当前位置：首页 > java >正文

【密码学】7. 数字签名

java 2025/8/12 10:02:20

数字签名

核心特性
- 不可伪造性：仅签名者能生成合法签名，他人无法伪造。
- 认证性：接收者可确认签名来自签名者。
- 不可重复使用性：一个消息的签名不能用于其他消息。
- 不可修改性：消息签名后无法被篡改。
- 不可否认性：签名者事后不能否认自己的签名。
签名体制组成
- 签名算法：输入消息 $m$ 和密钥 $k$ ，输出签名 $s = Sig_k(m)$ 。
- 验证算法：输入消息 $m$ 和签名 $s$ ，输出 “真” 或 “伪”（ $V er (m, s)$ ）。
- 安全性基础：从 $m$ 和 $s$ 难以推出密钥 $k$ ，或伪造可验证的消息 - 签名对。
分类方式
- 按用途：普通数字签名、特殊用途签名（盲签名、不可否认签名、群签名、代理签名等）。
- 按消息恢复功能：具有消息恢复功能、不具有消息恢复功能。
- 按随机数使用：确定性数字签名、随机化数字签名。

参数与密钥生成
- 选两个保密大素数 $p$ 和 $q$ ，计算 $n = pq$ ，欧拉函数 $φ (n) = (p - 1) (q - 1)$ 。
- 随机选 $e$ （ $1 < e < φ (n)$ 且 $g c d (e, φ (n)) = 1$ ），计算 $d$ 满足 $d e \equiv 1 m o d φ (n)$ 。
- 公钥为 $(e, n)$ ，私钥为 $d$ 。
签名与验证
- 签名：对消息 $m \in Z_{n}$ ， $s = Sig_k(m) = m^d mod n$ 。
- 验证：若 $m = s^e mod n$ ，则签名有效。
缺陷
- 伪造随机消息签名：选 $s$ ，计算 $m = s^e mod n$ ，则 $s$ 是 $m$ 的伪造签名。
- 对消息组合脆弱：若 $m_1$ 的签名为 $s_1$ ， $m_2$ 的签名为 $s_2$ ，则 $m_1m_2$ 的伪造签名为 $s_1s_2 mod n$ （因 $m_1m_2)^d = m_1^dm_2^d mod n$ ）。
- 消息长度限制：仅能对 $log_2n$ 位消息签名，长消息需分组，导致签名变长、运算量增加。
改进方法
- 对消息的 Hash 值签名：签名 $s = h(m)^d mod n$ ，验证时检查 $h(m) = s^e mod n$ （ $h$ 为 Hash 函数）。

参数与密钥生成
- 选大素数 $p$ ， $g$ 为 $Z_p*$ 的本原元（ $p$ 和 $g$ 公开）。
- 随机选 $x$ （ $1 \leq x \leq p - 2$ ），计算 $y = g^x mod p$ 。
- 公钥为 $y$ ，私钥为 $x$ 。
签名与验证
- 签名：对消息 $m$ ，随机选 $k$ （ $1 \leq k \leq p - 2$ ），计算 $r = g^k mod p$ ， $s = (h(m) - xr)k^{-1} mod (p-1)$ （ $h$ 为 Hash 函数），签名为 $(r, s)$ 。
- 验证：若 $y^r * r^s ≡ g^{h(m)} mod p$ ，则签名有效。

参数与密钥生成
- $p$ ： $L$ 位素数（ $512 \leq L \leq 1024$ ， $L$ 是 64 的倍数）， $q$ ：160 位素数且 $q ∣ (p - 1)$ 。
- 选 $h$ （ $1 < h < p - 1$ ），计算 $h^{(p-1) \over q} mod p$ （ $g$ 为生成元）。
- 随机选 $x$ （ $0 < x < q$ ），计算 $y = g^x mod p$ 。
- 公开参数 $p, q, g$ ，公钥 $y$ ，私钥 $x$ 。
签名与验证
- 签名：对消息 $m$ ，随机选 $k$ （ $0 < k < q$ ），计算 $r = (g^k mod p) mod q$ ， $s = k^{-1}(h(m) + xr) mod q$ （ $h$ 为 SHA-1），签名为 $(r, s)$ 。
- 验证：计算 $w = s^{-1} mod q$ ， $u_{1} = h (m) w m o d q$ ， $u_{2} = r w m o d q$ ， $v = (g^{u_1} * y^{u_2} mod p) mod q$ ，若 $v = r$ ，则签名有效。

