(26)--6.1 定义与安全模型(1)密码学概论.ppt

第6章数字签名

6.1定义与安全模型

纸质文档：手写签名2024/5/15Introductiontocryptography2手写签名:Bob对一个文档完成手写签名后,人们就可以验证她的签名,并且其他人很难模仿她的签名.

Bob同意转账1元到Alice账户Bob同意转账1万元到Alice账户纸质时代：可验证的要求手写签名：签名相同

数字文档：签名相同不可行任何人都可以很容易把Bob的签名从一个文档转移到另外一个文档伪造签名。换句话说，可以容易地伪造签名。解决方法：签名绑定数字文档

2024/5/15Introductiontocryptography5数字签名(digitalsignature),也称电子签名,就是对电子文档利用数字手段进行签名,电子签名必须至少具备手写签名的两个性质,即可验证性与不可伪造性.数字文档：数字签名

2024/5/15Introductiontocryptography6！公钥密码体制可提供数字签名:用私钥d对文档签名，用公钥e对签名进行验证。

数字签名定义2024/5/15Introductiontocryptography7定义：一个数字签名方案SIG=(Gen,S,V)包括3个算法—Gen()：产生公钥与私钥(pk,sk)—S(sk,m)：利用私钥产生文档m的签名σ—V(pk,m,σ)：验证签名，输出“接收”或“拒绝”一致性要求:对所有的由Gen输出的(pk,sk),?m∈M:V(pk,m,S(sk,m))=‘accept’

2024/5/15Introductiontocryptography8安全模型(1)攻击目标完全攻破(totalbreak)：Oscar找到私钥d.泛伪造(universalforgery)：Oscar可以对任何文档产生合法的签名,即能通过验证算法的签名.选择性伪造(selectiveforgery):Oscar能以不可忽略的概率对另外某个人选择的文档产生一个合法的签名.存在性伪造(existentialforgery):Oscar至少能为一则文档签名.

2024/5/15Introductiontocryptography9(2)攻击类型唯密钥攻击(keyonlyattackKOA):Oscar只拥有Alice的公钥.已知消息攻击(knownmessageattackKMA):Oscar拥有一些消息与相应的Alice签名.选择消息攻击(chosenmessageattackCMA):Oscar可以请求Alice对他选择的任意消息签名.

2024/5/15Introductiontocryptography10！数字签名设计的最高安全要求是：设计的数字签名方案在选择消息攻击下不可存在性伪造（EUF-CMA）.

2024/5/15Introductiontocryptography11EUFSUFUUFUTBKOAKMACMA安全模型关系图

EUF-CMA对一个数字签名方案SIG=(Gen,S,V),定义如下游戏:定义:数字签名方案SIG=(Gen,S,V)被称为是安全的，若多项式时间敌手A赢得游戏的概率是可忽略的。

我们称敌手A赢得游戏，若V(pk,m,σ)=`accept’且m?{m1,…,mq}挑战者C敌手A(pk,sk)?Genm1?Mσ1?S(sk,m1)(m,σ)m2,…,mqσ2,…,σqpk