GB/T 17902.2-2005
基本信息
标准号: GB/T 17902.2-2005
中文名称:信息技术 安全技术 带附录的数字签名 第2部分:基于身份的机制
标准类别:国家标准(GB)
英文名称:Information technology--Security techniques--Digital signatures with appendix--Part 2:Identity-based mechanisms
标准状态:现行
发布日期:2005-04-19
实施日期:2005-10-01
下载格式:pdf zip
标准分类号
标准ICS号: 信息技术、办公机械设备>>35.040字符集和信息编码
中标分类号:电子元器件与信息技术>>信息处理技术>>L80数据加密
关联标准
采标情况:IDT ISO/IEC 14888-2:1999
出版信息
出版社:中国标准出版社
书号:155066.1-23069
页数:出版社:
标准价格:43.0
出版日期:2005-06-09
相关单位信息
首发日期:2005-04-19
起草人:叶茅枫、陈星、罗锋盈、胡磊、叶顶锋、张振峰、黄家英
起草单位:中国电子技术标准化研究所
归口单位:全国信息安全标准化技术委员会
提出单位:中华人民共和国信息产业部
发布部门:中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会
主管部门:国家标准化管理委员会
标准简介
本部分规定了任意长度消息的带附录的基于身份的数字签名机制的签名和验证过程的总的结构和基本过程。
标准图片预览
标准内容
ICS 35.040
中华人民共和国国家标准
GB/T 17902.2-—2005/IS0/IEC 14888-2:1999信息技术
安全技术
带附录的数字签名
第2部分:基于身份的机制
Information technology--Security techniques--Digital signatures withappendix-Part 2: Identit y-based mechanisms(IS0/IEC 14888-2:1999,IDI)
2005-04-19发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2005-10-01实施
GR/T 17902.2--2005/IS0/IEC 14888-2:1999前言
GB/T17902《信息技术安全技术带附录的数字签名》由以下几个部分组成:第1部分:概述:
第2部分:基于身份的机制;
第3部分:基于证书的机制。
本部分为GB/T17902的第2部分,等同采用国际标推IS0/1FC14888-2:1999信息技术安全技术带附录的数字签名第2部分:基于身份的机制》(英文版),本部分的附录A和附录B是资料性附录。本部分由电华人民共和国信息产业部提出:本部分由全国信息安全标谁化技术委员会归口;本部分山中国电子技术标推化研究所,信息安会国家重点实验室起草。本部分主要起草人:叶茅枫,陈星,罗锋盈、胡磊、叶顽锋、张振峰、黄家英。1范围
GB/T17902.2—2005/IS0/1EC14888-2.1999信息技术安全技术带附录的数字签名第2部分:基于身份的机制
GB/T17902规定T任意长度消急的带附录的各种数字签名机制。它适月于提供实体鉴别、数据始发鉴雅、抗抵颤和数据完整性的力案,GB/T17902的本部分规定广任意长度消意的带附求的基于身份的数字名机制的签名和验证过程的总的结构基本过程。
2规范性引用文件
下列文件的条款通过GB/T37902的本部分的引用成为本部分的条款。凡是注口期的引用文件,其随启所有的修改单(不包括谢误的内容)或修订版均不适用于本部分,然而,鼓励根据本部分达成协议的齐方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本部分。
GB158511995信息技术安全技术带消息恢复的数字签名方案(idtJS0/IEC9796:1991)GP/117992.11999信息技术安全术带附录的数字签名第1部分:概逊3概述
数字签名的验证需要签名实体的验证密钥,所以,验证方必须把止确的验证密钥与签名实体,惑更准确地讲,与签名实体的(部分)标识数据关联起来,如果这种联系是验证密钥自身所固有的,这种方案被称作“基于身份的”。
本部分中定义的基于身份的方案的密朝牛成过程包搭·个可信第三方。这个可错第三方有个秘密参数一一密钥生成指数·它用于导出其他实体的签名密钥。签名密钥的秘密性无条件地按赖于密钥生成指数的秘密性:
在基于穿份的签名的验证中,需要两个参数。第个登数为域验证指数,它对所有实体来说是共同的而第二个参数为签名实体的验证密钥,它对每个实体而言是特定的。本部分定义的基丁身份的机制中,实体的验证密银是使用·个公共函数直接从实体的标识数据中得到的。带附录的基于身份的签名机制是个随机化机制的例了,如GB/T 17902. 1--1999 所描述。数字签名和验证过程描述遵循GB/T17902.1一1999第19章定义的-般过程。特别电,本标准使用了GR/T17002.1一1999提供的一般需求条件,定义和符号。在下列试程的详细说明中定义了带附录的基丁身份的数字签名机制,它们是:a)钥生成过程:
