專利名稱:基于rsa算法的前向安全數(shù)字簽名算法的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于通信技術(shù)領(lǐng)域,涉及網(wǎng)絡(luò)通信的安全問題�,應(yīng)用于網(wǎng)絡(luò)數(shù)字簽名����。
背景技術(shù):
在現(xiàn)實(shí)中,對數(shù)字簽名方案最大的威脅來自于(秘密或者說簽名)密鑰的泄露����。只 要使用知名的方案和足夠大的安全參數(shù)���,即使敵手能成功分析簽名方案�,其造成的威脅也 遠(yuǎn)不如密鑰泄露造成的威脅�����。然而一旦簽名者的秘密密鑰泄露�,敵手可以利用泄露的密鑰 偽造任何時(shí)間的簽名,整個(gè)方案的安全性將瓦解����。雖然數(shù)字簽名中可以附加時(shí)間戳��,然而這 個(gè)時(shí)間是秘密密鑰的使用者聲稱的,其安全性是建立在秘密密鑰的保密上的��,持有了秘密 密鑰的敵手一樣可以偽造時(shí)間戳。 通?�?紤]的解決密鑰泄露的方法是通過數(shù)個(gè)服務(wù)器經(jīng)由秘密的共享實(shí)現(xiàn)密鑰分 配�,密鑰分配有許多實(shí)例化的方案比如門限簽名方案等����。然而,使用密鑰分配的方式開銷相 當(dāng)大��,當(dāng)大企業(yè)或者證書權(quán)威組織能分配密鑰時(shí)����,只擁有一臺(tái)機(jī)器的普通用戶卻沒有這樣 的選擇�����。其他針對密鑰泄露的保護(hù)方法包括使用受保護(hù)的硬件或者smartcard等���,但這些 方法也往往是昂貴或不切實(shí)際的�。此外��,密鑰分配方案不一定能提供想象中的安全性��,比 如��,密鑰分配易受共模故障的影響因?yàn)樗袡C(jī)器使用相同的操作系統(tǒng)���,如果找出一個(gè)系統(tǒng) 的可能造成非法入侵的漏洞���,所有的機(jī)器都會(huì)受影響。 —般的數(shù)字簽名還有一個(gè)基本的限制如果一位簽名者的秘密密鑰已經(jīng)不安全 (泄露)了,則該簽名者(過去和未來的)的所有簽名都不可信了��,這樣的限制破壞了數(shù)字 簽名所應(yīng)該提供的不可否認(rèn)性��,對于某個(gè)惡意的簽名者來說�,最簡單的否認(rèn)其簽名(其可 能從中獲益)的方法就是將自己的秘密密鑰匿名地發(fā)送到互聯(lián)網(wǎng)上的某處并宣稱計(jì)算機(jī) 受到了入侵。 針對這樣的問題和限制��,R. Anderson首先于1997年在ACM CCS會(huì)議上提出了前 向安全數(shù)字簽名方案的概念��。隨后M. Bellare和S. Miner與1999年在Crypto99會(huì)議上發(fā) 表了"AForward-Secure Digital Signature Scheme����,,一文��,文中提出了數(shù)字簽名的前向安 全性的正式定義���,給出了可行的前向安全數(shù)字簽名方案——Bellare-Miner方案����,并給出了 衡量具體的前向安全性的方法��,可以說其奠定了前向安全數(shù)字簽名研究的基礎(chǔ)�。
直觀上來說��,前向安全的特性是指對于一個(gè)數(shù)字簽名方案�,當(dāng)前秘密密鑰的泄露 不會(huì)造成敵手得到偽造屬于過去的簽名的能力�����。Rose Anderson在1997年ACM CCS會(huì)議首 次提出前向安全數(shù)字簽名的概念時(shí)粗略地將其表示為當(dāng)前私鑰的泄露不會(huì)影響到過去的 大量數(shù)字簽名的安全性����,而Bellare和Miner在其發(fā)表的文章中給出了較正式的定義,即對 于一個(gè)具有密鑰更新(或者說演化)機(jī)制的數(shù)字簽名方案���,在其安全性分析模型中允許敵 手進(jìn)行選擇消息攻擊,并在其所選的時(shí)間段j泄露秘密密鑰���,敵手將試圖對于消息m偽造出 關(guān)于某個(gè)時(shí)間段i(i < j�����,對應(yīng)秘密密鑰泄露之前的時(shí)間)的簽名��,如果敵手的偽造是計(jì)算 上不可行的��,那么稱方案具有前向安全性��。 除了前面提到的前向安全數(shù)字簽名算法外�����,Hugo Krawczyk在文章"Simple
