谋攻击可追查性可信平台模块双重离散对数双线性对匿名身份验证匿名性公钥代理签名
推荐指数 2 1 1 1 1 1 1 1 1 1 1
2014年序号 1 2 3 4 5 6 7 8 9 10 11 12 13
2014年科研热词群签名隐私保护车用自组网络秘密共享知识签名电子现金椭圆曲线权限可信计算分级群签名云计算不经意传输 ecc 推荐指数 2 1 1 1 1 1 1 1 1 1 1 1 1

ca证书详解(一)

ca证书详解(一)详解CA证书什么是CA证书？CA证书（Certificate Authority），也称为数字证书，是一种用于验证和确认网络通信中信息的合法性和完整性的安全工具。

它基于公钥加密技术，由可信任的第三方机构——证书颁发机构（CA）签发并加密。

CA证书包含了包括公钥、数字签名、证书持有者的身份信息等内容。

CA证书的作用CA证书在网络通信中起到了至关重要的作用：1.身份验证：CA证书可以验证通信方的身份。

使用CA证书签发者可以确认通信方是可信任的，确保信息的发送和接收方是合法的。

2.数据完整性：CA证书通过数字签名来保证信息的完整性，任何篡改信息的行为都会导致数字签名的校验失败，从而保证数据不被篡改。

3.数据加密：CA证书可以用来加密通信的数据，通过为通信双方提供公钥和私钥，保障通信过程中的数据安全。

CA证书的结构一个完整的CA证书通常包含以下几个部分：1.证书持有者信息：包括证书持有者的名称、电子邮件地址等信息，用于确认通信方的身份。

2.证书公钥：用于对数据进行加密和解密。

3.数字签名：由CA机构用其私钥对证书进行签名，用来确保证书的完整性和来源的可信性。

4.证书颁发机构信息：包括证书颁发机构的名称、电子邮件地址等信息，用于确认CA机构的可信度。

5.有效期：证书的颁发和过期日期，过期后不再可信。

CA证书的获取与使用获取和使用CA证书通常需要以下步骤：1.选择信任的CA机构：选择一个可信任的CA机构，可以从CA机构的官方网站获取CA证书。

2.申请证书：在CA机构的官方网站上申请CA证书，填写相关的身份信息。

3.进行身份验证：CA机构会对申请者进行身份验证，确保申请者的身份信息的真实性。

4.获取证书：通过邮件或下载方式获取CA证书。

5.安装证书：将CA证书安装到相关的系统或应用中，例如浏览器、服务器等。

6.使用证书：在网络通信过程中，使用所安装的CA证书进行身份验证、数据加密和数据完整性的保护。

密码学导论第八章·数字签名与认证

• 每个口令只用一次，以防止重放攻击
– 一次口令的共享列表
• 共享口令序列或口令集
– 顺序更新一次口令
• 只共享一个口令，每次通信更新口令
– 基于单向函数的一次口令序列
• Lamport一次口令方案：wi=H(wi-1)=Hi-1(w1)
中国科学技术大学 ·密码学导论
三、挑战－响应身份认证(强认证)
中国科学技术大学 ·密码学导论
固定口令方案
• 存储的口令文件：明文存储，读写保护 • 加密的口令文件：存储口令的单向函数值 • 口令规则：口令的长度、字符集等等 • 口令时效 • 放慢口令映射：迭代运算，不影响正常使用下增加
试探口令的攻击时间 • 口令加盐：降低字典攻击的效率，防止口令重复
– 口令的散列值和盐值均记录在文件中
中国科学技术大学 ·密码学导论
手持通行码生成器
• 手持设备，象个计算器 • 生成器中存储有密钥 • 使用过程：
1. 系统给用户一个挑战 2. 用户将挑战输入生成器 3. 生成器根据密钥和挑战计算通行码，并显示 4. 用户将通行码输入系统 5. 系统根据存储的用户密码也计算一个通行码 6. 两个通行码若一致，则系统放行用户
• 必须给存储在系统中的用户密码提供保密性
中国科学技术大学 ·密码学导论
可信中继参与的挑战－响应
1、相互认证 (1) 基于对称加密
• Needham-Schroeder协议：
① A→KDC: IDA || IDB || N1 ② KDC→A: EKa[Ks || IDB || N1 || EKb[Ks || IDA]] ③ A→B: EKb(Ks || IDA) ④ B→A: EKs(N2) ⑤ A→B: EKs(f(N2))

