1、ICS 35.040 L 80 道B中华人民共和国国家标准GB/T 17902.3-2005/ISO/IEC 14888-3: 1998 信息技术安全技术带附录的数字签名第3部分:基于证书的机制Information technology-Security techniques-Digital signatures with appendix-Part 3: Certificate-based mechanisms OSO/IEC 14888-3: 1998 , IDT) 2005-04-19发布中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会2005-10-01实施GB/T 1
2、7902.3-2005/ISO/IEC 14888-3: 1998 目次前言.皿1 范围2 规范性引用文件.3 概述4 术语和定义.25 符号和记法26 基于离散对数的数字签名机制.2 6. 1 密钥生成过程.2 6. 2 签名过程. 3 6.3 验证过程47 基于因子分解的数字签名机制7.1 密钥生成过程7.2 签名过程-7.3 验证过程.附录A(规范性附录)基于离散对数的带附录的基于证书的数字签名的例子 8 A. 1 基于非椭圆曲线的例子.8A. 1. 0 符号和记法8A. 1. 1 数字签名算法(DSA).8 A. 1. 2 Pointcheval/Vaudenay签名 10 A.2 基
3、于椭圆曲线的例子.12 A.2.1 椭圆曲线DSA. 附录B(规范性附录)基于因子分解的带附录的基于证书的数字签名的例子.14 B.1 基于GB15851的散列的数字签名MB. 1. 1 域参数的生成. 14 B. 1. 2 签名密钥和验证密钥的生成B. 1. 3 签名过程B. 1. 4 验证过程B. 2 ESIGN B. 2.1 域参数的生成B. 2. 2 签名密钥和验证密钥的生成B. 2. 3 签名过程B. 2. 4 验证过程附录C(资料性附录)FIPS PUB 186素数P和Q的生成17附录职资料性附录)椭圆曲线数学背景.18 D.1 椭圆曲线和点. 18 D. 1. 1 Fp上的椭圆曲
4、线加法规则四D. 1. 2 巳m上的椭圆曲线加法规则.四附录E(资料性附录)带附录的基于证书的数字签名的数值例子.20 GB/T 17902.3一2005/ISO/IEC14888-3: 1998 E.1 数字签名算法(DSA) m E. 1. 1 DSA参数mE. 1. 2 DSA签名密钥和验证密钥. 20 E. 1. 3 DSA每个消息的数据. 20 E. 1. 4 DSA签名. . .,. . . .,. . . . . . . 20 E. 1. 5 DSA验证数值.20 E.2 Pointcheval/vaudenay签名算法.20 E. 2. 1 Pointcheval/vauden
5、ay参数mE. 2. 2 Pointcheval/vaudenay签名密钥和验证密钥.,. . . . . . . . . . . . . 21 E. 2. 3 Pointcheval/vaudenay每个消息的数据. 21 E. 2. 4 Pointcheval/ vaudenay签名. . . . . . . . . . . . . 21 E. 2. 5 Pointcheval/vaudenay验证数值.21 E.3 椭圆曲线DSA21E.3.1例L域F2m,m=191 . 21 E. 3. 2 例2:域耳,192比特素数. 22 E.4 基于GB15851-1995的带散列的数字签名nE
6、.4.1 v为奇数(v=3)的例子nE. 4. 2 v为偶数=幻的例子.25 E.5 ESIGN签名算法.27 E.5.1 ESIGN域参数.27 E. 5. 2 签名密钥和验证密钥. 27 E. 5. 3 ESIGN签名过程UE. 5. 4 ESIGN验证m附录k资料性附录)所选签名方案具有的特性.31附录G(资料性附录)专利信息.32参考文献.33 图1带随机性证据的签名过程图2带随机化证据的验证过程. E G/T 17902.3一2005/ISO/IEC14888-3: 1998 前言GB/T 17902(信息技术安全技术带附录的数字签名由以下几个部分组成:第1部分:概述;第2部分:基于
7、身份的机制;第3部分:基于证书的机制。本部分为GB/T17902的第3部分,等同采用国际标准ISO/IEC14888-3: 1998(信息技术安全技术带附录的数字签名第3部分:基于证书的机制(英文版)。本部分的附录A和附录B是规范性附录,附录C到附录G是资料性附录。本部分由中华人民共和国信息产业部提出;本部分由全国信息安全标准化技术委员会归口;本部分由中国电子技术标准化研究所、信息安全国家重点实验室起草。本部分主要起草人:叶茅枫、陈星、罗锋盈、胡磊、叶顶锋、张振峰、黄家英。E GB/ T 17902.3-2005/ ISO/ IEC 14888-3: 1998 信息技术安全技术带附录的数字签名
