〔摘 要〕一個(gè)數(shù)字簽名方案由兩部分組成:簽名算法和驗(yàn)證算法，使用簽名算法進(jìn)行簽名，得到數(shù)字簽名;通過(guò)驗(yàn)證算法判斷其真實(shí)性。對(duì)基于公開密鑰密碼體制的數(shù)字簽名，討論了它的優(yōu)缺點(diǎn)和安全性。

〔關(guān)鍵詞〕數(shù)字簽名;算法;密鑰;加密

〔中圖分類號(hào)〕TP309.7 〔文獻(xiàn)標(biāo)識(shí)碼〕A 〔文章編號(hào)〕1008-0821(2009)07-0051-02

The Digital Signature in the Electronic InformationSong Weiping

(The Network and the Information Center，Jilin Institute of the Architectural and Civil Engineering，

Changchun 130021，China)

〔Abstract〕This paper attempted to discuss the method of the digital signature，which consisted of the two parts.One was the signature formula and the other was the test formula.It was available to have the digital signature with the digital method and prove the authenticity of the method.The paper not only presented the advantage and disadvantage but also mentioned the safe system of the digital signature based on the open system of the secret key and code.

〔Key words〕digital signature;arithmetic;secret key;secret code

數(shù)字簽名在信息安全，包括身份認(rèn)證、數(shù)據(jù)完整性、不可否認(rèn)性等方面，特別是在大型網(wǎng)絡(luò)安全通訊中的密鑰分配、認(rèn)證及電子商務(wù)系統(tǒng)中，具有重要作用。

1 數(shù)字簽名的基本概念

許多情況下我們需要使用手寫簽名，對(duì)所簽訂的文件、契約等進(jìn)行確認(rèn)。此時(shí)的手寫簽名具有下面的兩個(gè)作用。

(1)對(duì)所簽署的文檔內(nèi)容進(jìn)行確認(rèn);

(2)如果簽署文檔的雙方針對(duì)文檔的內(nèi)容發(fā)生爭(zhēng)執(zhí)，根據(jù)簽署文檔時(shí)留下的簽名，第三方可以對(duì)簽名進(jìn)行檢查以便對(duì)爭(zhēng)執(zhí)進(jìn)行調(diào)解。

隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，出現(xiàn)了對(duì)類似于數(shù)字簽名的電子化簽名的需求。例如，在電子商務(wù)中，某一個(gè)用戶在下訂單時(shí)，必須能夠確認(rèn)該訂單確實(shí)為用戶自己發(fā)出，而非其他人偽造，另外，在用戶與商家發(fā)生爭(zhēng)執(zhí)時(shí)，必須存在一種手段，能夠?yàn)殡p方關(guān)于訂單進(jìn)行仲裁。

使用了密碼技術(shù)的數(shù)字簽名(或稱數(shù)字簽字)正是一種作用類似于傳統(tǒng)的手書簽名或印章的電子標(biāo)記，它可以達(dá)到與手寫簽名類似的作用，即:使用數(shù)字簽名，在信息通信過(guò)程中，接收方能夠?qū)牡谌?可以是雙方事前同意委托其解決某一問(wèn)題或某一爭(zhēng)執(zhí)的仲裁者)證明其收到的消息是真實(shí)的，而且確實(shí)是由那個(gè)發(fā)送方發(fā)送過(guò)來(lái)的，同時(shí)，數(shù)字簽名還能夠保證發(fā)送方事后不能根據(jù)自己的利益來(lái)否認(rèn)他所發(fā)送過(guò)的消息，而接收方也不能根據(jù)自己的利益來(lái)偽造消息或簽名。

一個(gè)數(shù)字簽名方案由兩部分組成:簽名算法和驗(yàn)證算法。簽名者A對(duì)消息M使用簽名算法(記作Sig(M)，有時(shí)為了強(qiáng)調(diào)用戶A或所使用的簽名密鑰k，簽名算法也記為S=Sig(M)或S=Sig(M))進(jìn)行簽名得到數(shù)字簽名S=Sig(M);用戶A對(duì)消息M的簽名S在以后可以通過(guò)驗(yàn)證算法(記作Ver(M，S)，有時(shí)，為了強(qiáng)調(diào)用戶A或所使用的簽名密鑰k也記為VerA(M，S)或Verk(M，S)判斷其真實(shí)性，驗(yàn)證算法返回的結(jié)果為布爾值“真(true)”或“假(1)”，即:

Ver(M，S)=true ? S=Sig(M)

1S≠Sig(M)

