GB T 17902.2-2005 信息技术 安全技术 带附录的数字签名 第2部分;基于身份的机制.pdf

《GB T 17902.2-2005 信息技术 安全技术 带附录的数字签名 第2部分;基于身份的机制.pdf》由会员分享，可在线阅读，更多相关《GB T 17902.2-2005 信息技术 安全技术 带附录的数字签名 第2部分;基于身份的机制.pdf（23页珍藏版）》请在麦多课文档分享上搜索。

1、ICS 35.040 L 80 GB 中华人民=lI工和国国家标准GB/T 17902.2-2005/ISO/IEC 14888-2: 1999 信息技术安全技术带附录的数字签名第2部分:基于身份的机制Information technology一-Securitytechniques-Digital signatures with appendix-Part 2: Identity-based mechanisms (ISO/IEC 14888-2: 1999 , IDT) 2005-04-19发布中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会2005-10-01实施发布中华

2、人民共和国国家标准信息技术安全技术带附录的数字签名第2部分:基于身份的机制GB/T 17902.2一2005/ISO/IEC14888-2: 1999 当k中国标准出版社出版发行北京复兴门外三里河北街16号邮政编码:100045 网址电话:6852394668517548 中国标准出版社秦皇岛印刷厂印刷各地新华书店经销争等开本880X1230 1/16 印张1.5字数37千字2005年8月第一版2005年8月第一次印刷9峙书号:155066 1-23069定价14.00元如有印装差错由本社发行中心调换版权专有侵权必究举报电话:(010)68533533GB/T 17902.2一2005/ISO

3、/IEC14888-2: 1999 目次前言.田1 范围2 规范性引用文件.3 概述4 术语和定义5 符号.6 密钥生成过程6. 1 生成域参数6.2 生成验证密钥和签名密钥-7 签名过程7. 1 生成预签名37.2 准备消息-7.3 计算证据.47.4 计算签名48 验证过程.8. 1 准备消息-8.2 检索证据8.3 计算验证函数8.4 验证证据9 Guillou-Quisquater签名机制.9. 1 公钥导出函数89.2 准备消息-9.3 计算证据9. 4 计算签名的第一部分.8 9. 5 计算赋值810 带短赋值的基于身份的签名810. 1 准备消息810.2 计算证据.10.3 计

4、算赋值.8 11 带消息散列码检索的基于身份的签名811. 1 计算证据11. 2 计算签名的第一部分9附录A(资料性附录)数值例子.10A.1 密钥生成过程的数值例子，.10A. 1. 1 生成域参数10A. 1. 2 生成验证密钥和签名密钥A.2 在第9章中描述的Guillou-quisquater签名机制的数值例子A. 2.1 签名过程GB/T 17902.2一2005/ISO/IEC14888-2: 1999 A. 2. 2 验证过程uA.3 在第四章中描述的带有短赋值的基于身份的签名的数值例子uA. 3.1 签名过程A. 3. 2 验证过程MA.4 在第11章中描述的给出消息散列代码

5、检索的基于身份的签名的数值例子14A.4.1 签名过程MA. 4. 2 验证过程15附录四资料性附录)专利信息参考文献18图I带确定性证据的签名过程4图2带随机化证据的签名过程.图3带确定性证据的验证过程.图4带随机化证据的验证过程7H GB/T 17902.2-2005/ISO/IEC 14888-2: 1999 目。自GB/T 17902(信息技术安全技术带附录的数字签名由以下几个部分组成:第1部分:概述;第2部分:基于身份的机制;第3部分:基于证书的机制。本部分为GB/T17902的第2部分，等同采用国际标准ISO/IEC14888-2: 1999(信息技术安全技术带附录的数字签名第2部

6、分:基于身份的机制(英文版)。本部分的附录A和附录B是资料性附录。本部分由中华人民共和国信息产业部提出;本部分由全国信息安全标准化技术委员会归口;本部分由中国电子技术标准化研究所、信息安全国家重点实验室起草。本部分主要起草人:叶茅枫、陈星、罗锋盈、胡磊、叶顶锋、张振峰、黄家英。mu GB/T 17902.2-2005/ ISO/IEC 14888-2: 1999 信息技术安全技术带附录的数字签名第2部分:基于身份的机制1 范围GB/ T 17902规定了任意长度消始发鉴别、抗抵赖和数据完整性M在。下列文件中的件，其随后所有的GB 15851 GB/ T 179 3 概述被称作基于身份配本部分中