3Forward—secure Signature From Any Signature Scheme���,����,中給出了——禾中將普通數(shù)字簽 名算法轉(zhuǎn)化為前向安全數(shù)字簽名算法的一般方法�����,并基于RSA簽名算法給出了前向安全數(shù) 字簽名算法����,但是這個(gè)算法的驗(yàn)證算法要用到交互式零知識證明,效率很低����,除了特定場合 外,在實(shí)際應(yīng)用上價(jià)值不高����。本發(fā)明基于RSA簽名算法給出一個(gè)前向安全數(shù)字簽名算法��,與 其他前向安全數(shù)字簽名算法比較�����,具有效率高���,密鑰長度短的優(yōu)勢,具有很高的實(shí)用價(jià)值��。 并且本發(fā)明其實(shí)也隱含地給出了一種將普通數(shù)字簽名算法轉(zhuǎn)化為前向安全數(shù)字簽名算法 的一般方法���。 —個(gè)前向安全的數(shù)字簽名方案應(yīng)當(dāng)首先是一個(gè)具有密鑰更新機(jī)制的數(shù)字簽名方
案���。這樣的一個(gè)方案和標(biāo)準(zhǔn)方案類似�,但方案的生命周期被分為若干時(shí)間段,每個(gè)時(shí)間段中
使用不同的秘密密鑰來對消息進(jìn)行簽名���,秘密密鑰由一個(gè)基于當(dāng)前時(shí)間段的密鑰計(jì)算下一
時(shí)間段密鑰的算法更新�,這個(gè)算法使用單向函數(shù)以保證不能由當(dāng)前的秘密密鑰得出以前的
秘密密鑰�����,整個(gè)生命周期內(nèi)公開密鑰保持不變,即簽名的驗(yàn)證算法也保持不變�����。 更進(jìn)一步表述����,一個(gè)前向安全的數(shù)字簽名方案FSign—般來說包括下面四個(gè)算法。 (1)密鑰生成算法FSign. gen(T�, lk):一個(gè)概率性算法,由時(shí)間段數(shù)量T和安全參 數(shù)k生成秘密密鑰和公開密鑰PK��。 (2)密鑰更新算法FSign. upd(j����, SKj):可能的概率性算法,在方案的生命周期內(nèi) PK保持不變����,而秘密密鑰隨時(shí)間段的改變而更新,令時(shí)間段j內(nèi)使用的秘密密鑰為SKj�����,則 一旦時(shí)間段j結(jié)束進(jìn)入時(shí)間段j+l����,就啟用密鑰更新算法��,通過一個(gè)單向函數(shù)f和SKj計(jì)算 出新的秘密密鑰SK,p然后刪除SKj�����。由于使用了單向函數(shù)�����,由SKj+1求出SKj是不可行的�。
(3)簽名算法FSign. sig(j�����,SKj��,m):可能的概率性算法��,使用當(dāng)前時(shí)間段j對應(yīng)的 秘密密鑰SKj對消息m簽名����,生成形如(j�,s)的簽名�����。 (4)驗(yàn)證算法FSign. ver (PK���, m, (j�, s)):確定性算法,使用公開密鑰PK�����,消息m來 驗(yàn)證一個(gè)聲稱的時(shí)間段j內(nèi)產(chǎn)生的簽名(j���,s)是否確實(shí)為時(shí)間段j內(nèi)關(guān)于消息m的有效簽 名����,對于任何真實(shí)有效的簽名其都能正確驗(yàn)證����。 前向安全數(shù)字簽名的出現(xiàn),以一種不需要分配密鑰或使用受保護(hù)的存儲(chǔ)設(shè)備的較 簡單的方式����,從某種程度上保護(hù)了簽名的安全性("向前的"��,而不是全面的安全性)����,降低 了秘密密鑰泄露造成的風(fēng)險(xiǎn)和損失��。
發(fā)明內(nèi)容
本發(fā)明給出了一個(gè)新的前向安全的數(shù)字簽名算法�����。
本發(fā)明用到的函數(shù)及主要符號
T表示密鑰周期總數(shù)�; 函數(shù)《()對任意輸入正整數(shù)n,輸出不大于n且與n互素的正整數(shù)的個(gè)數(shù)�����;
函數(shù)gcd()對輸入的兩個(gè)整數(shù)�����,輸出它們的最大公約數(shù)��; 函數(shù)H()為一個(gè)哈希函數(shù)���,對任意一個(gè)0��、1序列進(jìn)行哈希函數(shù)運(yùn)算����,所得到的結(jié)果 為一個(gè)不大于n的整數(shù)��; PK表示簽名者的公鑰���,表示第i個(gè)密鑰周期的簽名密鑰����;
運(yùn)算mod表述模運(yùn)算�,運(yùn)算I I表示字符串連接運(yùn)算。
