【密码学——基础理论与应用】李子臣编著 第十三章 数字签名 课后习题

题目

逐题解析

13.1

知道p=83,q=41,h=2,g=4,x=57,y=77。

我看到答案，“消息M=56”的意思居然是杂凑值，也就是传统公式的H(M)。

选择k=23，那么r=(g^k mod p) mod q = 51 mod 41=10,s=k'(H(M)+xr) mod q=29

w=s' mod q=17,u1=(mw) mod q=9，u2=(rw) mod q=6，v=((g^u1*y^u2) mod p) mod q=10=r。

13.2

答：在DSA中，参数k泄露的后果：因为s=k-1(H(m)+xr)mod q，则除x外其余参数均为已知，上式由二元一次不定同余方程变为x的一元一次方程，私钥x即可求出，所以攻击者能够由此伪造任意消息的签名。

13.3

这一题居然是自定私钥。。。

13.4

答案：信息发送者使用一单向散列函数（HASH函数）对信息生成信息摘要；   信息发送者使用自己的私钥签名信息摘要；

信息发送者把信息本身和已签名的信息摘要一起发送出去；   信息接收者通过使用与信息发送者使用的同一个单向散列函数（HASH函数）对接收的信息本身生成新的信息摘要，再使用信息发送者的公钥对信息摘要进行验证，以确认信息发送者的身 份和信息是否被修改过。

13.5

在这题要分清楚，秘密发送是加密，用公钥，明确为签名，用私钥。

（1）在RSA公钥密码体制中，p=7,q=11得n=pq=77, φ(n)=(7-1)(11-1)=60。由ed ≡1 mod(φ(n))，即43e≡1 mod 60，利用扩展欧几里得算是得e=5。公开密钥为e，交给A保存的是私钥d。

（2）由（1）同理可得d=49。

（3）用A的公钥加密得密文c=6^85mod77=10。

（4）用A的私钥签名得签名s=md=68^41mod(77)=23，即<68，23>。

（5）验证m’=semodn是否与接收到的签名中的m相等，如果相等则为有效签名，否则是无效签名。

13.6

(1) 由公式可得：m = s^emodN = 8798^26959 mod 824737 = 123456

(2) 因为m’= s^emodN = 366314^26959 mod 824737 = 167058 = m，所以是有效的消息−签名对。

(3) m×m’的签名为：y = s×s’ mod N =4455587×229149 mod 824737 =75915。

推导：

13.7