计算机工程年月日明这种变体是可证明安全的其中一个变体用到随机谕示模型 -&- 随后文献推出了 6/# 的一个改良版本即基于认证的数字签名算法 8 0&% 6 / #'86/# 该算法

第卷第期计算机工程年月! 安全技术文章编号文献标识码中图分类号 5 基于离散对数的数字签名标准对比研究冯泽宇巩博儒赵运磊复旦大学软件学院计算机科学技术学院上海摘要在国家密码管理局公开征集下一代商密公钥密码算法标准的背景下从效率和安全性方面对基于离散对数问题 6*, 或椭圆曲线 6*, 的 2/-42% 中种数字签名标准及国密 / 标准进行对比分析结果表明数字签名算法 6/# 是 /&' 和 1 签名算法的结合其应用广泛现已发展为 %6/# 且安全性高于 /,&' 4! 算法是可证明安全的 86/# 和 %86/# 的效率及安全性均较高 %6/# 和 %16/# 的签名生成过程较快给出针对 %6/# 的攻击方法证明其在自适应性选择消息攻击下不是强存在性不可伪造的上述研究结果对我国下一代商密公钥密码算法标准的设计和制定具有参考作用关键词离散对数问题椭圆曲线离散对数问题数字签名标准随机谕示模型 / 算法中文引用格式冯泽宇巩博儒赵运磊基于离散对数的数字签名标准对比研究计算机工程 % 英文引用格式! 1 " ' + /! 06/ / " 6&* ' % "#;%)!+ ",0*)*(%)(!!'2'%!"(0'%%:"* 1! 1-1 " $#- + /0 /&' /&'0/&&!/' ' ' -' #'&! 3 ' 06/ / 6// '!. & 6// 2/-42% / '&' 6&* ', 6*, &6&* ', 6*,' ' '! 6 / #' 6/# & 0/&' 1 ' && 6/ #'%6/#/! ' %6/#',&' 4! '! &5'8 0&% 6/ #' 86/# && &8 0&% 6/ #'%86/# 0' &! 0&&! 5' '0& 6/ #' %6/# &1! 6/ #' %16/# 02' ' &3 % 6/#! ' %6/#! 0! ' &'% &35'& '00'&' 0'0. 0' 06//.%+ /"!' 6& * ', 6*, & 6& * ', 6*, 6 / / 6// -& - / ' 01 4 % 概述数字签名概念由 60 和 $ 在年提出随后出现了很多数字签名算法 6/ #' 6/# 如 /# 1 /&' %/' 一些组织根据这些算法制定了数字签名标准 6/ / 6// 其中最著名的是美国国家标准与技术研究所 2/5 提出的数字签名标准其所用的数字签名算法主要基于离散对数问题 6&* ',6*, 的难解性 6/# 实际上是 1 和 /&' 签名算法的一种变体 6/# 推出后得到了密码学界的广泛关注一些专家学者指出 6/# 实际上存在很多缺点其中很重要的一条是 6/# 的安全性未得到证明文献 % 对 6/# 做了略微改进提出 6/# 的种变体并说基金项目国家自然科学基金资助项目中科院信工所信息安全国家重点实验室开放课题基金资助项目作者简介冯泽宇男硕士研究生主研方向为密码学信息安全巩博儒博士研究生赵运磊教授博士生导师收稿日期 %% 修回日期 %%.!00 &

