Khoa CNTT – ĐH Sư Phạm Tp. HCM
Digital signatures
MÔN: CHỮ KÝ SỐ
GVHD: Lương Trần Hy Hiến
Mục lục
CHƯƠNG 9:CHỮ KÝ KỸ THUẬT SỐ
1.Các thành phần của chữ ký số.
2.Chữ ký số.Mô hình chức năng trapdoor.
3.Xác định và chứng minh bảo mật cho chữ ký đề án.
4.Chữ ký xác suất.
5.Cụ thể bảo mật và thực tế dựa trên chữ ký RSA.
6.Ngưỡng chữ ký đề án.
1.Các thành phần của chữ ký số.
Đề án chữ ký số trong khuôn khổ khóa công khai, được định nghĩa là một bộ ba của thuật
toán (G, σ, V):
-Thuật toán tạo khóa G là một xác suất,thuật toán phức tạp với đầu vào bảo mật tham số
1^k.Sản sinh cặp (P,S) trong đó P được gọi là khóa công khai,còn S là khóa bí mật.
-Thuật toán ký σ là một xác suất, thuật toán phức tạp được đưa ra bảo mật với tham số 1^k.1
khóa bí mật S trong G(1^k) và một tin nhắn m {0,1}^k và sản sinh ra đầu ra chuỗi s mà gọi ∈
là chữ ký của m.
-Thuật toán V là một xác suất,thuật toán phức tạp mà cho khóa công khai P,một chữ ký số và
một thông điệp m,trả về 1 hoặc 0 để cho biết chữ ký có hợp lệ hay không.
- Đặc điểm cuối cùng của một hệ thống chữ ký số là bảo mật của mình đối với một thuật toán
xác suất phức tạp làm giả.
2. Chữ ký số.Mô hình chức năng trapdoor
Diffie và Hellman [68] đề xuấtrằng với một hệ thống mật mã khóa công khai (G, E D) dựa trên
chức năng mô hình trapdoor,người dùng A có thể đăng ký bất kỳ thông điệp M bằng cách phụ thêm
như một chữ ký kỹ thuật số D (M) = (M) từ M trong đó f là chức năng công cộng của một trapdoor
mà mình biết các thông tin tương ứng với trapdoor. Bất cứ ai có thể kiểm tra tính hợp lệ của chữ ký
này sử dụng của một khóa công khai từ các thư mục công cộng, kể từ khi E (D (M)) =(M) (F
(M)). Cũng lưu ý rằng chữ ký này sẽ trở thành không hợp lệ nếu tin nhắn được thay đổi, do đó A

được bảo vệ chống lại thay đổi sau khi đã ký tin nhắn, và người kiểm tra các chữ ký có thể chắc
chắn rằng ta đã nhận được tin nhắn đầu tiên được chữ ký của A.
3.Xác định và chứng minh bảo mật cho chữ ký đề án.
a.Các cuộc tấn công cơ bản chống lại chữ ký số:
-Key-Only Attack:Trong cuộc tấn công này đối thủ chỉ biết khóa công khai của người ký và
do đó chỉ có khả năng kiểm tra tính hợp lệ của chữ ký tin nhắn trao cho anh ta.
-Known Signature Attack:Các đối thủ biết khóa công khai của người ký và đã nhìn thấy tin
nhắn / chữ ký được chọn bởi người ký hợp pháp. Trong thực tế là kẻ thù có thể làm được.
-Chosen Message Attack:Các đối thủ được phép yêu cầu người ký phải ký một số thông báo
của
sự lựa chọn của kẻ thù. Sự lựa chọn của những tin nhắn này có thể phụ thuộc vào chữ ký thu
được trước đó.
b. Các RSA chữ ký số Đề án
Đề án 9.3.3 El Gamal:
Ý tưởng:
-Khóa công khai:bộ 3 (y,p,g),trong đó y=(g^x mod p),p là số nguyên tố,g là số
nguyên âm thuộc
-Khóa bí mật:x sao cho y=g^x mod p.
-Ký:Chữ ký của tin nhắn m là một cặp (r,s) sao cho r khác 0,s khác p-1 và
g^m=[(y^r)*(r^x)] mod p.
-Kiểm tra: kiểm tra g^m=[(y^r)*(r^s)] mod p.
Đề án 9.3.4 Rabin
Ý tưởng:
-Khóa công khai: n=pq
-Khóa bí mật: Các số nguyên tố p,q.
-ký:
-Kiểm tra: kiểm tra s^2= m mod n.
4.Chữ ký xác suất.
 ị
  ị ĩ