8、第3部分:基于证书的机制1 范围GB / T 17902规定了任意长度消息和数据完整性的方案。GB/ T 17902的本部分规1) 基于证书的签名机第6章)。2) 基于证书的签3) 使用任意长度2 规范性引用文件下列文件中的件,其随后所有的修协议的各方研究是部分。GB 15851- 19 GB/ T 17902. 1 GB/ T 17902 . 2 OSO/ IEC 14888-2 : 1 GB/ T 18238. 3 10118-3: 1998) ISO/ IEC 9796-2: 19 函数的机制3 概述用于提供数据原始鉴别、抗抵赖对数问题的困难性(见A和附录B)。日期的引用文本部分达成身份
9、的机制(idt ISO/ IEC 2部分:使用散列在GB川902的本部分中使唁电T17902叫99中顾在义、符号、数字长度和记法。数字签名的验证需要签名实体的验证密起来。对基于证书的机制来说,这种关联必须通过某种证书的方法来提供。例如,验证密钥是取自一个证书。GB/ T 17902的本部分的目的是规定GB/T17902 . 1-1999中描述的一般模型的下列过程和函数:a) 生成密钥的过程1) 生成域参数2) 生成签名和验证密钥b) 形成签名的过程1) (可选)形成预签名2) 为签名准备消息GB/T 17902.3-2005/ISO/IEC 14888-3: 1998 3) 计算证据的计算签名
10、c) 验证过程1) 为验证准备消息2) 检索证据3) 计算验证函数的验证证据4 术语和定义4. 1 4.2 GBjT 17902. 1-1999确立的以及下列术语和定义适用于GBjT17902的本部分。有限交换群finite commutative group 一个带二元操作矢的有限集合J,满足:a) 对所有a,b,cEJ,(a兴的祷c=a关(b铃c)b) 存在eEJ,对所有aEJ,e铃a=c) 对所有GJ,存在bEJ,b铃a=ed) 对所有a,bJ,。头b=b祷G有限交换群中元素的阶order of an element in a finite commutative group 如果aO=
11、e,并且a+l=a铃a(其中n注0)被递归地定义,则aJ的阶是满足a=e的最小正整数n。5 符号和记法GBjT 17902. 1-1999确立的以及下列符号和记法适用于GBjT17902的本部分zE 一个有限交换群#E E的基数a 11 b Q G gcd(U,N) T1 T2 ZN Z LaJ b到G的串接#E的一个因子在E中阶为Q的一个元素整数U和N的最大公因子赋值的第一部分赋值的第二部分整数U的集合,满足OU 1的整数G F(P-ll/Q mod P 注:应特别关注P,Q和F的生成。例如也可以用到A.1. 1. 1中的生成过程。A. 1. 2. 2 Pointcheval/Vaudena
12、y签名密钥和验证密钥的生成签名实体的签名密钥是一个秘密生成的随机的或伪随机的整数X,满足OQ是素数,签名指数5等于验证指数V,一个大于或等于4的整数。其公共指数可以包含在域参数中,或从附录的可选文本字段的证书中得到。另外,在域参数中指定的(可选的)是个整数n,它指明了素数二进制的范围。通常,n为用于表示N的比特数的1/30散列函数的范围限制到n-1比特位(即:0Q,s二抖。因子P和Q应被秘密保存。B.2.2.2 验证密钥的生成验证密钥是一对整数Y=(N,川,其中N是乘积N= PIPZ P 3 = pZQ , V是满足条件v=s二抖的整数。B.2.3 签名过程ESIGN的签名过程符合在GB/T1
13、7902. 1-1999第8章中描述的一般模型。它是使用确定性的证据和生成单部分签名的随机化签名机制。B. 2. 3.1 生成预签名预签名的计算分两步:B.2.3.1.1 生成随机数签名实体秘密地生成一个随机数,它是一个随机或伪随机的整数Kmod PQ ,满足O3,则和b应满足4a3+27b2手(mod抖,并且E上的每个点P=(斗,yp)(不是点。)应满足Fp中的如下方程:y+x+axp+b 如果q=2m是2的幕(所以基域为F2M),则b在F2M中应为非零,并且E上的每个点P= (xp ,yp) (不是点。)应满足F2m中的如下方程:y+xpyp=x+ax+b 椭圆曲线点P(它不是无穷远点。)
14、由两个域元素,P的工坐标和P的y坐标表示:P=(xp,yp)。D. 1. 1 Fp上的椭圆曲线加法规则集合E(Fp)构成一个群,并有如下的加法规则:(i) 0+0=0 (ii)对所有(x,y)E(Fp),(x ,y)+O=O+ (工,y)=(x,y)。ii)对所有(x,y)E(Fp),(x,y)+(工,-y)=O(即一个点(工,y)的逆元是一(x,y)= (x,-y)。(iv) (规则适用于将两个不同的不互逆元的点相加)。假设:(xJ ,yj)E(Fp)和(岛Y2)E(Fp)是两个满足Xj芋冉的点。则:(町,yj)十(岛Y2)= (岛Y3) 其中X3=,12 -Xj -X2 Y3 =(Xj-X