b)签名过程;
c)验证过程。
4术语和定义
下死术谱和定义适用乎GB/T17902的本部分:GEB/T 17902.2—2005/S0/IEC 14888-2:19994.1
城模数domainmodulus
域参数,它是一个正整数,是只有可信第三方才知道的两个不同的素数相乘产生的。4.2
域验证指数domain yerificatinn exponent一个域参数,它是一个正整数。4.3
密生成指数key generatien exponent一个只有可信第三方才知道的止整数,4.4
公钥导出函数public key derivation function一个域参数,它的功能是将比特串映射成正整数。注1:这个函数用于将实体标识数据转换成实体验证密销,并特合下列两个性顾:日)要找出任何一对映射成同一输出的期个不同的输人数据,在计算上是不可行的。b)随机选取数值I,Y在函数值喊范围内的概率小到可以忽略,或者对给定的出数据,找出可映射成该输出的输人,在详算上是不可行的。理2,可忽略殊与计算策上的不可行性依赖于风体的安全要求和环境4.5
可信第三方trusted third party一个安全机构或者它的代理,在安全相关活动方面,被其他实体信任,5符号
GB/T17902.1—1999中确立的以及下列符号适用于GB/T17902的本部分:D
lcm(A,B)
6密钥生成过程
密销生成指数
标识数据
域模数
域验证指数
公钥寻出函数
使得 C mod A= 和 C mud B=o 的最小正整数 C基于身份的签名机制的密销生成过程是(GB 15851一1995 附录 A中规定的签名方案的一个应用。它由下列两个过程纽成:
a)生成城参数,
b)生成签名密钥
应将一个实体选定为可信第三方。使用它白已的秘密,可信第三方为每个实体生成该实体的私有签名密钥。该密钥是实体的标数据的函数。在某些情况下,也许需要进行域参数和密钥的确认。但这超出了GB/T17902的本部分的范围。6. 1生成域参数
建立域时,这个过程只执行一次。可信第三方生成域验证指数V和域模数N。域验证指数应选择为一个奇整数。域模数应为两个大索数 P 和Q 的乘积,P一1 和 Q一1 与 V 互紊。更进一步,可信第三方确定密翎生成指数 D,它使得DV—1 为 lcm(P—1,Q-)的倍数的最小正数:明确地讲,D应使得:
Umod N=U对所有整数U.oGB/T 17902.2—2005/IS0/IEC 14888-2:1999N和V为公开域参数。可信第三方保存D为白已使用:其他实体通过N利V将D计算出來是不可行的。
注,N和V的慎应选择大到足以满足特定的城安全的需要。N的长度遥常在1024比特和2048比特之阅变化而V的长度推荐至少为80 比特。
设 T,T 和L 是使得 T T 二 LV的数,X 是一个签名密钥,而Y 是相应的如 6.2 中定义的验证密钥。则XT=XT.ymodN,
给定-个对应于T的签名(R,S).购可以通过让算S=S·ymadN(见7.4)生成-个对应于T的签名(R.S)。因此,必须选择足够大的V以使给定T后,个随机选取的T满足于T一个=0modV的概率足够小。
基于身份的带附录的签名机制的域参数的设定还包括公钥导出函数y,它用于将个签名实体的标识数据转换成一个小于N的正整数。6.2生威验证密钥和签名密钥
每个用儿实体有其唯一的标识数据。要为一个标识数据为1的实体生成私有签名密钥,可信第三方首先从公钥导出函数3和标识数据丨计算出验证密钥Y:Y-y(1)
注;只要P和Q足够大,则Y等于零或者等十尸或Q的整数倍的概率可以忽略。可信授权方计算私有签名密钥X为:X=YmodM
作为密钥生成过程的-个结果,标识数据「的实体拥有一个签名密钥X,它满足方程X.() modN= l
在基于身份的签名机制中,通过计算Y=3(1),验证方从签名实体的标识数据中得到了等名实体的验证密钥的信息,当验证进行后,可以将其存储备以后使用。7签名过程
在本章中描述基于穿份的签名机制的签名过程。该机制是随机化的并遵从GB/T17902.1--1999描述的随机化签名机制的一般模型。签名过程由下列步骤组成:a)生成预签名:
雅备消息:
)计算证据:
d)计竿签名。
在此过程中,签名者使肃它的豁名密钥X和公共域参数N利V。此过程的输出为签名Z,它由两部分R和5组成。签名实体可选择地生放一个含有实体的标识数据文本字段。签名和可选的文本学段形成附录,它由签名者附加到消息后。7.1生成预签名
基于身份的签名机制的预签名过程由下面两个步骤组成:a)生成随机数K:
b)计算预签名 rl。
7. 1. 1 生成随机数
签名实体生成一个随机数,它是:·个整数K.其中0KN。依赖士该机制,可以在这个生成过程中存花某些附加的束。这一步的输出为K,签名实体将其秘密保存。7.1.2计算预签名
