GB T 15843.5-2005 信息技术 安全技术 实体鉴别 第5部分;使用零知识技术的机制.pdf

《GB T 15843.5-2005 信息技术 安全技术 实体鉴别 第5部分;使用零知识技术的机制.pdf》由会员分享，可在线阅读，更多相关《GB T 15843.5-2005 信息技术 安全技术 实体鉴别 第5部分;使用零知识技术的机制.pdf（41页珍藏版）》请在麦多课文档分享上搜索。

1、GB/T 15843.5 2005/ISO/IEC 9798-5: 1999 另l五共言息ICS 35.040 L 80 4岳2一岳AInformation technology Security techniques Entity authentication Part 5: Mechanisms using zero knowledge techniques 2005-10-01实施CISO/IEC 9798-5:1999 ,IDT) 用 主目5 2005-04-19发布发布中华人民共和国国家质量监督检验检菇总局中国国家标准化管理委员会GB/T 15843.5-2005/ISO/IEC勺7

2、98-5，1999 目次前言. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E 1 范围. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 2 规范性引用文件. . . . . . . . . . . . . . . . . . . . . . . . . .

3、 . . . . . . . . . . 1 3 术语和定义. . . . . . . . . . . . . . . . . 1 4 符号与标记. . . . . . . . . . . . . . . . . . . . . . . 3 5 基于身份的机制、. . . . . . . . . . . . . . . . . . . . . . . . 4 5. 1 具体的要求. . . . . . . . 4 5. 2 参数选择. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 5. 3 身份选择. . .

4、 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 5. 4 认可产生. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 5. 5 鉴别交换. . . . . . . . . . . . . . . . . . . . . 6 6 使用离散对数的基于证书的机制. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

5、 . . . . 8 6. 1 具体的要求. . . . . . . . . . . . . . . . . 8 6. 2 密钥选择. 8 6. 3 鉴别交换. 8 7 使用非对称加密系统的基于证书的机制. . . 9 7. 1 具体的要求. . . . . . . 9 7. 2 鉴别交换10 附录A(资料性附录)零知识机制的原理. . . . . . . 12 A. 1 简介. . . . 12 A. 2 零知识机制的需要. . . . . . . . . . 12 A 3 定义. . 13 A. 4 一个例子. . . . . . . . . . . . . . . . . . . . .

6、 13 A. 5 基本的设计原理. . . . 14 附录B(资料性附录)参数选择指南. . 15 B. 1 基于身份的机制的参数选择. . . . . 15 B. 2 使用离散对数的基于证书的机制的参数选择. . . 15 附录C(资料性附录)实例. . . . . . 16 c. 1 基于身份的机制. . 16 c. 1. l 公开指数为2 的例子. . . . 16 c. 1. 2 公开指数为3 的例子. . . 19 c. 1. 3 公开指数为2 +1 的例子. . 23 c. 2 基于离散对数的机制 E . . . . 24 c. 2. 1 使用768-bit 的户，128-bit的

7、q和RIPEMD-128 的例子. . 24 c. 2. 2 使用1024-bit 的户，160-bit的q和SHA-1 的例子. . 26 c. 3 基于可信公开变换的机制. . . . . . . . . 27 c. 3. 1 使用767-bit 的RSA和RIPEMD-160 的例子. . . . 27 c. 3. 2 使用1024-bit 的RSA和SHA-l 的例子. . . . . 28 I L 一寸GB/T 1584扫一2005/ISO/IEC9798-5 , 1999 附录D(资料性附录)机制比较. . . . . . . . . . . . . . . . . . . . .

8、 . . . . . . . . D. 1 D. 2 D. 2. 1 D. 2. 2 D. 3 D. 3. 1 D. 3. 2 D 3. 3 D. 3. 4 D. 4 D. 4. 1 D. 4. 2 D. 4. 3 D. 4. 4 D. 5 机制比较的度量. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 基于身份的机制. . . . . . . . . . . . . .,. . . . . . . . . . . . . . . . . . . . . . .

9、 . . . 、，斗U 很大时的情形(Guillou-Quisquater 方案. . . . . . . . . . . . . . . . . Fiat-Shamir 方案. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 使用离散对数的基于证书的机制. . . . . . . 计算复杂性. . . . . o. . . . . . . . . 通信复杂性. . . . . . .,. . . . . . . . . . . . . . . . . . . . . . . . . 声称者的认可大小. . . . . . . .

