DSS数字签名标准学习报告.docx

1、DSS数字签名标准学习报告DSS数字签名标准学习报告 篇一：数字签名方案的实现 数字签名方案的实现 欧家权、应用数学、2111011451 一：数字签名的背景 随着信息、电子技术的迅速发展，全球己步入信息社会。由于整个社会将形成一个巨大的计算机网络，任何部门的计算机网络一旦出现安全问题，都会直接影响到整个国家的网络安全，所以计算机网络安全问题已引起了各国的高度重视。 随着我国信息化进程的加快，网络化将向各经济部门、政府机关、军队、学校和社会团体等方向延伸，先进的计算机系统能把整个社会乃至军队联结起来。计算机作为国家的关键基础设施和战略命脉，其安全状况直接影响到国家的安全和发展。加密技术是保证信

2、息安全的关键技术，其理论是信息安全的核心内容之一。密码学是一门古老而又年轻的学科，1949年以前，密码学是一种艺术而并不是作为一门严格的科学存在。1949年shannon发表的“保密系统的信息理论”一文为私钥密码系统建立了理论基础，从此密码学成为了一门科学。而1976年Diffie和Hellman2的“密码学的新方向”则开创了公钥密码学的新纪元。 目前的数据加密、数字签名、消息认证等技术都是以密码技术作为基础设计出来的。随着信息化的高速发展，密码学理论的研究和应用越来越受到重视。数字签名的概念由Diffie和Hellman提出，是现代密码学最重要最基本的概念之一。数字签名的设计思想等同于手写签

3、名，即将签名者的身份与其签署的消息绑定，表示某人已对某消息进行了签字。任何的验证者均能验证消息确实为签名者所签署，而伪造一个合法用户的签名却是困难的。数字签名是实现数字通信中可认证性、完整性和不可否认性的重要密码技术，是应用最为广泛的公钥密码技术之一。 综上所述，数字签名的应用范围相当广泛，而数字签名最重要的应用之一就是数字版权管理系统的应用。随着网络和数字技术的快速发展，以数字形式存在的产品在人们的日常工作、学习和生活中占据越来越重要的地位。这些数字产品包括:电影、音乐、图片、电视、软件、书籍、期刊等，我们通称之为数字内容。数字内容通常都是有版权的，版权所有者销售数字内容并希望获得最大的经济

4、收益。然而，数字内容的数字特性在为合法的用户提供存储、传输、处理等便利性的同时，也为盗版者的盗版行为提供了捷径。如果不采取有效的措施，盗版者就可以将数字内容精确复制并通过互联网络传播，版权所有者的利益将受到严重的侵害。 如何通过技术手段来保护数字内容的版权己成为近年来工业界和学术界研究的热点问题，许多开放的或专有的数字内容保护系统被提出来并得到不同程度的应用。数字内容保护技术是对各类数字内容的知识产权进行保护的一系列软硬件技术，合理地使用这些技术能够有效平衡数字内容价值链中各参与方的利益和需求，带动数字内容制作、消费电子和信息技术等产业的发展，并有助于开展新的商业模式，促进整个数字内容市场的发

5、展和信息的传播，具有广泛的经济和社会意义。 因此，基于数字签名技术与数字版权保护技术的特点与共性，研究数字签名理论在数字版权管理系统中的应用是一个很有意义的课题，本文将在对数字签名进行研究的基础上，将数字签名的技术与数字版权管理系统进行有机结合，使数字签名理论能为数字版权的保护作出贡献。 2000年6月30日，美国克林顿总统用数字签名和手写签名两种方式正式签署、在线购物和金融交易等都有可能受到影响。 在国际密码学会议上，研究人员宣布，他们发现了破解数种Hash算法的方法，其中包括MD4，MDS，NAVAL一128，RIPEMD。这些都是常搭配数字签名使用的算法。分析表明，SHAI的减弱条件的变

