而像黄金、钻石、法定货币等就是共识价值的代表，以法定货币为例，法定货币有价值吗?有也没有，如果没有国家信用的背书、如果人们都不接受该法币，那它就是一张张废纸或银行卡的一串数字;

共识越强大，那么它的价值便越高。美元为什么会成为世界中的通用货币?为什么泰铢(泰国)、图格里克(蒙古)无法成为世界通用货币?就是因为人们对于美元的共识足够强大，对于泰铢、图格里克没有太多的共识。

比特币的价值就来源于共识，信任比特币的人越多、持有比特币的人越多它的价值就越高。如果这么说网友们无法理解，那网友们可以将比特币视为互联网世界的黄金，比特币和黄金有很多共同性：1.总量恒定、2.总量稀少、3.具有流通性，除此之外比特币比黄金的流通性更强，还具有匿名性、去中心化等特征。

总量恒定，不用担心增发/多发等问题、不受任何中心化机构控制、不需要中心化机构背书、流通性强，可以完美流通到世界任意角落，这些特性加在一起支撑起了比特币的共识，使比特币产生了价值。

假如将比特币看成一样商品，那么作为商品不能偏离它的使用价值，而比特币目前最为人所提及的就是它的“交易”、“投资”、“贮藏”等属性，所以比特币其实更像一种货币，虽然它既没有贵重金属的天然属性(不过有许多国家将比特币归入大宗商品或虚拟商品)，也没有国家或者机构来强制保证其币值。

如果大家也喜欢虚拟货币领域，希望从虚拟货币领域赚到人生的第一桶金，那么可以加入我们的官方社群，经过长期的运营总社群成员已经突破十二万币友粉丝了，群里不乏行业大咖以及资深的职业玩家，他们经验丰富且乐于分享，我们一定会学到非常多的有用的知识。添加客服申请加入吧。

比特币ETF申请又来了？这次结果会如何

6月17日，美国证券交易委员会(SEC)发布的文件显示，资产管理公司WisdomTree Trust申请推出一个交易所交易基金(ETF)，旨在主要通过对期货合约的投资为能源、农业、工业金属以及贵金属四个商品领域提供广泛的市场敞口。据悉，净资产的5%将投资于CME比特币期货合约。

ETF已经很久没有出现在加密货币的各类新闻报道中，而这一次WisdomTree的申请却没有引发多少市场的关注。长期以来，加密货币支持者一直认为，比特币ETF将给这个新兴行业的发展带来巨大的推动力。但各类ETF申请屡战屡败也着实让市场心灰意冷。

据彭博社报道，CFRA Research ETF和共同基金研究主管Todd Rosenbluth表示：“ SEC已经直接强调了对比特币ETF的众多担忧，不太可能批准明确跟踪比特币的ETF。”

今年2月，SEC否决了Wilshire Phoenix关于在NYSE Arca推出比特币ETF的申请。该提案希望混合使用比特币和短期国债，以缓解加密货币的波动。但是SEC认为，Wilshire尚未证明比特币市场足以抵抗市场操纵。市场操纵问题也成为了阻挡所有比特币ETF提案的大山。

近几年，比特币市场逐渐沦为存量厮杀的“期货盘”，各种恶意的急拉急跌让很多交易者都感觉到“庄家”的肆意妄为。也许，市场操纵问题并未好转，反而不断恶化，这也让ETF的批准通过更为渺茫。

WisdomTree Trust申请的ETF名为WisdomTree增强型商品战略基金(WisdomTree Enhanced Commodity Strategy Fund)。备案文件称，它将通过期货合约为四个商品领域提供广泛的敞口：能源、农业、工业金属和贵金属。

彭博认为，WisdomTree提案的另一个潜在问题是对期货的使用上。今年4月，石油期货合约价格一直跌至负值，导致美国石油基金动摇，这种做法受到了越来越多的审查。

此外，值得注意的是，该基金拟将净资产的5%投资于CME比特币期货合约。CME比特币期货合约是一种现金结算的合约，因此投资者并不会直接投资于比特币。

安本标准投资管理(Aberdeen Standard Investments)ETF负责人Steven Dunn表示：“我的经验告诉我，在一个我们拥有实物产品与期货产品的世界中，大多数投资者希望并期望的是现货价格，他们希望获得实物产品。我总是感到有些担忧，投资者真的了解他们买了什么吗?”

其实如果大家希望更加深入的学习和了解币圈，那么可以添加我们的官方客服申请加入我们的官方社群，群里有炒币玩币的职业玩家以及行业大咖，可以给大家解疑答惑，让你快速入门，从入门到精通。赚取币圈的第一桶金。

引用本文：程朝辉.数字签名技术概览[J].信息安全与通信保密,2020(7):48-62.