10、 . . . . . . . . . . . . . . . . . . . . . . . . 安全程度. . . . . . . . . . . . . . . . . . . . . . . . . 使用非对称加密系统的基于证书的机制. . . . ., . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 计算复杂性. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 通信复杂性. . . . . . . .

11、 . . . . . . . . 声称者的认可大小. . . .,. . . 安全程度 E. . . 机制的比较. . . . 附录E(资料性附录关于专利的信息. . . 附录F(资料性附录)参考文献., . . . . . 图1 基于身份的机制. . . . 图2 基于离散对数的机制. . . . 图3 基于可信公开变换的机制. . . . . . . . . . 表D. 1 评估函数. . . 表D. 2 特殊参数选择的评估比率. . E 30 30 30 30 32 32 32 32 32 32 33 33 33 33 33 33 35 36 6 8 10 34 34 1 术GB/T 1

12、5843.5-25;ISO;IEC 9798-5 ,1999 GB/T 15843(信息技术一一第1部分:概述安全技术! , 目U实体鉴别).由以下几部分组成g一一第2部分:使用对称加密算法的机制-一第3部分z使用数字签名技术的机制-一一第4部分2使用密码校验函数的机制一一第5部分z使用零知识技术的机制本部分为GB/T15843的第5部分，等同采用国际标准ISO/IEC9798-5: 1999 (信息技术实体鉴别第5部分=使用零知识技术的机制以英文版)。本部分的附录A，附录B，附录C.附录O.附录E和附录F是资料性附录。本部分由中华人民共和国信息产业部提出;本部分由全国信息安全标准化技术委员会

13、归口号本部分由中国电子技术标准化研究所、信息安全国家重点实验室起草。本部分主要起草人2陈星、罗锋盈、胡磊、叶顶锋、张振峰、黄家英。安全技皿，一一-GB/T 15843.5-2005/ISO/IEC 9798-5: 1999 信息技术安全技术实5部分:使用零知识技术的机制范围GB/T 15843的本部分详细说明了二种使用零知识技术的实体鉴别机制。所有在GB/T15843的本部分中阐述的机制都提供单向鉴别。这些机制应用零知识的原理所构造，但是根据附录A的严格定义，对所有参数的选择，这些机制本身并不是零知识的。第-种机制称为基于身份的机制。可信的认可机构为每一个声称者提供私有认可信息，该私有认可信息

14、是作为声称者的标识数据和认可机构的私有密钥的函数计算出来的。第二种机制称为基于使用离散对数的基于证书的机制。每一个声称者都拥有一对用于此机制的公开密钥和私有密钥对。每一个声称者身份的验证者必须拥有该声称者公开验证密钥的可信拷贝;其获取的方法己经超出了本标准的范围，但是它可以通过由可信第三方签名的证书的分发来获得。第三种机制称为基于使用非对称加密系统的基于证书的机制。每一个声称者都拥有一对用于非对称加密系统的公开密钥和私有密钥对。每一个声称者身份的验证者必须拥有该声称者公开验证密钥的可信拷贝F其获取的方法已经超出了本标准的范围，但是可以通过由可信第三方签名的证书的分发来获得。2 规范性引用文件下

15、列文件中的条款通过GB/T15843的本部分的引用而成为本部分的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分，然而，鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本e凡是不注目期的引用文件，其最新版本适用于本部分。GB 15851一1995信息技术安全技术带消息恢复的数字签名方案。dtISO/IEC 9796: 1991) GB/T 15843. 1-1999信息技术安全技术实体鉴别第1部分.概述(idtISOIIEC 9798-1 : 1997) GB/T 18238(所有部分)信息技术安全技术散列函数(idtISO/IEC 1011

16、8) 3 术语和定义GB/T 15843. 1-1999巾确立的下列术语和定义适用于GB/T15843的本部分。3. 1 非对称密码技术3.2 非对称加密系统3.3 非对称密钥对3.4 询问3.5 challenge asymmetric cryptographic technique asymmetric encipherment system 因ymmetrickey pair 声称者claimant 1 GB/T 15843.5-2005/ISO/IEC 9798-5: 1999 3.6 解密3.7 decipherment 可区分标识符3.8 distinguishing identi