6、种算法可能被破解，但完整的SHAI并没有被破解，也没有找到SHAI的碰撞。研究结果说明，SHAI的安全性暂时没有问题，但随着技术的进步，也面临着危险。随着数字签名与普通签名有同等效力的法规出台，数字签名技术的研究与应用将进入一个新的阶段。随着电子政务、电子商务等应用的普及和认识的提高，人们对数字签名本身的安全要求也在不断提高。对己有签名方案的安全分析和攻击将不断升级，密码学中各种算法的安全性将面临严峻的考验。另一方面，需要依靠数字签名技术的网络应用呈快速增长的趋势。例如:2004年的美国总统大选已开始部分采用网上投票，据称，世界上搞网上投票和电子投票的不止美国一家，瑞士、英国也己开始尝试这种新

7、的投票方法。随着信息化的发展，我国信息安全技术的研究和产业已受到党和国家的高度重视，江泽民总书记曾明确指出:“信息和网络安全关系国家安全”。信息安全的地位越来越高，越来越引起政府的重视，投入上也越来越大。 在军事上，信息战这种新型作战模式的出现被视为是一次军事革命，今后的战争中决定胜负的因素不再仅仅是炸药、飞机和大炮，信息将成为一种重要的克敌制胜的武器。目前这种新型战争的各项准备工作各国都在高速进行，而这主要取决于计算机硬件、软件、网络通信技术的发展水平。数字签名技术由于其能有效地防止信息的伪造、确定信息的来源和判断信息是否完整等能力，使其在信息战中有着极其重要的作用。 数字签名的特性使得数字

8、签名在运用到数字版权管理系统的协议中能起到重要的作用。现今对数字产品的版权保护的主要技术是数字水印技术，数字水印算法己经有了较大发展，能够应用于所有网络上的数字媒体，抗攻击性和可用性也正在提高。目前，有些系统己经开始尝试将数字水印算法用于数字媒体的版权保护过程中。但是我们应该看到，在开放环境下，密码算法的安全性和安全协议的安全性是保障 信息安全的两个基本方面。在开放环境下若要保护数字版权，使用数字水印算法来保证版权的安全性固然很重要，但也必须考虑到版权保护过程中所采用协议的安全性。当攻击者转向攻击协议而不是数字水印算法本身时，如果协议本身存在安全漏洞，则整个系统就起不到真正保护数字版权的作用。

9、1883年，AugusteKerckhoffS3阐述了第一个密码系统的设计准则，他在该准则中建议:我们应该假设对手知道加密数据的方法，数据的安全性必须仅依赖密钥的选择。像商用的密码算法和协议那样，为了使数字版权管理系统在开放环境下能起到版权保护作用，系统的设计必须遵守KerCkhoffS准则。显然，通过引入完备的安全协议，可以最大限度的防范攻击者对整个系统的破坏。随着数字化信息应用的普及，数字版权保护安全协议的研究必将会成为一个新的研究热点。 二：数字签名的原理 数字签名具备的特征 数字签名类似于数字化的手写签名, 但它们又不完全相同. 数字签名与单独的数据, 如签名的合同或电子邮件有关. 数

10、字化的手写签名也是为了完成相同的工作, 但是它却无法引用待签的文档. 强迫进行数字化的手写签名比强迫进行数字签名容易的多: 只需从另一个文档拷贝签名即可. 数字签名通常提供更高 的安全度, 因为它们与签名的文档相关, 而且如果无法读取所使用的密钥, 就很难伪造签名. 由此, 数字签名要具备以下特征: 签名不能被伪造; 签发方签过名后不能对签发文件的事实进行抵赖和否认; 信息发出后, 任何人不能对其进行篡改; 若双方关于签名发生纠纷, 可以给第三方仲裁机构提供用于仲裁的证据。 数字签名的原理 数字签名的基础是密码技术, 目前较多使用公钥加密技术, 如基于RSA Date Secu rity 公司