离散对数签名方案（通用框架）
- 参数：大素数 $p$ ， $q$ 为 $p - 1$ 的大素因子， $g \in Z_{p} *$ 且 $g^q ≡ 1 mod p$ ；私钥 $x$ （ $1 < x < q$ ），公钥 $y = g^x mod p$ 。
- 签名：计算 $h (m)$ ，选 $k$ （ $1 < k < q$ ），得 $r = g^k mod p$ ，从 $ak \equiv (b + c x) m o d q$ 解 $s$ （ $a, b, c$ 为参数，如 $a = r, b = h (m), c = - r$ ），签名为 $(r, s)$ 。
- 验证：检查 $r^a ≡ g^b * y^c mod p$ 。
Schnorr 签名方案
- 参数： $p ≥ 2^{512}$ （素数）， $q ≥ 2^{160}$ （素数且 $q ∣ p - 1$ ）， $g \in Z_{p} *$ 且 $g^q ≡ 1 mod p$ ；私钥 $x$ ，公钥 $y = g^x mod p$ 。
- 签名：选 $k$ ，得 $r = g^k mod p$ ， $e = h (r, m)$ ， $s = (x e + k) m o d q$ ，签名为 $(e, s)$ 。
- 验证：计算 $r' = g^s * y^{-e} mod p$ ，若 $h (r^{'}, m) = e$ ，则有效。
Nyberg-Rueppel 签名方案
- 参数：同 Schnorr（ $p, q, g$ ，私钥 $x$ ，公钥 $y = g^x mod p$ ）。
- 签名：计算 $R (m)$ （冗余函数），选 $k$ ，得 $r = g^{-k} mod p$ ， $e = r * R (m) m o d p$ ， $s = (x e + k) m o d q$ ，签名为 $(e, s)$ 。
- 验证：检查 $0 < e < p$ 和 $0 \leq s < q$ ，计算 $v = g^s * y^e mod p$ ， $t = e * v^{-1} mod p$ ，若 $t \in R$ 的值域，则恢复 $m = R^{-1}(t)$ 。

Feige-Fiat-Shamir 签名方案
- 参数： $n = pq$ （ $p, q$ 为保密素数）， $k$ 为正整数；私钥 $x_1,..., x_k$ ，公钥 $y_i= x_i^{-2} mod n$ 。
- 签名：选 $r$ ，得 $u = r^{2} m o d n$ ， $e = h (m, u)$ （ $e_i ∈ {0,1}$ ）， $s = r * Πx_i^{e^i} mod n$ ，签名为 $(e, s)$ 。
- 验证：计算 $u' = s^2 * Πy_i^{e^i} mod n$ ，若 $h (m, u^{'}) = e$ ，则有效。
Guillou-Quisquater 签名方案
- 参数： $n = pq$ ， $k$ 满足 $g c d (k, (p - 1) (q - 1)) = 1$ ；私钥 $x$ ，公钥 $y = x^{-k} mod n$ 。
- 签名：选 $r$ ，得 $u = r^k mod n$ ， $e = h (m, u)$ ， $s = r * x^e mod n$ ，签名为 $(e, s)$ 。
- 验证：计算 $u' = s^k * y^e mod n$ ，若 $h (m, u^{'}) = e$ ，则有效。

群签名
- 特点：群体成员可代表群体签名，接收者用群公钥验证但不知具体签名者，争议时管理员可识别签名者。
- 组成：建立（生成群公钥 / 私钥）、加入（用户成为成员）、签名、验证、打开（识别签名者）。
- 性质：正确性、不可伪造性、匿名性、不可关联性、可跟踪性、可开脱性、抗联合攻击。
代理签名
- 组成：系统建立（参数和密钥）、签名权力委托、代理签名生成、代理签名验证。
盲签名
- 用途：匿名性场景（如电子投票、电子现金），签名者不知消息内容及签署对象。
- 步骤：消息盲化（用户用盲因子处理消息）、盲消息签名（签名者对盲化消息签名）、恢复签名（用户移除盲因子得真实签名）。