7、定义成指数的秘密性。是注日期的引用文根据本部分达成述日J信第三方有个秘密条件地依赖于密钥生机制的但l二CB/T17902.1-1999所描述。数字签名和验证过程描述遵循GB/T17902.1-1999第10章定义的一般过程。特别地，本标准使用了GB/ T 17902.1-1999提供的一般需求条件、定义和符号。在下列过程的详细说明中定义了带附录的基于身份的数字签名机制。它们是:a) 密钥生成过程;b) 签名过程;c) 验证过程。4 术语和定义下列术语和定义适用于GB/T17902的本部分:GB/T 17902.2-2005/ISO/IEC 14888-2: 1999 4. 1 4.2 4.3

8、4.4 4.5 域模数domain modulus 域参数，它是一个正整数，是只有可信第三方才知道的两个不同的素数相乘产生的。域验证指数domain verification exponent 一个域参数，它是一个正整数。密钥生成指数key generation exponent 一个只有可信第三方才知道的正整数。公钥导出函数public key derivation function 一个域参数，它的功能是将比特串映射成正整数。注1:这个函数用于将实体标识数据转换成实体验证密钥，并符合下列两个性质za) 要找出任何一对映射成同一输出的两个不同的输入数据，在计算上是不可行的。b) 随机选取数值

9、Y.Y在函数值域范围内的概率小到可以忽略;或者对给定的输出数据，找出可映射成该输出的输入，在计算上是不可行的。注2:可忽略性与计算上的不可行性依赖于具体的安全要求和环境。可信第三方trusted third party 一个安全机构或者它的代理，在安全相关活动方面，被其他实体信任。5 符号GB/T 17902. 1-1999中确立的以及下列符号适用于GB/T17902的本部分:D 密钥生成指数I 标识数据N 域模数P ,Q 素数V 域验证指数y 公钥导出函数lcmCA ,B) 使得Cmod A= 0和Cmod B=O的最小正整数C6 密钥生成过程基于身份的签名机制的密钥生成过程是GB15851

10、-1995附录A中规定的签名方案的一个应用。它由下列两个过程组成:a) 生成域参数;b) 生成签名密钥。应将一个实体选定为可信第三方。使用它自己的秘密，可信第三方为每个实体生成该实体的私有签名密钥。该密钥是实体的标识数据的函数。在某些情况下，也许需要进行域参数和密钥的确认。但这超出了GB/T17902的本部分的范围。6. 1 生成域参数建立域时，这个过程只执行一次。可信第三方生成域验证指数V和域模数N。域验证指数应选择为一个奇整数。域模数应为两个大素数P和Q的乘积，P-1和Q-1与V互素。更进一步，可信第三方确定密钥生成指数D，它使得DV-1为lcmCP-l，Q-l)的倍数的最小正整数。明确地

11、讲，D应使得:2 GB/T 17902.2-2005/ISO/IEC 14888-2: 1999 UDvmod N = U对所有整数U.OUNN和V为公开域参数。可信第三方保存D为自己使用。其他实体通过N和V将D计算出来是不可行的。注:N和V的值应选择大到足以满足特定的域安全的需要。N的长度通常在1024比特和2048比特之间变化，而V的长度推荐至少为80比特。设T.T和L是使得T- T = LV的整数.x是个签名密钥，而Y是相应的如6.2中定义的验证密钥。则Xr=XT yL mod N。给定一个对应于T的签名(R，日，则可以通过计算5= 5 yL mod N (见7.4)生成一个对应于T的签

12、名恨，5)。因此，必须选择足够大的V以使给定T后，一个随机选取的T满足于T-T-Omod V的概率足够小。基于身份的带附录的签名机制的域参数的设定还包括公钥导出函数y，它用于将一个签名实体的标识数据转换成一个小于N的正整数。6.2 生成验证密钥和签名密钥每个用户实体有其唯一的标识数据。要为一个标识数据为I的实体生成私有签名密钥，可信第三方首先从公钥导出面数y和标识数据I计算出验证密钥y.y=y(I) 注:只要P和Q足够大，则Y等于零或者等于P或Q的整数倍的概率可以忽略。可信授权方计算私有签名密钥X为:X _ yD mod N 作为密钥生成过程的个结果，标识数据I的实体拥有一个签名密钥X，它满足