17、fier 加密3.9 enciphe口nent实体鉴别entity authentication 3. 10 私有密钥private key 3. 11 公开密钥3. 12 public key 公开验证密钥public verification key 3. 13 随机数3. 14 random number 权标3. 15 token 可信第三方trusted third party 3. 16 单向鉴别3. 17 uniIateral authentication 3. 1日3. 19 3.20 3.21 验证者verifier 下列术语在GB/T18238. 1中定义。散列函数hash

18、-funclion 将比特串映射到固定长度比特串的函数，它满足下列两条性质.一为一个给定的输出找到能映射到该输出的个输入在计算上是不可行的:一-为一个给定的输入找到能映射到同一个输出的另个输入在计算上是不可行的。另外GB/T15843的本部分增加使用下列术语和定义。认可机构accreditation authority 实体群的所有成员所信任的实体，用于生成私有认可信息。认可多重性参数accreditation multiplicity parameler 一个正整数，它等于由认可机构为一个实体所提供的秘密认可信息项目的数目。交换多重性参数exchange multiplicity param

19、eter 一个正整数.用以确定在一个鉴别机制的执行中应该进行多少次实体鉴别消息的交换。3.22 2 标识数据identification dala 一个数据项目序列。包括分配给某一个实体的用于识别他的唯一标识符。注2可能包括在标识数据中的数据项目包括2帐号、有效期限、序列号等等.v -T 一一一十卢-GB/T 15843.5-2005/ISO/IEC 9798-5: 1999 3.23 私有认可指数private accreditation exponent 只有认可机构可知的数值，用于生成声称者的私有认可信息。这一数值应该保密，此数值与公开认可验证指数相关。3.24 私有认可信息privat

20、e accreditation information 由认可机构向声称者提供的私有信息，也是声称者随后证明的知识内容，由此确立声称者的身份。3.25 私有解密变换private decipherment transformation 由非对称加密系统和非对称密钥对的私有密钥确定的解密变换.3.26 公开认可验证指数public accreditation verification exponent 一个实体群的所有成员一致认同的指数，它与模数一起确定私有认可指数的值。3.27 公开加密变换publicencipherment transformation 自非对称加密系统和非对称密钥对的公开

21、密钥确定的加密变换。3.28 冗余身份redundant identity 使用GB15851-1995中所规定的技术，从-个实体的标识数据通过增加冗余而得到的数据项序列。3.29 晌应response 声称者发送给验证者的数据项目，借助于它验证者可以核查声称者的身份。3.30 证据witness 向验证者提供声称者身份证据的数据项。4 符号与标记GB/T 15843. 1一1999中描述的符号和标记适用于GB/T15843的本部分。A 实体A的唯标识符。B 实体B的唯-标识符。y 11 z 数据项Y和Z按照顺序连接的结果。下述通用符号与标记要用到2d D h xJ mod 询问响应散列函数随

22、机数不大于z的最大整数。如果z是一个整数而n是一个正整数，那么imod a) Oj2，m=1且v为素数时，这个机制就成为了Gui1lou-Quisquater方案，5J。5.3 身份选择在这个机制中，每个希望充当声称者的实体必须被分配标识数据，它是由m个部分构成的序列gIA1 , IA2 , .IAm 0标识数据的每部分最多包含8(k，+3)/16J个比特。实体鉴别机制将向验证者提供保证g该声称者确实是分配到这个标识数据的实体。注1，比如，这个标识数据序列可能这样构造.给实体分配一个唯一的识别比特串，然后依次把数字1.2.,m 的二进制表示附加到这个比特串的后面从而得到IA1.IA2, 1，.

23、的值。在这个方法中，数字1，2 , 3. . . . . . ，m的二进制表示可以方便地表示成具有相同长度的形式，如果需要就加以前缀O.注22如果个实体的标识数据部分超出了所允许的最大长度，那么可以运用散列函数去处理标识数据的部件以获得IA1，I.2 ,. , I_4m的值。散列函数的例于可以在GB/T18238中找到。注3，实体标沪、数据的过期可以通过在标识数据中包含有效日期来实现.实体标识数据的撤消可以通过在标识数据中包吉序列号得到简化.5.4 认可产生为了产生一个实体A的私有认可信息，认可机构应该计算一列m个数字签名CAICA2.CAmo5 I G/T 15843.5-2005/ISO/