11、的PKCS、DSA 、PGP 等. 在1994 年美国标准与技术协会公布了数字签名标准 后, 公钥加密技术在数字签名中的应用更为广泛.公钥加密系统使用密钥对公钥和私钥来加密和解密信息. 用户可以公布其公钥, 公钥的公布不会损害系统的保密性. 而私钥只有密钥对的所有者才知道, 从而可把私钥作为其所有者的身份特征. 发送者A 用其私钥S KA 对文件X 进行加密, 结果D S KA 传送给接收者B. B 用已知的A 的公钥P KA 解密得出E PKA ) = X . 由于除A 外无人具有A 的私钥S KA , 所以除A 外没有别人能产生密文D S KA , 也就唯一标识了A 的身份. 若A 要抵赖

12、曾发送文件给B,B 可将X 及D S KA 出示给第三者. 第三者很容易用P KA 去证实A 确实发送文件X给B. 反之, 若B 将X 伪造为X , 则B 不能在第三者前出示D S KA , 就证明B 伪造了报文. 这样就实现了数字签名.为了保证传输的数据不被篡改, 在现有的数字签名方案中, 通常以单向函数 作用于文件, 产生固定长度的二进制作为信息摘要, 再将信息摘要用公钥加密作为签名与文件一起发送. 由于采用单向函数, 给定一个篇二：第6章 数字签名 第6章 数字签名 第五章介绍的公钥密码体制不仅能够有效解决密钥管理问题，而且能够实现数字签名（Digital Signature），提供数据

13、来源的真实性、数据内容的完整性、签名者的不可否认性以及匿名性等信息安全相关的服务和保障。数字签名对网络通信的安全以及各种用途的电子交易系统（如电子商务、电子政务、电子出版、网络学习、远程医疗等）的成功实现具有重要作用。本章简要介绍数字签名的基本原理，重点给出常用的RSA签名、Rabin签名、ElGamal签名等数字签名体制，以及数字签名标准DSS。 数字签名的基本原理 数字签名的基本概念 第四章讨论的Hash函数和消息认证码能够帮助合法通信的双方不受来自系统外部的第三方攻击和破坏，但却无法防止系统内通信双方之间的互相抵赖和欺骗。当Alice和Bob进行通信并使用消息认证码提供数据完整性保护，一

14、方面Alice确实向Bob发送消息并附加了用双方共享密钥生成的消息认证码，但随后Alice否认曾经发送了这条消息，因为Bob完全有能力生成同样消息及消息认证码；另一方面，Bob也有能力伪造一个消息及认证码并声称此消息来自Alice。如果通信的过程没有第三方参与的话，这样的局面是难以仲裁的。因此，安全的通信仅有消息完整性认证是不够的，还需要有能够防止通信双方相互作弊的安全机制，数字签名技术正好能够满足这一需求。 在人们的日常生活中，为了表达事件的真实性并使文件核准、生效，常常需要当事人在相关的纸质文件上手书签字或盖上表示自己身份的印章。在数字化和网络化的今天，大量的社会活动正在逐步实现电子化和无

15、纸化，活动参与者主要是在计算机及其网络上执行活动过程，因而传统的手书签名和印章已经不能满足新形势下的需求，在这种背景下，以公钥密码理论为支撑的数字签名技术应运而生。 数字签名是对以数字形式存储的消息进行某种处理，产生一种类似于传统手书签名功效的信息处理过程。它通常将某个算法作用于需要签名的消息，生成一种带有操作者身份信息的编码。通常我们将执行数字签名的实体称为签名者，所使用的算法称为签名算法，签名操作生成的编码称为签名者对该消息的数字签名。消息连同其数字签名能够在网络上传输，可以通过一个验证算法来验证签名的真伪以及识别相应的签名者。 类似于手书签名，数字签名至少应该满足三个基本要求： 签名者任

16、何时候都无法否认自己曾经签发的数字签名； 收信者能够验证和确认收到的数字签名，但任何人都无法伪造别人的数字签名； 当各方对数字签名的真伪产生争议时，通过仲裁机构（可信的第三方）进行裁决。 数字签名与手书签名也存在许多差异，大体上可以概括为： 手书签名与被签文件在物理上是一个整体，不可分离；数字签名与被签名的消息是可以互相分离的比特串，因此需要通过某种方法将数字签名与对应的被签消息绑定在一起。 在验证签名时，手书签名是通过物理比对，即将需要验证的手书签名与一个已经被证实的手书签名副本进行比较，来判断其真伪。验证手书签名的操作也需要一定的技巧，甚至需要经过专门训练的人员和机构（如公安部门的笔迹鉴定

