CN1717896A

CN1717896A - 长期安全数字签名

Info

Publication number: CN1717896A
Application number: CNA200480001575XA
Authority: CN
Inventors: 彼得·布勒; 迈克尔·奥斯伯内; 罗马·米德; 克劳斯·克萨维
Original assignee: International Business Machines Corp
Current assignee: International Business Machines Corp
Priority date: 2003-03-04
Filing date: 2004-03-03
Publication date: 2006-01-04
Anticipated expiration: 2024-03-03
Also published as: US20060288216A1; US8271791B2; CN1717896B; EP1599965A1; WO2004079986A1; US20090327732A1; EP1599965B1; KR20060006770A

Abstract

本发明涉及将要很长时间地保持安全的电子文档的数字签名，考虑到未来密码技术的发展将使现有密码密钥的长度不足的情况。根据本发明，为每个文档产生双签名。第一数字签名(DTS)确保长期安全，第二数字签名(DUS)确保个人用户的参与。由此，第二数字签名在其生成时的计算量比第一数字签名更少。

Description

长期安全数字签名

技术领域

本发明涉及一种用于对将要长期保持安全的电子文档进行数字签名的方法、计算机设备和系统。

背景技术

越来越多的文档都是电子保存的。这种方式通常涉及加数字时间戳机制来将文档或其内容和特定时间点绑定。为了使数据或者时间戳在以后被篡改的风险最小化，使用一种密码数字签名来保护数据和时间戳。

公开号为US 2002/0120851 A1的美国专利申请涉及一种用于加数据时间戳的设备和方法。该设备包括受信时钟、存储器、加时间戳装置和数字签名装置。该设备用于将已经由加时间戳装置以从受信时钟获得的时间加上时间戳，并且由数字签名装置加上数字签名的数据存储到存储器中。

然而，由于受到个人密码凭证(token)的计算能力的限制，当前还不能使用户对他/她加上数字签名的文档负有法律责任，也不能长时间，例如至少30年保持文档安全。

没有用户的同意是不可能创建任何签名的。这可以由一个充当签名设备(如，智能卡)的个人加密硬件凭证来强制执行。

当前这类硬件凭证受到计算能力的限制，这意味着具有很长密钥长度的数字签名不能在可接受的时间内计算。

考虑到未来加密技术的发展将使现有加密密钥的长度不足，本发明的一个目的是创建和验证长期安全的数字签名。

发明内容

根据本发明，提供了一种为长期安全目的而对电子文档加数字签名的方法，包括以数字标记对电子文档加标记并以第一数字签名对该电子文档加签名的步骤。以在其产生时比第一数字签名计算量更少的第二数字签名对所述加标记和签名的电子文档进行签名。在大多数情况下，所述第二数字签名基于比第一数字签名更短的加密密钥。

电子文档和第一数字签名或其一部分能够被提供给客户端计算机，在其中利用密码凭证产生取决于电子文档和第一数字签名或其一部分的内容的第二数字签名。这允许向用户提供或显示该电子文档，该用户能够浏览该电子文档，并用属于用户并且也称作签名设备的个人密码凭证，例如用智能卡来对文档签名。

密码凭证可以涉及一个用户组，该用户组共享一个密码凭证，从而使该组或部门负责。

数字标记可以包括作为序列号的唯一数、时间戳或者由其导出的值。数字标记允许分配一个唯一数，该唯一数随后能够用于撤销目的。

可以附加地，即在用户签名之后，用第三数字签名或另一数字标记对该签名的电子文档签名。这会在第一数字签名被创建的位置，例如在加时间戳或签名的服务器上执行。因为足够告知签名服务器哪些密钥是无效，因此撤销过程可以被简化，其原因在于允许更加容易的密钥撤销。

数字签名可以利用非对称和对称加密。利用第一和第二签名密钥能够有利地应用公开/秘密密钥密码。用于第二签名的个人密钥具有能够由个人签名设备处理的长度。然而该长度可能不足以保证未来的长期安全。另一方面，第一签名密钥是足够长的，以至在所有合理预测下它都不会在该密钥所期望的存续期内被破解。

