電子信息中的數字簽名

〔摘 要〕一個數字簽名方案由兩部分組成:簽名算法和驗證算法，使用簽名算法進行簽名，得到數字簽名;通過驗證算法判斷其真實性。對基于公開密鑰密碼體制的數字簽名，討論了它的優缺點和安全性。

〔關鍵詞〕數字簽名;算法;密鑰;加密

〔中圖分類號〕TP309.7 〔文獻標識碼〕A 〔文章編號〕1008-0821(2009)07-0051-02

The Digital Signature in the Electronic InformationSong Weiping

(The Network and the Information Center，Jilin Institute of the Architectural and Civil Engineering，

Changchun 130021，China)

〔Abstract〕This paper attempted to discuss the method of the digital signature，which consisted of the two parts.One was the signature formula and the other was the test formula.It was available to have the digital signature with the digital method and prove the authenticity of the method.The paper not only presented the advantage and disadvantage but also mentioned the safe system of the digital signature based on the open system of the secret key and code.

〔Key words〕digital signature;arithmetic;secret key;secret code

數字簽名在信息安全，包括身份認證、數據完整性、不可否認性等方面，特別是在大型網絡安全通訊中的密鑰分配、認證及電子商務系統中，具有重要作用。

1 數字簽名的基本概念

許多情況下我們需要使用手寫簽名，對所簽訂的文件、契約等進行確認。此時的手寫簽名具有下面的兩個作用。

(1)對所簽署的文檔內容進行確認;

(2)如果簽署文檔的雙方針對文檔的內容發生爭執，根據簽署文檔時留下的簽名，第三方可以對簽名進行檢查以便對爭執進行調解。

隨著計算機網絡的發展，出現了對類似于數字簽名的電子化簽名的需求。例如，在電子商務中，某一個用戶在下訂單時，必須能夠確認該訂單確實為用戶自己發出，而非其他人偽造，另外，在用戶與商家發生爭執時，必須存在一種手段，能夠為雙方關于訂單進行仲裁。

使用了密碼技術的數字簽名(或稱數字簽字)正是一種作用類似于傳統的手書簽名或印章的電子標記，它可以達到與手寫簽名類似的作用，即:使用數字簽名，在信息通信過程中，接收方能夠對公正的第三方(可以是雙方事前同意委托其解決某一問題或某一爭執的仲裁者)證明其收到的消息是真實的，而且確實是由那個發送方發送過來的，同時，數字簽名還能夠保證發送方事后不能根據自己的利益來否認他所發送過的消息，而接收方也不能根據自己的利益來偽造消息或簽名。

一個數字簽名方案由兩部分組成:簽名算法和驗證算法。簽名者A對消息M使用簽名算法(記作Sig(M)，有時為了強調用戶A或所使用的簽名密鑰k，簽名算法也記為S=Sig(M)或S=Sig(M))進行簽名得到數字簽名S=Sig(M);用戶A對消息M的簽名S在以后可以通過驗證算法(記作Ver(M，S)，有時，為了強調用戶A或所使用的簽名密鑰k也記為VerA(M，S)或Verk(M，S)判斷其真實性，驗證算法返回的結果為布爾值“真(true)”或“假(1)”，即:

Ver(M，S)=true ? S=Sig(M)

1S≠Sig(M)

驗證算法的結果表示了簽名是否真實可靠。

在一個數字簽名體制中，簽名算法或簽名密鑰是秘密的，只有簽字人掌握;驗證算法是公開的，以便于他人進行驗證。

由于數字簽名(電子信息)容易被拷貝，并且拷貝后的文件與原數字簽名沒有任何區別，因此，為了防止數字簽名被重復使用在不同的消息上，第一，數字簽名因消息而異，不同的消息的數字簽名結果不同;第二，一般通過要求消息本身包含有諸如日期、發送序號等信息來使消息盡量不同，即使消息主要內容相同。

2 基于公開密鑰密碼體制的數字簽名

從前面關于數字簽名的基本概念中，我們可以發現:為了保證簽名的有效性，對消息進行簽名的簽名者與對簽名進行驗證的驗證者絕對不能擁有完全相同的用于簽名和驗證的信息，因為一旦驗證者能夠用與簽名者相同的信息(參數和算法)來驗證消息與簽名，那么他同樣可以偽造消息與簽名。

公開密鑰密碼體制很好地滿足了這一要求。目前數字簽名的諸多方案主要都基于公開密鑰密碼體制(雖然也存在一些使用對稱密鑰密碼體制設計的數字簽名方案，但這些方案由于種種缺點，例如密鑰量比較大等，而沒有得到廣泛的運用)。下面我們將介紹如何利用公開密鑰密碼體制產生數字簽名。

某公開密鑰密碼體制，假設其加密算法為E，解密算法為D，Ke為加密密鑰，Kd為解密密鑰。利用此算法產生簽名的過程如下:

設用戶A要向B發送一份消息M，該消息由兩大部分組成:一部分稱作報頭(用H表示)，它由發送方的身份，接收方的身份，發送序號等組成;另一部分是要發送的消息數據(用T表示，T中包含消息日期等信息)。簽名者必須將他的簽名驗證信息公開，在這里，我們將加密密鑰Ke公開，將解密密鑰Kd保密，A對消息M進行簽名時，利用他的解密密鑰Kd對T進行一次“解密”運算(此時并沒有加密運算):

S=DKe(T)

S作為簽名與H連接在一起，作為簽名后的消息Ms=(H，S)發送給B，B收到后作如下的操作以驗證簽名。

2009年7月第29卷第7期現?代?情?報Journal of Modern InformationJuly，2009Vol.29 No.72009年7月第29卷第7期電子信息中的數字簽名July，2009Vol.29 No.7(1)根據H中的信息識別發送者的身份(在這里是A)。

(2)在公開的簽名信息簿中查出A用于簽名驗證的加密密鑰Ke。

(3)利用查到的Ke進行一次“加密”運算:

T′=EKe(S)

(4)檢查T′是否正確(是否有意義)。

如果T′是正確的，那么B就可以判斷T 確實是由A發送過來的數據，因為只有A才知道Kd(保密的)，并且還保證在已知Ke的前提下任何人都無法從計算上得到Kd。如果T′是不正確的，那么B就可以拒收消息。

在上述簽名與驗證過程中，接收方B無法偽造消息，因為他得不到Kd;發送方A也不能抵賴他發送過的消息，因為只有他才知道確切的Kd(Kd被泄露的情況除外)。當A與B就消息的內容發生爭執時，B將Ms=(H，S)提交給公正的第三方，第三方進行同樣的驗證過程，即可判斷是否A確實發送過該消息。

在上述方法中，簽名是對整個消息進行的，對需要傳送的信息來講絲毫沒有擴散(如果使用的公開密鑰密碼體制不帶來擴散)，明文消息可以從簽名中恢復。

上述簽名方法的一個缺點是當消息較長時，需要將其分成許多組(除了極少數方案外，公開密鑰密碼體制一般都是分組密碼體制)，簽名時要一組一組地進行，而對手則可能改動分組的次序，但收方仍能進行驗證。同時，由于公開密鑰密碼體制一般速度都比較慢，這樣，消息比較長時，整個簽名與驗證過程的速度都會相當地慢。

針對這種情況，最好是將簽名信息與消息分離，形成一個獨立的簽名塊，無論消息多長，這個簽名塊的長度都是固定。

可以利用單向散列函數以及公開密鑰密碼算法形成簽名塊。這時的簽名過程如下:發送方先將消息M經過單向散列函數H進行一次變換，得到了H(M)，M中的所有位都必須參與這個變換，這時，H(M)與M中的每一位都是相關的。然后，利用Kd對H(M)進行簽名變換，形成對整個消息的簽名。

在接收方，消息M是以明文形式收到的，為了檢查簽名，收方利用發方的簽名驗證密鑰Ke對收到的簽名進行變換，得到一個相應的H(M)，然后，再將收到的消息經過單向散列函數H進行1次變換，也得到一個H(M)，將這2個H(M)進行比較，如果相等，則認為該簽名是有效，否則就視其無效。

單向散列函數H必須是公開的標準算法，以便每個用戶都能利用它進行簽名驗證。另外，單向輸出必須保持一定的長度，太長會浪費系統資源。太短則容易受到攻擊，一般選取64比特。

另外，簽名還可以只對鑒別碼AC進行。這時的數字簽名方案與僅對消息的散列值簽名類似;當發送方A發送消息M給B時，A首先使用鑒別用的密鑰(由發送方和接收方共享)計算得到鑒別碼AC，然后，A使用Kd對AC進行簽名變換形成簽名S，并與消息M一起傳送給用戶B;

用戶B接收到消息M與簽名S后，為了檢查簽名，用戶B首先利用A的簽名驗證密鑰Ke對收到的簽名進行變換，得到一個相應的AC，再使用鑒別用的密鑰對收到的消息M計算同樣得到一個鑒別碼AC，將這2個鑒別碼AC進行比較，如果相等，則認為該簽名是有效的，否則就視其為無效。

上述的簽名方案中，簽名消息在傳送時是不保密的，任何一個可能的接收者都可以獲得明文形式的消息M。可以對信息進行加密以保證信息的機密性。這時消息可以先加密后簽名，也可以先簽名后加密，但最好是先簽名(對明文簽名)，因為:首先，這樣可以將簽名后的消息存儲起來以便可以再次使用(向其他人提供該消息);其次，如果先加密后簽名，驗證過程設計中的問題可能會導致一些安全威脅(盡管可以避免)。

為了保證傳輸中的安全，簽了名的消息可以用任何一種加密方法(包括公開密鑰密碼體制與對稱密鑰密碼體制)對其進行加密。

參考文獻

[1](美)William Stallings.密碼編碼學與網絡安全[M].劉玉珍，等譯.北京:電子工業出版社，2004.

[2]宋震.密碼學[M].北京:中國水利水電出版社，2002.

[3]李克洪，王大玲，董曉梅.實用密碼學與計算機數據安全[M].沈陽:東北大學出版社，2001.