17、中心）来执行。而数字签名却能够通过一个严密的验证算法准确地被验证，并且任何人都可以借助这个公开的验证算法来验证一个数字签名的真伪。安全的数字签名方案还能够杜绝伪造数字签名的可能性。 手书签名是手写的，会因人而异，它的复制品很容易与原件区分开来，从而容易确认复制品是无效的；数字签名的拷贝与其原件是完全相同的二进制比特串，或者说是两个相同的数值，不能区分谁是原件，谁是复制品。因此，我们必须采取有效的措施来防止一个带有数字签名的消息被重复使用。比如，Alice向Bob签发了一个带有他的数字签名的数字支票，允许Bob从Alice的银行账户上支取一笔现金，那么这个数字支票必须是不能重复使用的，即Bob只

18、能从Alice的账户上支取指定金额的现金一次，否则Alice的账户很快就会一无所有，这个结局是Alice不愿意看到的。 从上面的对比可以看出，数字签名必须能够实现与手书签名同等的甚至更强的功能。为了达到这个目的，签名者必须向验证者提供足够多的非保密信息，以便验证者能够确认签名者的数字签名；但签名者又不能泄露任何用于产生数字签名的机密信息，以防止他人伪造他的数字签名。因此，签名算法必须能够提供签名者用于签名的机密信息与验证者用于验证签名的公开信息，但二者的交叉不能太多，联系也不能太直观，从公开的验证信息不能轻易地推测出用于产生数字签名的机密信息。这是对签名算法的基本要求之一。 一个数字签名体制一

19、般包含两个组成部分，即签名算法（Signature Algorithm）和验证算法（Verificaton Algorithm）。签名算法用于对消息产生数字签名，它通常受一个签名密钥的控制，签名算法或者签名密钥是保密的，由签名者掌握；验证算法用于对消息的数字签名进行验证，根据签名是否有效验证算法能够给出该签名为“真”或者“假”的结论。验证算法通常也受一个验证密钥的控制，但验证算法和验证密钥应当是公开的，以便需要验证签名的人能够方便地验证。 数字签名体制（Signature Algorithm System）是一个满足下列条件的五元组 ? ? ? ? M代表消息空间，它是某个字母表中所有串的集合

20、； S代表签名空间，它是所有可能的数字签名构成的集合； K代表密钥空间，它是所有可能的签名密钥和验证密钥对构成的集合； SIG是签名算法，VER是验证算法。对于任意的一个密钥对?K，对于每一个消息m?M和签名s?S，签名变换SIG：M?Ksk?S和验证变换VER：M?S ?Kvk?true,false?是满足下列条件的函数：VERvk?true falses?SIGsk s?SIGsk 由上面的定义可以看出，数字签名算法与公钥加密算法在某些方面具有类似的性质，甚至在某些具体的签名体制中，二者的联系十分紧密，但是从根本上来讲，它们之间还是有本质的不同。比如对消息的加解密一般是一次性的，只要在消息

21、解密之前是安全的就行了；而被签名的消息可能是一个具体法定效用的文件，如合同等，很可能在消息被签名多年以后才需要验证它的数字签名，而且可能需要多次重复验证此签名。因此，签名的安全性和防伪造的要求应更高一些，而且要求签名验证速度比签名生成速度还要快一些，特别是联机的在线实时验证。 数字签名的特性 综合数字签名应当满足的基本要求，数字签名应具备一些基本特性，这些特性可以分为功能特性和安全特性两大方面，分别描述如下： 数字签名的功能特性是指为了使数字签名能够实现我们需要的功能要求而应具备的一些特性，这类特性主要包括： 依赖性。数字签名必须依赖于被签名消息的具体比特模式，不同的消息具有不同的比特模式，因