总的来说，考虑到未来密码技术的发展将使现有密码密钥长度不足，本发明解决了需长时间确保安全的数字签名的创建问题。通过在一个容易传送的设备，诸如智能卡上计算数字签名或其一部分，使得用户对他/她加上数字签名的文档负有法律责任。根据本发明，对每个文档发出双签名，一个用于确保长时间安全，另一个用于确保个人用户的参与。因此，文档的最终签名是这两个签名的组合。考虑到两个签名所使用的密钥大小和计算算法的特性，在文档的存续期间再生成签名似乎是没有用的。上述两个签名的组合可以获得在短期和长期内的非常高的安全级别。

第一阶段涉及受信的加数字标记操作，其可以向文档或文档的散列值添加时间和日期以及证书信息，并用第一数字签名对其进行签名。

该第一阶段可以由使用非常强的密钥长度，例如3072-4096位的受信服务器来执行，并且可以并行使用若干不同签名方案，例如RSA、ECC来在特定策略受损时保持安全性。

而后，用户验证现在包括加有签名的数字标记的文档，并且利用他/她的个人签名设备，通过在其生成时计算量比第一数字签名更少的第二数字签名对其加签名。该文档随后被视为加上有效签名的电子文档。其优点在于保证长期安全，同时仍然允许每个个人用户具有他/她的从不离开个人签名设备的私有密钥。这还允许用于对其签名负责，同时确保最终签名的密钥长度足够长期持续使用。因此，该方案允许对数字签名的长期个人责任。

如果一个个人签名设备丢失，那么也可撤销密钥。因为每个签名都跟随一个可靠的数字标记，因此在一个个人签名设备的撤销后签署的签名被简单地宣布为无效。

如果，由于技术进步，个人签名密钥的密钥长度有不够长的危险，则所有个人签名密钥都被撤销，并以代之以更长的密钥。为了增加安全性，数字标记密钥可以被销毁，这样就不可能发放任何与旧的密钥相容的数字标记。

一种例如膝上电脑、具有用于读取智能卡的电子智能卡读取器的计算机设备可以用于生成第二数字签名。并且也可以使用个人数字助理(PDA)，其同时可作为密码凭证。密码凭证被视为是个人签名设备或其一部分，它是一个由用户拥有的用于发放第二数字签名的小型设备。

在本发明的另一个方面，提供一种用于为长期安全目的而对电子文档加数字签名的系统。该系统包括文档库，用于存储并提供电子文档，连接到文档库的数字签名计算设备，用于由数字标记和电子文档导出第一数字签名，以及密码设备，用于生成在其生成时计算量比第一数字签名更少的第二数字签名。

所述数字签名计算设备可以包括一个防篡改时钟，其能够被用于创建数字标记，以及用该数字标记创建第一数字签名。此外，数字签名计算设备还包括一个内部时钟，用于验证要发放的第一数字签名和第二数字签名的发放之间的预定时间间隔。例如，个人数字签名计算设备仅在例如最近十分钟内对加有数字标记和签名的电子文档发放第二数字签名。这使得在某个时间段内试图收集有效数字签名分量的长期攻击很难进行。

可以利用相应于第一数字签名的第一公开密钥和相应于第二数字签名的第二公开密钥验证数字签名的电子文档。利用公开密钥密码允许进行容易的验证处理。

在本发明的另一方面，提供一种用于验证电子文档的方法，其中已经利用数字标记通过第一数字签名对该电子文档加上数字签名，并且用第二数字签名对其加上签名。该方法包括利用相应于第一数字签名的第一公开密钥和相应于在其生成时计算量比第一数字签名更少的第二数字签名的第二公开密钥来验证数字签名的电子文档的有效性的步骤。

