数字签名

MAC 和数字签名都是用来确保传送消息的完整性。而数字签名是可以公开认证的。如果一个接受者验证一个给定消息的签名为合法时，可以确保其他接受此签名的接收方对其验证也是合法的。

Warning

数字签名不是公钥加密的逆向操作。这仅对于极其特殊的方案成立

数字签名具有以下性质：

• 是可信的：任何人都能验证有效
• 是我认证过的：
  • 不可伪造
  • 不可复制
  • 不可改变
• 是我看过的：
  • 不可抵赖：签名事后不能否认自己的签名

认证的本质是共享一个秘密

---

定义

数字签名方案是由一个 PPT 算法组成的三元组 $(Gen,Sign,Vrfy)$ 满足下面条件：

1. $(pk,sk)\leftarrow Gen(1^n)$ 假设 pk 和 sk 长度至少为 n，n 可以由 pk 和 sk 确定
2. 签名 $\sigma \leftarrow Sig{n}_{sk}(m)$
3. 确定的验证算法，1 意味着有效：$b\leftarrow Vrf{y}_{pk}(m,\sigma )$

需要正确性保证：$Vrf{y}_{pk}(m,Sig{n}_{sk}(m))=1$

---

数字签名的威胁模型 数字签名的安全目标

• 教科书式 RSA 签名
• Hash-and-sign
• Schnorr 签名
• DSA-ECDSA 签名
• ElGamal 数字签名
• 一次性签名

盲签名 群签名 代理签名

数字证书