【国家标准(GB)】 信息技术 安全技术 带附录的数字签名 第1部分：概述

GB/T 17902. 1--1999
本标准规定了带附录的数字签名方案，适合于我国使用。带附录的数字签名》下，由以下几个部分组成：GB/T17902在总标题《信息技术
安全技术
第1部分：概述；
第2部分：基于身份的方案；
第3部分：基于证书的方案。
本标准的附录A是标准的附录，附录B是提示的附录。本标准由国家信息化办公室提出。本标准由全国信息技术标准化技术委员会归口。本标准由复旦大学、中科院软件所负责起草。本标准主要起草人：鲍振东、赵一鸣、陶仁骥、计青。669
GB/T17902.1-1999
数字签名机制采用非对称密码技术，它可用来提供实体鉴别，数据原发鉴别，数据完整性和抗抵赖服务。有两种数字签名机制：
若验证进程需要消息作为输入部分，这种机制称为“带附录的数字签名”。在计算附录时使用了散列函数。ISO/IEC10118规定了这类散列函数；若验证进程给出消息及其特定允余（有时也称作消息影子），这种机制称为“带消息恢复的签名机制”。GB15851规定了这种机制，这两种机制不是互斥的。翼体地说，任何带消息恢复的签名机制，例如，ISO/IEC9796-1规定的机制，可以用来提供带附录的数字签名。这种情况下，可以对消息的散列权标使用签名进程来产生签名。670
中华人民共和国国家标准
信息技术安全技术
带附录的数字签名
第1部分：概述
Infornation technology--Security techmaiques-Digital signature with appendix-Part 1:General
GB/T 17902. 1--1999
系列标准GB/T17902规定了几个任意长度消息的带附录数字签名机制。本标准包括了带附录的数字签名的基本原则和要求，同时也包括了在该系列标准的所有部分都用到的定义和符号。2引用标准
下列标准所包含的条文，通过在本标准中引用而构成为本标准的条文。本标推出版时，所示版本均为有效。所有标谁都会被修订，使用本标准的各方应探讨使用下列标准最新版本的可能性。ISO/IEC9796-1：1991信息技术安全技术带消息恢复的数字签名方案第1部分：使用元余的机制
信息技术安全技术带消息恢复的数字签名方案第2部分：使用散列ISO/IEC9796-2:1997
函数的机制
ISO/IEC10118-1：1996信息技术安全技术散列函数第1部分：概述ISO/IEC11770-31>信息技术安全技术密码管理第3部分：使用非对称密码技术的机制3概述
本标准所规的机制是基于非对称密码技术的。所有非对称数字签名机制涉及三个基本操作：产生密钥对的进程：每对密钥包括签名密钥和相应的验证密钥；使用签名密钥的进程：称为签名进程；使用验证密钥的进程：称为验证进程。数字签名的验证需要签名实体的验证密钥。所以，验证方必须把正确的验证密钥与签名实体，或者更准确地讲，与（部分）签名实体的标识数据联系起来。如果这种联系是验证密钥自身所固有的，这种方案是*基于身份的”。如果不是，应该由其他途径提供正确的验证密钥与签名实体间的联系，无论使用何种途径，这种方案是“基于证书的”。基于证书方案的验证密钥管理超出本标准的范围。ISO/IEC11770-3提供了公开密钥分发的机制。1)待发布。
国家质量技术监督局1999-11-11批准200005-01实施
4术语和定义
4.1 附录 appendix
GB/T 17902. 11999
由签名和一个任选文本字殿构成的位串。4.2赋值assignment
赋值是个数据项，它是消息的证据涵数或可能是部分消息的证据函数，戴值形成签名函数的部分输入。
4.3无碰撞散列函数
tollision resistant hash-funetion满足以下性质的散列函数：
要找到两个不同的输入使之对应同输出，在计算上是不可行的。注：计算上的可行性依赖于用户的具体安全要求和环境。4.4确定性的deterministic
与随机值无关，非随机化的。
4.5数字签名digitalsignature
参见“签名”。
4.6域参数domain parameter
