GB_T 17902.1-2023 信息技术 安全技术 带附录的数字签名 第1部分：概述.docx

《GB_T 17902.1-2023 信息技术 安全技术 带附录的数字签名 第1部分：概述.docx》由会员分享，可在线阅读，更多相关《GB_T 17902.1-2023 信息技术 安全技术 带附录的数字签名 第1部分：概述.docx（15页珍藏版）》请在优知文库上搜索。

1、ICS35.050CCSI.XOG日中华人民共和家标准GBZT17902.12023/ISO/IEC14888-1:2008代,CBT17902.11999信息技术安全技术带附录的数字签名第1部分：概述Informationtechno1.ogySecuritytechniquesDigita1.signatureswithappendixPart1.Genera1.(ISO/IEC14888-1:2008,1DT)2023T001实施2023-03-17发布国家市场监督管理总局国家标准化管理委员会前古III引言IV1范围12斑数性引用文件13术语和定义I4符号、惯例和图例35通则46通用模型

2、47签名机制和杂凑函数绑定方式的选项58密钥生成59签名过程5IO验证过程7附录A（资料性）关于杂凑函数标识符8参考文献9本文件按照GB,T1.120204标准化工作导则第1部分：标准化文件的结构和起草规则3的规定起草.本文件是GBJT17902信息技术安全技术带附录的数字签名的第1部分，GBT17902已羟发布了以下部分；第1部分：概述：-第2部分：基于身份的机制： 第3部分；范于证书的机制。本文件代替GB/T17902.11999信息技术安全技术带网录的数字签名第1部分：梅AJJGBrr17902.11999比除结构调整和编版性改动外,要技术变化如下:一一将原“概述”部分调整至第5章（见第

3、5章，1999年版的笫3a）； 删除了“赋忙“无鼬J瞰列函数”“确定性的”“放列IE标”“做列ft姆“偿名”“西机化”随机（ft签名方程”“签名函数”及“献值”等术语（见1咽年版的第嶂）,增加了“抗碰揄朵漆函数”“妣元”域”杂图寸”环广及“消息”等术语（见第3章）； 赊了“i三计算的数列权标”嘴融f的部分消息”赋做”“预答名”重新计算的顼器名”等符号以及“比较”的图例（见1999年版的第5章,增加了“可选数据”的图例（见儿3）,并增加了“惯例”内容（见4.2）; 增加了“签名机制和杂澳函数的绑定选项”一章，描述了签名机制和杂凑函数绑定的几类选项（见第7章）； 将签名过程内容合并至笫9章，并用通

4、用模型，统一描述现存机制，较原内容更具有普适性（见第9章，1999年版的第8章、第9章）；将脸证过程合并至第ICI率，井更新了通用模型描述现有机制,我原内容更具有普适性（见第10章，1999年版的第9章）。本文件等同等用ISO/IEC14888-1:2008信息技术安全技术带附录的数字签名第I部分：颐。本文件做了下列m小限度的煽辑性改动： 第10章验证签名部分刷加了注，便于理解.请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的货任本文件由全国信息安全标准化技术委员会（SAcTC260）提出并归口。本文件起草单位：中国科学院软件研究所、成都卫士通信总产业股份有限公司、北京数字

5、认证股份有限公司、中国电子技术标准化研咒院、中国信忠遹信研究院.本文件主要起草人：弓娥峰、何双羽、E1.yat、白J1.飙、掷春亮、张立廷、王现方、博大鹏.王惠莅、王格.本文件及其所代首文件的历次版本发布情况为： 1999年首次发布为GB,T17902.11999: 本次为笫一次修订。数字筌名机制是一类非对称密码机制，被广泛用于实体鉴别、数据来源鉴别、数据完整性和抗抵赖服务.有两种数字签名机制：若在验证过程中，种要消息作为输入的一部分，则此类称为“带附录的数字签名，附录计算需要使用柴流函数：若在舱证过程中，披露全部或是部分消息，则此类机制称为“带消息恢友的数字签名“，签名生成和验证也会使用到条

6、设函数，带附录的数字签名在GB/T17902中进行了规范，带消息快发的数字签名在ISO10118中进行了规范.杂凑函数则是在GBT18238（所有部分）中进行了规范.GBT17902M信息技术安全技术带附录的数字卷名？由三个部分组成.第1部分：概述。目的在于规范通用的带附录数字签名的条体框架和通用模型。第2部分：基于身份的机制.目的在于规范基于身份的潜附录数字维名机制.第3部分：基于证书的机制.目的在于规范拓于证书的数字签名机制，信息技术安全技术带附录的数字签名第1部分：概述1CTGB,T17902规定了几种对任意长度消息进行签名的带附录的数字签名机制.本文件包括带附录的数字签名的一般原理与要

7、求,同时也包括GB门,17902各部分用到的定义与符号。证书和密的管理等相关技术不在本文件的规范范围内.更算此类怕恩见GB,T16264.8-25(2.ISQIEC11770-38以及ISOnEC15945:2002(9).2爆范性引用文件本文件没有规范性引用文件。3*WWX下列术语和定义适用于本文件.3.1附录appendix由签名和一个可选文本字段构成的比特串。32抗硬票决函数co1.1.ision-resistanthash-function抗幽H例的数满足如下性质的杂凑函数：找出映材到同一输出的任何两个不同输入在计算上不可行.注：计算是否可行依赖于具体的安全甯求格丽想柬政：ISO,IE