15、3)-Yj,并且,1= (Y2 - Yj ) / (X2 - Xj )。(v) (规则适用于将一个点加倍)。假设:(Xj Yj)E(Fp)是满足Yj笋0的点。则:2(XjYj)=(工3Y3) 其中X3=2-2町Y3=(Xj-X3)-Yj,并且=(3x; +)/(2Yj) 群E(Fp)是可交换的,这意味着对E(Fp)中的所有点Pj和Pz, Pj +P2 =P2 +Pj。如果j:j:E(Fp)=p+1,曲线被称为超奇异的;否则它是非超奇异的。D. 1.2 F2m上的椭圆曲线加法规则集合E(F2m)构成群,并有如下的加法规则:(i) 0+0=0 (ii)对所有(X,y)E E(F2m) , (x ,
16、y) +O=O+(x,y) = (xY)。(iii)对所有(XY)E(F2M ) , (X , Y) + C工,X+y)=O,(即一个点(工,Y)的逆元是-(XY)=CX,X+Y)。18 GB/T 17902.3-2005/ISO/IEC 14888-3: 1998 (iv) (规则适用于将两个不同的不互逆元的点相加)。假设:(町Yl)仨E(Fzm)和(XZ,Yz)E(F2m)是两个满足Xl手岛的点。则:(XlYl)+(岛,如)=(工3Y3) 其中工3=z+Xl+XZ +a Y3 =(Xl +X3)十X3+Yl并且=(Yl + Yz )/(Xl +X2)。(v) (规则适用于将一个点加倍)。假
17、设:(工1Yl)E(Fzm)是满足工1手0的点。则:2(XlYl)=(X3 Y3) 其中X3=z十A十aY3=xr十(+1)岛,并且=Xl+Yl/工1。群E(Fzm)是可交换的,这意味着对E(Fzm)中的所有点P1和PZ,Pl+PZ=PZ+Pl。19 GB/T 17902.3-2005/ISO/IEC 14888-3: 1998 附录E(资料性附录)带附录的基于证书的数字签名的数值例子E. 1 数字签名算法(DSA)所有数值生成完整的说明在FIPSPUB E. 1. 1 DSA参数L=200(5121O) SEED=d5014e4b F=2 E. 1.2 E. 1.3 hCM) =a9993e
18、36 E. 1. 4 DSA签名R =8baclab6 S=41e2345 f E. 1. 5 DSA验证数值R = 8baclab6 3dba372f d75b1612 75da9 d21 6410435c E. 2 Pointcheval/vaudenay签名算法下列数值用16进制记法表示。E. 2. 1 Pointcheval/vaudenay参数L=200C5121o) 20 F=2 P=8df2a494 Cbb8324f 49693dfb 492276aa Od7882e5 f8 3724c2 3d25759 b d0762fc5 ec0736ee 在本例中使用16进制表示如下数值。
19、b06869cb b7210eaf 31c8029 1 92 b341cO 巳acOd83ac2e9adac fb 8dOcf7 32ab7aac 956cefcb 21925c9c 7bb62a85 5ccOec74 fb8 dOcf7 32ab7aac G/T 17902.3-2005/ISO/IEC 14888-3: 1998 Q =c773218c G=626d0278 3bfflOf3 737ec8ee 3geaOa13 99ce2c2e 993b4f2d 413163a5 71cb9 de5 c42e9f6f 464 b088c c572af53 E. 2. 2 Pointchev
20、al/vaudenay签名密钥和验证密钥E. 2. 3 E. 2. 4 X = 2070b322 3dba372f de1cOffc Y=19131871 d75b1612 a819f29d 9bfd 6c56 75 da9 d21 2 858fba33 K =358dad57 K -1 =Od516729 E. 2. 5 PO E. 3 在下面的例子SHA-1数值。ed30f4 8e 5b4cb500 fa24babf e6 d78802 7b2e3b49 78d1bOd7 dace9 15f 299d5522 58e5b795 8b2606 14 346f7aa7 Ob8c7c25 956
21、cefcb 21925c9c 7bb6 2a85 5ccOec74 616263 8dd05 730 607e8047 的数据项转换出特殊的曲线有效的离散E. 3. 1例1:域F2m,m = E. 3. 1. 1 椭圆曲线DSA、域F2川表示为模不可约多曲线为F2191上的E:y2+XY=a=2866537b b=2e45ef57 lfo0786f 67b0081 b 基点为G=(Gx,Gy),其中(16进制)Gx =36b3daf8 a23206f9 c4f299d7 Gy =765be734 33 b3f95e 332932e7 b21a9c36 Oea245ca 276b64ge 546
22、2f5de 9137f2c8 2418eaOe G的阶为(10进制)Q = 1569275433846670190958947355803350458831205595451630533029 E. 3. 1.2 椭圆曲线DSA签名密钥和验证密钥签名密钥为X=1275552 191113212300012030439187146164646146646463749494799 f7 526267 Oaa185ec 4ae1aaOd f98018fb 21 GB/T 17902.3-2005/ISO/IEC 14888-3: 1998 验证密钥为Y=Gx =(Yx ,Yy),其中(16进制)Yx