这一步的输人为随机数K。其输出为预签名Ⅱ,计算公式如下:GB/T 17902.2--2005/JS0/EC14888-2+1999IK\tmaeN
7.2准备消息
由消息M导出两个数据字段M,秤Mg,如GB/T17902.1—1999的8.2中所描述,准备消息的过程应满是下列两个条件之一a)整个消息M可以由M和M市新构梅造出:b)要出两个不同的消息M和M\,使得导出的对(M,,M)与(M\,M\)相等,在计算上是不可行的。
第利情形的典型情说是,M一M(当M为空时)或M=M(当M,为空时),或M,M=M。在第二种情形中,MI或M2或两者都M的散列镇7.3计算证据
使用一个抗磁撞散列函数(见图1)计算出M,的散列值H,它是确定性的证据。随机化证据R定义为一个可选字段的串接,它可用于标调散列函数和填充方法,并使用抗碰撞散列函数米计算。如果M,不为空的话,R依赖于预签名IⅡI.并且可选择地依赖于M(死图2)注:除非傲列涵数景出签名权制或域参数唯确定的,散列函数标识符应包含在散列权标中。7.4计算签名
在基于身份的签名机制中一个签名的计算由下列步骤组成:a)计算签名的第一部分;
b)计算赋值;
c)计算签名的第二部分。
7.4.1计算签名的第一部分
消息M
准备消岛
生成随棍
计算证据
签名密X
计单预名
许算签名的第·影分
计英版慎
计第签名的部分
图1带确定性证据的签名过程
com消总M
准备消息
出波障机数
GB/T17902.2—2005/IS0/IEC:14888-2:1999笠各X
计算预签名
计算签名的第一部分
计算赋值
计算签智的第二部分
签名区
图2带随机化证据的笠名过程vv99.net
如某证据是确定性的,计算岛签名的第一部分 R,它是 H 租 I 的函数。这个函数在下列方式下是可逆的;
给定 Ⅱ和 R,散例权标H 可以被检索(见图 1)如果证据是随机化的,则它是签名的第一部分R,并且不露要做进步的计算(现图2)。注:域参数必须包含个各方同意的转换一个比特为个正整数的方法,以使这步得以实现。7.4.2计算赋值
赋值T是一个正整数,它是作为签名的第一部分的函数计算出来。如果 M,不为空,该赋值依赖于消息的第二部分M。
讨算一对(R,)的方法需要满足如下条件:要找出具有相屈结果对(R,T)的任何两对(M,I)和(M\,II'):在计算上是不可行的7.4.3计算签名的第二部分
基于身份的签名植制的签名涵数其有妇下形式:S = K.x mod N
其中 K是7.1. 1 中计算出的随机数,T是 7. 4. 2 中计算出的赋值,X 是签名密钥,而 N 为域模数,签名函数的输出为签名的第二部分S。8验证过程
验证过程由下列步骤组成:
comGB/T17902.2--2005/IS0/IEC 14888-2:1999a)推备消息;
h)检索证据;
c)计算验证函数;
d)验证证据,
在验证过程的开始阶段,验证方必须具有如下可用的数据项值:a)域参数N和V,
签名者的验证密钥Y:
消息M
签名 Z= (R,S);
可选文本(取自于附录)。
签名的成功验证意味着该签名是采用对应于验证密钥Y的签名密钥X来创建的。8. 1 准备消患
这个过等同于7.2。
8.2检索证据
如果证据是确定性的,则本过程在7.3中描述。验证过程在图3中摧述。如果证据是随机性的,验证过程如图 4 中所描述。检索证据是签名的第一部分R,消息M
准备消息
检素低据
检察消息
就计算证据
重新计算签名
图 3带确定性证据的验证过程
骏证寄钥Y
Yes/no
com淮材
循备消息
Yes?na
8.3计算验证函数
检声消息
GB/T 17902.2—2005/ES0/IEC 14888-2:1999验证邀钥Y
重新计算预签名
重新计证册
验证证期
遇4带随机化证据的验证过程
基于身份的签名机制的验证函数的计算由下列步骤组或:a)检索赋值;
b)重新计算预签名:
r)重新计凳证。
8.3.1检索赋值
该步骤等同于7.4.2。如果M2不为空,验证者计算赋值T.它是在8.2中检案出的值R和消息M的函数。赋值T是个正整数。
8,3.2重计算预签名
验证者通过使用以下公式生成预签名的重新计算值且:II - YT.$\ nod N
其巾Y为验证密钥,N为域模数,V为域验证指数,T为在8.3.1中检索出的赋值而S是签名的第二部分。
8.3.3重计算证据
如果证据是确定性的,它是M,的散列值H。验证者使用R和计算出重新让算值,如果证据是随机性的,其计算等同下7.3,其中输人数据为Ⅱ的重新计算值亢和M的重新计算值MI、输出数据是秉计算证据R。
8.4验证证据
该步骤对8.2中检索出来的证据数据值和8.3.3中重新计算出来的证据数据值进行比较。如果这两个证据数锯值相等则验证成功。9Guillon-Quisquater签名机制
Guilou和Quizuatcr的基于身份的数学签名方案的密钥生成过程,签名过程和验证过程在comGB/T 17902.2—2005/IS0/IEC 14888-2:1999GB/T17902本部分中的第6章和第8章及图2和图4中描述。现在对面的过程和函数进行更详细地说明:a)‘公钥导出数
b)推备消息;
c)计算证据:
d)计算签名的第一部分:
e)计算赋。
9、1公钥导出函数
公锅导出函数是GB15851一1995中描述的亢余发生函数,签名实体的标识数据1.或它的散列权标在GB15851--1995的5.1到5.4中描述的过程中被作为输入消息。实体的公开密钥Y=y(I)设置为这个过程的输比数据,它在GB1.58511.995中被称为中间整数。9.2准备消息
在Guillou-Quisquater机制中,M一 M并且M为空。9.3计算证据
在Guillau-Quisquatcr 机制中,证据R被计算出来,它是数据Ⅱ 目 M的散列权标,其中 Ⅱ是预签名:R H( M)
9、4计算签名的第一部分
在Guillou-Quisqualer机制中,证据R构成签名的第一部分,9. 5 计算赋值
赋值T等于R,其表示为个正数。注:域参数必须包含一个各方同意的转换一个比特串为一个正整数的方法,以使这步得以实现。10带短感值的基于身份的签名
在本章中规定了GuwiliouQuisquater方案的一个变型,它适用于带低速处理器或低速翰人/输出接的设备上的实现,附加的散列信息用于减少中间参数的长度。多达三个不同的散列函数可以被用在证据和赋值的计算中。它们不需抗碰撞,其选择必须满足这样的条件,即要找出具有相同的(R,T)的两个不间的消意在计算上是不可行的。这个机制在下列过程中,不间于Guillou-Quisquater方案:a)淮备息;
b)计算证据;
e)计算签名的第一部分;
d)计算赋值。
10.1准蛋消息
在这个变型方案中,消息输人的两个部分M:和M.设置为消息M的散列权标H。10. 2计算证据
证据R是通过计算数据H1目H的散列权标H得到的。其中H是在10.1中计算出来的.它是预签名Ⅱ的散列权标。
注:预计算敬列权标H,可以更有效地存储。10.3计算值
赋值T是由计算数据HR的散列权标H,得到的。11带消息散列码检索的基于身份的签名Guilou-Quisquater方案中的这个型的优点,是散列函数可以与其余的验证步骤一起并行计算。GB/T17902.2--2005/IS0/IEC14888-2:199g基于身份的数字签名机制的签名过程和验证过程中描述在图1和图3中。这个机制在下列过程方面与Guillnu-Quisquater方案不:
a)订算证据;
b)计算签名的第一部分。
另外,它假设由签名者生成的随机数K满足KOmodP和K≠modQ.否则N的因子分解将被找出。因此,还可以假设预签名Ⅱ不是P或Q的倍数。11. 1计算证据
使用.-·个抗碰撞散列函数将证据计算出来,它是消息M的散列权标H11.2计算签名的第一部分
计算出签名的第一部分R如下:
R -- II. H mod N
给定一个预签名的重新计算值Ⅱ,验证者通过如下计算得到证据的重新计算数值:H-I'RmodN
GB/T 17902.2—2005/IS0/IEC 14888-2: 1999附录A
(资料性附录)
数值例子
使用十六进制记法。
A.1密钥生成过程的数值例子
A.1.1生成域参数
域模数N是两个不同的索数P和Q的乘积。这个例子中,P和Q是512比特的素数,因此N是1024比特的数。
P = FFFFFFFF
A07A2345
3CBF08EA
50948E87
Q FFFFFFFF
A445AF09
CE9231CA
8FCEF193
N PQ 兰
FFFFFFFF
012B984A
B1873126
656026BE
DF1A9570
0356D91A
C08AA2C0
EA2DE66E
9B7956FB
3BC7A1BD
E275B7F4
D7906DE1
B7CFA113
CCA39E63
964FFBBD
44A725C5
3FB583FE
4C81A337
9861C69F
391CEE85
D3B1B7E9
1B9B16D7
541CB3A8
98A3811D
97CC2CCD
13C3DDCF
6FD9CF52
99E9DACR
D5BC73F4
B134FF43
F06E5F9F
E50509C2
61B75DFC
E1B659B
80E02E43
E906ACF7
87614718
F1B70A54
950C23A0
91400431
97CFD100
6957A1E1
9388A7AC
323E5270
D9FAE2FF
RDF45885
87CA7DEF
BFEB5CD6
8C7C084F
84494467
38AF0291
OC5DD264
89FD1342
D975F5BE
5ABFD5CF
F2015HBD
域验证指数是个奇整数,它与 P—「和Q一1互素。在这个例子中,V为27 +1,因此V的长度是80比特,
V = 8000
00000000
00000001
密钥生岁指数D是正整数,使得DV-1是lcm(P-1,Q-1>的倍数。lecm ( P-1,Q-1)
7FFFFFFF
8095C625
58C39893
32R0135F
229A2ACD
5D733AA2
DA3B7034
D = 1BC6COED
EE5E75C9
586DA8B6
8394B2BF
E651CF31
4B27FDDE
