第10章数字签名

第10章数字签名内容摘要：

与 m无关的随机数，故 Schnorr系统在签名中只需一次乘法及减法 (模运算 )，比 EIGAMAL系统快很多。 因此，Schnorr数字签名方案特别适合于智能卡的应用。 群签名  一般说来，群签名方案由组、组成员（签名者）、签名接受者（签名验证者）和权威 (Authority)或GC(Group Center)组成，具有如下特点： (1)只有组中的合法用户才能对消息签名，并产生群签名； （ 2）签名的接收者能验证群签名的有效性； （ 3）签名的接收者不能辨认是谁的签名； (4)一旦发生争论，群签名的权威或组中所有成员的联合可以辨别出签名者。 KPW可变群签名方案 系统参数； 选择 n=pq=(2fp’+1)( 2fq’+1)， 这里的 p,q,f, p’和 q’为相异的大素数 ， g的阶为 f ,γ 和 d为整数 ， 且 γd=1modφ(n), gcd(γ, φ(n))=1， h为安全的 hash函数 ， IDG为 GC的身份消息。 签名组的公钥： (n, γ,g,f,h, IDG)， 签名组的私钥： (d, p’,q’)。 设 IDA为组成员 A的身份消息 ， A随机选取 sA∈ (0,f)并将消息 (IDA,gsA mod n)发送给 GC。 GC计算 xA=(IDG’)dmod n， 并将 xA秘密地传送给成员 A。 则 A的私有密钥： (xA,sA)。 签名算法：对于待签消息 m：组中成员 A随机选择整数 (r1,r2)， 计算 V= gr1r2γ mod n, e=h(V,m) 则群签名为 （ e,z1,z2） ， 其中 z1=r1+sAe(mod f),z2=r2xAe mod n 签名验证算法： e=h(V’,m), 这里的 V’= (IDG)egz1z2γ(mod n). 身份验证算法： gz1=(Vr2γ)(gsA)e mod n ， 其中 r2=z2xAe(mod n)  KPW可变群签名方案的安全性分析 （ 1）当 p’和 q’具有相同的比特位时，攻击者可以采用对参数n进行因子分解的方法。 分解 n=pq=(2fp’+1)( 2fq’+1)只需要 2 次整数乘法，这里的 │x│为 x的比特位数。 （ 2）在组中成员诚实的情况下，虽说权威能辨别出签名者签名。 可是当组中的成员伪造或共谋伪造时，仍能生成有效的签名。 设组中成员 A随机选取整数 a和 b,计算 sA=ab mod f 和 sA’= sA+ b mod f，将 (sA,sA’)作为 A的私钥 ,公钥为 yA= gsAmod n,yA’= gsA’ mod n ,从 GC处秘密地收到私钥 xA和 xA’，则有 gbd=xA(xA’)1 mod n , IDGd= xA( gbd)a mod n，于是可以得到 gd=( gbd)b1mod n。 对于任意的 sA,由于 A知道 IDGd 和 gd，故可算出私钥（ xA,sA） .对任意的消息，都可以产生有效的群签名，而权威无法辨认签名用户。 如果组中两成员共谋，利用上述方法同样可产生有效的群签名 ,而权威无法辨认签名用户。 239。 )( fp 多重数字签名方案  广播多重数字签名方案 （ Broadcasting Multisignature） 消息发送者 U U U 签名收集者 签名验证 者  有序多重数字签名方案 (Sequential Multisignature)  EIGAMAL有序多重数字签名方案 （ 1）系统初始化 （ 2）签名算法 签名者 Ui (i=2,…,n) 收到上一签名者发送的待签消息（ m，（ si1,ri1））（ s=0）后做如下的工作：首先随机选取 ki∈ [1,p1]，计算 ri=gkimodp， si=si1+m’xirikimodφ(p) 这里的 m’=h(m) ，最后将签名消息 (m,(si,ri))发给下一个签名者Ui+1，并将 ri发给。