密钥管理与公钥变革

Needham-Schroeder协议

（对称）

1978年提出, 非安全网络环境下, 借助可信第三方利用对称
密码技术分配会话密钥
假设A和B分别与信任权威T建立了一个共享的静态密钥Kat和Kbt

Diffie-Hellman (-Merkle) KE 协议

安全定义:

如果DDH问题对于群 G 是困难的，那么DiffieHellman密钥交换协议在窃听者存在的情况下是安全的

中间人攻击

公钥加密

发送方使用公钥对消息进行加密；接收方使用私钥解密生成的密文。
优势:

• 公钥加密（在某种程度上）解决了密钥分发问题，因为通信各方不需要在通信之前秘密地共享密钥。即使双方之间的所有通信都被监控，双方也可以秘密通信。

• 当单个接收方与N个发送方通信时，接收方存储单个私钥sk要比共享、存储和管理N不同的对称密钥（即每个发送方一个）方便得多。

缺点:

• 公钥加密方案允许任何人充当发送者，这可能是一个缺点，因为接收方可能只想接收特定发送者的消息。

• 主要缺点是公钥加密大约比对称加密慢2到3个数量级。

选择明文安全

定义 11.1 一个公钥加密方案是一个PPT算法的三元组 (Gen, EncDec) 使得：

1. $\text{密 钥 生 成 算 法 Gen将 安 全 参 数 }{1}^n$作为输入，并输出一对密
   $\begin{array}{r}\text{钥}(pk,sk)\text{(公钥暗含了消息空间}\mathcal{M})。\end{array}$
2. $\text{加 密 算 法 Enc将 公 钥 }pk$和某个消息空间中的消息$m$作为输入，输出一个密文$c$,我们将其写作$c\leftarrow {\mathsf{Enc}}_{pk}(m)$。(我们也经常写作$c\leftarrow$ $\begin{array}{r}\mathsf{Enc}(m,pk)\text{)。}\end{array}$
3. 确定性解密算法Dec以私钥$sk$和密文$c$作为输入，输出消息$m$或特殊符号$\perp$表示失败。我们将其写作$m:=$ $De{c}_{sk}(c)$。(我们通常也写作$m:=$Dec$(c,sk)$)。

• 加密算法可以是确定性的，也可以是概率性的。

• 解密算法可能是完全正确的（从未失败），也可能以可忽略的概率失败。

• 如果一个公钥加密方案在窃听者的存在下具有不可区分加密，那么它是IND-CPA安全的。

• 没有公钥加密方案是具有完善保密性的。

• 没有确定性的公钥加密方案是IND-CPA安全的。

• 如果公钥加密方案Π是IND-CPA安全的，那么它对于多消息加密也具有不可区分加密。

• Π与Π’

选择密文攻击安全一个公钥加密方案$\Pi =($Gen,Enc,Dec)在选择密文攻击下具有不可区分加密(或是 CCA-安全的)如果对于所有PPT敌手$\mathcal{A}$都存在一个可忽略函数 negl 使得

$$\mathrm{Pr}[{\mathsf{PubK}}_{\mathcal{A},\Pi }^{\text{сса}}(n)=1]\le 1/2+\mathsf{negl}(n).$$

KEM

一个密钥封装机制 (KEM)是一个PPT算法的三元组 (Gen
Encaps, Decaps) 使得：

1. ${\text{密 钥 生 成 算 法 Gen以 安 全 参 数 1}}^n$为输入，输出一对密钥$(pk,sk)$
   (密钥的长度至少为$n,n$可由$pk$确定)。
2. $\text{封 装 算 法 Encaps将 公 钥 }pk$和安全参数1${}^n$作为输入，输出一个密文$c$和一个密钥 k ∈ { 0 , 1 } p ( n ) k\in\{0,1\}^p(n) k∈{0,1}p(n),其中$p$是密钥长度。我们将其写作$(c,k)\leftarrow$Encaps${}_{p}k(1^n)$(或 $(c,k)\leftarrow$Encaps$(1^n,pk))$。
3. 确定性解封装算法Decaps以私钥$sk$和密文$c$为输入，输出密钥$k$或表示失败的特殊符号$\perp$。我们将其写作$k:={\text{ Decaps}}_{sk}(c)$(或 $k:=$ $\mathsf{Decaps}(sk,c)$)。
   

