经典数字签名算法—RSA数字签名算法

数字签名一般利用公钥密码技术来实现,其中私钥用来签名,公钥用来验证签名。比较典型的数字签名方案有:
· RSA签名算法(R. L. Rivest, A. Shamir, and L. M. Adleman, 1978) 
· ElGamal 签名算法(T. ElGamal, 1985) 
· Schnorr签名算法(C. P. Schnorr, 1989) 
· DSS签名算法(NIST, 1991)
基于RSA公钥体制的签名方案通常称为RSA数字签名方案。RSA签名体制的基本算法如下:
密钥的生成(与加密系统一样):
公钥Pk={e,n};私钥Sk={d}
签名过程(d,n):

用户A对消息M∈Zn进行签名,计算:

并将S附在消息M后
验证过程(e,n):
给定(M,S),Ver(M,S)为真,则H(M)=Se(mod n)成立

假设RSA直接对消息进行签名
一般攻击:攻击者任选一个数据Y,用A的公钥计算 X=Yemodn,于是便可以用Y伪造A对消息X的签名,因为:

· 实际意义不大:伪造的消息X具有实际意义的概率很小
· Hash函数可以抵御这种攻击

· 用户不要轻易对其他用户提供的随机数据进行签名
· 更有效的方法:对数据的Hash值签名
利用签名获得明文:攻击者截获密文C=Memod n,选择随机数r,并计算:

然后攻击者设法让发送者对y签名,获得:

攻击者计算:

· 用户不要轻易对其他用户提供的随机数据进行签名
· 更有效的方法:对数据的Hash值签名
H(M)的另一个作用一加快签名速度
· 对整个消息签名,由于公钥体制速度比较慢,当消息比较长时,签名与验证过程都会相当慢
· 对消息的Hash值签名,则无论消息多长,签名都只与Hash值的长度有关
RSA算法比较慢,用私钥进行签名和公钥进行验证。因上述RSA签名算法沒有加入随机数,当出现重复性的原始资料,攻击者会通过相同签名信息而猜测出原文。应该怎么办呢?
· PSS (Probabilistic Signature Scheme)私钥签名流程的一种填充模式。
· 目前主流的RSA签名包括RSA-PSS和RSA-PKCS#1 V1.5。
· 后者相对应PKCS (Public Key Cryptography Standards)是一种能够自我恢复签名,而PSS无法从签名中恢复原来的签名。
· OpenSSL-1.1.x以后默认使用更安全的PSS的RSA签名模式。

RSA-PSS数字签名算法
密钥生成
生成一个模数n,一个公钥e和一个私钥d。
假设安全参数为k(n是k比特的数),我们定义两个整数k0和k1并且满足:k0+k1≤k-1

签名算法
为了对一个消息m进行签名,签名者执行以下步骤:

验证算法
为了对一个消息m进行的签名s进行验证,验证者执行以下步骤:

今天的课程就到这里啦,下一堂课我们将介绍经典的数字签名算法—ElGamal数字签名算法,带大家继续了解数字签名,敬请期待!