24、IEC 9798-5, 1999 更明确地说，对每一个i(lim)，CA;应按照下列程序进行计算。a) J A; ，A的冗余身份的第2部分，它将使用ks指定的值，依据GB15851-1995中签名过程的前四步(填充，扩展J冗余和截断与实现，) ，从A的标识数据的第g部分IA;计算而来。从这个过程中得到的值，表示为IR，将按下述方法用于导出JAio如果u为奇数，那么JA;IRo一一如果u为偶数并且(lR1 n)二十1，那么hIR。一一如果为偶数并且(IR1 n) -1，那么九IR/2CA;由JA;按照下列公式计算得到2CAi (J必)Umod.n 提供给实体A的私有认可信息等于计算的签名CA1，

25、C且，CAm。对于每一个i(l dJ，.d回B (1). (5) (3). (7) (6) Token ABz 基于身份的机制图16 GB/T 15843.5-2005/ISO/IEC 9798-5: 1999 声称者发送给验证者的第二个权标(TokenAB2)的格式为zTokenAB2D 其中D为响应。对于这个机制的每一次应用，下述鉴别程序应该执行t次(这里t为交换多重性参数)。只有当程序的2次执行都成功地完成，验证者B才接受声称者A的有效身份z(1) 拥有私有认可信息CA1CA2CAm的实体A选择一个随机数r，使得r为满足l (mDd的。相应的，如果b等于1那么B检查z豆?y(mod n)

26、 如果检查是正确的就继续，否则B拒绝并且终止程序。不难看出，如果A和B都遵循上述程序，那么B将不会拒绝A;将z平方意味着把r或rx平方，那将给出结果r2mod n或(rx)2=r2 x2 =r2 y mocl n。另一方面，如果在t次迭代的任何一次中，A对于b=O和b=l都能够提供正确的答案，这就意味着A能够提供Zo和町，使得zi二?mod n 并且Z12二r2ymod no 通过将第个方程式插入到第二个，可以直接地看出来数町/Zomod n是y的一个平方根(Zo手。并且Zo必须以极大的概率和n互素)。如果A能够计算出具有在这样性质的同和町，那么他就能够计算z，/ Zo ，因此关于他知道y的个

27、平方根的陈述就是真实的。但是相反地，如果A是在欺骗，他并不知道y的平方根，在t次送代的每一次中他必定不能正确回答b的至少个值。因此一个欺骗的声称者使验证者确信的概率至多为2寸。比如重复20次，我们就把这个概率缩小到约百万分之。从而也满足了合理性的要求。至于零知识，注意到验证者在会话结束之后所留下的是两个数z和户，满足13 丁G/T 15843.5-2005/ISO/IEC 9798-5: 1999 或者或者z=r (mod n) Z2=ry (mod n) 但是这些事情实际上验证者不用与A会话，自己就可以生成。B只要选择一个随机的h定义rZ = Z2 mod n ， Z /y mod no 假

28、如这样的话，这种计算川和z的方式不同于声称者的计算方式，但是这个事实是无关紧要的;二者的计算结果的分布是完全一样的，也就是说，不可能分辨其差异。因此，除了得知A知道y的一个平方根这个事实之外，B不能得到任何他自己不能计算的信息。让我们在这里预先考虑一个经常会提问到的问题。如果验证者不掌握y的一个根就能够自己生成很好的会话，那么为什么当声称者产生一个类似会话的时候，验证者就应该确信他的话呢?答案是当B模拟这个协议的时候，他可以自由地以相反的方向产生数字，也就是说，他首先选择z然后寻找符合条件的r0在协议的实际执行中，A没有这个机会。验证者期望在选择b之前看到r2，然后声称者必须找到一个正确的尽管

29、我们在这里已经解释了几个技术难点，但存在讨论的要点z为什么机制具有零知识的特性。A.5 基本的设计原理前一部分的例子中，涉及到了支撑几乎所有己知的零知识机制的两个基本设计思想之-，也就是2声称者发送一个证据给验证者。然后B从某一组问题之中询问A一个问题。如果A是欺骗的，他就不能够回答所有可能的问题。因此我们就有机会抓住他。另一方面A的回答从没多于一个问题，而这仅有的一个回答对验证者来说元法揭示出任何东西。这个设计思想构成了在第5和第6章中所阐述的机制的基本原理。另外一个设计思想，也是构成第7章中所阐述的机制的基本原理，基于下述说明:验证者向声称者询问一个问题，而验证者已经知道了这个问题的答案。