混合加密Hybrid encryption

给定一个KEM和一个DEM（对称加密方案），我们可以很容易构造一个混合加密方案。 在实际中，这种方案明显比只使用PKE方案更有效（当加密消息需要调用多个PKE时）

设 $\Pi =($Gen, Encaps, Decaps) 是密钥长度为$n$的KEM，${\Pi }^{\prime }=({\mathrm{Gen}}^{\prime },{\mathrm{Enc}}^{\prime },{\mathrm{Dec}}^{\prime })$是对称加密方案(DEM)。我们构造一个公钥加密方案${\Pi }^{h}y=({\mathrm{Gen}}^{hy},{\mathrm{Enc}}^{hy}$,Dec${}^{h}y)$如下： - Gen${}^{h}y$:输入1${}^n$,输出$(pk,sk)\leftarrow$Gen$(1^n)$

• Enc${}^{hy}$:输入一个公钥$pk$和一个消息 m ∈ { 0 , 1 } ∗ m\in\{0,1\}^* m∈{0,1}∗,运行：
  $\bullet$计算$(c,k)\leftarrow$Encaps${}_{p}k(1^n)$
  $\bullet$计算$c^{\prime }\leftarrow {\mathrm{Enc}}_k^{{}^{\prime }}(m)$
  ·输出密文$(c,c^{\prime })$

• Dec${}^{h}y$:输入私钥$sk$和密文$(c,c^{\prime })$,运行：
  $\bullet$计算$k:=$D$ecap{s}_{s}k(c)$ $\bullet$输出消息$m:=$D$e{c}_k^{\prime }(c^{\prime })$

如果Π是CPA-安全的KEM，Π’是存在窃听者情况下具有不可区分加密的对称加密方案，那么Πhy是一个CPA-安全的公钥加密方案。

如果Π是CCA-安全的KEM，Π′是CCA-安全的对称加密方案，则Πhy是CCA-安全的公钥加密方案。

ElGamal

$\bullet$ Gen$(1^n)$: 运行 $(G,q,g)\leftarrow \mathbb{G}(1^n)$, 选择 $x\xleftarrow{$}\mathbb{Z}_q$, 计算 $y:=g^x$ 并输出 $(sk,pk):=((G,q,g,x),(G,q,g,y)).$
$\bullet$ Enc$(m,pk)$: 输入 $m\in G$ 和 $pk=(G,q,g,y)$, 选择 $r\xleftarrow{$}\mathbb{Z}_q$, 计算 并输出 $C:=(g^r,m\cdot y^r).$
$\bullet$ Dec$(C,sk)$: 输入 $C=(C_1,C_2)$ 和 $sk=(G,q,g,x)$, 计算 并输出 $m:=C_2\cdot (C_1^x{)}^{-1}.$

· 正确性：

$$C_2\cdot (C_1^x{)}^{-1}=m\cdot y^r\cdot ((g^r{)}^x{)}^{-1}=m\cdot y^r\cdot (y^r{)}^{-1}=m\cdot 1=m.$$

DDH问题相对于$g$是困难的，如果对于所有的PPT算法$\mathcal{A}$有一个可忽略函数使得$\begin{array}{r}\mathsf{Pr}[\mathcal{A}(G,q,g,g^x,g^r,g^z)=1]-\mathsf{Pr}[\mathcal{A}(G,q,g,g^x,g^r,g^{xr})=1]\end{array}$
$\le$negl$(n)$,
其中，$x,r,z\in {\mathbb{Z}}_q$是均匀一致选取的。

RSA

（普通RSA）
$\bullet$ Gen():生成 RSA 参数。
输入 1${}^n$,输出 $N$,$N$是两个$n$-比特素数$p$和 $q$的乘积；随机选择$e$,其中 1$<e<\varphi (N)$且$gcd(e,\varphi (N))=1;$计算$d$满足$ed=1\mathrm{mod}\varphi (N).$
$$pk=(N,e),sk=(d)$$
$\bullet$ Enc$(pk,m):(1)\text{c}=m^e$ mod $N$
(2)输出$c$
$\bullet$ Dec$(sk,c)$:输出$m:=c^d$ mod $N.$

证明：由加密过程知$c=m^e\mathrm{mod}N$,所以
$c^d$ mod $N=m^{e}d$ mod $N=m^k\varphi (N)+1$ mod $N$