22、而通过签名算法生成的数字签名也应当是互不相同的。也就是说一个数字签名与被签消息是紧密相关、不可分割的，离开被签消息，签名不再具有任何效用。 独特性。数字签名必须是根据签名者拥有的独特信息来产生，包含了能够代表签名者特有身份的关键信息。惟有这样，签名才不可伪造，也不能被签名者否认。 可验证性。数字签名必须是可验证的，通过验证算法能够确切地验证一个数字签名的真伪。 不可伪造性。伪造一个签名者的数字签名不仅在计算上不可行，而且希望通过重用或者拼接的方法伪造签名也是行不通的。比如希望把一个签名者在过去某个时间对一个消息的签名用来作为该签名者在另一时间对另一消息的签名，或者希望将签名者对多个消息的多个签

23、名组合成对另一消息的签名，都是不可行的。 可用性。数字签名的生成、验证和识别的处理过程必须相对简单，能够在普通的设备上快速完成，甚至可以在线处理，签名的结果可以存储和备份。 除了上述功能特性之外，数字签名还应当具备一定的安全特性，以确保它提供的功能是安全的，能够满足我们的安全需求，实现预期的安全保障。上面的不可伪造性也可以看作是安全特性的一个方面，除此之外，数字签名至少还应当具备如下安全特性： 单向性。类似于公钥加密算法，数字签名算法也应当是一个单向函数，即对于给定的数字签名算法，签名者使用自己的签名密钥sk对消息m进行数字签名是计算上容易的，但给定一个消息m和它的一个数字签名s，希望推导出签

24、名者的签名密钥sk是计算上不可行的。 无碰撞性。即对于任意两个不同的消息m?m?，它们在同一个签名密钥下的数字签名SIGsk?SIGsk相等的概率是可以忽略的。 无关性。即对于两个不同的消息m?m?，无论m与m?存在什么样的内在联系，希望从某个签名者对其中一个消息的签名推导出对另一个消息的签名是不可能的。 数字签名算法的这些安全特性从根本上消除了成功伪造数字签名的可能性，使一个签名者针对某个消息产生的数字签名与被签消息的搭配是唯一确定的，不可篡改，也不可伪造。生成数字签名的唯一途径是将签名算法和签名密钥作用于被签消息，除此之外别无它法。 数字签名的实现方法 现在的数字签名方案大多是基于某个公钥

25、密码算法构造出来的。这是因为在公钥密码体制里，每一个合法实体都有一个专用的公私钥对，其中的公开密钥是对外公开的，可以通过一定的途径去查询；而私有密钥是对外保密的，只有拥有者自己知晓，可以通过公开密钥验证其真实性，因此私有密钥与其持有人的身份一一对应，可以看作是其持有人的一种身份标识。恰当地应用发信方私有密钥对消息进行处理，可以使收信方能够确信收到的消息确实来自其声称的发信者，同时发信者也不能对自己发出的消息予以否认，即实现了消息认证和数字签名的功能。图6-1给出公钥算法用于消息认证和数字签名的基本原理。图6-1 基于公钥密码的数字签名体制 在图6-1中，发信方Alice用自己的私有密钥skA加

26、密消息m，任何人都可以轻易获得Alice的公开秘密pkA，然后解开密文c，因此这里的消息加密起不了信息保密的作用。可以从另一个角度来认识这种不保密的私钥加密，由于用私钥产生的密文只能由对应的公钥来解密，根据公私钥一一对应的性质，别人不可能知道Alice的私钥，如果收信方Bob能够用Alice的公钥正确地还原明文，表明这个密文一定是Alice用自己的私钥生成的，因此Bob可以确信收到的消息确实来自Alice，同时Alice也不能否认这个消息是自己发送的；另一方面，在不知道发信者私钥的情况下不可能篡改消息的内容，因此收信者还可以确信收到的消息在传输过程中没有被篡改，是完整的。也就是说，图6-1表示