30、协议必须确保事实就是这样的。如果A是诚实的，他能够容易地计算出正确的答案;但是如果他是欺骗的，他不会比随机地猜测做得更好，大多数时候的回答是不正确的。另一方面，当B接收到答案时，他已经知道A将要说的话了，从而这个机制具备了零知识的特性。一个简单的例子是在一个公开密钥系统中，当A必须证明他拥有个私有密钥的时候，验证者能够利用A的公开密钥加密一个随机消息，要求A返回解密的消息。只有知道正确的私有密钥的用户才能做到这一点。为了得到零知识性，我们必须确保B真正预先知道这个消息。本标准包含了一个实现这个方法的例子，也就是要求B展示关于这个消息的某些信息(证据)。准确理解零知识协议的正式定义在2J和4J中

31、给出。14 二十一一-一一一一. 1 附录B(资料性附录)参数选择指南G/T 15843.5-2005/ISO/IEC 9798-5 ,1999 本附录对于GB/T15843的本部分中定义的两个机制的参数选取提供指导。基于身份的机制的参数选择本部分内容对参数m.n吵.q川和t的选取进行指导.GB/T 15843的本部分5.2中的注2也与这些参数的选择有关。a) 模数n。如5.2所述，素数户和q应按这样的方法来选择z任何实体知道了他们的乘积n来推导他们都是不可行的.这里的可行性根据鉴别机制使用的上下文来定义。b) c) 公开认可验证指数民某些小素数u值，例如2.3或2+ l(对于后者有代表性地结

32、合t=1或2)对于降低计算证据W的计算复杂性有实际的优势;一般来说，选取相对小的u值将降低声称者的汁算复杂性。多重性参数mJeum的值等于一个不诚实的声称者在协议的每一次重复中，通过事先猜测询问dI，d2HH-Jm的值而进行冒充攻击的成功概率。因此m和t的选择应该使得um的值小于一个概率值门限，该值取决于应用的敏感度。对于大多数应用来说，2-16到2-40之间的值是适当的，这里确切的值的选择将取决于风险评估。结合这个机制使用的标识数据的形式需要小心地选择，尤其是如果标识数据需要撤销或终止，对应于标识数据的私有认可信息就应该兼顾到。更为明确地说，一个实体标识数据的过期可以通过在标识数据中包含有效

33、日期来实现。可以在鉴别程序t次迭代之第一个四合的首次交换中包含有效日期信息，从而让验证者得到这个过期信息。用类似的方法，通过在标识数据中包含序列号，可以实现一个实体的标识数据的撤销。验证者可以在标识数据的吊销黑名单列表中检查这个序列号。.2 使用离散对数的基于证书的机制的参数选择本部分内容对参数d.g.p和q的选择进行指导。a) 素数户.q和基g。如6.1所述，户和g的选取应该使得=给定任意一个整数iO2，tm1)。D. 2. 1 当v很大时的情形(GuiIlou-Quisquater方案)D. 2. 1. 1 计算复杂性和在本条中，考虑u很大的特殊情况。特别的，当L!Og2V J?16时5J

34、给出了一个方案。根据定义，声称者在每一次迭代中执行下述两个计算:Wr mod善nD rII (CA;d;)mod n 本条中使用了下述符号zNw一一计算W所需要的模乘法次数。Nv一一计算D所需要的模乘法次数。(k)一一对于h比特长的模数，模乘法的计算复杂性。大家知道(比如参见6J)，模乘法存在有效的算法使得=(k) O(k同) 下述关系成立230 GBjT 15843.5-2005/ISO/IEC 9798-5: 1999 C, = t(ND十Nw)严(Llog2 n J) 在本条的剩余部分，我们估计ND和Nwo利用从右到左形式的平方与乘法算法来计算模指数，参看6J和8J，计算。mod的需要计