23、=5de37e75 6bd55d72 e3769cb30 96ffeb96 85b229bb 2614dea4 b8e13520 ce28a2e7 03125ba1 Yy=55cOeOeO 2f5fb132 caf416ef E. 3. 1. 3 椭圆曲线DSA每个消息的数据M=abc的ASCII码形式=616263h(M) =a9993e36 4706816a ba3e2571 7820c26c 9cdOd89d 按照附录C它被转换成一个整数以得到H = 968236873715988614170569073515315707566766479517 随机数的值被解释作一个modQ的整数,如
24、z(=1542725565216523985789236956265265265235675811949404040041 E. 3. 1. 4 椭圆曲线DSA签名II = GK = (II x , II y ) 1inu -a aqd phunu epO OOZG qua 42 一一一一XY EE fb55e4c6 5bd1d177 5471dcd4 649f9167 ge266142 e6f475b7 a3bdf2bf e2ff590c 9d5772d5 85afl5da R = IIx 按照附录C它被转换成一个modQ的整数。R=87194383164871543355722284926
25、904419997237591535066528048 mod Q 5=308992691965804947361541664549085895292153777025772063598 mod Q E. 3. 1. 5 椭圆曲线DSA验证重新计算的预签名是按照A.2. 1. 4. 4,由接收的消息和验证密钥得到的。II = (IIx,IIy),其中(16进制)II x = 438e5a11 fb55e4c6 5471dcd4 ge266142 a3bdf2bf e2ff590c 9d5772d5 85afl5da II y = 2ad603aO 5bd1d177 649f9167 e6f47
26、5日重新计算的证据R是IIx它被转换成一个modQ的整数。R=87194383164871543355722284926904419997237591535066528048 E. 3. 2 例2:域,192比特素敢pE. 3. 2.1 椭圆曲线DSA参数域是Fp,其中=6277101735386680763835789423207666416083908700390324961279 Fp上的曲线是E:Y2=X3+aX十b,其中(16进制)a=ffffffff ffffffff ffffffff fffffffe ffffffff fffffffc b=64210519 e59c80e7 O
27、fa7e9ab 72243049 feb8deec cl46b9b1 基点是G=(Gx,Gy),其中(16进制)Gx = 188da80e b03090f6 7 cbf20eb 43a18800 f4ffOafd 82fflo12 Gy =07192b95 ffc8da78 631011ec 6b24cdd5 73f977a1 1e794811 G的阶为(10进制)Q=6277101735386680763835789423176059013767194773182842284081 E. 3. 2. 2 椭圆曲线DSA签名密钥和验证密钥随机的选择签名密钥,并且秘密保存它。它的值是个modQ的
28、整数,为X=651045770906015076056810763456358567190100156695615665659 其对应的验证密钥由Y=Gx= (Yx ,Yy)来给出,其中(16进制)Yx=62b12d60 690cdcf3 30babab6 e69763b4 7lf994dd 702d16a5 22 y y = 63bf5ecO 8069705f fH65e5c E. 3. 2. 3 椭圆曲线DSA每个消息的数据M=abc的ASCII码形式=616263h(M) =a9993e36 4706816a ba3e2571 按照附录C它被转换成一个整数,以得到1I=968236873
29、715988614170569073515315707566766479517 随机数的值被解释作一个modQ的整数,它由K给出:K=6140507067065001063065065565667405560006161556565665656654 E.3.2.4 椭圆曲线DSA签名II = GK = (II x II y) ,其中(16进制)IIx =88505238 II y = 9cf9fa1c 0ff1 47b7 befefb91 34c330c4 7747a3bb GB/T 17902.3-2005/ISO/IEC 14888-3: 1998 a5cOd697 16dfcd34 7