驗(yàn)證算法的結(jié)果表示了簽名是否真實(shí)可靠。

在一個(gè)數(shù)字簽名體制中，簽名算法或簽名密鑰是秘密的，只有簽字人掌握;驗(yàn)證算法是公開的，以便于他人進(jìn)行驗(yàn)證。

由于數(shù)字簽名(電子信息)容易被拷貝，并且拷貝后的文件與原數(shù)字簽名沒有任何區(qū)別，因此，為了防止數(shù)字簽名被重復(fù)使用在不同的消息上，第一，數(shù)字簽名因消息而異，不同的消息的數(shù)字簽名結(jié)果不同;第二，一般通過(guò)要求消息本身包含有諸如日期、發(fā)送序號(hào)等信息來(lái)使消息盡量不同，即使消息主要內(nèi)容相同。

2 基于公開密鑰密碼體制的數(shù)字簽名

從前面關(guān)于數(shù)字簽名的基本概念中，我們可以發(fā)現(xiàn):為了保證簽名的有效性，對(duì)消息進(jìn)行簽名的簽名者與對(duì)簽名進(jìn)行驗(yàn)證的驗(yàn)證者絕對(duì)不能擁有完全相同的用于簽名和驗(yàn)證的信息，因?yàn)橐坏?yàn)證者能夠用與簽名者相同的信息(參數(shù)和算法)來(lái)驗(yàn)證消息與簽名，那么他同樣可以偽造消息與簽名。

公開密鑰密碼體制很好地滿足了這一要求。目前數(shù)字簽名的諸多方案主要都基于公開密鑰密碼體制(雖然也存在一些使用對(duì)稱密鑰密碼體制設(shè)計(jì)的數(shù)字簽名方案，但這些方案由于種種缺點(diǎn)，例如密鑰量比較大等，而沒有得到廣泛的運(yùn)用)。下面我們將介紹如何利用公開密鑰密碼體制產(chǎn)生數(shù)字簽名。

某公開密鑰密碼體制，假設(shè)其加密算法為E，解密算法為D，Ke為加密密鑰，Kd為解密密鑰。利用此算法產(chǎn)生簽名的過(guò)程如下:

設(shè)用戶A要向B發(fā)送一份消息M，該消息由兩大部分組成:一部分稱作報(bào)頭(用H表示)，它由發(fā)送方的身份，接收方的身份，發(fā)送序號(hào)等組成;另一部分是要發(fā)送的消息數(shù)據(jù)(用T表示，T中包含消息日期等信息)。簽名者必須將他的簽名驗(yàn)證信息公開，在這里，我們將加密密鑰Ke公開，將解密密鑰Kd保密，A對(duì)消息M進(jìn)行簽名時(shí)，利用他的解密密鑰Kd對(duì)T進(jìn)行一次“解密”運(yùn)算(此時(shí)并沒有加密運(yùn)算):

S=DKe(T)

S作為簽名與H連接在一起，作為簽名后的消息Ms=(H，S)發(fā)送給B，B收到后作如下的操作以驗(yàn)證簽名。

2009年7月第29卷第7期現(xiàn)?代?情?報(bào)Journal of Modern InformationJuly，2009Vol.29 No.72009年7月第29卷第7期電子信息中的數(shù)字簽名July，2009Vol.29 No.7(1)根據(jù)H中的信息識(shí)別發(fā)送者的身份(在這里是A)。

(2)在公開的簽名信息簿中查出A用于簽名驗(yàn)證的加密密鑰Ke。

(3)利用查到的Ke進(jìn)行一次“加密”運(yùn)算:

T′=EKe(S)

(4)檢查T′是否正確(是否有意義)。

如果T′是正確的，那么B就可以判斷T 確實(shí)是由A發(fā)送過(guò)來(lái)的數(shù)據(jù)，因?yàn)橹挥蠥才知道Kd(保密的)，并且還保證在已知Ke的前提下任何人都無(wú)法從計(jì)算上得到Kd。如果T′是不正確的，那么B就可以拒收消息。

在上述簽名與驗(yàn)證過(guò)程中，接收方B無(wú)法偽造消息，因?yàn)樗貌坏終d;發(fā)送方A也不能抵賴他發(fā)送過(guò)的消息，因?yàn)橹挥兴胖来_切的Kd(Kd被泄露的情況除外)。當(dāng)A與B就消息的內(nèi)容發(fā)生爭(zhēng)執(zhí)時(shí)，B將Ms=(H，S)提交給公正的第三方，第三方進(jìn)行同樣的驗(yàn)證過(guò)程，即可判斷是否A確實(shí)發(fā)送過(guò)該消息。

在上述方法中，簽名是對(duì)整個(gè)消息進(jìn)行的，對(duì)需要傳送的信息來(lái)講絲毫沒有擴(kuò)散(如果使用的公開密鑰密碼體制不帶來(lái)擴(kuò)散)，明文消息可以從簽名中恢復(fù)。