分两种情况：

$\stackrel{◯}{1}m$与$N$互素，则由Euler定理得

$$\begin{array}{rl}& \\ & m^{\varphi (N)}=1\mathrm{mod}N,\\ & m^{k\varphi (N)}=1\mathrm{mod}N,\\ & m^{k\varphi (N)+1}=m\mathrm{mod}N\\ & \text{по }d\end{array}$$

即$c^d\mathrm{mod}N=m.$
$\begin{array}{rl}& ②gcd(m,N)\ne 1,\text{不妨设 }m=tp。\\ & \text{由 }gcd(m,q)=1\text{及Euler定理得 }{m}^{\varphi (q)}=1\mathrm{mod}q,\\ & \\ & \text{所以 }{m}^{k\varphi (q)}=1\mathrm{mod}q,\\ & [m^{k\varphi (q)}{]}^{\varphi (p)}=1\mathrm{mod}q,\\ & m^{k\varphi (N)}=1\mathrm{mod}q\\ & \text{因此存在一整数 }r\text{,使得 }{m}^{k\varphi (N)}=1+rq\text{,两边同乘}\\ & \text{以}m=tp\text{ 得}\\ & m^{k\varphi (N)+1}=m+rtpq=m+rtN,\\ & \text{所以}{m}^{k\varphi (N)+1}=m\mathrm{mod}N\text{,即}{c}^d\mathrm{mod}N=m。\end{array}$

攻击：
普通RSA加密是确定性的，因此无法到达CPA安全。

对于恢复$m$的二次改进(quadratic improvement)。
使用小的$e$加密短消息。加密部分已知的消息。

加密相关消息。

$c_1=m^e$ mod $N,c_2=(m+\delta {)}^e$ mod $N.$
窃听者可以定义$f_1(x)\stackrel{def}{=}{x}^e-c_1$和$f_2(x)\stackrel{def}{=}(x+\delta {)}^e-c_2$
(modulo $N).$
$x=m$是两个多项式的根 (modulo $N),(x-m)$是两个多项式的因式。如果$f_1(x)$ 和 $f_2(x)$ (作为${\mathbb{Z}}_N^{\ast }$上的多项式)的最大公因式是线性的，那么将会泄露$m$。最大公因式可以在poly$(||N||,e)$时间内计算出来，这种攻击对于小的$e$是可行的。
2.
向多个接收者发送相同的消息。
发送方将同一消息加密后发送给给多个接收方。
设$e=3,m$使用三个不同的公钥加密$p{k}_1=(N_1,3)$,
$p{k}_2=(N_2,3)$, $p{k}_3=(N_3,3).$假设对于不同的$i,j$,
$\gcd (N_i,N_j)=1.$窃听者可以得到
$c_1=m^3$ mod $N_1,c_2=m^3$ mod $N_2,c_3=m^3$ mod $N_3.$ Let $N^{\ast }=N_1{N}_2{N}_3.$存在唯一的非负整数$\hat{c}<N^{\ast }$使得$\hat{c}=c_1$ mod $N_1=c_2$ mod $N_2=c_3$ mod $N_3.$
可以计算 m 3 = c ^ . ( m 3 < N ∗ 因为  m 3 < min ⁡ { N 1 , N 2 , N 3 } ) m^3=\hat{c}.\left(m^3<N^*\text{ 因为 }m^3<\min\left\{N_1,N_2,N_3\right\}\right) m3=c^.(m3<N∗ 因为 m3<min{N1​,N2​,N3​})
3.共模攻击
在实现RSA时，为方便起见，可能给每一用户相同的模数$N$,
虽然加解密密钥不同，然而这样做是不行的。
设两个用户的公钥分别为$e_1$和$e_2$,且$e_1$和$e_2$互素，明文消息
是$m$,密文分别是

$$c_1=m^{e_1}\mathrm{mod}N,c_2=m^{e_2}\mathrm{mod}N$$
$\begin{array}{r}\text{敌手截获}{c}_1\text{和}{c}_2\text{后，可如下恢复}m\text{。用扩展的Euclid算法求出}\end{array}$
满足$r{e}_1+s{e}_2=1$的两个整数$r$和$s$,由此
得 $c_1^r{c}_2^s=m^{r{e}_1+s{e}_2}=m\mathrm{mod}N$。