ca签名验签的原理

ca签名验签的原理CA（Certificate Authority）签名验签是一种通过公钥加密技术实现的安全机制，用于保证一份文件或数据的完整性、真实性和不可否认性。

其原理是基于非对称加密算法和数字证书的使用，确保发送方的身份认证和信息的完整性。

CA签名验签的原理如下：1. 数字证书生成：CA首先生成一对密钥，分别是公钥和私钥。

公钥用于加密数据，私钥用于解密数据。

然后，CA根据用户的身份信息等数据生成数字证书，并用私钥对数字证书进行签名。

2. 数字证书验证：接收到数字证书的用户，在验证数字证书的真实性时，会使用CA的公钥对数字证书的签名进行解密，从而获取到CA的数字签名。

3. 数字签名验证：接收到消息的用户在验证消息的真实性时，首先使用CA的公钥对消息的签名进行解密，得到原始的数字摘要。

然后，用户使用相同的哈希算法对接收到的消息进行计算，得到一个新的数字摘要。

最后，用户将接收到的数字摘要与原始的数字摘要进行比对，如果一致，则说明消息的完整性未被篡改，可以确认消息的真实性。

CA签名验签的参考内容如下：1. 数字证书：数字证书是一种包含公钥用户信息、数字签名和有效期的文件。

数字证书在CA认证的基础上，通过数字签名实现了身份认证，并保证了信息的完整性。

数字证书的格式一般采用X.509标准。

2. 私钥和公钥：私钥用于生成数字签名，保证了数字证书的真实性和不可篡改性；公钥用于验证数字签名，确保接收到的消息的完整性和真实性。

3. 数字摘要：数字签名采用哈希算法生成消息的数字摘要。

常见的哈希算法有MD5、SHA-1、SHA-256等。

数字摘要用于验证接收到的消息是否被篡改。

4. 验证流程：验证数字证书的流程包括获取数字证书、提取数字签名、使用CA公钥对签名进行解密、生成消息的数字摘要、比对原始摘要和接收到的摘要。

5. 安全性：CA签名验签的安全性依赖于私钥的保密性和CA机构的可信任性。

私钥泄露可能导致数字证书的伪造和信息的篡改。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

(4)比较 v和1 v如2 果 v，2 表v示1 签名有效；否则，签名无
效．
2020/5/22
28
签名验证证明
我们先对签名过程中等式 s : s (H (M ) xr)进k 行1 m处od理( p有1)
sk = (H (M ) xr)k 1k mod(p 1) ⇒ks = (H (M ) xr) mod(p 1) ⇒H (M ) = rx + ksmod(p 1)
2020/5/22
24
构造参数
１．全局参数
P：是一个大的素数，确保在 z中p* 求解离
散对数在计算上的困难；
g:是 Zp中的乘法群称为本原元素．
z的p*一个生成元，或
２．私钥参数
x：用户的私钥，
x
z
* p
2020/5/22
25
３．公钥参数
y:用户的公钥， y g x mod p
算法中常还使用一个随机数k．另外，在
2020/5/22
36
M / (hM is)(hr js)1 mod( p 1)
那么，M的/ 合法签字就是 (r ．/ , s / )
如果攻击者要预先确定消息 M，/并得到该消息的合法签名，他还是面临解决离散对数问题。所以攻击者还是不能得逞。
2020/5/22
37
（3）如果攻击者知道了两个消息 (M1，, M及2 ) 其
