《密码学基础》课件 （张薇） 第5--7章　公钥密码与RSA、 数字签名、 消息认证与Hash函数.ppt

用电子手段解决以下三个关键问题：（1）如何使选委会看不到选票内容？（2）选举委员会如何盖章？（3）选民如何确认收回的选票没有被做上记号？2、电子投票1、盲签名的特性（1）签名人看不到所签的“文件内容”。（2）签名人无法建立文件与他的签名之间的联系。消息持有者签名者MS?=S(M?)M?=B(M)S=B-1(S?)????2、盲签名的原理盲化盲签名解盲消息持有者希望签名者对他的消息作数字签名，但又不想让签名者看到消息的真实内容。1.不可伪造性除了签名者本人外，任何人都不能以他的名义生成有效的盲签名。2.不可抵赖性签名者签署了某个消息后将无法否认自己对消息的签名。3.盲性签名者不可能得到消息的具体内容。4.不可跟踪性一旦消息的签名公开后，签名者不能确定自己何时签署的这条消息。一个好的盲签名算法应该具有以下的性质：

3、基于RSA密码的盲签名算法（1）参数选取（同RSA公钥密码）：选定p,q为大素数，计算n=pq。选取秘密密钥d，要求gcd(d,φ(n))=1。计算e,满足de=1modφ(n)。e,n公开，其它参数均保密。AliceBobn,epublicdprivates≡mdmodngcd(m,n)=1m≡semodnsSetp1:选定M，随机数R。计算M?=ReMmodn签名者消息持有者Setp2:计算S?=M?dmodnStep3:S=R-1S?modn=MdmodnStep4:验证Semodn？=M（2）签名算法（3）分析MM?(M,S)(M?，S?)?签名人对签的“文件内容”是看不见的。即使公布文件内容，签名人也不能把文件与他所作的签名联系起来。?（4）与普通RSA签名比较MS=MdmodnRSA签名RSA盲签名M?=SemodnS?=M?dmodnM?=SemodnMM?S=R-1S?modn1.密钥的长度；2.盲签名的长度；3.盲签名的算法和验证算法。盲签名的可操作性和实现速度取决于：4、盲签名技术的应用现状（1）匿名电子投票系统（2）电子商务系统中的匿名支付Microsoft公司的eWallet系统。主要内容：（1）盲签名的基本概念（2）盲签名的产生背景。（3）基于RSA密码的盲签名算法。代理签名的含义及特点代理签名的分类M-U-O代理签名方案代理签名：签名者可以授权他人代理自己，由被指定的代理签名者代表原始签名者生成有效的签名。1996年，Mambo、Usuda和Okamoto首先提出了代理签名的概念。代理签名系统中的参与者：原始签名者获得授权执行签名的一个或多个代理签名者验证者代理签名应满足三个基本条件验证者能够像验证原始签名者的签名那样来验证代理签名；能够容易区分代理签名和原始签名；原始签名者对代理签名者所作的代理签名不可否认。第五节代理签名Mambo、Usuda和Okamoto把代理签名分为三类：完全代理签名、部分代理签名和具有证书的代理签名。完全代理签名(fulldelegation)：原始签名者通过可靠途径直接把自己的签名密钥分发给代理签名者，代理签名者产生的签名与原始签名者所产生的签名完全相同。第五节代理签名部分代理签名(partialdelegation)，原始签名者用自己的签名密钥生成代理签名密钥s，然后将代理签名密钥通过可靠途径分发给代理签名者。要求：代理签名者不能由自己所获得的代理签名密钥推算出原始签名者的签名密钥。又可分为两种：代理非保护代理签名和代理保护代理签名。第五节代理签名具有证书的代理签名(delegationbywarrant)，分两种类型：授权代理签名和持票代理签名。授权代理签名(delegateproxy)：原始签名者用他的签名密钥使用普通的签名方案签一个文件（证书），然后把产生的证书发给代理签名者。持票代理签名(bearerproxy)：证书由消息部分和原始签名者对新产生的公钥的签名组成。原始签名者把新产生的公钥所对应的私钥以安全的方式发给代理签名者。第五节代理签名代理签名又可分为强代理签名和弱代理签名。强代理签名——代理签名不仅能够代表原始签名者的签名，也能代表代理签名者的签名；弱代理签名——代理签名只代表原始签