附图说明

下面将参考附图仅以举例的方式具体描述本发明的优选实施例。

图1示出了根据本发明的部件的示意图。

图2示出了创建第一数字签名的示意图。

图3示出了创建第二数字签名的示意图。

图4示出了验证数字签名的示意图。

图5示出了创建数字签名的流程的示意图。

本发明的附图仅用于解释的目的，并不必然代表本发明的实际例子的规格。

具体实施方式

下面将描述本发明的各种示范性实施例。

图1示出了在一个用于数字签名和验证要保持安全许多年的电子文档的系统中各单元的示意图。可以是一个数据库服务器的文档库10存储有电子文档。该文档库10连接到一个作为数字签名服务器或加时间戳服务器的数字签名计算设备12，下称签名服务器12。该服务器被认为是带有精确的防篡改时钟11的高度安全的服务器。密码设备13通常通过网络连接到签名服务器12。其间可能置有一个用于转发请求的应用服务器(未示出)。密码设备13包括在本例中为一客户端计算机14的计算机设备14，卡或智能卡读取器16，以及与智能卡读取器16和客户端计算机14共同操作的智能卡18。

为了理解流程，在连接处为步骤标上相应于随后描述的数字1-8的圆圈中的数字。如1所示，从文档库10获得要被签名的电子文档，并提供给签名服务器12，在该服务器12中创建并附加系统签名。这将参考图2具体描述。如2所示，电子文档和系统签名被提供给客户端计算机14。如3所示，用户的客户端计算机14将电子文档和系统签名，或其散列提供给连接的卡读取器16。如4所示，卡读取器16将电子文档和系统签名，或其散列提供给插入到作为卡读取设备的卡读取器16中的智能卡18。如5所示，智能卡18由所提供的数据创建用户签名，并返回给智能卡读取设备16。如6所示，智能卡读取设备16将用户签名返回给用户的客户端计算机14。如7所示，出于验证目的，用户的客户端计算机14返回电子文档、系统签名和用户签名给签名服务器12，在该服务器12中可以添加第三签名。如8所示，被验证的电子文档、系统签名和用户签名保存在文档库10中。

通常在位于中央位置的签名服务器12上创建系统签名。为了创建系统签名，可以使用具有基于例如4096位密钥长度的公开/私有双密钥的两种算法。相应私有密钥可以存储在产生参考时间戳的超安全密码协处理器卡中。相应的公开密钥可以存储在也可以作为位于中央位置的公开密钥服务器的签名服务器12中。

利用这里作为智能卡18的密码凭证计算并产生用户签名。为此，可以使用基于例如2048位密钥长度的公开/私有双密钥的算法。所述双密钥由用户或用户组一次创建。用户的私有密钥只存储在电子卡，即智能卡18中。它不在任何网络上传输，也不能被复制。相应的用户公开密钥可以存储在位于中央位置的公开密钥服务器中，其中按指示发送该密钥到该服务器。

在进一步的实施例中，用户请求显示他/她想要签名的一个电子文档。接着，一个请求被发送给应用服务器，或直接发送给文档库10，以便获得为他/她的签名而必须提供给用户的有关数据。作为所请求的电子文档的数据集合和用户身份被发送给签名服务器12以便进行签名。在这一步，系统签名被添加到电子文档中。而后电子文档和系统签名被转发并提供给用户。可由用户检查该数据。

在另一实施例中，用户通过将他/她的手指放到可以置于卡读取器16上的指纹读取器上来进行签名。

相同的附图标记用于表示相同或近似的部分。

图2示出了创建第一数字签名28的示意图，该第一数字签名28也称为数字时间戳签名，简称DTS，即图1的所谓系统签名。电子文档在下面被称为文档20。总体来说，签名服务器12将一个包括时间、日期和/或序列号的数字标记23(DM)，以及第一数字签名28附加到文档20上，形成加有数字标记和签名的电子文档29。所述第一数字签名28对有关数字标记23和文档20或其散列加签名。具体来说，从文档20生成一个第一散列21，结果得到第一散列值22。此外，从数字标记23生成一个第二散列24，结果得到第二散列值25。使用第一和第二散列值22、25，属于签名服务器12的第一私有密钥26和密码加密算法，创建第一数字签名28。