计算机工程年月日明这种变体是可证明安全的其中一个变体用到随机谕示模型 -&- 随后文献推出了 6/# 的一个改良版本即基于认证的数字签名算法 8 0&% 6 / #'86/# 该算法提高了签名效率并引用文献中的一个变体所以该算法也是可证明安全的椭圆曲线密码学 &!'! 由 8. 和 &/ 于年提出并于年年投入应用其主要依赖于椭圆曲线离散对数问题 &6&* ',6*, 的难解性 6*, 可看作传统 6*, 的扩展即将传统 6*, 中的 + 子群用有限域上的椭圆曲线点群代替由于相同参数条件下 6*, 的困难性远高于 6*, 因此基于 6*, 的数字签名算法的安全性也更强在提供相同等级安全保证的前提下系统所需参数较少密钥长度也较短因此可节省存储空间占用带宽较少这在资源受限的计算环境中有很大的优势椭圆曲线数字签名算法 &6 / #'%6/# 是 6/# 与的结合由于其安全性更好因此在年被 /& 提出后于年被选作为 2/- 标准其后又被各大权威组织选定为安全标准该标准和 6/# 标准,&' 4! 标准 86/# 标准收录于国际标准草案 2/-42% 文件中除此之外该文件还收录了 %86/#&8 0&% 6/ #' %6/# & 6/ #' 和 %16/# &1! 6/ #' 等基于的数字签名标准近期国家密码管理局计划对数字签名标准进行公开征集签名算法的效率和安全性无疑是重要的考量指标本文从 6/# 出发对各数字签名标准进行研究并与中国商密 / 数字签名标准进行对比预备知识离散对数问题给定一个素数 + 选取 + 的 4 阶子群的生成元对 + 上整数 1 寻找唯一的整数使得 1 + 一般地若 + 足够大则认为该问题在概率多项式时间内是难解的椭圆曲线离散对数问题给定素数 + 和椭圆曲线在给定上的点的情况下求出小于 + 的正整数 % 使得 % 可以证明已知 % 和计算比较容易而由和计算 % 则比较困难存在性不可伪造一个数字签名算法通常由个算法组成 8!1 /0! 自适应性选择消息攻击下的存在性不可伪造的定义需要用到以下博弈启动挑战者运行 8!1 并将结果中的公钥 3 交给敌手而私钥 3 自己保留签名询问敌手以自适应的方式发出签名的询问 # # # 4 对每个询问 # 挑战者运行 / 算法生成 # 的签名并将发送给敌手这些询问可以是自适应性的即每个询问 # 都可以根据 # # # 的询问结果来决定输出最终敌手输出一对 # 若根据 0! 算法是 # 的有效签名并且 # 不包含在询问阶段产生的 # 中则敌手赢本文将敌手攻击签名算法的优势定义为赢得以上博弈的概率一个签名算法在自适应性选择消息攻击下是 "4 % 存在性不可伪造的必须满足不存在敌手询问至多 4 次在时间为 " 的情况下在以上的博弈中具有的优势至少为强存在性不可伪造本文将用到自适应性选择消息攻击下的强存在性不可伪造的安全特性定义这种安全特性需要用到以下博弈启动和签名询问与存在性不可伪造博弈中相同输出敌手输出一对 # 若根据 0! 算法是 # 的有效签名并且若 # 不包含在询问阶段产生的对 # 中则敌手赢同样地将敌手攻击签名算法的优势定义为赢得以上博弈的概率一个签名算法在自适应性选择消息攻击下是 "4 % 强存在性不可伪造的必须满足不存在敌手询问至多 4 次在时间为 " 的情况下在以上博弈中具有的优势至少为数字签名算法算法实现过程数字签名算法包括个过程即密钥生成过程签名过程和验证过程密钥生成过程密钥生成过程具体如下选取一个素数 4 使得 4 选取一个素数 + 使得 + 其中 4 可以整除 + 选取 + 的 4 阶子群的生成元具体过程如下选取元素 + 并计算 + 24 + 若则返回步骤秘密生成一个随机整数使得 4 计算 1 + 生成公钥 +41 私钥签名和验证过程签名过程具体如下

第卷第期冯泽宇巩博儒赵运磊基于离散对数的数字签名标准对比研究随机选取 % 使得 %4 计算 % + 4 计算 % : # " 4 最终签名为验证过程具体如下获得可信公钥 +41 验证 4 4 若不满足则拒绝该签名计算 / : # 1 + 4 当且仅当 / 时接受此签名参数取值位数与安全等级的关系见表表不同安全等级对应的参数取值位数安全等级另外 6/# 中的 : 有种选择分别为 /$#% /$#% /$#% /$#% )(" 和 0) 算法 6/# 实际上是 /&' 签名算法和 1 签名算法混合的产物这三者之间的比较见表算法生成的签名及下文中其他签名标准生成的签名均为其中 4 表示在 4 中随机取一个元素表 )(" 和 0) 签名算法对比 1 /&' 6/# 私钥在 + 中随机选取随机选取整数 %+ 且 * %+ % + % # 私钥 4 % 4 : % +# %" 4 私钥 4 % 4 % + 4 % :# " 4 公钥 1 + 1 + % # + 公钥 1 + : 1 +# % 公钥 1 + 9 4 9 : # 4 1 9 9 + 4 % 由表可以看出 1 算法实际上是在 + 中进行的而 /&' 算法是取 + 的素因子 4 是在阶为 4 的子群中进行的运算这样可以有效缩短签名的长度使运算变得简单而 6/# 正是继承了 /&' 签名算法的这一优点签名生成过程中有关的计算 6/# 和 1 相比只是对 # 进行了哈希并将减法运算变为加法运算从而简化验证过程主要的签名方法还是从 1 继承而来 "(%;6!%(+ 和.0) 算法 "(%;6!%(+ 算法 6/# 自推出后安全性一直未得到证明,&' 和! 在文献中提出了 6/# 的种变体并已证明其安全性变体先将 6/# 中的 /$# 替换为一个 - : 再将 % + 4 中的模 4 操作替换为另一个 - : 即 ': % + '% : # 4 相应的验证公式变为 : : # 1 + ' 变体将原来 6/# 公式中对 # 的哈希变为对 # 和的哈希即 ' % + 4 '% : # 4 相应的验证公式为 : # 1 + 4 '.0) 算法 86/# 是基于认证的数字签名算法其在算法效率和安全性方面较 6/# 都有所提升两者比较见表表 0) 和.0) 算法比较 6/# 私钥 4 % 4 % + 4 % :# " 4 公钥 1 + 9 4 9 : # 4 1 9 9 + 4 % 86/# 私钥 4 % 4 : % + : "" : # 4 % 4 公钥 1 + : # 4 : 1 + % 在表中 "" 表示签名者的认证数据包括签名者的 26 公钥 1 参数 +4 在效率性方面 86/# 只需要在密钥生成阶段求一次逆而在 6/# 中在每次签名和验证过程中都要进行模 4 的乘法求逆虽然在日常电脑上整个签名验证过程求逆只占很少的部分但在计算资源受限的环境中如智能卡求逆的代价就会很高在安全性方面将 6/# 中的 % + 4 替换为 : % + 效仿,&' 4! 算法中的变体从而保证 86/# 在 - 下也是可证明安全的另外 :"" 的使用有效地抵御了参数