第六章数字签名
一、数字签名的概念二、RSA数字签名体制三、ELGAMAL数字签名体制四、其他数字签名五、数字签名标准
2020/5/22
1
一、数字签名基本概念
2020/5/22 2
数字签名就是两个数学变换，首先发送方对信息施以数学变换，接受方进行逆变换，得到原始信息。发送方的变换就是签名，通常是一种加密，对应的逆变换就是对签名的认证，通常是一种解密措施。数字签名体制一般包括两个部分：一是签名部分，对消息M签名，可以记为S=SIG（ K，M），K是签名者的私钥，是秘密的。二是接收方的认证部分，可以记成VER（ M，S，K）=（真，假）。
(2)数字签名中：签名者用私钥签名，接收者用签名者的公钥验证。
2020/5/22
7
数字签名的应用
在网络应用中，凡是要解决伪造、抵赖、冒充、篡改与身份鉴别的问题，都可以运用数字签名来处理：
1.网上银行通过因特网向客户提供信息查询、网上支付、信贷等，都需要数字签名。
2.在电子商务中，企业与企业之间，企业与消费者之间，在网上进行的商业交换活动，也需要数字签名。
数x=1751作为私钥．再计算公钥 y:
y = g x mod p = 21751 mod 2357 = 1185
现在假定消息为M．H（M）=1463
2020/5/22
31
签名生成
2.签名过程：选随机数k=1529;计算：
r g k mod p 21529 mod2357 1490 k 1 mod(p 1) 1529-1 mod2356 245 s (H (M ) xr)k -1 mod(p 1) (146317511490) 245mod2356 1777
3.在电子政务中,必须提供身份认证服务、权限
控制服务、信息保密服务等，而这些都离不
开数字签名。
2020/5/22
8
二、RSA数字签名体制
2020/5/22
9
• RSA是以它的三个发明者Ron Rivest ，Adi Shamir和Leoard Adleman 的名字命名。该算法既可以用于加密，也可以用于数字签名。RSA的安全性基于大数分解的困难性，该算法已经经受住了多年深入的密码分析，密码分析者既不能证明也不能否认RSA的安全性，这恰恰说明该算法有一定的可信度。
2020/5/22
29
下面考察认证过程中的等式：
因为
v2 g xrksmod(p-1) mod p ⇒v2 (g x )r (g k )s mod p ⇒v2 yrr s mod p v1
所以可以说明该算法是成立的．
2020/5/22
30
举例
1.参数生成取p=2357,g=2;2是Z * p 的一个生成元．选择一个
（３）签名为 (M , s)
2020/5/22
12
签名验证
(1)解密签名: h se modn
(2)比较h=H(M),如果等号相等，签名有效；否则签名无效。
2020/5/22
13
RSA签名过程图
图中h：表示Hah运算；M：消息；E：加密；D解密;Kus ：用户秘密钥; Kup ：用户公开密钥。
2020/5/22
20
其他攻击
攻击RSA还有其他方法，如：迭代攻击、选择明文攻击、公共模数攻击、低加密指数攻击等。
2020/5/22
21
使用RSA的建议
（1）不可使用公共模数。（2）明文的熵要尽可能的大。
（3）尽量使用散列函数。
2020/5/22
22
三、ＥLＧAMAL数字签名体制
2020/5/22
2020/5/22
15