本發(fā)明的詳細(xì)過程如下 密鑰生成算法FSign. gen (T����, lk): 1.選擇兩個(gè)大素?cái)?shù)p,q�,計(jì)算n二pq,^(")-(P- 2.選擇安全的哈希函數(shù)H:U)����,ir— {0,l}logn; 3.選擇T+l個(gè)數(shù)e。���, …���,eT,使得1 < ei < f (n)��,且gcrf(e" <K"))=1; 4.計(jì)算《s e「'(附od (0 = i = T)���,《s《^(/tkm/ ") (1《i《T-l); 5.計(jì)算^ s好(e��。 1l"ll/lle,."(附orf"),CERTi = (e0�����, n����, i�, e丄,k》(1 = i = T)�����。 公鑰PK = (e。��, n�, H)��,私鑰= (1����, c^, n�����, H)�����。 安全刪除p���, q�����, e�����。���, ei��,�����, eT��, d�。���, c^�,…�,dT, p(")注冊自己的公鑰PK�,安全保存私 鑰S&,保存d'《i《T-l)��,CERTi(l = i = T)�。其中d' i�����, CETRi不用安全保存�。 密鑰更新算法FSign. upd(j����, SK》 1.如果j = T�,運(yùn)行FSign. gen (T, lk)重新初始化系統(tǒng)�,否則; 2.計(jì)算《.+1 s rf��,") ���, SKj+1 = (j+l���, dj+1, n�, H),安全刪除SK」����,安全保存SKj+1��。 簽名算法FSign. sig(j����, SKj�, m):
1.計(jì)算t = H(m);
2.計(jì)算ss,(wt^m); 3. s = (s, CERTj) ����, (j, s)是對消息m的簽名���。 驗(yàn)證算法FSign. ver (PK�, m��, (j�����, s)): 令s = (s���, CERTj) �����, CERT」=(e�����。�, n, i�, k》 1.驗(yàn)證CERTj中的e。是否和簽名者的公鑰一致���; 2.驗(yàn)證CERTj中的i是否等于j ; 3.驗(yàn)證<。=II" II ! II e;)(附^ "); 4.驗(yàn)證P ") 5.如果以上驗(yàn)證都通過�����,則簽名是有效的��,否則簽名無效��。 本發(fā)明得到的前向安全的數(shù)字簽名算法不但具有一般數(shù)字簽名算法所具有的所 有特性與安全性�,而且還具有前向安全性。因?yàn)楹灻荑€&是獨(dú)立選取的�,攻擊者即使的 到密鑰A,也不可能得到關(guān)于密鑰dj (j < i)的任何信息,如果攻擊者在不知道密鑰&的情 況下能夠偽造一個(gè)第i密鑰周期的合法簽名���,那么他就能夠攻破RSA困難問題���,這與RSA困 難問題是難解的假設(shè)矛盾���,因此本發(fā)明具有前向安全性。 與其他具有前向安全性的數(shù)字簽名算法相比較�����,本算法的簽名算法����,驗(yàn)證算法以 及密鑰更新算法都具有很高的效率。其中簽名算法系需要一次哈希運(yùn)算及一次模指數(shù)運(yùn) 算����;驗(yàn)證算法只需要兩次模指數(shù)運(yùn)算,兩次哈希運(yùn)算及四次比較運(yùn)算�;密鑰更新算法只需 要一次模指數(shù)運(yùn)算。除了效率高外���,本算法還具有密鑰短的特點(diǎn)���,大大減小了密鑰保存所需 要的空間�����。
附圖是本發(fā)明的前向安全數(shù)字簽名算法�。
具體實(shí)施例方式
本發(fā)明的發(fā)明內(nèi)容部分對本發(fā)明的技術(shù)方案已經(jīng)做出了詳細(xì)說明��,在此不再重復(fù) 描述���。
權(quán)利要求
基于RSA算法的前向安全數(shù)字簽名算法��,該方法用于網(wǎng)絡(luò)數(shù)字簽名��,其中T表示密鑰周期總數(shù)�;函數(shù)對任意輸入正整數(shù)n��,輸出不大于n且與n互素的正整數(shù)的個(gè)數(shù)���;函數(shù)gcd()對輸入的兩個(gè)整數(shù),輸出它們的最大公約數(shù)��;函數(shù)H()為一個(gè)哈希函數(shù)�����,對任意一個(gè)0、1序列進(jìn)行哈希函數(shù)運(yùn)算�,所得到的結(jié)果為一個(gè)不大于n的整數(shù);PK表示簽名者的公鑰��,SKi表示第i個(gè)密鑰周期的簽名密鑰�����;運(yùn)算mod表示模運(yùn)算�,運(yùn)算||表示字符串連接運(yùn)算。其特征是��,包括以下四個(gè)多項(xiàng)式時(shí)間算法密鑰生成算法Fsign.gen(T�����,1k)1)選擇兩個(gè)大素?cái)?shù)p����,q,計(jì)算n=pq��,2)選擇安全的哈希函數(shù)H{0����,1}*→{0�����,1}logn�;3)選擇T+1個(gè)數(shù)e0�����,e1���,…����,eT���,使得且4)計(jì)算(0≤i≤T)�����,(1≤i≤T-1);5)計(jì)算CERTi=(e0��,n,i���,ei�,κi)(1≤i≤T)���。