数字签名伪造

Question

我对数字签名的理解如下: Alice使用单向加密散列函数散列消息，其输出称为消息摘要。然后，她用私钥加密摘要，然后将原始的未散列/未加密的消息连同加密的散列版本(即数字签名)发送给Bob。Bob对消息使用相同的散列函数，并使用Alice的公钥解密数字签名。如果哈希匹配，鲍勃可以确定他是在和爱丽丝沟通。

如果一个黑客有爱丽丝的公钥，他不可能伪造她的签名吗？他不能选择一个数字签名，当它用Alice的公钥解密时，它会返回与他伪造的消息相同的散列，因为他控制了消息和签名。

象征性地表示:让数字签名是s，消息是m，爱丽丝的公钥是pk，验证函数是验证，哈希函数是哈希函数。

黑客选择m和S使散列(M) ==验证(S，pk)

Answer 1

一般情况下不会。首先，应该注意的是，大多数数字签名不能被认为是散列，然后使用私钥进行加密。加密不能用私钥执行，因为任何拥有公钥的人都可以解密，这通常是每个人都能做到的。所以它不提供机密性。

在RSA系统中，签名生成与加密类似，一个密钥(模数和指数)的模幂运算与另一个密钥的幂运算成反比。然而，在实践中，RSA填充模式( OAEP与PSS或用于加密或签名生成的PKCS#1 v15填充)有所不同。其他签名方案(如ECDSA )与加密方案没有类似之处。

但即使我们用RSA加密加密方案，你的逻辑也不适用，这就是为什么我要写这个答案。这是因为对于直接不对称加密，有一个选项与例如块密码加密不存在:加密文本的解密可能失败。对于RSA，这是因为无论是验证操作还是解密操作，取消填充都可能失败。因此，不，在这种情况下，您的方案中的Bob不能选择任何s，而且显然他无法通过自己执行签名生成来获得它，因为他不拥有私钥。

这当然是合乎逻辑的: Bob不应该能够生成任何伪造签名。这就是非对称签名方案的全部要点。