【密码学原理】数字签名（ElGamal签名，Schnorr签名，椭圆曲线签名，RSA-PSS签名）

数字签名是公钥密码学发展过程中最重要的概念之一，产生和使用数字签名过程的一般模型如图所示

消息认证可以保护消息交换双方不受第三方的攻击，但是不能处理通信双方自身发生的攻击。例如对下图中的某种方式进行攻击，考虑两种情况：

Bob可以伪造一条消息并称该消息来自Alice。用他们的共享密钥产生认证码，并将认证码附加在消息后面。
Alice可以否认曾经发送过某天消息。Bob可以伪造消息，所以无法证明Alice确实发过该消息。

数字签名的特征：

必须能验证签名者、签名日期和时间
必须能认证被签的消息内容
签名应该由第三方仲裁，以解决争执

下面给出一些攻击类型，危害程度从高到低：

唯密文攻击
已知消息攻击
一般选择消息攻击
定向选择消息攻击
适应性选项消息攻击
完全破译
通用伪造
选择伪造
存在性伪造

数字签名应该满足的条件：

签名必须是与消息相关的二进制位串
签名必须使用发送方某些独有的信息，以防止伪造和否认
产生数字签名比较容易
识别和验证签名比较容易
伪造数字签名在计算上是不可行的。无论是从给定的数字签名伪造消息，还是从给定的消息伪造数字签名，在计算上是不可行的
保存数字签名的副本是可行的

安全Hash函数可用于满足上述条件的数字签名设计，简单的设计方案如图所示

直接数字签名是指：只涉及通信双方的数字签名。这里先进行签名，然后才执行外层的加密，发生争执的时候第三方可以查看消息及签名。如果对消息先加密，然后对消息的密文签名，那么第三方必须知道解密密钥才能读取原始消息。签名如果在内层进行，接收方可以存储明文的消息及签名，以备解决争执。

直接签名有个弱点，它依赖于发送方的私钥安全性。发送方可以抵赖私钥丢失或者被盗。被广泛接受的解决方案是使用数字证书的证书管理中心（CA）。

ElGamal数字签名方案

ElGamal签名方案使用私钥进行加密，使用公钥进行解密。

签名包括两部分，一部分是对公共参数 $\alpha$ 的加密，一部分是对私钥和前一部分签名的加密。验证签名的方式为

m是明文的Hash值，然后对A的公钥和前一部分签名分别用签名求指数，得到的结果进行比较即可。

Schnorr数字签名方案

同ELGama数字签名一样，Schnorr数字签名也是基于离散对数，将生成签名所需的消息计算量最小化，生成签名的主要工作不依赖于消息，可以在处理器空闲时执行。生成签名过程与消息相关的部分需要进行2n位长度的整数与n位长度的整数相乘。

在签名之前可以生成x，这个x是关于随机数r的值，与M无关，最后签名只是与M的绑定，不依赖于M

验证过程为

数字签名标准（DSS）

DSS使用的是只提供数字签名功能的算法，与RSA不同，DSS虽然是一种公钥密码方案，但是不能用于加密或密钥交换。

数字签名算法（DSA）如图所示

DSA中的签名和验证函数如图所示

椭圆曲线数字签名算法（ECDSA）

ECDSA处理过程：

参与数字签名的所有通信方都使用相同的全局参数，用于定义椭圆曲线以及曲线上的基点
签名者首先生成一对公私钥。对于私钥，选择一个随机数或者伪随机数作为私钥，利用随机数和基点算出另一点，作为公钥
对消息计算Hash值，用私钥、全局参数和Hash值生成签名
验证者用签名者的公钥、全局参数等验证

全局参数：

密钥生成：

每个签名者都要生成一对公私钥，假设是Bob

这里是定义在 $Z_q$ 上的椭圆曲线，椭圆曲线上的乘法运算就是多个点的累加运算，最后的结果还是椭圆曲线上的点

有了公钥之后，Bob对消息m生成320字节的数字签名：

第2步确保最后算出的公钥（椭圆曲线上的点）是落在曲线上。第5不，如果为O点也是不符合的，所以也要重新生成。

Alice在获得Bob的公钥和全局参数后，即可校验签名

RSA-PSS数字签名

掩码生成函数（MGF）是一个伪随机函数，输入参数是一个任意长度的位串X以及需要输出字节长度L。

在签名之前，先对消息进行编码（EM），如图

拥有私钥 $\left ( d,n \right )$ 和公钥 $\left ( e,n \right )$ 的签名者生成签名

将字节串EM作为无符号的非负二进制整数m，加密得到签名s： $s=m^d \mod{n}$

在做签名的时候不再用公钥加密m，而是用私钥加密得到签名。验证的时候用公钥验证：