永远不要使用“教科书式的”RSA！

RSAES-OAEP

![在
RSA是陷门置换（trapdoor permutation） ⇒RSA-OAEP是CCA安全的，当 H, G 是 随机函数 在实际中：使用 SHA-256 实例化 H 和 G
过程：

$n$ 是 RSA 模数的位数，$k_0$ 和$k_1$是协议中的固定整数，
$m$ 是$n-k_0-k_1$位长的明文消息，$G$ 和 $H$ 是Hash函数，$\oplus$

是异或运算。
编码过程包括如下步骤：

1.用$k_1$位长的 0 将消息$m$填充至$n-k_0$位的长度。

2.随机生成$k_0$位长的串$r$

3.用$G$将$k_0$位长的$r$扩展至$n-k_0$位长。

4. $X$ = $m00\cdots 0\oplus$ $G(r)$

5.$H$将$n-k_0$位长的$X$缩短至$k_0$位长。

$6.Y$ = $r$ $\oplus$ $H(X)$

7.输出为$X||Y$,$X$ 为最左边的块，$Y$ 为最右边的块。

加密：随后可以使用 RSA 加密编码的消息，使用 OAEP 可以避免 RSA 的确定性。解码过程包括如下步骤：

• 恢复随机串 $r$ 为 $Y\oplus H(X)$
• 恢复消息 $m_0\dots 0$ 为 $X\oplus G(r)$

数字签名

可以看作公钥环境下MAC，具有公共可验证性。
• 完整性保护：可以检测到对签名消息的任何修改。
• 来源认证性：识别签名消息的发送者。
• 不可否认性：签名者不能否认已签署（发送）过的消息。
安全性（直观）：对于未由私钥持有者签名的消息，应该很难找到一个签名。

一个数字签名方案是一个PPT算法的三元组(Gen、Sig、Vrfy) 使得：
·密钥生成算法Gen以安全参数1${}^n$为输入，输出一对密钥 $(pk,sk)$ ( 我 们 假 设 $pk$和 $sk$的 长 度 为 $n$, 并 且 $n$可 以从$pk$或$sk$推断出来)。
·签名算法Sig将私钥$sk$和来自某个消息空间$\mathcal{M}$的消息$m$作为输入，输出签名$\sigma$,我们将其写作$\sigma$ $\leftarrow$ ${\mathrm{Sig}}_{sk}(m)$。
$\bullet$ 确定性验证算法Vrfy将公钥$pk$、消息$m$和签名$\sigma$作为输$\begin{array}{c}\text{入输出}b,b=1\text{表示签名有效，}b=0\text{表示无效。我}\\ \text{们将其写作}b:={\text{Vrfy}}_{pk}(m,\sigma )。\end{array}$
$(pk,sk)\leftarrow$Gen$(1^n)\text{, 我 们 有 }$
${\text{Vrfy}}_{pk}(m,{\mathbf{Sig}}_{sk}(m))=1$,
对于任意消息$m\in \mathcal{M}.$

• 可能是确定性的或者是概率的
• 可能是有状态的，也可能是无状态的（后者是标准的）
确定性验证算法可能是完全正确的（从未失败）或可能以可忽略的概率失败。

威胁模型（逐渐增强）：

• 无消息攻击（No-message attack，NMA）: 敌手只能知道公钥。
• 随机消息攻击（Random message attack，RMA）: 敌手可以获取随机消息的签名（不受敌手控制）。
• 非适应性选择消息攻击（Non-adaptive chosen messageattack，naCMA）: 敌手确定一个想要获得签名的消息列表（在他知道公钥之前）。
• 选择消息攻击（Chosen message attack，CMA）: 敌手可以适应性地要求对其选择的消息进行签名。

敌手的目标（难度降低）

• 无条件伪造（Universal forgery，UF）: 给定敌手一个目标，敌手需要为其输出有效的签名。
• 存在性伪造（Existential forgery，EF）: 敌手为其选择的消息输出签名。

EUF-CMA: 选择消息攻击下的存在不可伪造性

教科书式RSA签名

KeyGen: 输入 1${}^n$,随机选择 $n$-比特的素数 $p,q$,令$N=pq$,

选择$e$使得 gcd$(e,\varphi (N))=1$,计算$d:=e^{-}1$ mod $\varphi (N)$,

输出$(sk,pk):=((d,N),(e,N)).$

Sig: 输入$m\in {\mathbb{Z}}_N^{\ast }$和$sk=(d,N)$,计算并输出$\sigma =m^d$ mod

$N.$

Vrfy: 输入公钥$pk=(e,N)$,消息$m\in {\mathbb{Z}}_N^{\ast }$和签名$\sigma \in {\mathbb{Z}}_N^{\ast }$,
输出 1 当且仅当$m:={\sigma }^e$ mod $N.$
攻击：