225392E2
1FDACIFF
0306874
C68845F5
AC5CH736
36435CBF
E458AADA
45A72BDF
8F4A0EF9
B76CF7AS
CCF4ED65
EADE39FA
7248B06F
3EB24D61
78B6E378
A89C7A35
6178CB20
291C9218
61E098FC
4A861ID)
C8A00218
4BE7E880
FE81346D
7010B203
F52EE07C
56CE3D54
C7339C4E
F0CA83EF
2CC5AFAA
IC570148
862EE932
44FE89A1
475BD565
78D3DC8E
3FB51392
C6ABC9F5
F30413A6
A4234FAD
46CCC821
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T 17902.2-—2005/IS0/IEC 14888-2:1999信息技术
安全技术
带附录的数字签名
第2部分:基于身份的机制
Information technology--Security techniques--Digital signatures withappendix-Part 2: Identit y-based mechanisms(IS0/IEC 14888-2:1999,IDI)
2005-04-19发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2005-10-01实施
GR/T 17902.2--2005/IS0/IEC 14888-2:1999前言
GB/T17902《信息技术安全技术带附录的数字签名》由以下几个部分组成:第1部分:概述:
第2部分:基于身份的机制;
第3部分:基于证书的机制。
本部分为GB/T17902的第2部分,等同采用国际标推IS0/1FC14888-2:1999信息技术安全技术带附录的数字签名第2部分:基于身份的机制》(英文版),本部分的附录A和附录B是资料性附录。本部分由电华人民共和国信息产业部提出:本部分由全国信息安全标谁化技术委员会归口;本部分山中国电子技术标推化研究所,信息安会国家重点实验室起草。本部分主要起草人:叶茅枫,陈星,罗锋盈、胡磊、叶顽锋、张振峰、黄家英。1范围
GB/T17902.2—2005/IS0/1EC14888-2.1999信息技术安全技术带附录的数字签名第2部分:基于身份的机制
GB/T17902规定T任意长度消急的带附录的各种数字签名机制。它适月于提供实体鉴别、数据始发鉴雅、抗抵颤和数据完整性的力案,GB/T17902的本部分规定广任意长度消意的带附求的基于身份的数字名机制的签名和验证过程的总的结构基本过程。
2规范性引用文件
下列文件的条款通过GB/T37902的本部分的引用成为本部分的条款。凡是注口期的引用文件,其随启所有的修改单(不包括谢误的内容)或修订版均不适用于本部分,然而,鼓励根据本部分达成协议的齐方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本部分。
GB158511995信息技术安全技术带消息恢复的数字签名方案(idtJS0/IEC9796:1991)GP/117992.11999信息技术安全术带附录的数字签名第1部分:概逊3概述
数字签名的验证需要签名实体的验证密钥,所以,验证方必须把止确的验证密钥与签名实体,惑更准确地讲,与签名实体的(部分)标识数据关联起来,如果这种联系是验证密钥自身所固有的,这种方案被称作“基于身份的”。
本部分中定义的基于身份的方案的密朝牛成过程包搭·个可信第三方。这个可错第三方有个秘密参数一一密钥生成指数·它用于导出其他实体的签名密钥。签名密钥的秘密性无条件地按赖于密钥生成指数的秘密性:
在基于穿份的签名的验证中,需要两个参数。第个登数为域验证指数,它对所有实体来说是共同的而第二个参数为签名实体的验证密钥,它对每个实体而言是特定的。本部分定义的基丁身份的机制中,实体的验证密银是使用·个公共函数直接从实体的标识数据中得到的。带附录的基于身份的签名机制是个随机化机制的例了,如GB/T 17902. 1--1999 所描述。数字签名和验证过程描述遵循GB/T17902.1一1999第19章定义的-般过程。特别电,本标准使用了GR/T17002.1一1999提供的一般需求条件,定义和符号。在下列试程的详细说明中定义了带附录的基丁身份的数字签名机制,它们是:a)钥生成过程:
b)签名过程;
c)验证过程。
4术语和定义
下死术谱和定义适用乎GB/T17902的本部分:GEB/T 17902.2—2005/S0/IEC 14888-2:19994.1
城模数domainmodulus
域参数,它是一个正整数,是只有可信第三方才知道的两个不同的素数相乘产生的。4.2
域验证指数domain yerificatinn exponent一个域参数,它是一个正整数。4.3
密生成指数key generatien exponent一个只有可信第三方才知道的止整数,4.4