摘　要

本文对数字签名技术进行概览综述，以便读者对该技术有一个比较全面的了解。文章首先介绍数字签名技术的基本原理，然后回顾数字签名技术四十年发展的历程以及期间发生的一些具有标志性的事件。另外针对特殊功能需求，学术界提出了许多具有附加属性的数字签名技术，本文对这类技术进行一个梳理和概览。文章最后对一些重要的数字签名技术标准进行汇总。

关键词：数字签名技术；数字签名算法标准；带属性的数字签名；公钥密码内容目录：1　数字签名原理2　数字签名技术发展历程3　具备附加属性的数字签名技术4　数字签名算法标准5　结　语

01

数字签名原理

人类在很长时间都是以手写签名、印章或指模等来确认作品、文件等的真实性，包括认定作品的创作者、文件签署者的身份，推定作品的真伪或者文件内容的真实性。数字签名技术用于在数字社会中实现类似于手写签名或者印章的功能，即实现对数字文档进行签名。数字签名技术实际上能够提供比手写签名或印章更多的安全保障。一个有效的数字签名能够确保签名确实由认定的签名人完成，即签名人身份的真实性（authentication）；被签名的数字内容在签名后没有发生任何的改变，即被签名数据（也称签名消息或简称消息）的完整性（integrity）；接收人一旦获得签名人的（包括被签名数据的） 有效签名后，签名人无法否认其签名行为，即不可抵赖性（non-repudiation）。

本文中的数字签名技术特指采用非对称密码机制来实现的签名技术。一个签名人具有一对密钥，包括一个公钥和一个私钥。签名人公开其公钥，签名验证人（简称验签人）需要在验证签名前获取签名人的真实公钥。如果验签人需验证多个签名人的签名，则必须预先知道每个签名人和其公钥的对应关系。在满足以上前提的情况下，签名人就可以使用其私钥对任意消息进行签名操作，生成签名值；任意知道公钥的验签人都可以通过验签操作验证对消息的签名值相对于某公钥是否有效。若待签名消息过大时，可以先采用杂凑算法生成消息的摘要（类似于数据的指纹）后再对摘要进行数字签名。为了实现真实性、完整性和不可抵赖性功能，数字签名机制需要满足一定的安全需求。简单地讲，安全的数字签名机制要求：1）在没有私钥的情况下，生成某个消息的有效签名在计算上是不可行的；2）根据公钥和消息/ 签名对， 计算出签名私钥是不可行的。更加严格的数字签名机制安全定义是在选择消息攻击下具有不可伪造性（Existential Unforgeability under Adaptive Chosen Message Attack: EUF-CMA），即攻击者可任意选择多项式个消息请签名人生成并获得对应的签名，仍然无法生成一个新消息的合法签名。更高安全性的定义是选择消息攻击强不可伪造性（Strong Existential Unforgeability under Adaptive Chosen Message Attack: SUF-CMA），即攻击者可任意选择多项式个消息请签名人生成并获得对应的签名，仍然无法生成一个新消息的合法签名或者一个已签名消息的新合法签名。

02

数字签名技术发展历程

从 Whitfield Diffie 和 Martin Hellman 在 1976 年发表历史性的论文《密码学的新方向》提出数字签名的概念到今天，数字签名技术经过了四十多年的发展。这四十多年中，数字签名技术在理论研究上经历了从一个可能的数学概念，发展到基于计算复杂性问题的具体实现、到扎实的安全模型定义、到安全性可证明的高效构造、再到满足各类差异化需求的特性签名技术。数字签名技术在应用上从小规模的商业和个人数据保护开始，伴随着互联网和电子商务的发展，到今天已经发展成为数字社会的安全基石之一。

作为一个相对全面的概览，下面列出数字签名技术发展过程中的一些重要学术工作和重大事件。这个列表无意列出过去四十年所有重要的工作和事件。未出现在列表中的学术工作或相关事件并不表示其重要性比列出的低。（1）1976 年 Whitfield Diffie 和 Martin Hellman 在《密码学的新方向》一文中提出数字签名的概念。

（2）1978 年 Ronald Rivest, Adi Shamir和Len Adleman发表RSA数字签名算法。

（3）1978 年 Michael O. Rabin 发表一次数字签名（one-time digital signature）算法Rabin。

（4）1979 年 Ralph Merkle 发 表 Merkle 数字签名算法。该算法也是一种一次数字签名算法，但和 Rabin 算法有重要区别。该算法成为一类基于杂凑的数字签名（hash-based digital signature）算法（例如 XMSS）的基础。这类算法在后量子计算时代可能依然安全。算法中的Merkle 树具有众多应用，如区块链使用 Merkle 树存储交易记录。

（5）1984 年 Taher Elgamal 发表基于离散对数问题的 Elgamal 数字签名算法。

（6）1984 年 Adi Shamir 提出基于身份的密码技术（Identity-Based Cryptography: IBC）并给出第一个基于身份的数字签名算法（Identity- Based Signature: IBS）。基于身份的密码也称基于标识的密码。