无消息(No-message)攻击

1.输出伪造$(m^{\ast },{\sigma }^{\ast }):=(1,1).$是有效的因为$1^d=1$ mod $N.$
2.选择$\sigma \in {\mathbb{Z}}_N^{\ast }$并计算$m:={\sigma }^e$ mod $N.$

$\mathsf{EUF}-\mathsf{CMA}$攻击

$\bullet$请求消息$m_1,m_2\in {\mathbb{Z}}_N^{\ast }$的签名${\sigma }_1,{\sigma }_2$ for $m_1,m_2\in {\mathbb{Z}}_N^{\ast }$并输
出$(m^{\star },{\sigma }^{\star }):=(m_1\cdot m_2$ mod $N,{\sigma }_1\cdot {\sigma }_2$ mod $N).$ 即使是安全的，消息空间是${\mathbb{Z}}_N^{\ast }$也是不可取的！

扩展消息空间：
分块签名
• 考虑 m := (m1, …, mn)，mi ∈ M 并计算 σ := (σ1, …, σn).
• 需要注意避免混合-匹配（mix-and-match）攻击（块重新排
序，交换来自不同签名的块等）。
• 对于长消息效率低（每个块调用一次方案）。
先哈希再签名（Hash-and-Sign）
• 在签名之前，使用哈希函数H将任意长的消息压缩为固定
长度的字符串。
• H的取值范围需要与签名方案的消息空间兼容。

RSA-FDH

GenRSA与前面的章节一样,构造签名方案如下: ∙ Gen: 输入  1 n , 运行 GenRSA ( 1 n ) 计算  ( N , e , d ) . 公钥 是 < N , e > , 私钥是 < N , d > . 作为密钥生成的一部分,函数 H : { 0 , 1 } ∗ → Z N ∗ 是指 定的,但我们将其隐式地保留。 ∙ Sign: 输入私钥 < N , d > 和消息  m ∈ { 0 , 1 } ∗ ,计算 σ : = [ H ( m ) d m o d N ] . ∙ Vrfy: 输入公钥  < N , e > , 消息  m 和签名  σ , 输出  1 当 且仅当  σ e = ⁡ ⁡ ? H ( m ) m o d N . \begin{aligned} & \\ & \text{GenRSA与前面的章节一样,构造签名方案如下:} \\ & \bullet\text{Gen: 输入 }1^n,\text{运行 GenRSA}(1^n)\text{ 计算 }(N,e,d).\text{ 公钥} \\ & \text{是}<N,e>,\text{ 私钥是}<N,d>. \\ & \text{作为密钥生成的一部分,函数}H:\{0,1\}^*\to Z_N^*\text{是指} \\ & \text{定的,但我们将其隐式地保留。} \\ & \bullet\text{ Sign: 输入私钥}<N,d>\text{和消息 }m\in\{0,1\}^*\text{,计算} \\ & \sigma:=[H(m)^d\mathrm{~mod~}N]. \\ & \bullet\text{ Vrfy: 输入公钥 }<N,e>,\text{消息 }m\text{ 和签名 }\sigma,\text{输出 }1\text{ 当} \\ & \text{且仅当 }\sigma^e\overset{?}{\operatorname*{\operatorname*{=}}}H(m)\mathrm{~mod~}N. \end{aligned} ​GenRSA与前面的章节一样,构造签名方案如下:∙Gen: 输入 1n,运行 GenRSA(1n) 计算 (N,e,d). 公钥是<N,e>, 私钥是<N,d>.作为密钥生成的一部分,函数H:{0,1}∗→ZN∗​是指定的,但我们将其隐式地保留。∙ Sign: 输入私钥<N,d>和消息 m∈{0,1}∗,计算σ:=[H(m)d mod N].∙ Vrfy: 输入公钥 <N,e>,消息 m 和签名 σ,输出 1 当且仅当 σe=?H(m) mod N.​

