ICS35.030 CCSL 80 GB 中华人民共和国国家标准 GB/T17902.1—2023/IS0/IEC14888-1:2008 代替GB/T17902.1—1999 信息技术 安全技术 带附录的数字签名 第1部分：概述 InformationtechnologySecurity techniques- Digital signatures with appendixPart 1:General （ISO/IEC14888-1:2008.IDT) 2023-03-17发布 2023-10-01实施 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T17902.1—2023/IS0/IEC14888-1:2008 目 次 前言 引言 1 范围 2 规范性引用文件 3 术语和定义 符号、惯例和图例· 通则 通用模型 签名机制和杂凑函数绑定方式的选项 8 密钥生成 9 签名过程 10 验证过程· 附录A（资料性） 关于杂凑函数标识符 参考文献· GB/T17902.1—2023/IS0/IEC14888-1:2008 前言 本文件按照GB/T1.1一2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件是GB/T17902《信息技术 安全技术 带附录的数字签名》的第1部分。GB/T17902已 经发布了以下部分： ——第1部分：概述； 一第2部分：基于身份的机制； 一第3部分：基于证书的机制。 本文件代替GB/T17902.1一1999《信息技术安全技术带附录的数字签名 第1部分：概 述》，与GB/T17902.1一1999相比，除结构调整和编辑性改动外，主要技术变化如下： 一 值”“签名方程”“签名函数”及赋值”等术语（见1999年版的第4章），增加了“抗碰撞杂凑函 号以及“比较”的图例（见1999年版的第5章），增加了“可选数据”的图例（见4.3），并增加了 “惯例”内容（见4.2)； 一增加了“签名机制和杂凑函数的绑定选项”一章，描述了签名机制和杂凑函数绑定的几类选项 （见第7章）； 将签名过程内容合并至第9章，并用通用模型，统一描述现有机制，较原内容更具有普适性（见 第9章，1999年版的第8章、第9章)； 将验证过程合并至第10章，并更新了通用模型描述现有机制，较原内容更具有普适性（见第 10章，1999年版的第9章）。 本文件等同采用ISO/IEC14888-1:2008《信息技术 安全技术带附录的数字签名 第1部分： 概述》。 本文件做了下列最小限度的编辑性改动： 第10章验证签名部分增加了注，便于理解。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会（SAC/TC260)提出并归口。 本文件起草单位：中国科学院软件研究所、成都卫士通信息产业股份有限公司、北京数字认证股份 有限公司、中国电子技术标准化研究院、中国信息通信研究院 本文件主要起草人：张振峰、何双羽、张严、白琨鹏、郝春亮、张立廷、王现方、傅大鹏、王惠莅、王榕。 本文件及其所代替文件的历次版本发布情况为： -1999年首次发布为GB/T17902.1—1999； 一本次为第一次修订。 II GB/T17902.1—2023/ISO/IEC14888-1:2008 引言 数字签名机制是一类非对称密码机制，被广泛用于实体鉴别、数据来源鉴别、数据完整性和抗抵赖 服务。有两种数字签名机制： 若在验证过程中，需要消息作为输人的一部分，则此类机制称为“带附录的数字签名”，附录计 算需要使用杂凑函数； 一若在验证过程中，披露全部或是部分消息，则此类机制称为“带消息恢复的数字签名”，签名生 成和验证也会使用到杂函数。 带附录的数字签名在GB/T17902中进行了规范，带消息恢复的数字签名在ISO10118中进行了 规范，杂凑函数则是在GB/T18238（所有部分）中进行了规范。 GB/T17902《信息技术安全技术带附录的数字签名》由三个部分组成 第1部分：概述。目的在于规范通用的带附录数字签名的整体框架和通用模型。 第2部分：基于身份的机制。目的在于规范基于身份的带附录数字签名机制 一第3部分：基于证书的机制。目的在于规范基于证书的数字签名机制 IV GB/T17902.1—2023/IS0/IEC14888-1:2008 信息技术 安全技术 带附录的数字签名 第1部分：概述 1范围 本文件包括带附录的数字签名的一般原理与要求，同时也包括GB/T17902各部分用到的定义与 符号。 