[发明专利]基于RSA算法的前向安全数字签名算法

说明书

技术领域

本发明属于通信技术领域，涉及网络通信的安全问题，应用于网络数字签名。

背景技术

在现实中，对数字签名方案最大的威胁来自于(秘密或者说签名)密钥的泄露。只要使 用知名的方案和足够大的安全参数，即使敌手能成功分析签名方案，其造成的威胁也远不如 密钥泄露造成的威胁。然而一旦签名者的秘密密钥泄露，敌手可以利用泄露的密钥伪造任何 时间的签名，整个方案的安全性将瓦解。虽然数字签名中可以附加时间戳，然而这个时间是 秘密密钥的使用者声称的，其安全性是建立在秘密密钥的保密上的，持有了秘密密钥的敌手 一样可以伪造时间戳。

通常考虑的解决密钥泄露的方法是通过数个服务器经由秘密的共享实现密钥分配，密钥 分配有许多实例化的方案比如门限签名方案等。然而，使用密钥分配的方式开销相当大，当 大企业或者证书权威组织能分配密钥时，只拥有一台机器的普通用户却没有这样的选择。其 他针对密钥泄露的保护方法包括使用受保护的硬件或者smartcard等，但这些方法也往往是昂 贵或不切实际的。此外，密钥分配方案不一定能提供想象中的安全性，比如，密钥分配易受 共模故障的影响：因为所有机器使用相同的操作系统，如果找出一个系统的可能造成非法入 侵的漏洞，所有的机器都会受影响。

一般的数字签名还有一个基本的限制：如果一位签名者的秘密密钥已经不安全(泄露) 了，则该签名者(过去和未来的)的所有签名都不可信了，这样的限制破坏了数字签名所应 该提供的不可否认性，对于某个恶意的签名者来说，最简单的否认其签名(其可能从中获益) 的方法就是将自己的秘密密钥匿名地发送到互联网上的某处并宣称计算机受到了入侵。

针对这样的问题和限制，R.Anderson首先于1997年在ACM CCS会议上提出了前向安全 数字签名方案的概念。随后M.Bellare和S.Miner与1999年在Crypto99会议上发表了“A Forward-Secure Digital Signature Scheme”一文，文中提出了数字签名的前向安全性的正式定 义，给出了可行的前向安全数字签名方案——Bellare-Miner方案，并给出了衡量具体的前向 安全性的方法，可以说其奠定了前向安全数字签名研究的基础。

直观上来说，前向安全的特性是指：对于一个数字签名方案，当前秘密密钥的泄露不会 造成敌手得到伪造属于过去的签名的能力。Rose Anderson在1997年ACM CCS会议首次提 出前向安全数字签名的概念时粗略地将其表示为当前私钥的泄露不会影响到过去的大量数字 签名的安全性，而Bellare和Miner在其发表的文章中给出了较正式的定义，即对于一个具有 密钥更新(或者说演化)机制的数字签名方案，在其安全性分析模型中允许敌手进行选择消 息攻击，并在其所选的时间段j泄露秘密密钥，敌手将试图对于消息m伪造出关于某个时间 段i(i＜j，对应秘密密钥泄露之前的时间)的签名，如果敌手的伪造是计算上不可行的，那么 称方案具有前向安全性。

除了前面提到的前向安全数字签名算法外，Hugo Krawczyk在文章“Simple Forward -secure Signature From Any Signature Scheme”中给出了一种将普通数字签名算法转化为前向 安全数字签名算法的一般方法，并基于RSA签名算法给出了前向安全数字签名算法，但是这 个算法的验证算法要用到交互式零知识证明，效率很低，除了特定场合外，在实际应用上价 值不高。本发明基于RSA签名算法给出一个前向安全数字签名算法，与其他前向安全数字签 名算法比较，具有效率高，密钥长度短的优势，具有很高的实用价值。并且本发明其实也隐 含地给出了一种将普通数字签名算法转化为前向安全数字签名算法的一般方法。

一个前向安全的数字签名方案应当首先是一个具有密钥更新机制的数字签名方案。这样 的一个方案和标准方案类似，但方案的生命周期被分为若干时间段，每个时间段中使用不同 的秘密密钥来对消息进行签名，秘密密钥由一个基于当前时间段的密钥计算下一时间段密钥 的算法更新，这个算法使用单向函数以保证不能由当前的秘密密钥得出以前的秘密密钥，整 个生命周期内公开密钥保持不变，即签名的验证算法也保持不变。

更进一步表述，一个前向安全的数字签名方案FSign一般来说包括下面四个算法。