35、算L log，个值2lu 问L 9f ,f 那么，w由下式决定zw = (r )0 (r2 )，(r2Lo，oJ)止岭2oJmod n 其中b;表示切的二进制表示的第2位比特(bc是最低位比特而气问寸是最高位比特。)对于一般的u来说，有一半的b，(i=O，Llog, v J-1)将为零，因此Nw的值为2N户L 1耶IJ 类似的方法用于计算D，ND可由下式近似表示ND句子Llog,u J 因此，Cp可由下式得到.C卢号(m+川Og2VJ(L log2 n J) 特别的，对于t=m=l的情况，也就是我们熟知的Guillou-Quisquater方案，有sCp臼3L log2 V J L log2

36、n J) D. 2. 1.2 通信复杂性在每)轮中，声称者发送TokenAB，=W和TokenAB，=D给验证者，它们都为(Llog2n J)十1比特长。验证者也发送询问，即由m个比特串构成的序列，每个都为(Llog, v J)十1比特长。由于同(Llog, nJ) 相比，酬是可以忽略的，下述式子成立zCM =t2(L log, n J+ 1)十m(L log, v J + 1) 句t(2L log2 n J十mL log,v J) 在Guil1ou-Quisquater方案中，我们有zCM句2L log2n J +L log2v J 声称者也允许发送Toke阳B，=以W11 Text)以代替

37、TokenAB，=W。在这种情况下，CM为zCM句t(Llog, n J+ H十mL log,v J) 这里H是散列函数h的散列码的比特数。D.2. 1. 3 声称者的认可大小除了公开密钥对(v，n)之外，声称者保留私有认可信息CA1CA2CAmo因此，所需要的存储比特为.5句(m十l)Llog2n J十Llog, v J。在Guillou-Quisquat盯方案中，我们有252 L log,n J+L log2v J D. 2. 1. 4 安全程度一个不知道声称者认可信息的攻击者，可能通过猜测验证者将要发送的询问，然后生成证据的方法，试图冒充声称者。攻击者冒充声称者的成功概率为2P=JL v

38、 对于Guillou-Quisquater方案，我们有2p=l. v 31 L一一一GB/T 15843.5-2005/ISO/IEC 9798-5 ,1999 D. 2. 2 Fial-Shamir方案在本条中，考虑v=2的特殊情况。在这种情况下，此机制被称为Fiat-Shamir方案。D. 2. 2. 1 计算的复杂性由于=2，我们有L10日，vJ=l，因此Nw=1,ND=? 所以，Cp=七(m+Z川log2n J) D. 2. 2. 2 通信复杂性由于同Llog2 n J相比较m是可忽略的，有CM句ZtL log，声称者也允许发送TokenAB，=以W11 Text)代替TokenAB，

39、= W.在这种情况下，白为3CM臼t(Llog2n J十HJ其中H是散列函数h的散列码的比特数。D. 2. 2. 3 声称者的认可大小S句(m十lJLlog2 n J。D.2.2.4 安全程度攻击者成功地猜测所有mt个询问的概率为2p=字D.3 使用离散对敛的基于证书的机制D. 3. 1 计算复杂性声称者执行的计算是:W=g mod p 和D=r-dzA mod q 由于it算D的复杂性与计算W相比较是可以忽略的，那么整个复杂性Cp为2C卢?L10叫L阳pJ) D. 3. 2 通信复杂性声称者发送TokenAB，=W和TokenAB，二D给验证者，它们分别为(Llog2户J+l)和(LOg2q

40、 J+ )比特长。验证者发送一个询问，长为(LOg2Q J十1)比特，因此，CL log2 p J+ 2 L log2 q J 声称者也允许发送TokenAB，=h(W 11 Text)以代替TokenAB，= W.在这种情况下，我们有CM坦H+2L log2q J 其中H是散列函数h的散列码的比特数。D. 3. 3 声称者的认可大小除了三个正整数户，q和g之外，声称者需要存储私有密钥句，因此zS坦Z(Log，户J+Llog,q J) D. 3. 4 安全程度询问d选自集合O，l，.，Q-l)。因此，攻击者猜测个询问成功的概率为232 GBjT 15B43.5-2005jISOjIEC 9798-5,1999 pl_ q 使用非对称加密系统的基于证书的机制D.4 为了本章的讨论，假设RSA密码系统是机制的非对称加密系统。下述符号要用到.(YA n)是声称者的公开密钥。且是声称者的私有密钥，也就是说，关系式YAzA=I(mod).(n)成立。a)