13、方程:XV y (l) mod N = 1 在基于身份的签名机制中，通过计算y=y(I)，验证方从签名实体的标识数据中得到了签名实体的验证密钥的信息。当验证进行后，可以将其存储备以后使用。7 签名过程在本章中描述基于身份的签名机制的签名过程。该机制是随机化的并遵从GB/T17902. 1-1999 描述的随机化签名机制的一般模型。签名过程由下列步骤组成:a) 生成预签名;b) 准备消息;c) 计算证据;d) 计算签名。在此过程中，签名者使用它的签名密钥X和公共域参数N和V。此过程的输出为签名豆，它由两部分R和S组成。签名实体可选择地生成一个含有实体的标识数据文本宇段。签名和可选的文本字段形成附

14、录，它由签名者附加到消息后。7. 1 生成预签名基于身份的签名机制的预签名过程由下面两个步骤组成za) 生成随机数K;b) 计算预签名17. 1. 1 生成随机数签名实体生成一个随机数，它是一个整数K，其中OKN。依赖于该机制，可以在这个生成过程中存在某些附加的约束。这一步的输出为K，签名实体将其秘密保存。7.1.2 计算预签名这一步的输入为随机数K。其输出为预签名日，计算公式如下:3 GB/T 17902.2-2005/ISO/IEC 14888-2: 1999 II = KV mod N 7. 2 准备消息由消息M导出两个数据字段Mj和M2，如GB/T17902.1-1999的8.2中所描

15、述。准备消息的过程应满足下列两个条件之一:a) 整个消息M可以由Mj和M2重新构造出;b) 要找出两个不同的消息M和M，使得导出的对(Mj，M2)与(Mj，Mz)相等，在计算上是不可行的。第一种情形的典型情况是，Mj=M(当M2为空时)，或M2=M (当Mj为空时)，或Mj=M2= M。在第二种情形中，Mj或Mz或两者都是M的散列值。7.3 计算证据使用一个抗碰撞散列函数(见图随机化证据R定义为一个列函数来计算。如果Mj不注:除非散列函数是由签7. 4 计算签名在基于身份的签a) 计算签名的7.4. 1 计算签名4 R 签名E图1带确定性证据的签名过程性的证据。充方法，并使用抗碰撞散GB/ T

16、 17902.2-2005/ ISO/ IEC 14888-2: 1999 ( 准备制) :Ml :Mz 图2K 签名密钥XH 如果证据是确温性战计算出签名自咀-号子R，_H凰函数。这个lJ数擅下列方式下是可逆的:给定口和R，散如果证据是随机注:域参数必须包含一7. 4. 2 计算赋值赋值T是一个正整数，d队J-圃F来果d不为空，该赋值依赖于消息的第二部分M2。计算一对CR，T)的方法需要要找出具有相同结果对CR，T)对CM，ll)fU例，rr)，M将上是不可行的。7. 4. 3 计算签名的第二部分基于身份的签名机制的签名函数具有如下形式:S = K XT mod N 其中K是7.1. 1中计

17、算出的随机数，T是7.4.2中计算出的赋值，X是签名密钥，而N为域模数。签名函数的输出为签名的第二部分S。8 验证过程验证过程由下列步骤组成:5 GB/T 17902.2-2005/ISO/IEC 14888-2: 1999 a) 准备消息;b) 检索证据;c) 计算验证函数;d) 验证证据。在验证过程的开始阶段，验证方必须具有如下可用的数据项值:a) 域参数N和V;b) 签名者的验证密钥Y;c) 消息M;d) 签名立=(R ,S); e) 可选文本(取自于附录)。签名的成功验证意味着该签名是采用对应于验证密钥Y的签名密钥X来创建的。8. 1 准备消息这个过程等同于7.2。8.2 检索证据如果

18、证据是确定性的，则本过程在7.3中描述。验证过程在图3中描述。如果证据是随机性的，验证过程如图4中所描述。检索证据是签名的第一部分Ro签名军验证密钥YR Y 检索消息Mz !1_1-. 重新计算预签名撞.证据1撞证证据yes/no 固3带确定性证据的验证过程6 GB/T 17902.2-2005/ISO/IEC 14888-2: 1999 八ff / 飞验证密钥YY R 签名z量证证据S :M2 :M1 ._-yes/no 带随机化证据的验证过程8.3 计算验证函数基于身份的签名机制的验证函数的计算由下列步骤组成:a) 检索赋值;b) 重新计算预签名;c) 重新计算证据。8.3.1 检索赋值该