8、CIO11S-1.2O16133数据元datae1.ement整数.比特串、整数集合或比特小集合。3.4域domain在唯一安全策略下运行的一组实体.示例：由单-机构或飒打时安全策略的机内创建的公慵正书.35域参数domainparameter对域中所有实体都是公共的且已知或可访问的数据元.杂SMhash-code散列码朵凑函数输出的比特串.来源；ISO1.EC10118-1:2OI63.3J3.7余法函数hash-fxncticn散列函敷将任意比特率映射到固定长度比特小的函数,满足下面两个特征：一对于给定猫出，找舟唉射为该帖出的输入.在计算上是不可行的：对于给定输入，找出映射为同输出的第：个

9、输入，在计算上是不可行的.注I：计算上的可行作取决利疑安全要求ff1.环卷注2：该条次函数的定义也被称为单向柴黑函数。来源：IS。，1IEC10118-1:2016.3,43.8标识CdSidcnti11cuti(mdata分足给某一实体，用于对我标识的数据元序列(包括实体的可区分标识符.&标识数据蹴外包含数据无例如，签名过程标识符、签名密例标识符、签名轴Hi效期、时密钥用法的限制、关联的安全策珞参数、密物系列号或域参数.3.9三RMkeypair由一个签名密初和一个骗证诙钥组成的对，即：卷名密钥是完全或部分保密的、只由被签名者使用的数据元集合：-验证密钻是能终完全公开、供任何验证者使用的数据

10、元集合.3.10消息BeSSaee任意长度的比特串.3.11弁数parameter整数、比特串或杂语函数。3.12签名SigmHure锭名过程产生的一个或多个数据元。3.13笈名富娟signaturekey签名过程中实体所特有的且只能由该实体使用的私有数据元集合.注：有时在其他标ift中也被称为“私有签名密钥”,例如ISOn3C97%2GBT158513和IsCHEC9T98*3.14签名过程signatureprocess以消息、签名密钥和域参数作为输入，给出签名作为输出的过程.3.15已签消息SiRnedmessage由笈名、无法从签名恢及的消息部分和一个可选文本字段组成的一组数据元.注：

11、在本文件中，整个消息被包含在已签消息中并且消息的任何官盼郴H纵签约I帙复.3.16IE声的verificationkey在数学上与实体的签名密钥相关,并由5金证方在5金证过程中使用的公开数据元集合.注：在其他标准中也被称“公开骁证密钥，例如ISQ1.EC97%ZGBTI585I3JSQ1BC9798-3.3.17殴证过程VerinCaUOnprocess输入签名消息、脸证密钥和域参数，添出签名验证结果（有效或无效）的过程。4m.Rm4.1 m1：列符号适用于GB17902的所有部分。H杂凑码K随机数发生零M消息R签名的第一部分注，R也被称为证据“R柬新计算的签名第一部分S签名的第二部分X签名密

12、钥Y验证密钥Z域参数集合签名AIIKK1.N在0到N-I中的唯整数B,使得N能整除A-B=B(nodN)整数A与整数B模N相等,即（A-B）modN=O4.2 慎例在GBjT17902所有部分中的整数（或位、字节）以最左侧为最高有效位.4.3 m下列图例适用FGB门17902的所有部分。数据可选数据过程主过程.可选主过程丁二数据流-一可选数据流-另一个可选数据流_两条数据流，其中至少一条是必备的5GB.T17902描述的机制法于非对称密码技术。非对称数字签名机制由以下三个地本操作祖成。a生成密切时的过程，称为密钥生成过程。每一个密钥对都由一个签名率初和对应的一个验证密钥纲成.b）使用签名密钥签

13、名的过程，也被称为签名过程：D对一个给定消息和签名密钥，若然得两个相同签名的概率是可忽略的,则称运算是概率性的：2）对一个给定消息和签名密的，生成的所有签名掷相同，则称运算是确定性的.0使用验证密钥验证签名的过程，也被称为验证过程.骁证一个数字签名需要使用签名者的验证密钥，因此，登证者要能将正确的验证密钥与签名者关联起来，或是翌和签名者的（部分）标识数据关联起来，这种关联由验证密钥自身提供的，称这种机制是“基于号份的”这种关联由包含验证玄钥的证1$提供，这种机制被称为“基于证书的”.6MMfi帚附录的数字签名机制包含以下过程：密钥生成过程：签名过程：验证过程.在签名过程中，签名者对一个给定的消

14、息计算数字签名,这个数字签名和一个可选的文本字段构成附录，冏录附加在消息上形成己签消息，如图1所示。Mm茨幺文本tBB1.已翻!息根据实际应用,有多种生成附录井附加在消息上的方法。这些方法能使粉证者将消息和正确签名关联起来。骁证者在验证签名之前，获汨签名时应的正确的答名骆证密钥。这对于成功验证签名非常R要,可选的文本字段可用于向验证者传递签名者的标识数据,或是用于卷别验证密饱信息的数据.某些情况下，签名者的标识数据可作为消息M的一部分,以获得签名的保护，数字签名机制应满足以下的要求：a）只给定验证密钥，而不给定签名密钥，产生任一消息的有效签名在计算上是不可行的：b）签名者产生的签名不能用于生成新消息及其对应的有效签.名，也不可用来恢复签名密钥：C）找到签名相同但内容不同的两个消息在计编上是不可行的，即使对签名者在计算上也是不可行的。注：计算上的可行性依梗于用户的具体安全要求和环境7签名机和菸函敷审定方式的渔事使用本文件中的数字签名机制需要选择一个抗碰撞杂凑函数.在使用中应物条凑函数与签名机制绑定使用。否则，攻击者可使用一个弱杂凑函数（不是实际使用的）伪造锭名。已有一系列方式实现此类绑定.以下方法按照伪造签名风险从低到高排列。a）当使用特定签名机制时要求使用特定的杂法函数。在签名脸证过程中