30、4373902 7820c26c 9cdOd89d 3d39b2c4 29c072b9 a89f29bO 289c2547 f749fead 884fd835 R = IIx 按照附录C它被转换成一个modQ的整数。R=3342403536405981729393488334694600415596881826869351 677613 mod Q 按照A.2.1中给出的签名函数计算得到的签名值为:s= 5 735822328888155254683894997897571951568553642892029982342 mod Q E.3.2.5 椭圆曲线DSA验证散列代码是由接收的消息计算
31、出的zM=abc的ASCII码形式=616263h(M) =a9993e36 4706816a ba3e2571 7820c26c 9cdOd89d 重新计算的散列权标是h(M),按照附录C它被转换成一个modQ的整数。II = 968236873715988614170569073515315707566766479517 重新计算的预签名是按照A.2. 1. 4. 4的II= (IIx , IIy) ,由接收的消息和验证密钥得到的,其中(16进制)重新计算的证据R是IIx它被转换成一个modQ的整数。R=3342403536405981729393488334694600415596881
32、826869351677613 由于重新计算的证据等于检索出的证据,签名被验证。E.4 基于GB15851一1995的带散列的数字签名在本例中,所有数值均以16进制来表示。本例来自于美国ANSI标准X9.31 0 X9.31中的例子,使用一个非标准化的整数modN表示。为了与本标准一致,需要修改这些整数数值。E.4.1 v为奇数(v=3)的例子E. 4.1.1 签名密钥和验证密钥的生成E. 4. 1. 1.1 公开验证指鼓v=3 E. 4. 1. 1.2 私有签名密钥E. 4. 1. 1. 2. 1 私有素因子Pj =d8cd8lfO 769d6576 n6 qJC 2d OM 口。c门xun
33、Hd一一一一-L-L 0ff1 47b7 befefb91 34c330c4 7747a3bb 35ec57ef e8229551 8ed64a90 d987505f 646c7a79 59c5b039 2e16ebd8 98aOe94c 3d39b2c4 29c072b9 a89f29bO 289c2547 f749fead 884fd835 49d3bff7 Oc53520d 6060bd97 9fe6fc5b 86d78b85 ba37b5af 23 GB/T 17902.3-2005/ ISO/ IEC 14888-3 : 1998 P2 =ccl09249 5d867e64 7c99
34、5338 8f97dddc f64 068ea fedbd911 b857caad E. 4. 1. 1. 2. 2 私有签名指数5= 1ccda20b D55f4bb5 11 415f78 81 b2f663 d5382762 d1 9f3f5 d 7bf51ebl E. 4. 1. 1. 3 N=acd1cc46 E. 4. 1. 2 h (M) =a9 字符串工33分(最右边尾c26c9cdO H mod 5= 500abdc2 070fbe16 cb744397 15788172 3abc79c2 622492c8 511 2f4d2 E. 4. 1. 3 签名的验证cffb8d51
35、bee37989 b36 be2e6 2fd7d1 cc b77a1c99 bOlc6flc 98 db07 fb Ocb8lf8b 89fcOb17 d8b53761 计算值H=5mod CN)。24 065dee3e 3e1ca19c 27f9cb7e 7ee96668 a7d17312 Od599d4e efcabf74 b4775051 b746c6d7 df9ff07e 468 1e5ce 7955f2eb 35ca65ge dcl74871 66621 bll e326718b 41346c82 17350238 1510005e 774bb069 eba2efc3 427149c
36、9 c7d47a2d dc3d6c08 1 b624e30 822c7950 eOd62ccb d845498a 10gec289 52aba9de Obac72 b8 53083435 bffa47ge e9f83709 64244463 lla80438 8fe34580 构成的填充部列的前缀。它GB/T 17902.3-2005/ ISO/IEC 14888-3 : 1998 H =6bbbbbbb bbbbbbbb bbbbbbbb bbbbbbbb bbbbbbbb bbbbbbbb bbbbbbbb bbbbbbbb bbbbbbbb bbbbbbbb bbbbbbbb bbbbb