19、步骤等同于7.4.2。如果M2不为空，验证者计算赋值T，它是在8.2中检索出的值R和消息M2的函数。赋值T是个正整数。8.3.2 量计算预签名验证者通过使用以下公式生成预签名的重新计算值II:fi = yT SV mod N 其中Y为验证密钥，N为域模数，V为域验证指数，T为在8.3.1中检索出的赋值而S是签名的第二部分。8.3.3 重计算证据如果证据是确定性的，它是M1的散列值H。验证者使用R和E计算出重新计算值百。圈4如果证据是随机性的，其计算等同于7.3，其中输入数据为H的重新计算值E和M的重新计算值M1 。输出数据是重计算证据Ro8.4 验证证据该步骤对8.2中检索出来的证据数据值和8

20、.3.3中重新计算出来的证据数据值进行比较。如果这两个证据数据值相等则验证成功。Guillou-Quisquater签名机制Guillou和Quisquater的基于身份的数字签名方案的密钥生成过程、签名过程和验证过程在9 GB/T 17902.2-2005/ISO/IEC 14888-2 : 1999 GB/ T 17902本部分中的第6章和第8章及图2和图4中描述。现在对下面的过程和函数进行更详细地说明:a) 公钥导出函数;b) 准备消息;c) 计算证据;d) 计算签名的第一部分;e) 计算赋值。9.1 公钥导出函数公钥导出函数是GB15851-1995中描述的冗余发生函数。签名实体的标识

21、数据I，或它的散列权标在GB15851-1995的5.1到5.4中描述的过程二江革华为输入消息。实体的公开密钥Y=y(I)设置为这个过程的输出数据，它在GB15.8鼠节55中被称男-9. 2 准备消息9.5 计算赋值10 带短赋值的基这个机制在下列a) 准备消息;b) d) 10. 1 准备消息在这个变型方案中，悄息输入10. 2 计算证据证据R是通过计算数据H111H的散列预签名H的散列权标。注:预计算散列权标Hl可以被更有效地存储。10.3 计算赋值赋值T是由计算数据H11 R的散列权标H3得到的。11 带消息散列码检索的基于身份的签名可以被用在中H是在10.1中计算出来的，它是Guill

22、ou-Quisquater方案中的这个变型的优点，是散列函数可以与其余的验证步骤一起并行计算。8 GB/T 17902.2-2005/ISO/IEC 14888号:1999 基于身份的数字签名机制的签名过程和验证过程中描述在图1和图3中。这个机制在下列过程方面与Guillou-Quisquater方案不同:a) 计算证据;b) 计算签名的第一部分。另外，它假设由签名者生成的随机数K满足K芋omod P和K手omod Q，否则N的因子分解将被找出。因此，还可以假设预签名H不是P或Q的倍数。11. 1 计算证据使用一个抗碰撞散列函数将证据计算出来，它是消息M的散列权标H。11. 2 计算签名的第一

23、部分计算出签名的第一部分R如下:9 GB/T 17902.2一2005/ISO/IEC14888-2: 1999 使用十六进制记法。A.1 密钥生成过程的数值例子A. 1. 1 生成域参鼓附录A(资料性附录)数值例子域模数N是两个不同的素数P和Q的乘积。这个例子中，P和Q是512比特的素数，因此N是1024比特的数。P = FFFFFFFF EA2DE66E D3B1B7E9 61B75DFC D9FAE2FF A07 A2345 9B7956FB 1B9B16D7 E1B6D59B BDF45B85 3CBF08EA 3BC7A1BD 541CB3A8 80E02E43 87CA7DEF 5

24、0948E87 Q = FFFFFFFF E275B7F4 98A3811D E906ACF7 BFEB5CD6 A445AF09 D7906DE1 97CC2CCD 87614718 8C7C084F CE9231CA B7CFA1l3 13C3DDCF F1B70A54 84494467 8FCEF193 N = PQ= FFFFFFFF CCA39E63 6ED9CF52 950C23AO 38AE0291 012B984A 964FFBBD 99E9DACB 91400431 OC5DD264 B1873126 44A725C5 D5BC73F4 97CFDlOO 89FDl342 6