计算机工程年月日生成阶段可能的伪造又因为每个签名者的都是唯一的使得搜索到一个哈希碰撞的难度大大增加基于的数字签名标准在 6/# 的基础上推出椭圆曲线版本 %6/# 其后各个国家都推出了各自的基于的数字签名标准如 %6/# 俄罗斯的 %6/# 中国的 / 韩国的 %86/# 德国的 %16/# 这些签名标准的比较见表表基于的数字签名标准 %6/# %6/# / %86/# %16/# 私钥 4 % 4 %. 4 % :# " 4 私钥 4 % 4 %. 4 "% : # 4 私钥 4 % 4 : "" : # " %. 4 " % 4 私钥 4 % 4 : %. : "" : # 4 % 4 私钥 4 % 4 %. 4 %: # 4 公钥. 9 4 9 : # 4 9 "9. 4 % 公钥. 9 : # 4 9 : # 4 9.9 4 % 公钥. " " 4."" : # " 4 % 公钥. : # 4 : ". % 公钥. 9 4 9 : # 4 9 "9. 4 % 在表中函数的作用是将一个椭圆曲线点转换为一个整数对于定义在.& + 中的椭圆曲线 1 而在.& # 中可以表示算法签名密钥长度成二进制串 # # 此时 1 # %6/#%86/# 即 6/# 和 86/# 从基于 6*, 转移到基于 6*, 其本质并没有发生变化因此下面主要分析其他种签名算法 &0) 和 0) 算法 %6/# 代表俄罗斯的基于椭圆曲线的数字签名算法是俄罗斯政府于年发布的数字签名标准 1-/5 % 其前身是 1-/5 % 即俄罗斯的 6/# %16/# 代表德国的基于椭圆曲线的数字签名算法于年被提出比 6/# 和 %6/# 的提出要早一些两者的共同特性是在签名生成过程中避免了乘法求逆提高了签名生成阶段的效率 ) 算法 / 算法由我国国家密码管理局于年发布是 / 椭圆曲线公钥密码算法的一部分发布该算法的主要目的是改善 /# 算法不安全的现状随着密码技术和计算技术的发展目前常用的 /# 算法面临严重的安全威胁因此国家密码管理部门经过研究决定采用 / 椭圆曲线算法替换 /# 算法与 86/# 一样 / 对待签名消息做了预处理添加了值包含签名者自身的信息以提高安全性和不可抵赖性 / 中规定使用的哈希算法为 // 输出长度为其安全性基本等同于 /$#% 但可能高于 /$#%/$#% 在安全性方面文献指出相对于 %6/# 在部分已知随机数攻击下 / 更容易被攻破且计算 / 中 " % 4 的 " 时的信息在旁道攻击下更容易泄露并且 / 在错误注入攻击下亦是不安全的因此可以认为 / 的安全性低于 %6/# 表密钥签名长度及计算过程比较验证密钥签名长度及计算过程对比从表可以看出各个签名算法的密钥长度生成的签名长度以及整个算法过程包含的模指数运算求逆运算的次数其中表示模指数模 + ), 表示标量乘法表示求逆模 4 签名长度计算过程密钥生成签名验证 6/#,&' 4! 86/# %6/# ), ), ), %86/# ), ), ), %16/# ), ), ), %6/# ), ), ), / ), ), ),