上述簽名方法的一個(gè)缺點(diǎn)是當(dāng)消息較長(zhǎng)時(shí)，需要將其分成許多組(除了極少數(shù)方案外，公開密鑰密碼體制一般都是分組密碼體制)，簽名時(shí)要一組一組地進(jìn)行，而對(duì)手則可能改動(dòng)分組的次序，但收方仍能進(jìn)行驗(yàn)證。同時(shí)，由于公開密鑰密碼體制一般速度都比較慢，這樣，消息比較長(zhǎng)時(shí)，整個(gè)簽名與驗(yàn)證過(guò)程的速度都會(huì)相當(dāng)?shù)芈?/p>

針對(duì)這種情況，最好是將簽名信息與消息分離，形成一個(gè)獨(dú)立的簽名塊，無(wú)論消息多長(zhǎng)，這個(gè)簽名塊的長(zhǎng)度都是固定。

可以利用單向散列函數(shù)以及公開密鑰密碼算法形成簽名塊。這時(shí)的簽名過(guò)程如下:發(fā)送方先將消息M經(jīng)過(guò)單向散列函數(shù)H進(jìn)行一次變換，得到了H(M)，M中的所有位都必須參與這個(gè)變換，這時(shí)，H(M)與M中的每一位都是相關(guān)的。然后，利用Kd對(duì)H(M)進(jìn)行簽名變換，形成對(duì)整個(gè)消息的簽名。

在接收方，消息M是以明文形式收到的，為了檢查簽名，收方利用發(fā)方的簽名驗(yàn)證密鑰Ke對(duì)收到的簽名進(jìn)行變換，得到一個(gè)相應(yīng)的H(M)，然后，再將收到的消息經(jīng)過(guò)單向散列函數(shù)H進(jìn)行1次變換，也得到一個(gè)H(M)，將這2個(gè)H(M)進(jìn)行比較，如果相等，則認(rèn)為該簽名是有效，否則就視其無(wú)效。

單向散列函數(shù)H必須是公開的標(biāo)準(zhǔn)算法，以便每個(gè)用戶都能利用它進(jìn)行簽名驗(yàn)證。另外，單向輸出必須保持一定的長(zhǎng)度，太長(zhǎng)會(huì)浪費(fèi)系統(tǒng)資源。太短則容易受到攻擊，一般選取64比特。

另外，簽名還可以只對(duì)鑒別碼AC進(jìn)行。這時(shí)的數(shù)字簽名方案與僅對(duì)消息的散列值簽名類似;當(dāng)發(fā)送方A發(fā)送消息M給B時(shí)，A首先使用鑒別用的密鑰(由發(fā)送方和接收方共享)計(jì)算得到鑒別碼AC，然后，A使用Kd對(duì)AC進(jìn)行簽名變換形成簽名S，并與消息M一起傳送給用戶B;

用戶B接收到消息M與簽名S后，為了檢查簽名，用戶B首先利用A的簽名驗(yàn)證密鑰Ke對(duì)收到的簽名進(jìn)行變換，得到一個(gè)相應(yīng)的AC，再使用鑒別用的密鑰對(duì)收到的消息M計(jì)算同樣得到一個(gè)鑒別碼AC，將這2個(gè)鑒別碼AC進(jìn)行比較，如果相等，則認(rèn)為該簽名是有效的，否則就視其為無(wú)效。

上述的簽名方案中，簽名消息在傳送時(shí)是不保密的，任何一個(gè)可能的接收者都可以獲得明文形式的消息M。可以對(duì)信息進(jìn)行加密以保證信息的機(jī)密性。這時(shí)消息可以先加密后簽名，也可以先簽名后加密，但最好是先簽名(對(duì)明文簽名)，因?yàn)?首先，這樣可以將簽名后的消息存儲(chǔ)起來(lái)以便可以再次使用(向其他人提供該消息);其次，如果先加密后簽名，驗(yàn)證過(guò)程設(shè)計(jì)中的問(wèn)題可能會(huì)導(dǎo)致一些安全威脅(盡管可以避免)。

為了保證傳輸中的安全，簽了名的消息可以用任何一種加密方法(包括公開密鑰密碼體制與對(duì)稱密鑰密碼體制)對(duì)其進(jìn)行加密。

參考文獻(xiàn)

[1](美)William Stallings.密碼編碼學(xué)與網(wǎng)絡(luò)安全[M].劉玉珍，等譯.北京:電子工業(yè)出版社，2004.

[2]宋震.密碼學(xué)[M].北京:中國(guó)水利水電出版社，2002.

[3]李克洪，王大玲，董曉梅.實(shí)用密碼學(xué)與計(jì)算機(jī)數(shù)據(jù)安全[M].沈陽(yáng):東北大學(xué)出版社，2001.