一个在域中所有实体公共的且已知或可访问的数据项。4.7散列代码hashcode
一个教列函数的输出位串。
4.8散列函数hash-function
将位串映射成固定长度位串的函数，满足以下两个性质：对于一个给定的输出，要我到其对应的输入，在计算上是不可行的；对于一个给定的输入，要找到对于其输出的第二个输入，在计算上是不可行的。注，计算主的可行性依赖于用产的具体安全要求和环境。4.9散列权标hashtoken
散列代码与一个用来识别散列函数和填充方法的任选控制字段的拼接。4.10标识数据identification data分配给实体以便标识它的数据项序列，包括实体的区分标识符。注标识数据可以额外包含诸如签名进程的标识符，签名密钥的标识符，签名密钥的有效周期，密钥使用的约束，相关的安全策略参数，密钥序号，或域参数等数据项。4.11 消息message
一个任意长度的位串。
4.12 预签名 pre-signature
在签名进程中计算出来的值，它是随机值的函数，并且与消息无关。4.13随机化randornized
依赖于随机值。
4.14 随机值 randomizer
预签名进程中签名实体产生的一个秘密的、不可预测的值。4.15 签名 signature
签名进程输出的位串。
注：这个位串可能就有签名机制的特定内部结构。4.16签名方程signature equation一个签名函数的形式。
4.17签名函数signature functionGB/T 17902. 1-- 1999
签名进程中，由签名密钥和域参数决定的函数。一个签名函数把赋值和可能的随机值作为输人，并给出签名的第二部分作为输出。4.18签名密钥signaturekey
签名进程中，实体所特有的并只能由这个实体所使用的秘密数据项。4.19签名进程signature process将消息、签名密钥和域参数作为输入，并输出签名的进程。4.20已签名消息signed message一组包含签名、不能从签名恢复的部分消息和任选文本字段所组成的数据项注：在本标准中，整个消息包含在已签名消息中，并且消息的任何部分都不能从签名中得到恢复。4.21验证函数erification function验证进程中，个由验证密钥决定，并给出个重新计算的证据值作为输出的函数。4.22验证密钥 verificationkey一个与实体的签名密钥有关，在验证进程中由验证方使用的数据项。4. 23 验证进程 verification process个把已签名消息，验证密钥和域参数作为输入，把验证签名的结果，即有效或无效作为输出的进程。
4.24证据
witness
个为验证方提供证明的数据项。5符号和图中使用的图例
在GB/T17902中，将使用以下符号：H
Amod N
A=B(mod N)
散列权标
重新计算的散列权标
随机值
准备好的部分消息
签名的第一部分
重新计算的签名的第一部分
签名的第二部分
签名密钥
验证密钥
一个或多个域参数的集合
预签名bzxZ.net
重新计算的预签名
整数 A除以整数 N后得到的余数整数A与整数B模N同余，即(A-B)modN=0以下是GB/T17902的图中的图例。673
6般模型
GB/T17902.1-1999
任选的主过
数据流
任选的数据流
两条数据蔬，翼中至少有条是必备的比较
一个帮附录的数字签名机制由以下进程定义：一密钥产生进程；
签名进程：
一验证进程。
在签名进程中，签名实体对给定的消息计算其数字签名。这个签名和个任选的文本字段形成附录，用来附加在消息上形成已签名消息。消息M
图1已签名消息
文本字段
根据应用由不同方法形成附录并附加在消息上。基本要求是验证方可以将正确的签名和消息关联起来。
给签名进程输入的消息可能是一个待鉴别的原始消想的散列权标。在这种情况下，附录附加在原始消息上，散列函数标识符形成附录中文本字段的必备部分。为了成功验证，还要求在验证进程之前，验证方能够得到该签名的正确验证密钥。任选的文本字段可以用来向验证方传送签名方的标识数据，或签名方的验证密钥的可鉴别拷考贝。在某些情况下，签名方的标识数据可能应是消息M的一部分，这样它可以受到签名的保。674
GB/T 17902- 1—1999