（7）1984 年 Shafi Goldwasser, Silvio Micali 和 Ronald Rivest 给出了数字签名机制安全模型的严格定义（选择消息攻击下不可伪造模型：EUF-CMA）。这个模型后来被广泛接受，用于分析各种数字签名算法的安全性。

（8）1986 年 Amos Fiat和 Adi Shamir发表Fiat-Shamir变换。该变换可将一大类身份认证方案转化为数字签名算法。

（9）1989 年 Claus Schnorr 发表Schnorr 数字签名算法。该算法的安全性可以基于离散对数问题在随机谕示模型下获得证明。2011 年发表的 EdDSA 数字签名算法也是以 Schnorr 算法为基础。

（10）1989 年 Lotus Notes 1.0发布采用RSA算法的数字签名功能。这是第一款大规模应用的商业软件支持数字签名技术。

（11）1991年NIST发布数字签名算法DSA。该算法是Elgamal数字签名算法的变形， 在1994年作为 FIPS 186 中的数字签名标准DSS发布。DSA和椭圆曲线上的ECDSA算法的安全性分析一直是个挑战。2000年Daniel R. L. Brown在一般群模型下分析了ECDSA算法的安全性。

（12）1991年Phil R Zimmermann 发 布 PGP 1.0，支持RSA数字签名算法。

（13）1991年Marc Girault 提出自认证密钥的概念并设计一个基于自认证密钥的身份认证协议。1998 年 Guillaume Poupard 和 Jacques Stern 利用 Fiat-Shamir 变换将该身份认证协议转换为 GPS 数字签名算法并证明了其安全性。

（14）1993 年 RSA 发布包括 RSA 数字签名算法的 PKCS #1 版本 1.5，通过规定消息编码方式改进 RSA 数字签名算法的安全性。

（15）1995 年 Netscape 发布支持数字签名算法的 SSL 2.0，支持 RSA 和 DSS 签名算法。（16）1996 年 Mihir Bellare 和 Phillip Rogaway 提出安全性可证明的 RSA-PSS 签名算法。（17）1996 年 David Pointcheval 和 Jacques Stern 提出分叉引理（forking lemma）。基于分叉引理可分析一大类数字签名算法的安全性， 包括 Schnorr签名算法。

（18）1996 年 Paul C. Kocher 发表侧信道攻击技术，展示采用时间攻击技术攻击 RSA、DSS 等算法的不安全实现以获取私钥 [24]。该工作开启了密码侧信道攻防技术的研究领域。

（19）1999 年 Rosario Gennaro, Shai Halevi 和 Tal Rabin与Ronald Cramer和Victor Shoup 分别构造了不依赖随机谕示模型的 RSA 签名算法。

（20）2001 年 Dan Boneh, Ben Lynn 和Hovav Shacham 发表采用双线性对构造的短签名算法 BLS。

（21）2002 年 Jae Choon Cha 与 Jung Hee Cheon 以及 Florian Hess 分别发表采用双线性对构造的基于标识的数字签名算法 Cha-Cheon- IBS和 Hess-IBS。

（22）2003 年 Sattam S. Al-Riyami 和Kenneth G. Paterson 提出无证书密码的概念，并设计无证书的数字签名算法。虽然 Al- Riyami-Paterson 无证书签名算法后来被证明不安全，但该工作开启了相关领域的研究工作。例如，2018 年 Zhaohui Cheng 和 Liqun Chen 统一了基于 Girault 的自认证密钥的数字签名机制和Al-Riyami-Paterson 无证书数字签名机制的安全模型，并设计安全、高效的无证书签名算法。

（23）2008 年 Craig Gentry, Chris Peikert 和Vinod Vaikuntanathan 基于等工作发表了第一个安全性可证明的基于格的数字签名算法GPV。后续更多格基数字签名算法被提出，如BLISS、Dilithium等。（24）2017 年 NIST 开始后量子公钥算法标准化工作，全球征集相关算法，包括数字签名算法。

03

具备附加属性的数字签名技术

伴随着通用数字签名技术的发展，针对一些特殊需求，特别是电子现金、电子选举等领域的应用以及隐私保护与签名公平性需求的增强，众多具有附加属性的数字签名技术的概念和算法构造被提出。下面列出一些典型的具有附加属性的数字签名技术。本文无意列出所有特性数字签名技术，读者可以参考更多的综述资料如 [38,39]。（1）盲签名 （blind signature）：1982 年David Chaum 提出盲签名的概念。盲签名机制允许签名人对盲化过的消息（签名人在不知道消息内容的情况下）生成消息签名。签名的有效性可以在消息去盲化后被公开验证。盲签名机制可用于电子选举、电子现金等应用。

 4/6   首页 上一页 2 3 4 5 6 下一页 尾页