公鑰PK=(e0����,n��,H)��,私鑰SK1=(1��,d1�����,n�����,H)�����。安全刪除p,q�����,e0�,e1,…�����,eT�����,d0��,d1��,…���,dT���,注冊自己的公鑰PK,安全保存私鑰SK1��,保存d′i(1≤i≤T-1)���,CERTi(1≤i≤T)����。其中d′i��,CETRi不用安全保存�。密鑰更新算法Fsign.upd(j,SKj)1)如果j=T��,運(yùn)行Fsign.gen(T��,1k)重新初始化系統(tǒng)����,否則;2)計(jì)算SKj+1=(j+1��,dj+1����,n��,H)�,安全刪除SKj�,安全保存SKj+1。簽名算法Fsign.sig(j�����,SKj�,m)1)計(jì)算t=H(m);2)計(jì)算 <mrow><mi>s</mi><mo>≡</mo><msup> <mi>t</mi> <msub><mi>d</mi><mi>j</mi> </msub></msup><mrow> <mo>(</mo> <mi>mod</mi> <mi>n</mi> <mo>)</mo></mrow><mo>;</mo> </mrow>3)σ=(s��,CERTj)�,(j,σ)是對消息m的簽名����。驗(yàn)證算法Fsign.ver(PK,m���,(j�,σ))令σ=(s��,CERTj),CERTj=(e0�����,n��,i��,ei����,κi)1)驗(yàn)證CERTj中的e0是否和簽名者的公鑰一致�����;2)驗(yàn)證CERTj中的i是否等于j����;3)驗(yàn)證 <mrow><msup> <msub><mi>κ</mi><mi>i</mi> </msub> <msub><mi>e</mi><mn>0</mn> </msub></msup><mo>≡</mo><mi>H</mi><mrow> <mo>(</mo> <msub><mi>e</mi><mn>0</mn> </msub> <mo>|</mo> <mo>|</mo> <mi>n</mi> <mo>|</mo> <mo>|</mo> <mi>i</mi> <mo>|</mo> <mo>|</mo> <msub><mi>e</mi><mi>i</mi> </msub> <mo>)</mo></mrow><mrow> <mo>(</mo> <mi>mod</mi> <mi>n</mi> <mo>)</mo></mrow><mo>;</mo> </mrow>4)驗(yàn)證 <mrow><msup> <mi>s</mi> <msub><mi>e</mi><mi>i</mi> </msub></msup><mo>≡</mo><mi>H</mi><mrow> <mo>(</mo> <mi>m</mi> <mo>)</mo></mrow><mrow> <mo>(</mo> <mi>mod</mi> <mi>n</mi> <mo>)</mo></mrow> </mrow>5)如果以上驗(yàn)證都通過,則簽名是有效的��,否則簽名無效�����。F2009102160199C0000011.tif,F2009102160199C0000012.tif,F2009102160199C0000013.tif,F2009102160199C0000014.tif,F2009102160199C0000015.tif,F2009102160199C0000016.tif,F2009102160199C0000017.tif,F2009102160199C0000018.tif,F2009102160199C0000019.tif
全文摘要
本發(fā)明屬于通信技術(shù)領(lǐng)域��,涉及網(wǎng)絡(luò)通信的安全問題,用于網(wǎng)絡(luò)數(shù)字簽名�����。本發(fā)明與一般的數(shù)字簽名算法相比較�����,在具有高效的簽名及驗(yàn)證效率的同時(shí)�,還具有前向安全性;與其他具有前向安全性的數(shù)字簽名算法相比��,具有高效的密鑰更新效率����,還具有密鑰短的特性,其公鑰及私鑰都不隨密鑰周期數(shù)T的增長而線性增長����,從而減小了密鑰保存的昂貴代價(jià)。并且本發(fā)明同時(shí)也隱含地給出了一種將普通數(shù)字簽名算法轉(zhuǎn)化為前向安全數(shù)字簽名算法的一般方法�。
文檔編號H04L29/06GK101714919SQ200910216019
公開日2010年5月26日 申請日期2009年10月29日 優(yōu)先權(quán)日2009年10月29日
發(fā)明者李成邦, 許春香 申請人:電子科技大學(xué)