RSA假设

Schnorr 签名

$\bullet$ KeyGen: 运行$\mathcal{G}(1^n)$得到$(G,q,g)$.选择$x{\leftarrow }^s{\mathbb{Z}}_q$并计算$y:=$ $g^x$.私钥为$x$,对应的公钥是$(G,q,g,y)$.作为密钥生成的一部分，确定哈希函数 H : { 0 , 1 } ∗ → Z q . H:\{0,1\}^*\to\mathbb{Z}_q. H:{0,1}∗→Zq​.
$\bullet$ Sign: 输入私钥$x$和消息 m ∈ { 0 , 1 } ∗ m\in\{0,1\}^* m∈{0,1}∗,选择$k{\leftarrow }^{\mathfrak{s}}{\mathbb{Z}}_q$并计算$I:=g^k$.计算$r:=H(I,m)$和$s:=rx+k$ mod $q.$输出签名$\sigma :=(r,s).$
$\bullet$ Vrfy: 输入公钥$(G,q,g,y)$,消息 m ∈ { 0 , 1 } ∗ m\in\{0,1\}^* m∈{0,1}∗和签名$\sigma =(r,s)$
计算$I:=g^s\cdot y^{-r}$并输出 1 如果$H(I,m)=r.$
正确性：$g^s\cdot y^{-r}=g^{rx+k}\cdot g^{-xr}=g^k=I$

如果离散对数问题相对于G是困难的，而H是随机预言机，那么Schnorr签名方案是EUF-CMA安全的。

DSA/ECDSA

$\bullet$ KeyGen:运行$\mathcal{G}(1^n)$得到$(G,q,g).$选取$x\leftarrow^{$\mathbb{Z}_q$并设置$y:=g}x.$ 私钥为$x$,对应的公钥为$(G,q,g,y).$作为密钥生成的一部分，确定两个哈希函数 H : { 0 , 1 } ∗ → Z q H:\{0,1\}^*\to\mathbb{Z}_q H:{0,1}∗→Zq​和$F:G\to {\mathbb{Z}}_q.$
$\bullet$ Sign: 输入私钥$x$和消息 m ∈ { 0 , 1 } ∗ m\in\{0,1\}^* m∈{0,1}∗,选取$k\leftarrow^{$}\mathbb{Z}_q$并设置$r:=$ $F(g^k).$计算$s:=k^{-1}(H(m)+rx)$ mod $q($如果$r=0$或$k=0$或r $s=0$,那么重新选择$k).$输出签名$\sigma :=(r,s).$
$\bullet \text{Vrfy: 输 入 公 钥 }(G,q,g,y)$,消 息 m ∈ { 0 , 1 } ∗ m\in \{ 0, 1\} ^* m∈{0,1}∗ 和 签 名 $\sigma =(r,s)$, 其 中 $r,s\ne 0\mathrm{mod}q$,计 算 $u=s^{-1}\mathrm{mod}q$ 并 输 出 1 如 果 $r=$ $F(a^{H(m)u},ru)$
$F(g^{H(m)u}{y}^{ru}).$

$\bullet$ DSA 适
用于${\mathbb{Z}}_p^{\ast }$的素数q阶子群且 $F(I)=I$ mod $q.$
$\bullet$ ECDSA 适用于椭圆曲线. $E({\mathbb{Z}}_p)$的素数q阶子群且 $I=(x,y),F(I)=x$
mod $q$
·如果$H$和$F$被模拟为随机预言机，EUF-CMA安全性可在DL假设下得
到证明。但对于上述这些的具体形式，尚无可证明安全。

其他

• Nyberg-Rueppel签名方案是一个具有消息恢复功能的数字签
  名方案, 即验证算法不需要输入原始消息, 原始消息可以从
  签名自身恢复出来, 适合短消息的签名。
• 基于大整数分解问题的数字签名
  Feige-Fiat-Shamir签名方案—参数与密钥生成
• 盲签名
  盲签名允许使用者获得一个消息的签名, 而签名者既不知道该消息的内容,也不知道该消息的签名。
• 群签名允许一个群体中的任意一个成员以匿名的方式代表整个
  群体对消息进行签名。
• 代理签名方案中, 允许一个原始签名者把他的签名权力委托给一
  个称为代理签名者的人, 然后代理签名者就可以代表原始签名者进行签名。

证书

后续更新

————————————————————————————————
致谢：感谢张源老师一学期的教学