     ượ ọ ộ ị ế
    !"#$# %  & ồ ạ ậ ế ả ầ ặ  ơ
' ( )ử ẫ
   **ồ ạ ậ +
  !   $,-.   /#'# 0,-  ) ồ ạ ậ ị ả ộ ố ứ ể ư ậ ấ
 #  ả ủ ớ
(/#1(
234  (    +56-78-0  9   ề ổ ế ủ ặ ễ ả ử ượ ọ ẫ
43
:1(
; #1 -# 7(! $<9ữ ể
c.Làm thế nào để đăng ký 1 tin nhắn.
Như trước đây, D là miền chung của các cặp miễn phí {f0, F1}, Và x được lựa chọn ngẫu nhiên
trong D.
Với x thuộc D,ký thông điệp đầu tiên với m^1
Và xác minh bằng cách:
Cho
Rõ ràng fm là một hoán vị trên D và dễ dàng tính toán.ký thông điệp
m^2 tiếp theo.Áp dụng hoán vị chữ ký theo thời gian
Và xác minh bằng cách.
d. Đề án chữ ký an toàn dựa trên hoán vị free-claw
Chọn 2 cặp móng miễn phí (f0,f1),(g0,g1),mà chúng ta biết :
Chọn x thuộc Df,chọn khóa công khai chứa Df,X,f0,f1,g0,g1 và để cho các khóa bí mật chứa :
Có chức năng nối và thiết lập lại H1=rỗng.Ký Mi,sao cho
1.Chọn Ri thuộc Dg.
2.Đặt :
3.Đặt :
4.Thiết lập chữ ký :
5.Đặt :
Để xác minh 1 cặp chữ ký tin nhắn (m,s) khi s={z1,z2,H}

1.Cho R=gm(z2)
2.Kiểm tra xem :
e.Đề án chữ ký dựa trên hoán vị trapdoor
1.Chọn 1 hoán vị f1 mà ta biết nghịch đảo,chọn:
Trong đó K(k) là một đa thức trong k thống nhất và độc lập,cho khóa công khai chứa f1, tất cả và
để cho khóa bí mật chứa f1^-1,cho H1=rỗng.
Để ký thông điệp m^i=m1m2 mk:
2.Đặt
Là chữ kí m^i của fi,và
3.Chọn một chức năng mới để biết

4.Chọn:
Với : là biểu diễn nhị phân của
5.Chữ ký của m^i là
Là chữ ký của sử dụng
6.Chọn
5.Cụ thể bảo mật và thực tế dựa trên chữ ký RSA.
a.Chương trình chữ ký số:
Một chương trình chữ ký kỹ thuật số DS = (K, S, V) Bao gồm ba thuật toán, như sau:
-Thế hệ chính của thuật toán K là một thuật toán ngẫu nhiên đó trả về một cặp (pk, sk) của khóa,
khóa công khai và khóa bí mật phù hợp, tương ứng, chúng tôi viết
-2#1 = !.  4$ . ##.(+  ậ ộ ể ẫ ậ ậ ộ
 >      #1 -?' ắ ể ở ạ ẻ ặ ữ σ ế
-Các thuật toán xác minh V là một thuật toán xác định cần có các khóa
công khai pk, tin nhắn M,
và một chữ ký ứng cử viên σ cho M để trở lại một bit, chúng ta viết:
b.Một khái niệm về bảo mật
- Chữ ký kỹ thuật số nhằm mục đích để cung cấp,đảm bảo tàn sản tương tự
như chương trình xác thực thông điệp,chỉ là thay đổi các cấu trúc linh hoạt hơn.
- Theo đó, chúng ta có thể xây dựng trên công việc trước đây trong sự hiểu