25、56026BE 3FB583FE B134FF43 6957 A1E1 D975B5BE DF1A9570 4C81A337 F06E5F9F 9388A7AC 5ABFD5CF 0356D91A 9861C69F E50509C2 323E5270 F2015FBD C08AA2CO 391CEE85 域验证指数是个奇整数，它与P-1和Q一1互素。在这个例子中，V为279+1，因此V的长度是80比特。V = 8000 00000000 00000001 密钥生成指数D是正整数，使得DV一1是lcmCP-l，Q-l)的倍数。lcm C P-1 ,Q-1 ) = 7FFFFFFF E651CF3

26、1 B76CE7A9 4A8611DO 1C570148 8095CC25 4B27FDDE CCF4ED65 C8A00218 862EE932 58C39893 225392E2 EADE39FA 4BE7E880 44FE89A1 32B0135E 1FDAC1FF 7248B06F FE81346D 475BD565 229A2ACD 03EOE874 3EB24D61 7010B203 78D3DC8D 5D733AA2 C68845F5 78B6E378 E52EE07C 3FB51392 DA3B7034 AC5CB736 D = 1BC6COED 36435CBF A89C7

27、A35 50CE3D54 C6ABC9F5 EE5E75C9 E458AADA 6178CB20 C7339C4E F30413A6 586DA8B6 45A72BDF 291C9218 FOCA83EF A4234FAD 8394B2BF 8F4AOEF9 61E098FC 2CC5AFAA 46CCC821 10 GB/T 17902.2-2005/ISO/IEC 14888-2: 1999 0427D3EE 3461AFOB 46895311 E1DAD21F 35217CBC 4FDlA5B9 62EOIB8B 967F97E2 41ECF56E DBF85278 EC058601 1

28、7D9A7B7 A.1.2 生成验证密钥和签名密钥验证密钥Y是以标识数据I作为输入的公钥导出函数的输出，并且不是P或Q的倍数。这个例子使用一个小于N的1024比特的数Y。y = C50ECCC9 64443BOA 1C974F40 1C94E500 FA8214FC 9B1B5EC5 2AA1201A 001EA009 FE90D01D F32C6B43 323F0812 42ABE843 09F926BB 9338A841 5DEF2EF6 E709E3BD 515B5D86 C3ED4B7F C15FA876 26E8E9C7 OE557D5B A8E96D7C B55FBF41 37F6

29、01FF 47B7CCCB 6BED4407 6F8E9805 42E37105 522E7184 42A717DF E89A6B62 7B6E60B7 可信机构计算私有签名密钥如下zx = y-D mod N = A763FA4 3895CFDD D80627 A6 A8271250 97C184E5 10F0075C 48FCBOE7 F2885275 AAA32829 C08CF352 OF42F6FD C296DCE1 F50FBDED D5C33C7C 63298C4F 26C2CDEE 11D927BA C6EC4A6A C022C063 1F30E880 07452397 7F3

30、ACA8C 422E2461 3B7F3BBO E61D04B8 0670A128 OED7C8Cl A72D4BIC C566381B 0665F83B 70FD7158 OB7A6EEC A.2 在第9章中描述的Guillou-quisquater签名机制的数值例子在这个例子中，所使用的散列函数是固定的，并且为域内的所有实体已知，因此不需要散列标识符。通过使用SHA-1生成散列权标。域参数、私有签名密钥和验证密钥与第A.1章相同。A. 2.1 签名过程A.2. 1. 1 生成预签名签名实体生成一个随机数，它是一个随机性的或伪随机性的整数K，其中OKN。本例使用一个1024比特的随机数K。K

31、 = B2045A19 83150F5B B04CB524 2B566A37 6779F416 5C7F1673 029C1BFC 05A84C60 E401897 A CEAD9DE5 C7D8108B 95943332 FF6B20D3 004CCD40 36BDBB7E 10DA755E B03720FO 5AOCDC53 66EB4374 BE091A80 6D3399190 D2ADE1CD 9EllEF4E A5FF6969 3DOEB942 BFCC333D F5FDD599 1D3B78A7 4868BOC6 381AEA61 C24F3E05 2D8D9FFA 预签名H计算如

32、下:II = KV mod N = 15B35BB7 ODDD7ED8 OFAD7EDE A80F828E 46B3F86D 4EFB7E84 58562B6D 6F1885DO A02FD892 8838C128 B53EE703 FAC96534 6C18A714 17D12FD7 211C3956 11 G B/T 17902.2-2005/ ISO / I EC 14888-2 : 1999 B6AD1A15 5FB384CC 9044433C lCBD7EOA A. 2. 1. 2 准备消息F4399EBO D01 90FA9 7 A416B62 2780DFD8 在本例中，消息为如

