[发明专利]用于实现具有消息附录的数字签名的方法及其检验方法

说明书

本发明涉及数字签名，更具体地，本发明涉及一种具有消息附录的数字签名的方法，利用这种方法能够对电子文件或数据提供签名功能。

通常，在信息的电子交换中的数字签名是传统邮件中手写签名的对应物。随着社会更多地依赖信息，由于计算机和电子通信的发展，所有的文件从传统邮件变成电子数据。在这种情况下，各实体间，即个人之间、个人和团体之间以及公司之间的合同或文件被更改和伪造的可能性变高了。为适应这种新情况，类似于在传统邮件中那样，需要一种对电子文件提供签名功能的技术。

即，为了适应上述情况，具有消息附录的数字签名用于在信息处理系统中和网络间通信系统中提供诸如数据的证实和完整之类的信息保护服务。需要一种密码技术用于所述数字签名技术，通过此技术能够防止电子文件的盗用、伪造和更改。

采用密码技术的系统一般分为公开密钥系统和秘密密钥系统。秘密密钥方法的密码系统难于管理，因为想要通信的两个系统必须共享相同的秘密密钥，并且不能提供能给予充分保护的签名，还因为它不能提供诸如签名将提供的越权访问拒绝和抑制等功能。在公开密钥方法的密码系统中，其公开密钥和保密密钥采用一单向函数计算，这一数学解决是非常困难的。具有一公开副本的公开密钥的任何人能够利用此副本完成一秘密通信，因为此公开密钥被公开，为的是可由任何人使用，而所述秘密密钥由用户保护。

在采用公开密钥方法的数字签名中，采用了一对密钥，即用于签字一信息的秘密密钥和用于验证此签名的公开密钥。即，用于数字签名方法的这一对密钥包括用于证实的公开密钥和用于签名的秘密密钥。

采用公开密钥方法的一种消息签名是实行消息还原的数字签名。这种方法在验证签名的处理过程中还原消息。此数字签名方法由国际标准化组织和国际电工技术委员会(ISO/IEC9796)提供，它是一种实行消息还原的数字签名。在这时里，采用了RSA算法，其保密性是基于素因子的分解困难，在RSA算法，由于必须接收有限长度的消息，因此难于将数字签名加到一任意长度的消息中。

具有消息附录的数字签名与实行消息还原的数字签名不同。在此具有消息附录的数字签名中，采用一散列函数以获得此消息。由于在采用散列函数简化消息后实现签名，因此能够在短时间内完成签名和证实。ELGamal数字签名是具有消息附录的数字签名和公开密钥数字签名的一个例子，其保密性是基于计算一离散对数。但是，它的缺点是，在产生签名时，其签名长度将增加一倍。

本发明的一个目的是提供一种方法，用于实现具有消息附录的数字签名，其中采用一散列函数以便减小签名长度。

本发明的另一个目的是提供一种方法，用于证实具有消息附录的数字签名。

为了实现第一个目的，这里提供了一种用于实现一具有消息附录的数字签名的方法，当L_p和L_q表示素因子p和q的位长度，并且在满足1＜a＜p-1和a^(p-1)/q mod p＞1时 g＝a^(p-1)/q mod p，此方法包括步骤：响应发送的一消息M，用g^k乘以散列码H(M)，其中的g^k由每当执行一签名时产生的随机数K计算；对前面的乘法结果由一模数P执行模乘，并且通过将其结果值截断为L_q位而得到一签名的开始部分R，采用一签名者的秘密密钥X而获得一签名的结尾部分S，其随机数K在每当执行签名时产生，并且通过S＝(K-RX)mod q计算R，然后传送一用于证实数字签名的签名证实密钥Y和包括R、S的消息M。

为了实现第二个目的，这里提供了一种用于证实具有消息附录的数字签名的方法，当L_p和L_q表示素因子p和q的位长度，并且在满足1＜a＜p-1和a^(p-1)/q mod p＞1时g＝a^(p-1)/q modp时，此方法包括步骤，接收在权利要求1中发送的消息Y、M、S和R，并且确认0＜R＜q以及0＜s＜q，通过与消息M相对应的散列函数值H(M)、接收的S和R计算g^s和Y^R，并且根据模数P执行模乘，然后，当将所述模乘结果截为L_q位后的结果值等于所接收的值R时，使一具有公开证实密钥Y的用户能够确认签名的所述接收消息M。

通过参照附图详细地描述其最佳实施例，本发明的上述目的和优点将变得更加清楚，其中：

图1是一流程图，描述了一用于根据本发明产生一数字签名的方法。