biết và ghim xuống một khái niệm về an ninh để xác thực thư, một cho chữ ký
kỹ thuật số khác chỉ rằng kẻ thù đã truy cập vào khóa công khai.
- Trong thực tế, các truy vấn tương ứng với thư tin nhắn có chữ ký của người
gửi hợp pháp, và nó sẽ có ý nghĩa.
c.Tạo khóa cho các hệ thống RSA.
Thuật toán K
Chọn ngẫu nhiên 2 số nguyên tố khác nhau p,q với độ dài k/2 bit
Return pk,sk.
d.Chữ ký trapdoor
Chữ ký trapdoor đại diện cho cách trực tiếp nhất cố gắng xây dựng trên một wayness của
RSA để đăng ký. Tin rằng người ký được sở hữu khóa bí mật N, d, là người duy nhất có
thể tính toán RSA dựa trên chức năng nghịc đảo của RSA. Đối với bất cứ ai khác,chỉ biết
có khóa công khai N, d,thì nhiệm vụ tính toán là không khả thi. Theo đó, người ký ký tin
nhắn bằng cách thực hiện hoạt động này khó,đòi hỏi là thành viên của .
Nó có thể xác minh một chữ ký bằng cách thực hiện dễ dàng các hoạt động tính toán RSA
trên và tuyên bố chủ quyền chữ ký và nhìn thấy nếu chúng ta lấy lại tin nhắn.
e. PSS0: Một cải tiến bảo mật
Chương trình được gọi là PSS0, cho "chương trình chữ ký xác suất, phiên bản
0" để nhấn mạnh một khía cạnh quan trọng của nó,nó là ngẫu nhiên Cụ thể: các
thuật toán ký chọn một giá trị ngẫu nhiên mới mỗi khi nó được triệu gọi và sử
dụng để tính toán chữ ký.Nó làm cho việc sử dụng 1 chức năng băm công cộng
được mô hình hóa như một oracle ngẫu nhiên,ngoài ra nó còn có 1 tham số ,đó
là chiều dài của giá trị ngẫu nhiên được chọn bởi thuật toán ký.
f. Chữ ký Đề án xác suất - PSS
-Chương trình chữ ký PSS[k0,k1]=(K,SignPSS,VerifiPSS) với tham số k0 và k1,nó là số
nằm giữa 1 và k với k0+k1<=k-1.Để cụ thể người ta giả sử k=1024,k0=k1=128.Đề án có
khóa RSA để tạo thuật toán K và thuật toán xác minh sử dụng 2 chức năng băm.
-Hiệu quả của chương trình như tuyên bố chủ quyền.
-PSS và PSS0 có khá nhiều điểm giống nhau về cơ bản là chặt chẽ và chặt chẽ hơn nhiều
so với chúng ta đã thấy ở chương trình FDH.Tuy nhiên nó đã đạt được mà không tăng

kích thước chữ ký.
g.Ký với thông điệp phục hồi-PSS-R.
-Trong một chương trình tiêu chuẩn chữ ký, người ký tin nhắn M rõ ràng,gắn
với chữ ký x.Cung cấp trong một chương trình phục hồi tin nhắn, chỉ là “cải
thiện chữ ký"τ được truyền với mục đích là để tiết kiệm băng thông cho một tin
nhắn ký: chúng tôi muốn chiều dài của chữ ký cải thiện phải nhỏ hơn | M | + | x
|. Các kiểm định phục hồi các tin nhắn M từ chữ ký và tăng cường kiểm tra tính
xác thực cùng một lúc.
-Sự an toàn của PSS-R cũng giống như PSS
h.Làm thế nào để thực hiện chức năng băm.
Trong PSS chúng ta cần một băm cụ thể chức năng h với chiều dài đầu ra với một số k1 thông
thường .Chúng tôi sẽ xây dựng h từ một số chức năng băm mật mã H = H: chẳng hạn như MD5
hoặc H = SHA-1. Cách để làm điều này đã được thảo luận trước trong [15, 23]. Cho đầy đủ
chúng tôi tóm tắt một số những khả năng nhanh chóng.Đơn giản nhất là để xác định h (x) là tiền
tố phù hợp độ dài của
H (const. <0>. X) H (const. <1>. X) H (const. <2>. X) · · ·.
Truyền cho h một hằng số, để thực hiện một chức năng băm, g, chỉ cần chọn một khác nhau
không đổi.
6.Ngưỡng đề án chữ ký.
a. Thế hệ khóa cho ngưỡng đề án.
-Nhiệm vụ tạo ra một chìa khóa cho một chương trình ngưỡng chữ ký là phức tạp hơn cho chúng ta
khi là người ký đơn.Thật vậy, chúng ta phải tạo ra một khóa công khai pk phù hợp với khóa bí mật
là sk chia sẻ trong một số hình thức.
- Đối với trường hợp của các chương trình chữ ký rời rạc dựa trên đăng nhập, nhiệm vụ này đã
thành công. lược đồ ngưỡng chữ ký mạnh mẽ cho El Gamal, Schnorr và lược đồ chữ ký DSS , tất cả
đều sử dụng kết quả tiềm ẩn của Feldman và Pedersen.
- Tuy nhiên, trong một số trường hợp, các giải pháp đại lý là tốt nhất chúng ta có thể làm.