27、的这种公钥算法使用方式不仅能够证实消息来源和发信者身份的真实性，还能保证消息的完整性，即实现了前面所说的数字签名和消息认证的效果。在上述认证方案中，虽然传送的消息不能被篡改，但却很容易被窃听，因为任何人都可以轻易取得发信者的公钥来解密消息。为了同时实现保密和认证的能力，可以将发信方的私钥加密和收信方的公钥加密结合起来，进行双重加解密，如图6-2所示。图6-2基于公钥密码的加密和签名体制 在图6-2中，发信方Alice先用自己的私钥skA加密待发送消息，对消息做签名处理，然后再用对方Bob的公钥pkB对签名后的消息加密，以达到保密的目的；收信方Bob收到消息后先用自己的私钥skB解密消息，再用对

28、方Alice的公钥pkA验证签名，只有签名通过验证的消息，收信者才会接受，其中z?EskA，c?EpkB?EpkB)。 也许有人会想象改变图6-2中发信方Alice对消息双重“加密”的顺序，即先使用Bob的公钥pkB加密，再使用Alice的私钥skA签名，然后将收信方Bob解密的顺序也做相应修改。这样做，似乎同样可以实现消息的保密性和认证性，但是如果真的按这样的顺序来处理的话，可能会有很大的安全隐患。这是因为在这种先加密后签名的方案中，发信方产生的密文，也就是在信道上传输的密文是c?EskA)，任何人（不妨说是Oscar）都可以用 Alice的公钥pkA来解密c得到EpkB，然后再用自己的私钥

29、skX来加密EpkB产生EskX)，并仍然发送给Bob，那么Bob就会以为他收到的消息来自Oscar（而不是 Alice），接下来Bob就会将原本要发送给Alice的消息转而发送给Oscar。也就是说，这种先加密后签名的方案允许任何用户Oscar伪装成合法用户Alice，并假冒Alice行事。这是一个很大的安全漏洞，因此不能简单地采用这样的处理顺序。当然，这样的处理顺序也有一个优点，那就是如果收信方发现收到的消息不能通过签名验证，就不用再对其解密了，因而减少了运算量，但这点优势明显抵不上它的安全隐患。 在实际应用中，对消息进行数字签名，可以选择对分组后的原始消息直接签名，但考虑篇三：现代密码学

30、-第6章数字签名习题与解答-20091202 第6章 数字签名 习题及参考答案 （注意：由于本章习题数字较大，所以需要调用大数库进行计算。但由于期末考试题中的数字都是较小的数，且要求手算，所以希望大家参考书中例题和习题的题型 代入一些2、3位的数进行手算练习） 1. 对于RSA数字签名体制，假设 p=839，q=983，N=pq=824737。已知私钥d=132111，计算公钥e和对消息m=23547的签名。 解：由RSA签名体制可以得 e=d-1mod=132111-1mod882916=26959， 对消息m的签名为 s= md modN=23547132111mod824737=2667

31、49。 2. 对于RSA数字签名体制，假设模N=824737，公钥e=26959。 已知消息m的签名是 s=8798，求消息m。 数据对=是有效的消息?签名对吗？ 已知两个有效的消息?签名对 = 与 = ，求mm的签名。 解： 由公式可得：m = semodN = 879826959mod824737 = 123456 因为m= semodN = 36631426959mod824737 = 167058 = m，所以是有效的消息?签名对。 mm的签名为：y = dmodN = ssmodN = 4455587229149mod824737 = 75915。 3. 在ElGamal数字签名体制中，假设p=19，g=13。如果签名者A选取的私钥为x=10，试计算公钥。设签名者A要对消息M=15进行签名，且选取随机数k=11，求签名者A对M=15的签名。并验证该数字签名的有效性。 解：计算公钥：y=gxmodp=1310mod19=6， 计算签名：r=gkmodp=1311mod19=2， s=k-1mod=*11-1mod18=11， 所以得签名为： = 。 验证：因为yr*rsmodp= 62*211mod19= 8 = gmmodp=1315mod19=8，所以签名有效。 4. 假设签名者A利用ElGamal数字签名体制对