37、bbb bbbbbbbb bbbbbbbb bbbbbbbb bbbbbbbb bbbbbbbb bbbbbbbb bbbbbbbb bbbbbbbb bbbbbbbb bbbbbbbb bbbbbbbb bbbbbbbb bbbbbbbb bbbbbbbb bbbaa999 3e364706 816aba3e 25717850 c26c9cdO d89d33cc 由于百=Hmod(N),签名被验证。E. 4. 2 v为偶数(v=2)的例子用美国ANSI标准X9.31填充以确保任何有效证据以16进制值ztF或工6结尾。E. 4. 2. 1 签名密钥和验证密钥的生成E. 4. 2.1.1 公开验
38、证指数v=2 E. 4. 2. 1.3 N=ccd34c2f 4c3 f589 1 8f22ae22 1c523a10 c482 d8c8 742bcbc6 74e9aac6 E. 4. 2. 2 签名的生成60 19f9a8 6906ad23 2d785c45 M=飞bc的ASCII码形式=61626369329 187 836ebabb 096430a6 511 d5d80 ece1476b dOc4 d478 27 b8fl 22 c67cb1 03 ab8cb599 h (M ) =a9993e36 4706816a ba3e25 71 785 0c26c 9cdOd89 d 字符串工
39、33cc后缀于散列权标,它表示该散列函数是SHA-1。由半字节z重复构成的填充部分GB/T 17902.3-2005/ISO/IEC 14888-3: 1998 (最右边尾部半个字节总是16进制值z,作为它的散列函数以M)的分隔字段)是散列的前缀。它是以16进制头的值x6为领头的,用于给出一个中间值H。H =6bbbbbbb bbbbbbbb bbbbbbbb bbbbbbbb bbbbbbbb bbbbbbbb bbbbbbbb bbbbbbbb bbbbbbbb bbbbbbbb bbbbbbbb bbbbbbbb bbbbbbbb bbbbbbbb bbbbbbbb bbbbbbbb b
40、bbbbbbb bbbbbbbb bbbbbbbb bbbbbbbb bbbbbbbb bbbbbbbb bbbbbbbb bbbbbbbb bbbbbbbb bbbbbbbb bbbaa999 3e364706 816aba3e 25717850 c26c9cdO d89d33cc 由于对于n来说H的Jacobi符号(H/N)是一1.H在签名前被2除以使H=H/2的Jacobi符号为+10H=35dddddd dddddddd dddddddd dddddddd dddddddd dddddddd dddddddd dddddddd dddddddd dddddddd dddddddd dd
41、dddddd dddddddd dddddddd dddddddd dddddddd dddddddd dddddddd dddddddd dddddddd dddddddd dddddddd dddddddd dddddddd dddddddd dddddddd dddd54cc 9fl b2383 40b55dlf 12b3bc28 61364e68 6c4e9ge6 现在S=Hmod N计算如下zS=232fOe08 eb9a2395 7646697f c7884796 d39a04fd Oeff5b72 b60813d4 e6919178 91c96603 876d0879 3aad8
42、6da f2e6187f f62c226e 81bd6b99 3b27091e 0864895a f1 0f222a eb022961 b444d312 ea3db789 1d4550b2 80cf2469 3d4465b9 57e53cbd bOf8c29d 2b5ee154 5d6c91a4 5eaaacec 0096d8a5 e4cfe06a 2cd320bd f853d817 E. 4. 2. 3 签名的验证计算中间值H=SV mod (N)。百,=96f56e51 6fb821cf 36430888 e2a05bf3 562c3552 6e617ab4 100797b7 e994c5
43、8b 3cd73f4e Of03698d b144d044 558813a5 de6104f6 ecefdc5c f2e6f69a 3e745c33 1208425f 915de448 e1bc67b9 49db1344 e6a4faea 823clbca 8b54b3a9 2b8652c8 e8ged325 964dede8 8b295856 e4539738 10680061 98d3f971 13b35c5d cl29c25f 由于H以16进制值xf结尾,它不是一个以ZFCF或x6结尾的有效证据值,所以计算H=(N-H) H=35dddddd dddddddd dddddddd dddddddd dddddddd dddddddd dddddddd dddddddd dddddddd dddddddd dddddddd dddddddd dddddd