公钥导出函数public key derivation function一个域参数,它的功能是将比特串映射成正整数。注1:这个函数用于将实体标识数据转换成实体验证密销,并特合下列两个性顾:日)要找出任何一对映射成同一输出的期个不同的输人数据,在计算上是不可行的。b)随机选取数值I,Y在函数值喊范围内的概率小到可以忽略,或者对给定的出数据,找出可映射成该输出的输人,在详算上是不可行的。理2,可忽略殊与计算策上的不可行性依赖于风体的安全要求和环境4.5
可信第三方trusted third party一个安全机构或者它的代理,在安全相关活动方面,被其他实体信任,5符号
GB/T17902.1—1999中确立的以及下列符号适用于GB/T17902的本部分:D
lcm(A,B)
6密钥生成过程
密销生成指数
标识数据
域模数
域验证指数
公钥寻出函数
使得 C mod A= 和 C mud B=o 的最小正整数 C基于身份的签名机制的密销生成过程是(GB 15851一1995 附录 A中规定的签名方案的一个应用。它由下列两个过程纽成:
a)生成城参数,
b)生成签名密钥
应将一个实体选定为可信第三方。使用它白已的秘密,可信第三方为每个实体生成该实体的私有签名密钥。该密钥是实体的标数据的函数。在某些情况下,也许需要进行域参数和密钥的确认。但这超出了GB/T17902的本部分的范围。6. 1生成域参数
建立域时,这个过程只执行一次。可信第三方生成域验证指数V和域模数N。域验证指数应选择为一个奇整数。域模数应为两个大索数 P 和Q 的乘积,P一1 和 Q一1 与 V 互紊。更进一步,可信第三方确定密翎生成指数 D,它使得DV—1 为 lcm(P—1,Q-)的倍数的最小正数:明确地讲,D应使得:
Umod N=U对所有整数U.o
注,N和V的慎应选择大到足以满足特定的城安全的需要。N的长度遥常在1024比特和2048比特之阅变化而V的长度推荐至少为80 比特。
设 T,T 和L 是使得 T T 二 LV的数,X 是一个签名密钥,而Y 是相应的如 6.2 中定义的验证密钥。则XT=XT.ymodN,
给定-个对应于T的签名(R,S).购可以通过让算S=S·ymadN(见7.4)生成-个对应于T的签名(R.S)。因此,必须选择足够大的V以使给定T后,个随机选取的T满足于T一个=0modV的概率足够小。
基于身份的带附录的签名机制的域参数的设定还包括公钥导出函数y,它用于将个签名实体的标识数据转换成一个小于N的正整数。6.2生威验证密钥和签名密钥
每个用儿实体有其唯一的标识数据。要为一个标识数据为1的实体生成私有签名密钥,可信第三方首先从公钥导出函数3和标识数据丨计算出验证密钥Y:Y-y(1)
注;只要P和Q足够大,则Y等于零或者等十尸或Q的整数倍的概率可以忽略。可信授权方计算私有签名密钥X为:X=YmodM
作为密钥生成过程的-个结果,标识数据「的实体拥有一个签名密钥X,它满足方程X.() modN= l
在基于身份的签名机制中,通过计算Y=3(1),验证方从签名实体的标识数据中得到了等名实体的验证密钥的信息,当验证进行后,可以将其存储备以后使用。7签名过程
在本章中描述基于穿份的签名机制的签名过程。该机制是随机化的并遵从GB/T17902.1--1999描述的随机化签名机制的一般模型。签名过程由下列步骤组成:a)生成预签名:
雅备消息:
)计算证据:
d)计竿签名。
在此过程中,签名者使肃它的豁名密钥X和公共域参数N利V。此过程的输出为签名Z,它由两部分R和5组成。签名实体可选择地生放一个含有实体的标识数据文本字段。签名和可选的文本学段形成附录,它由签名者附加到消息后。7.1生成预签名
基于身份的签名机制的预签名过程由下面两个步骤组成:a)生成随机数K:
b)计算预签名 rl。
7. 1. 1 生成随机数
签名实体生成一个随机数,它是:·个整数K.其中0KN。依赖士该机制,可以在这个生成过程中存花某些附加的束。这一步的输出为K,签名实体将其秘密保存。7.1.2计算预签名
这一步的输人为随机数K。其输出为预签名Ⅱ,计算公式如下:GB/T 17902.2--2005/JS0/EC14888-2+1999IK\tmaeN
7.2准备消息
由消息M导出两个数据字段M,秤Mg,如GB/T17902.1—1999的8.2中所描述,准备消息的过程应满是下列两个条件之一a)整个消息M可以由M和M市新构梅造出:b)要出两个不同的消息M和M\,使得导出的对(M,,M)与(M\,M\)相等,在计算上是不可行的。
第利情形的典型情说是,M一M(当M为空时)或M=M(当M,为空时),或M,M=M。在第二种情形中,MI或M2或两者都M的散列镇7.3计算证据
使用一个抗磁撞散列函数(见图1)计算出M,的散列值H,它是确定性的证据。随机化证据R定义为一个可选字段的串接,它可用于标调散列函数和填充方法,并使用抗碰撞散列函数米计算。如果M,不为空的话,R依赖于预签名IⅡI.并且可选择地依赖于M(死图2)注:除非傲列涵数景出签名权制或域参数唯确定的,散列函数标识符应包含在散列权标中。7.4计算签名