安全性分析
RSA算法的安全性就是基于大整数的因子分解困难之上的，到目前为止其还是安全的。要分析RSA算法的安全性，我们从攻击RSA 的角度来审视。总的来分，RSA算法攻击可以区分为三类：
(1)蛮力攻击：它通过实验所有的可能私钥，来达到目的。
(2)数字攻击：使用数学技巧，类似于分解n来达到攻击目的。
价于对n进行因子分解。给定e和n，使用目前已知的攻击算法求出d的时间开销至少和因子分解问题的时间开销一样大。所以我们通常把因子分解的性能作为评价RSA安全性基准。
2020/5/22
19
定时攻击
定时攻击被安全专家称为“有创意的攻击”。因为该攻击与常规攻击方式完全不同，同时其仅仅使用密文进行攻击。其提出者是密码分析家P.C.Kocher,于1996年提出。Kocher 曾发明了一种办法，通过监视耗电量的微小波动，可以推导出一张加密的智能卡中内嵌的密钥。之后，他又因设计了一种能够攻破 RSA算法实现的技术而轰动一时，该方法其不是通过正面攻击算法，而是通过观察系统处理特定函数所花费的时间来寻找破解的蛛丝马迹。
23
ＥLＧAMAL数字签名体制
ElＧamal算法既可用于数字签名，也可用于加密，其安全性依赖于计算有限域上离散对数的困难性上． ElＧamal数字签名体制是由Ｔ．ＥＬＧamal于１９８５年提出的，其变体已经使用于ＤＳＳ中,ElＧamal数字签名体制是Ｒabin签名体制的变形，也是使用了随机数，称为随机化的数签名．ＡＮＳＬＸ９３０－１９９Ｘ已经将ElＧamal数字签名体制采纳为签名的标准算法．
2020/5/22
10
算法描述
• 参数选择
(1)令p, q是两个素数, n pq
(2)随机选择e,满足 1 e (n)，那么私钥就
是（e,n)
(3)计算 d : ed = 1mod(n) ,私钥就是（d,n).
2020/5/22
11
签名过程（１）计算消息的散列值Ｈ（Ｍ）．
（２）加密散列值：s (H (M ))d mod n
2020/5/22
16
(3)时间攻击：通过观察解密算法运行的时间来达到目的。
其中抵抗蛮力攻击的方法，与其他加密系统是一致的——使用大的密钥空间，使穷举法无能为力。因此e和d位数的长度应该与实际应用系统有综合的权衡。
2020/5/22
17
因子分解问题
从因子分解问题着手的使用数学手段攻击RSA的方法可以区分为如下三类：（1）将n分解为两个素因子。这就是要计算
由于攻击者不知道用户私钥Ｘ，所以要伪造用户签名，需要先选取定一个r(或s)，然后实验求取另外一个值s(或r)．都属于求解离散对数问题. ２．已经知道明文密文对的攻击攻击者知道（r,s)是消息Ｍ的合法签字．那么攻击者可以先择整数h,i,j，计算：
r / r h yi mod p
s / s(hr js)1 mod( p 1)
(n) ( p ，1)然(p后可1以) 确定d。
（2）在不确定p和q的情况下，而直接确定(n。) 当
然同样可以计算 d = e 1 mo。d (n)
（3）在不确定(n的) 情况下，直接确定d。
2020/5/22
18
目前大部分RSA密码分析的讨论都集中于对
n进行素因子分解。给定n去确定，(n就) 等
M
|| M
h
Ekus (h(M ))
比较
hE
D
2020/5/22
kus
kup
14
举例
(1)选择素数p=5,q=11；n=pq=55(n,) = ( p -1)(q -1) = 40
(2)选择私钥e=3,由ed 1mod(n)计算私钥d=27
假设消息M=19 (3)签名生成：c = md modn = 1927 mod55 = 24 (4)签名验证： m = ce modn = 243 mod55 = 19
h(m) xs krmod(p 1)
g H (M ) (g x )s r r mod p
s
r H( M)
r
s xr kH(M ) mod(p 1) g s (g x )r r H (M ) mod p
s xH (M ) krmod(p 1) g s (g x )H(M ) r r mod p
本签名体制中，要签字的消息空间为 z* p
，签名结果的值空间为
z
p
。z p1
2020/5/22
26
签名生成
给定要签名的消息为Ｍ，签名过程如下所述． (1)生成一个随机数 k, k z* p (2)计算 r : r g x mod p.