第卷第期冯泽宇巩博儒赵运磊基于离散对数的数字签名标准对比研究 3 针对 &0) 的攻击和改进 %6/# 的签名公式为 "% : # /&'" 6&* ' 44,& 0+,5-"1!/% /&',0&20& / 0 4 假如对同一个消息签名次得到个签名 / 44,&0+,5-" 为其中 "% : # 1!/% /&',0&/ 1! / 4 "% : # 4 将等式两端分别相 0!! % 加可得 " " " % "% : # 4,&' 6 / /&! #06 这样就可得到关于 # 的签名 " " 从而对消息 # 的签名进行伪造根据定义可知 % / " / 0!! %! /,&' 6-, /&! 0 6/# 在选择消息攻击下不是强存在性不可伪造 6/ #'*2/%%*2/ 的所以在签名过程中直接使用 # 的哈希值是不 * *,5' 8 0&% 6 安全的文献在签名时对 # 的哈希值进行加 / : && 密即 "% % : # 4 并证明了该方法 % ' 6.# /5'& 在选择消息攻击下是强存在性不可伪造的 6/ #' 6/# 2 结束语 020 /&! % #& / 22/-42 % 本文对 2/-42% 文件中的种数字签名 % 20 5&'!%/&! 5&'9% 标准和国密局发布的 / 标准从效率和安全性方面 6 / ' #, 6& * ' " &' / 进行了对比研究得到以下结论 6/# 算法是 &' &&&'6, $1-/5 %# "0 1 签名算法和 /&' 签名算法的结合自推出 - 0 6/# : /&! 以来便因其使用便利而得到广泛应用现已发展为 %6/#,&' 4! 算法在 6/# 的 % $/&' 0'/0, 5'6/ /&'16/#"4-*%%' 44 基础上进行改进并对修改版本的安全性进行证明 40 404 4&0 0 86/# 引用了,&' 4! 算法的一国家密码管理局 / 椭圆曲线公钥密码算法 "4-* 个版本并对签名过程进行改进使其相对于 6/# 而言在效率和安全性上都有了提升同时推出版 %% ' 44&&& 444 ' "' 6 /' ( "/! 0 本即 %86/# %16/# 和 %6/# 避免 / " 60%$ 44 了签名生成过程中的求逆运算提高了签名过程的效,&0,8 "1!/ 率并在本文中给出一种针对 %6/# 的攻击方法 / 是国密局近年来发布的基于 6*, 的数字 % * '.' *$,! 8 & 2& #&3 / / 签名标准其推出的主要目的是替换现已不再安全的 #' 44,&020 /&! /# 数字签名标准目前的分析结果表明 / 的安!'! 0&"1!/ 全性低于 %6/# 下一步工作将以本文研究为基础设计更安全高效的数字签名算法参考文献 1 5#,&8!!! / % 3,, /&! 06/ '5%06& 6& '% & #& % 编辑陆燕菲上接第页 6,/, 38!3#! ' 0 # & #'& 44,&0'' 2 0& 20 & 5&'!"1!/% $.' 6 8' / 1 08!3, 0"&#&% 2 5& /!!& % "' / /' 5 8!3 6! & 0 "&#'&# /! 44,&% 02 0&, & 20 & " 1! /%,&&3 # 8) (3 5!, # 8! 20& 2 /&!, &! % / 5 ' $ 20& 0 8! 60&, 20&! 8!3 6! & 55! 44,% & 0 ' ' 2 0& 5 5&'! ( ' 6/#2, / 5 ' $ 8!3 6! & 0 2 20& 5 5! /2 0 /! 2 % 编辑顾逸斐

计 算 机 工 程 年 月 日 明 这 种 变 体 是 可 证 明 安 全 的 其 中 一 个 变 体 用 到 随 机 谕 示 模 型 -&- 随 后 文 献 推 出 了 6/# 的 一 个 改 良 版 本 即 基 于 认 证 的 数 字 签 名 算 法 8 0&% 6 / #'86/# 该 算 法

计算机工程年月日明这种变体是可证明安全的其中一个变体用到随机谕示模型 -&- 随后文献推出了 6/# 的一个改良版本即基于认证的数字签名算法 8 0&% 6 / #'86/# 该算法