在基于身份的签名机制中一个签名的计算由下列步骤组成:a)计算签名的第一部分;
b)计算赋值;
c)计算签名的第二部分。
7.4.1计算签名的第一部分
消息M
准备消岛
生成随棍
计算证据
签名密X
计单预名
许算签名的第·影分
计英版慎
计第签名的部分
图1带确定性证据的签名过程
com消总M
准备消息
出波障机数
GB/T17902.2—2005/IS0/IEC:14888-2:1999笠各X
计算预签名
计算签名的第一部分
计算赋值
计算签智的第二部分
签名区
图2带随机化证据的笠名过程vv99.net
如某证据是确定性的,计算岛签名的第一部分 R,它是 H 租 I 的函数。这个函数在下列方式下是可逆的;
给定 Ⅱ和 R,散例权标H 可以被检索(见图 1)如果证据是随机化的,则它是签名的第一部分R,并且不露要做进步的计算(现图2)。注:域参数必须包含个各方同意的转换一个比特为个正整数的方法,以使这步得以实现。7.4.2计算赋值
赋值T是一个正整数,它是作为签名的第一部分的函数计算出来。如果 M,不为空,该赋值依赖于消息的第二部分M。
讨算一对(R,)的方法需要满足如下条件:要找出具有相屈结果对(R,T)的任何两对(M,I)和(M\,II'):在计算上是不可行的7.4.3计算签名的第二部分
基于身份的签名植制的签名涵数其有妇下形式:S = K.x mod N
其中 K是7.1. 1 中计算出的随机数,T是 7. 4. 2 中计算出的赋值,X 是签名密钥,而 N 为域模数,签名函数的输出为签名的第二部分S。8验证过程
验证过程由下列步骤组成:
comGB/T17902.2--2005/IS0/IEC 14888-2:1999a)推备消息;
h)检索证据;
c)计算验证函数;
d)验证证据,
在验证过程的开始阶段,验证方必须具有如下可用的数据项值:a)域参数N和V,
签名者的验证密钥Y:
消息M
签名 Z= (R,S);
可选文本(取自于附录)。
签名的成功验证意味着该签名是采用对应于验证密钥Y的签名密钥X来创建的。8. 1 准备消患
这个过等同于7.2。
8.2检索证据
如果证据是确定性的,则本过程在7.3中描述。验证过程在图3中摧述。如果证据是随机性的,验证过程如图 4 中所描述。检索证据是签名的第一部分R,消息M
准备消息
检素低据
检察消息
就计算证据
重新计算签名
图 3带确定性证据的验证过程
骏证寄钥Y
Yes/no
com淮材
循备消息
Yes?na
8.3计算验证函数
检声消息
GB/T 17902.2—2005/ES0/IEC 14888-2:1999验证邀钥Y
重新计算预签名
重新计证册
验证证期
遇4带随机化证据的验证过程
基于身份的签名机制的验证函数的计算由下列步骤组或:a)检索赋值;
b)重新计算预签名:
r)重新计凳证。
8.3.1检索赋值
该步骤等同于7.4.2。如果M2不为空,验证者计算赋值T.它是在8.2中检案出的值R和消息M的函数。赋值T是个正整数。
8,3.2重计算预签名
验证者通过使用以下公式生成预签名的重新计算值且:II - YT.$\ nod N
其巾Y为验证密钥,N为域模数,V为域验证指数,T为在8.3.1中检索出的赋值而S是签名的第二部分。
8.3.3重计算证据
如果证据是确定性的,它是M,的散列值H。验证者使用R和计算出重新让算值,如果证据是随机性的,其计算等同下7.3,其中输人数据为Ⅱ的重新计算值亢和M的重新计算值MI、输出数据是秉计算证据R。
8.4验证证据
该步骤对8.2中检索出来的证据数据值和8.3.3中重新计算出来的证据数据值进行比较。如果这两个证据数锯值相等则验证成功。9Guillon-Quisquater签名机制
Guilou和Quizuatcr的基于身份的数学签名方案的密钥生成过程,签名过程和验证过程在comGB/T 17902.2—2005/IS0/IEC 14888-2:1999GB/T17902本部分中的第6章和第8章及图2和图4中描述。现在对面的过程和函数进行更详细地说明:a)‘公钥导出数
b)推备消息;
c)计算证据:
d)计算签名的第一部分:
e)计算赋。
9、1公钥导出函数
公锅导出函数是GB15851一1995中描述的亢余发生函数,签名实体的标识数据1.或它的散列权标在GB15851--1995的5.1到5.4中描述的过程中被作为输入消息。实体的公开密钥Y=y(I)设置为这个过程的输比数据,它在GB1.58511.995中被称为中间整数。9.2准备消息
在Guillou-Quisquater机制中,M一 M并且M为空。9.3计算证据
在Guillau-Quisquatcr 机制中,证据R被计算出来,它是数据Ⅱ 目 M的散列权标,其中 Ⅱ是预签名:R H( M)
9、4计算签名的第一部分
在Guillou-Quisqualer机制中,证据R构成签名的第一部分,9. 5 计算赋值
赋值T等于R,其表示为个正数。注:域参数必须包含一个各方同意的转换一个比特串为一个正整数的方法,以使这步得以实现。10带短感值的基于身份的签名