33、下文本段:CC065E8F CC0039F3 DC995DEC BB07947F 99297387 0174FB6A M : This is a test message ! (这是一个测试消息!) A. 2. 1. 3 计算证据d 在本例中，证据形成签名的第，哪分:42AF9098 A. 2. 1. 4 计算赋值赋值T等于R，T = R A. 2. 1. 5 计算签签名的第二百N，V，Y，M，三=A. 2. 2.1 检索赋值赋值T等于签名的第T= R A. 2. 2. 2 重新计算预签名、验证者生成预签名的一个重新计算数fi = yT SV mod N 注:如果(yTmod N)和(SVmo

34、d N)是分别计算的，它们则给定如下:y T mod N = 3C18CAAO 339 ED6CA 6C80AF2C 20 148 1C1 A8314537 OB8C6DF1 92766 BC4 C3FD8C14 E02 E33E8 4F557C86 A51FE7B5 9769CF40 11lE9BFO 82825727 85 B04 7F3 82F51DB4 FE5FAA6F C1C45803 77 AC05 lD 85A094BD 45 18DECB EC2B58FF 79 lDC06 F D202E815 8D5C60D9 419695E7 12 E13A8EFE 72124D7B 94

35、A8FA8B 74054 C22 76 EDD630 98 E3 4D29 51558 F87 65472145 lA39ACA5 GB/ T 17902.2-2005/ ISO/ IEC 14888-2 : 1999 sv mod N = A8E600CF 7403C940 150 05COE OB069 2AO 565F03BA 7849B538 04C3 EE35 E31BFA2C 7B8BE70C F027401 0 1090504 0 9B082673 1E200798 50 AC0090 A. 2. 2. 3 重新计算证据并验证证据证据被重新计算出来，它是散到重新计算出来的证据=通

36、过使用SHA-1生A. 3. 1 签名七个1024比特H1是预7B2B1483 A. 3. 1. 2 准备r在本例中，消严一D6149DF3 DA7E60EA A. 3. 1. 4 计算赋值23F5FOEO 735F0729 B9BF17 97 A17F1781 7860AC48 C0472405 820431B4 BCAC0825 5473 FC28 0488 F988 AE2507F5 8EF34697 赋值T是通过计算数据R11 H的散列权标H3来得到的。T = h ( H 11 R ) =360E D98CD6CO 01E15EA4 A. 3. 1. 5 计算签名的第二部分签名的第二部

37、分S计算如下:S = K . Xmod N = FA1 7252E 94A3D992 C5CE7953 D0939F 9E A9F2B89F 13455 28F 658959C9 B5B16E92 BFA8490C E4652452 90ECCFDF 73E67220 F OB1C381 EDE82B2C 2B2D520E 4E91EB67 FA51F309 7CA19BA1 299FOF3C 05439C3 E 30 EC01C7 21F9003F F已飞因此不需要散列标识符。列函数h计算出来的，N。本例使用一45A4AE8A 9131A3AO 7D34AFAO 98922DF5 13 GB

38、/T 17902.2-2005/ISO/IEC 14888-2: 1999 04B1883E D7CD9AC3 1E3E4E99 FF2E57F9 ACE6F5E6 475A029E 1821081F 02DB73ED 6640A148 63E3B7E1 DAOE9AA9 签名Z被设置为忧，S)。A.3.2 验证过程验证者拥有下列数据项值可用:N，V，Y，品f，立=(R，S)A. 3.2.1 准备消息H=M的散列权标A. 3. 2. 2 检索赋值赋值T是通过计算数据R11 H的散列权标H3得到的。T = h ( H 11 R) A. 3. 2. 3 重新计算预签名验证者生成预签名的重新计算值自

39、=yT SV mod N。如果(yTmod N)和(SVmod N)是分别计算的，它们则给定如下:yT mod N = 390AB7EB 69A80EEO D382FFA6 6D6557B3 CE5D67F1 FCF76F27 D660941A 90941033 DC989EA4 78257463 8C98ADEA F05DAC71 C7E20991 9B0598Dl 47B22923 6C45DF67 900DC37C 8812CD7 A D827 A550 3703BC3C B12C7C16 DBB7AD5B 98F4FOD9 D4918CA5 E58A9445 437328E9 SV m

