区块链与密码学第6-2讲:经典数字签名算法—RSA数字签名算法

Posted Dig Quant

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了区块链与密码学第6-2讲:经典数字签名算法—RSA数字签名算法相关的知识,希望对你有一定的参考价值。

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网,版权归属其原作者所有,如有侵权请立即与我们联系,我们将及时处理。】

6.2 RSA数字签名法

数字签名一般利用公钥密码技术来实现,其中私钥用来签名,公钥用来验证签名。比较典型的数字签名方案有:

RSA签名算法(R. L. Rivest, A. Shamir, and L. M. Adleman, 1978) 

ElGamal 签名算法(T. ElGamal, 1985) 

Schnorr签名算法(C. P. Schnorr, 1989) 

DSS签名算法(NIST, 1991)

基于RSA公钥体制的签名方案通常称为RSA数字签名方案。RSA签名体制的基本算法如下:

密钥的生成(与加密系统一样):

公钥Pk=e,n;私钥Sk=d

签名过程d,n):

用户A对消息M∈Zn进行签名,计算:

并将S附在消息M

验证过程e,n):

给定(M,S),VerM,S)为真,则H(M)=Se(mod n)成立

RSA数字签名算法工作流程

假设RSA直接对消息进行签名

一般攻击:攻击者任选一个数据Y,用A的公钥计算X=Yemodn,于是便可以用Y伪造A对消息X的签名,因为:

实际意义不大:伪造的消息X具有实际意义的概率很小

Hash函数可以抵御这种攻击

利用已有签名进行攻击:如果消息M1、M2的签名分别是S1S2,则任何知道M1,S1,M2,S2的人可以伪造对消息M1M2的签名S1S2因为

用户不要轻易对其他用户提供的随机数据进行签名

更有效的方法:对数据的Hash值签名

利用签名获得明文:攻击者截获密文C=Memod n,选择随机数r,并计算:

然后攻击者设法让发送者对y签名,获得:

攻击者计算:

用户不要轻易对其他用户提供的随机数据进行签名

更有效的方法:对数据的Hash值签名

H(M)的另一个作用一加快签名速度

对整个消息签名,由于公钥体制速度比较慢,当消息比较长时,签名与验证过程都会相当慢

对消息的Hash值签名,则无论消息多长,签名都只与Hash值的长度有关

RSA算法比较慢,用私钥进行签名和公钥进行验证。因上述RSA签名算法沒有加入随机数,当出现重复性的原始资料,攻击者会通过相同签名信息而猜测出原文。应该怎么办呢?

PSS (Probabilistic Signature Scheme)私钥签名流程的一种填充模式。

目前主流的RSA签名包括RSA-PSS和RSA-PKCS#1 V1.5。

后者相对应PKCS (Public Key Cryptography Standards)是一种能够自我恢复签名,而PSS无法从签名中恢复原来的签名。

OpenSSL-1.1.x以后默认使用更安全的PSS的RSA签名模式。

 PSS算法的编码操作过程

RSA-PSS数字签名算法

密钥生成

生成一个模数n,一个公钥e和一个私钥d。

假设安全参数为k(nk比特的数),我们定义两个整数k0和k1并且满足:k0+k1≤k-1

然后我们定义两个哈希函数:一个扩展数据

 

,一个压缩数据

签名算法

为了对一个消息m进行签名,签名者执行以下步骤:

① 生成一个随机数

② 计算w=H(m||r)

③ 设置y=0||w||(G1(w)⊕r)||G2(w)

④ 计算s=ydmod n

⑤ 消息m的签名为s

验证算法

为了对一个消息m进行的签名s进行验证,验证者执行以下步骤:

① 计算y=semod n

② 将y分解成:

 ,其中b的长度为1比特,w的长度为k1比特,a的长度为k0比特,γ的长度为k-k0-k1-1比特

③ 计算r=aG1(w)

④ 当且仅当下列等式成立时,接受该签名:

 

今天的课程就到这里啦,下一堂课我们将介绍经典的数字签名算法—ElGamal数字签名算法,带大家继续了解数字签名,敬请期待!

-- 完 --

关注点宽学园,每周持续更新区块链系列课程,小宽带你进入区块链世界。我们下节课见啦。

【区块链与密码学】课堂回顾:

区块链与密码学系列文章合集

以上是关于区块链与密码学第6-2讲:经典数字签名算法—RSA数字签名算法的主要内容,如果未能解决你的问题,请参考以下文章

区块链与密码学第7-4讲:经典盲签名算法

区块链与密码学第7-3讲:经典盲签名算法

区块链与密码学第6-7讲:SM9数字签名算法

区块链与密码学第8-4讲:ZK环签名算法

区块链与密码学第6-3讲:数字签名算法大合集

区块链与密码学第6-6讲:基于身份的数字签名算法