西安电子科技大学：《现代密码学》课程教学资源（PPT课件讲稿）第八章 数字签字和密码协议（其他签字方案、认证协议 Authentication Protocols、）

■数字签字的基本概念 ■数字签字标准 ■其他签字方案 ■认证协议 身份证明技术 其他密码协议 2021/2/21

2021/2/21 2 ◼ 数字签字的基本概念 ◼ 数字签字标准 ◼ 其他签字方案 ◼ 认证协议 ◼ 身份证明技术 ◼ 其他密码协议

其他签字方案 2021/2/21

2021/2/21 3 其他签字方案

Schnorr签字体制 体制参数 P,q:大亲数,q/p1。q是大于等于160bt的整数, P是大于等于512bt的整数,保证2中求解寓散对 教因准; g:Z冲中元素,且B=modp; X:用户密钥Kq; y:用户公钥 y=gx mod pc 消息变间M=2,签字变间S=2Xz;密钥安间 K=(P, g,g,x,yy=g mod pl 2021/2/21

2021/2/21 4 Schnorr签字体制 ◼ 体制参数 p, q：大素数，q|p-1。q是大于等于160 bits的整数， p是大于等于512 bits的整数，保证Zp中求解离散对 数困难； g：Zp *中元素，且g q1 mod p； x：用户密钥1<x<q； y：用户公钥yg x mod p。 消息空间M=Zp *，签字空间S=Zp *×Zq；密钥空间 K={(p,q,g,x,y): yg x mod p}

Schnorr签字体制 签字过程:令待签消息为M,对给定的 M做下述运算: (a)发用户任选一秘密随机数kezq (b)计算 S=k+ xe mod p 式中e=H|M 2()签字5=M=(e

2021/2/21 5 Schnorr签字体制 ◼ 签字过程：令待签消息为M，对给定的 M做下述运算： (a) 发用户任选一秘密随机数kZq (b) 计算 rg k mod p sk＋xe mod p 式中 e=H(r||M) (c) 签字S=Sigk (M)=(e,s)

Schnorr签字体制 验证过程:收信人收到峭息M及签字S=(e, 后 (a)计算门≡ y mod p而后计算{(M。 (b)验证Ver(M,r,$冷HM=e 因为,若(|l是M的合法签字,则有 8ye=°=s= r mod p 2021/2/21 6

2021/2/21 6 Schnorr签字体制 验证过程：收信人收到消息M及签字S=(e,s) 后 (a) 计算r’g sy e mod p 而后计算H(r’||M)。 (b) 验证 Ver(M, r, s)  H(r’||M)=e 因为，若(e||s)是M的合法签字，则有 g sy eg k-xeg xeg kr mod p

Schnorr签字体制 Schnorr签字与 EIGamal签字的不同点 在 ElGamal体制中,日为Z的本原元素;而 在 Schnorr体制中,日为2p中子集2q的本原元 素,它不是Z的本原元素。显然 ElGamal的安 全性要高于 Schnorr o Schnorr的签字较短,由|q及|H(M|决定。 在 School签字中,r=modp可以预先计 算,k与M无关,因而签字只需一次modq乘法 及减法。所需计算量少,速度快。 2021/2/21

2021/2/21 7 Schnorr签字体制 Schnorr签字与ElGamal签字的不同点： 在ElGamal体制中，g为Z*p的本原元素；而 在Schnorr体制中，g为Zp *中子集Zq *的本原元 素，它不是Zp *的本原元素。显然ElGamal的安 全性要高于Schnorr。 Schnorr的签字较短，由|q|及|H(M)|决定。 在Schnorr签字中，r=g k mod p可以预先计 算，k与M无关，因而签字只需一次mod q乘法 及减法。所需计算量少，速度快

认证协议 Authentication protocols 2021/2/21

2021/2/21 8 认证协议 Authentication Protocols

相互认证 A,B双方在建立共享密钥肘需要考虑保 密性和实时性。 保密性:会话密钥应以密文传送,因此 双方应事先共享密钥或者使用公钥 ■实性:防止重放 序列号方法 ■询问一应答 2021/2/21

2021/2/21 9 相互认证 ◼ A，B双方在建立共享密钥时需要考虑保 密性和实时性。 ◼ 保密性：会话密钥应以密文传送，因此 双方应事先共享密钥或者使用公钥 ◼ 实时性:防止重放 ◼ 序列号方法 ◼ 时戳 ◼ 询问－应答

序列号方法 对交换的每一条消息加上序列号,序列 号正确才被接收 要求每个用户分别记录与其他每一用户 交互的序列号,增加用户负担,因而很 少使用 2021/2/21

2021/2/21 10 序列号方法 ◼ 对交换的每一条消息加上序列号，序列 号正确才被接收 ◼ 要求每个用户分别记录与其他每一用户 交互的序列号，增加用户负担，因而很 少使用

时戳法 A收到逍息中包含时戳,且A看来这一时 戳充分接近自己的当前附刻,A才认为收 到的消息是新的并接收 要求各方射间同步 2021/2/21

2021/2/21 11 时戳法 ◼ A收到消息中包含时戳，且A看来这一时 戳充分接近自己的当前时刻，A才认为收 到的消息是新的并接收 ◼ 要求各方时间同步