40、od N = 3A65050A 97021E9A 8A6E825A 26EE068D 0617D9FE 3C577159 06C15DDO 2EBF8707 373B4E16 9A12A839 04B7CBAF D578BC4E OC7E549C CECC18BA A198682F CB46844A A9003E35 A0035D96 B170F5A7 E1C5B285 8132EB24 A9F3EDF1 10EC1C02 377B0963 8A48243B F771D47F A. 3. 2. 4 重新计算证据并验证证据证据被重新计算出来，它是ll=yT SV mod N。豆=yT SV mo

41、d N = R 重新计算出来的证据与检索出来的证据R相同。EF281E9B Dl7D68A4 D3269612 87 AOOOBE 358E4DEF DE843E4E 32060A48 EF06D046 CC681798 7DOFD50D E5C904E4 4F66C7BD ACEFBB7B A.4 在第11章中描述的给出消息散列代码检索的基于身份的签名的数值例子在这个例子中，所使用的散列函数是固定的，并且为域内的所有实体己知，因此不需要散列标识符。通过使用SHA-1生成散列权标。域参数、私有签名密钥和验证密钥与第A.1章中相同。A.4.1 签名过程A. 4.1.1 生成预签名签名实体生成一个

42、随机数，它是一个随机性的或伪随机性的整数K，其中0K No本例使用14 GB/T 17902.2-2005/ISO/IEC 14888-2: 1999 一个1024比特的随机数K，而相应的预签名H在A.2. 1. 1中给定。A. 4.1.2 准备消息在本例中，消息与A.2. 1. 2中的消息相同，并且它的散列权标H与A.3. 1. 2中的相同。H=M的散列权标A. 4.1.3 计算证据和签名的第一部分在本例中，证据形成签名的第一部分R。R = rr H mod N = 425DCEDD 1D408F3F BD2CE776 446410E7 053FD47C 69BD86FA 9B53662D

43、64BCD974 85BCC21B 2075B492 C5BBC02F 7B93F42C 58F5A5AC D8C3A8EA A. 4. 1. 4 计算赋值在本例中，赋值T等于R。T=R A. 4.1.5 计算签名的第二部分签名的第二部分S计算如下:S = K Xr mod N = 3205E60E 84EB7 AC6 27FE80D3 EC2EF3F9 08EDE468 E5C2F36C 1DE84C4D 25AA2AB9 139AAOOF 15340501 F7650FED 23C032EB AB17F14A 180E6A76 签名三被设置为恨，S)。A. 4. 2 验证过程验证者拥有下列

44、数据项值可用:N，V，Y，几1，三=(R，S)A. 4. 2.1 准备消息H=M的散列权标A. 4. 2. 2 检索赋值赋值T等于R。T=R A.4.2.3 重计算预签名6633CEFE A08527BC 1114EEOC 4DCF5276 142A5724 07916DA7 28866B9D F27FOFF3 25452213 84D76885 D6B7F867 DDB82BDO 225B92DE 5ADAODDD 698B7E10 BF576154 464A6E30 1BD4D276 2CA2A080 4DCEC086 A3AD3731 CA9B8A2C D5313E2B A5AB49FA

45、 验证者生成一个预签名的重新计算值IT=yT SV mod N。如果CyTmod N)和CSVmod N)是分别计算的，它们则给定如下:yT mod N = E7D8C6CC 45A8B29F 200F5C52 148824EO DEOFDD70 BC83BE2E 22AAFE20 C0233C14 BEEE7C5C 022FD464 92DOA055 5AOD7782 920BE1AF 13C8B371 1662529C 407 AB43F 21777BDO 81D21D5A D182BF95 BDBOE072 3A518CF9 DB388FID 60F64E34 CC5F5AAB 7716

46、24FC E6E4E8E2 7AFBEFB4 15 GB/ T 17902.2-2005/ ISO/ IEC 14888-2 : 1999 6D8085FD BFCF170C 8AC5A98F EDOEB25D SV mod N = F673DE2 708BDEB3 00AD359F 74D64887 886C4EA2 74066387 71AB16D9 16 AF8A27C1 B3638CE7 3BBDA623 OAB17CDC 802FA537 D389CD31 02B997 A6 1B2A3185 2D638A5A 3EE7634E 55E842BE 7B5B7 A40 775285B7 A796D639 3BB66C95 DE498937 2F5BDBDl 273B23CF 12E098D9 DD7894F4 F05DAF37 B296D8D9 09B8DE8F 5127 A8