证书和密钥管理等相关技术不在本文件的规范范围内。更多此类信息见GB/T16264.8- 2005[2]，ISO/IEC11770-3[8]以及ISO/IEC15945:2002[9]。 2 规范性引用文件 本文件没有规范性引用文件。 3 术语和定义 下列术语和定义适用于本文件。 3.1 附录 appendix 由签名和一个可选文本字段构成的比特串。 3.2 抗碰撞杂凑函数 collision-resistanthash-function 抗碰撞散列函数 满足如下性质的杂凑函数：找出映射到同一输出的任何两个不同输入在计算上不可行。 注：计算是否可行依赖于具体的安全需求和环境。 [来源：ISO/IEC10118-1:2016，3.1] 3.3 数据元 data element 整数、比特串、整数集合或比特串集合。 3.4 域 domain 在单一安全策略下运行的一组实体。 示例：由单一机构或一组采用同一安全策略的机构创建的公钥证书。 3.5 域参数 domain parameter 对域中所有实体都是公共的且已知或可访问的数据元。 1 GB/T17902.1—2023/ISO/IEC14888-1:2008 3.6 杂凑码 hash-code 散列码 杂凑函数输出的比特串。 ［[来源：ISO/IEC10118-1:2016，3.3］ 3.7 杂凑函数 hash-function 散列函数 将任意比特串映射到固定长度比特串的函数，满足下面两个特征： 一对于给定输出，找出映射为该输出的输人，在计算上是不可行的； 对于给定输人，找出映射为同一输出的第二个输入，在计算上是不可行的。 注1：计算上的可行性取决于特定安全要求和环境。 注2：该杂凑函数的定义也被称为单向杂凑函数。 ［来源：ISO/IEC10118-1:2016，3.4] 3.8 标识数据 identification data 分配给某一实体，用于对其标识的数据元序列（包括实体的可区分标识符） 注：标识数据能额外包含数据元，例如，签名过程标识符、签名密钥标识符、签名密钥有效期、对密钥用法的限制、关 联的安全策略参数、密钥系列号或域参数 3.9 密钥对 keypair 由一个签名密钥和一个验证密钥组成的对，即： 签名密钥是完全或部分保密的、只由被签名者使用的数据元集合； 验证密钥是能够完全公开、供任何验证者使用的数据元集合。 3.10 消息 message 任意长度的比特串。 3.11 参数 parameter 整数、比特串或杂凑函数。 3.12 签名 signature 签名过程产生的一个或多个数据元。 3.13 签名密钥 月signaturekey 签名过程中实体所特有的且只能由该实体使用的私有数据元集合。 注：有时在其他标准中也被称为"私有签名密钥”，例如ISO/IEC9796-2，GB/T15851.3和ISO/IEC9798-3。 3.14 签名过程 signature process 以消息、签名密钥和域参数作为输入，给出签名作为输出的过程。 2 GB/T17902.1—2023/IS0/IEC14888-1:2008 3.15 已签消息 signedmessage 由签名、无法从签名恢复的消息部分和一个可选文本字段组成的一组数据元。 注：在本文件中，整个消息被包含在已签消息中并且消息的任何部分都不能从签名中恢复 3.16 验证密钥 verificationkey 在数学上与实体的签名密钥相关，并由验证方在验证过程中使用的公开数据元集合。 注：在其他标准中也被称"公开验证密钥”，例如ISO/IEC9796-2GB/T15851.3，ISO/IEC9798-3。 3.17 验证过程 verificationprocess 输入签名消息、验证密钥和域参数，输出签名验证结果（有效或无效)的过程。 4 符号、惯例和图例 4.1 符号 下列符号适用于GB/T17902的所有部分。 H 杂漆码 K 随机数发生器 M 消息 R 签名的第一部分 注：R也被称为证据。 R 重新计算的签名第一部分 s 签名的第二部分 X 签名密钥 Y 验证密钥 Z 域参数集合 签名 AmodN 在O到N一1中的唯一整数B，使得N能整除A-B A=B(modN) 整数A与整数B模N相等.即（A-B)modN=0 4.2 惯例 在GB/T17902所有部分中的整数（或位、字节）以最左侧为最高有效位。 4.3 图例 下列图例适用于GB/T17902的所有部分。 数据 可选数据 过程 主过程 3