在本章中规定了GuwiliouQuisquater方案的一个变型,它适用于带低速处理器或低速翰人/输出接的设备上的实现,附加的散列信息用于减少中间参数的长度。多达三个不同的散列函数可以被用在证据和赋值的计算中。它们不需抗碰撞,其选择必须满足这样的条件,即要找出具有相同的(R,T)的两个不间的消意在计算上是不可行的。这个机制在下列过程中,不间于Guillou-Quisquater方案:a)淮备息;
b)计算证据;
e)计算签名的第一部分;
d)计算赋值。
10.1准蛋消息
在这个变型方案中,消息输人的两个部分M:和M.设置为消息M的散列权标H。10. 2计算证据
证据R是通过计算数据H1目H的散列权标H得到的。其中H是在10.1中计算出来的.它是预签名Ⅱ的散列权标。
注:预计算敬列权标H,可以更有效地存储。10.3计算值
赋值T是由计算数据HR的散列权标H,得到的。11带消息散列码检索的基于身份的签名Guilou-Quisquater方案中的这个型的优点,是散列函数可以与其余的验证步骤一起并行计算。GB/T17902.2--2005/IS0/IEC14888-2:199g基于身份的数字签名机制的签名过程和验证过程中描述在图1和图3中。这个机制在下列过程方面与Guillnu-Quisquater方案不:
a)订算证据;
b)计算签名的第一部分。
另外,它假设由签名者生成的随机数K满足KOmodP和K≠modQ.否则N的因子分解将被找出。因此,还可以假设预签名Ⅱ不是P或Q的倍数。11. 1计算证据
使用.-·个抗碰撞散列函数将证据计算出来,它是消息M的散列权标H11.2计算签名的第一部分
计算出签名的第一部分R如下:
R -- II. H mod N
给定一个预签名的重新计算值Ⅱ,验证者通过如下计算得到证据的重新计算数值:H-I'RmodN
GB/T 17902.2—2005/IS0/IEC 14888-2: 1999附录A
(资料性附录)
数值例子
使用十六进制记法。
A.1密钥生成过程的数值例子
A.1.1生成域参数
域模数N是两个不同的索数P和Q的乘积。这个例子中,P和Q是512比特的素数,因此N是1024比特的数。
P = FFFFFFFF
A07A2345
3CBF08EA
50948E87
Q FFFFFFFF
A445AF09
CE9231CA
8FCEF193
N PQ 兰
FFFFFFFF
012B984A
B1873126
656026BE
DF1A9570
0356D91A
C08AA2C0
EA2DE66E
9B7956FB
3BC7A1BD
E275B7F4
D7906DE1
B7CFA113
CCA39E63
964FFBBD
44A725C5
3FB583FE
4C81A337
9861C69F
391CEE85
D3B1B7E9
1B9B16D7
541CB3A8
98A3811D
97CC2CCD
13C3DDCF
6FD9CF52
99E9DACR
D5BC73F4
B134FF43
F06E5F9F
E50509C2
61B75DFC
E1B659B
80E02E43
E906ACF7
87614718
F1B70A54
950C23A0
91400431
97CFD100
6957A1E1
9388A7AC
323E5270
D9FAE2FF
RDF45885
87CA7DEF
BFEB5CD6
8C7C084F
84494467
38AF0291
OC5DD264
89FD1342
D975F5BE
5ABFD5CF
F2015HBD
域验证指数是个奇整数,它与 P—「和Q一1互素。在这个例子中,V为27 +1,因此V的长度是80比特,
V = 8000
00000000
00000001
密钥生岁指数D是正整数,使得DV-1是lcm(P-1,Q-1>的倍数。lecm ( P-1,Q-1)
7FFFFFFF
8095C625
58C39893
32R0135F
229A2ACD
5D733AA2
DA3B7034
D = 1BC6COED
EE5E75C9
586DA8B6
8394B2BF
E651CF31
4B27FDDE
225392E2
1FDACIFF
0306874
C68845F5
AC5CH736
36435CBF
E458AADA
45A72BDF
8F4A0EF9
B76CF7AS
CCF4ED65
EADE39FA
7248B06F
3EB24D61
78B6E378
A89C7A35
6178CB20
291C9218
61E098FC
4A861ID)
C8A00218
4BE7E880
FE81346D
7010B203
F52EE07C
56CE3D54
C7339C4E
F0CA83EF
2CC5AFAA
IC570148
862EE932
44FE89A1
475BD565
78D3DC8E
3FB51392
C6ABC9F5
F30413A6
A4234FAD
46CCC821
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。