37、其他公钥密码系统与协议深度解析

其他公钥密码系统与协议深度解析

1. ElGamal签名方案攻击与哈希函数应对

对ElGamal签名方案的攻击会导致存在性伪造，但目前尚不清楚能否强化这些攻击以实现选择性伪造，所以这些攻击对ElGamal数字签名方案并非实际威胁。为防止此类攻击，可使用密码哈希函数。

哈希函数 $h : Σ∗→T$ 能从任意长度的消息生成指定长度的“消息摘要”，常见哈希值长度为160位。Bob签名消息 $m$ 时，先计算消息摘要 $t = h(m)$，再用数字签名方案（如ElGamal）计算 $t$ 的签名 $s = sigB(t)$，并将 $(m, s)$ 发送给Alice。Alice验证时，用公钥哈希函数 $h$ 重构消息摘要 $t = h(m)$，再检查签名 $s$ 的有效性。

为防止仅密钥或已知消息攻击导致的存在性伪造，哈希函数需具备“无碰撞”特性，即给定 $m$，在计算上无法找到 $˜m ≠ m$ 使得 $h( ˜m) = h(m)$。同时，选择ElGamal数字签名方案的参数时需谨慎，Bob的秘密指数 $s$ 绝不能泄露，否则攻击者可根据公式 $b ≡(m - sρ)σ−1 mod p - 1$ 计算出Bob的秘密指数 $b$，导致方案被完全破解。若相同的 $s$ 值用于签署不同消息，也会使方案被完全破解。

2. Rabin公钥密码系统

1979年，Rabin开发了基于模整数 $n$ 计算平方根困难性的公钥密码系统，假设分解 $n = pq$ 的质因数计算困难，则该系统可证明对选择明文攻击是安全的。

2.1 Rabin密码系统步骤

步骤