一个数字签名机制应该满足以下要求：一只给出验证密钥，不知道签名密钥，想产生任何消息和该消息的有效签名在计算上是不可行签名方产生的签名，不可以用来产生任何新的消息和该消息的有效签名，也不可以用来恢复签名密钥：
即使对于签名方而言，想找到具有相同签名的两个不同消息，在计算上是不可行的。注：计算上的可行性依赖于用户的具体安全要求和环境。7密钥产生进程
数字签名机制的密钥产生进程由以下两个过程组成：产生域参数；
产生签名密钥和验证密钥。
在建立域时，第一个过程运行次。域参数的结果集乙要用在后继的进程和函数中。对于域中的每个签名实体，第二个过程都要运行，其输出就是签名密钥X和验证密钥Y。对于城参数中个具体的集合，将要用的值义应以很高的概率不同于以前使用过的值。8签名进程
签名进程需要以下数据项：
域参数Z；
签名密钥X；
消息M;
散列函数标识符（任选的)：
其他文本（任选的）。
散列函数标识符可以用来绑定签名机制和散列函数，见附录A。带附录的数字签名机制的签名进程由以下过程组成产生预签名；
为签名准备消息
计算证据；
一计算签名。
第个过程是任选的。个没有预签名的签名机制称为确定性的。…个有预签名的签名机制称为随机化的。
数字签名的证据是一个数据项，它的值在签名进程中确定。证据的正确性在验证进程中验证。证据作为消意的函数或预签名涵数或两者的函数，可以计算出来。证据与预签名无关或预签名不存在时，称它是确定性的。个确定性的证据不必给予验证方，验证方可以使用和签名方同样的方法，将证据作为消息的一个函数来计算。图2描述了帮确定性证据的签名进程。
如果证据依赖于预签名，称它为随机化的。随机化证据的值由签名方计算出来，并形成签名的第部分。图3描述了带随机化证据的签名进程。675
8.1产生预签名
消息M
谁备消息
游意M
准备消息
GB/T17902.11999
签名密钥X
图2带确定性证据的签名进程
签名密钥X
蓝颜茶名
第二步
计算证据
图3带随机化证据的签名进程
预签名过程是随机化签名机制所需要的，它由以下两步组成一产生随机值K；
计算预签名IⅡI。
第一步的输出是随机值K，它是一个仅可在签名进程中使用的秘密值。对于每个消息，（在签名密钥676
GB/T 17902.11999
的生命开期内）以根高的概率不同于以前使用过的值K将用来保护签名密钥的秘密性（现附录B的［17)。第二步中，通过使用由域参数乙、还可能由签名豁钥X所共同决定的函数，由K计算得到预签名n。其输出是随机值K和预签名Ⅱ。预签名的计算是独立于消息的。因此，可以脱机产生随机值和计算相应的预签名并安全地储存起来，以便今后在签名进程中使用。如果随机值是作为消息和签名密钥的（伪随机）函数计算得到，那么随机化机制的这个特征就不能利用。8.2准备消息
签名进程可以将（部分）消息作为计算证据或计算（第二部分的）签名或两者的输入。为此，M，和M这两个数据字段就可由消息M导出。准备消息的进程应当满足以下两个条件中的一个：给定M，和M2，可以重构个消息M；要找到两个消息M和M，使得它们的两个导出对（M，M）与（M，M）相等，在计算上是不可行的。
特别地，在第种情况中，MM，M为空：或MzM，M为空，或M一M2M。在第二种情况中，M，或M或两者是M的散列权标。8.3计算证据
确定性证据是用无碰撞散列函数（见图2）计算出来的M1的散列权标H。随机化证据依赖于预签名Ⅱ和Mi，后者可任选。随机化证据是作为签名计算的一部分而求得的，见8.4的描述。
8.4计算签名
在确定性机制中，过程的输入是证据H、签名密钥X和部分消息M2这里M2可任选。这种情况下，这一步的输出S悬签名Z，见图2。在带确定性证据的随机化机制中，这个过程的输入是随机值K、签名密钥X、确定性证据H和预签名IⅡI。过程的输出是整个签名Z，它或者由S组成，或者由R和S两部分组成，见图2。在带随机性证据的随机化机制中，这个过程由两步组成。第一步，计算证据R，证据R依赖于预签名Ⅱ和M，M是任选的。如果计算证据时使用了散列函数，那么可能需要将散列函数的标识符和散列函数的输出拼接起来（见附录A）。在第二步，它的输入是随机值K、签名密钥X、随机性证据R和已准备的部分消息M2，M，是任选的，第二步的输出是S。签名艺或者由S组成，或者由R和S两部分组成，见图3。
9验证进程
验证进程需要以下数据项：
域参数Z;
验证密钥Y；
消息M
散列函数标识符（任选的），
其他文本（任选的）。
带附录的数字签名机制的验证进程由以下过程组成：为验证准备消息；
检索证据：
计算验证函数；
验证证据。
为了确定正确的验证密钥，为验证准备消息可能涉及从消息M中提取签名实体的标识数据。677
GB/T17902.11999
如果证据是确定性的，验证方将证据的值作为消息的函数来检索。图4描述了这个验证进程。其他情况见图5，验证方从签名中检索证据。第一个验证进程的好处是证据的检索与重新计算可以并行进行。
消息M
摊备消息
微蒙证据
9.1准备消息
是/香
验证密销Y
图4带确定性证据的验证进程
这个过程应该等同于8.2。它的输入是消息M，输出是消息M和M两部分。9.2检索证据
确定性证据H是通过使用与8.3中签名方-一样的无碰撞散列函数计算消息M1的散列权标而检素得到的。
若不是确定性证据，验证方将从签名乙的第一部分或验证菌数的输出中检索得到随机化证据R（见图5）。
9.3计算验证函数
验证函数由签名方的公开密钥Y决定。签名艺是验证函数的必备输入，如果证据是随机化的，消息M的非空部分M、Mz作为这步的必备输入（见图5）。如果证据是确定性的，只有M2是验证函数的输入（见图4)。
这个过程的输出是证据的重新计算值，即H或。如果随机化证据R不是签名的部分，那么它作为这个过程的第二个输出，由验证方恢复，见图5。678
9.4验证证据
消息M
雅备消息
龙新计算证据
GB/T 17902- 1-1999
签名≥
验证的第一步
计激验证效
是/香
验证密钥Y
图5带随机化证据的验证进程
这一步中，要比较两个证据的值，一个是用9.2的方法检索的，另一个是用9.3的方法重新计算的。如果这两个值相等，那么验证方就证明了消息M的签名Z是用与验证密钥Y所对应的签名密钥X获得的。
10带两部分签名的随机化机制
这一章是对第8章和第9章所描述模型的改进。这些改进适用于由两部分计算得到签名的随机化数字签名机制。
10.1计算签名
在随机化签名机制中，计算签名需要以下数据项：城参数Z;
签名密钥X；
一消息的第二部分M21
一证据H或R：
随机值K，
预签名如果证据是确定的，它熹必备的）散列函数标识符（任选的）。
在随机化签名机制中，计算两部分签名需要以下步骤：计算签名的第一部分，
计算赋值
一计算签名的第二部分。
对于带确定性证据的机制，图6描述了这些步骤，它是就随机化机制的特殊情况，即对图2中“计算签名”框的放大。
GB/T17902.1—1999
计算签名的第一部分
计算赋值
计算签名的第二部分
图6带确定性证据的随机化机制中签名的计算如果证据是随机化的，它形成签名的第一部分。图7描述了计算签名所需的步骤，它是图3中“计算签名框的放大。
计算证据
计算赋值
计算签名的第二部分
图7把随机化证据作为签名一部分的签名计算要求对于所有的预签名，要找到两个消息有相同的证据和赋值，在计算上是不可能的。在多数随机化数字签名机制中，或M1=M,M2为空；或M,为空,M2=M。第一种情况下，证据H或R用无碰撞散列函数计算得到。在第二种情况，M1为空，证据仅依赖于预签名，赋值T用无碰撞散列函数计算得到。除非散列函数由签名机制或域参数唯一确定，散列函数的标识符必须包含在赋值中。10.1.1计算签名的第一部分
这一步的输入是证据H和预签名 II,输出是签名的第一部分R。这一步的计算按以下方式应该是可逆的：给定R和I,验证方应该可以计算出H。10.1.2计算赋值
这步的输入是签名的第一部分R，也可能是部分消息M2;输出是赋值T。10.1.3计算签名的第二部分
签名函数由签名密钥X决定。把随机值K和赋值T作为输入，签名的第二部分S作为输出。在某些签名机制中，签名函数可由一个方程式给出，该方程式由参数X、K和T以及要求解的未知参数S所确定。
10.2计算验证函数
计算验证函数需要以下数据项：域参数Z；
—验证密钥Y；
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。