该方案的长期安全依赖于第一数字签名28的安全。由于系统签名DTS通常由具备充分资源的固定服务器生成，因此此处性能是一个很小的因素。所以，在此使用的密钥长度可以相当长，例如4096位RSA，并且在例如RSA和DSA的密码算法可能被完全破解的情况下，并行使用基于不同密码假设的几个不同的方案。

图3示出了创建第二数字签名38的示意图。第二数字签名38在图1中称为用户签名，简称DUS。为了将该签名与特定用户绑定，用户签名，即第二数字签名38被添加到由签名服务器12签名的加有数字标记和签名的电子文档29中。具体来说，由加有数字标记和签名的电子文档29生成一个第三散列30，结果得到第三散列值31。使用第三散列值31、属于用户的第二私有密钥37和密码加密算法创建第二数字签名38。该第二数字签名而后被添加到加有数字标记和签名的电子文档29中，结果得到一个可验证的加有数字签名的电子文档39。

第二数字签名38由一个属于用户的作为智能卡18的小型密码凭证产生。因此，计算能力可以是有限的。这对密钥长度的限制以及用户签名的长期安全产生限制。此外，密码凭证，即智能卡18也可能丢失或被盗。那么该凭证就不能被用来确保长期安全。在系统的存续期间，它随时可以被更换或者废弃，而不会危及之前或者之后产生的签名的安全性。

图4示出了验证加有数字签名的电子文档39的示意图。

为了验证签名28、38，用户首先运用第二公开密钥验证第二数字签名38。用户还应该针对包含在数字标记23中的时间或序列号验证第二公开密钥47是否有效。由于第二私有密钥37可以被撤销，因此在其被撤销后签有第二公开密钥的文档是无效的。

如果第二数字签名38有效，那么用户利用第一公开密钥46验证第一数字签名28是否正确，该密钥相应于签名服务器12使用的第一私有密钥26。如果这两个签名DTS、DUS都正确并且第二公开密钥47对于相关时间是有效的，则整个签名被认为是正确的。

具体来说，由文档20，数字标记23和第一数字签名28导出一个第一验证散列40，结果得到第一验证散列值42。此外，利用第二公开密钥47，第二数字签名38和密码解密算法导出第二验证散列值45。而后，可以容易地比较第一和第二验证散列值43、45。

具体来说，从文档20和数字标记23导出一个第二验证散列40，结果得到第三验证散列值42。此外，利用第一公共密钥46，第一数字签名28和密码解密算法导出第四验证散列值44。而后，可以容易地比较第三和第四验证散列值42、44。如果散列值43、45和42、44分别匹配，则签名是有效的。

图5示出了创建数字签名DTS和DUS的流程的示意图。参考图1，如1所示，目标文档20被从文档库10取得并提供给签名服务器12。签名服务器12创建第一数字签名DTS并与数字标记DM一起附加到文档20上。结果得到加有数字标记和签名的电子文档29。该文档29，如2所示，而后被提供给密码设备13，由其创建用户签名，即第二数字签名DUS，并将该签名附加到加有系统签名的文档上。所得到的加有数字签名的电子文档39由密码设备13转发。最后，如7和8所示，加有数字签名的电子文档被验证并返回给文档库10。

上述公开的任何实施例都可以与一个或若干个其它所示和/或所述实施例相结合。这也同样适用于实施例中的一个或多个特征。

Claims

1.一种用于为长期安全目的而对电子文档加上数字签名的方法，包括用数字标记(23)对电子文档加标记和用第一数字签名(DTS)对该电子文档加签名的步骤，其中

用在其生成时计算量比第一数字签名(DTS)更少的第二数字签名(DUS)对加有标记和签名的电子文档(29)进行签名。

2.根据权利要求1的方法，还包括：

根据电子文档的内容生成数字标记；以及

利用所述数字标记(23)生成第一数字签名(DTS)。

3.根据上述任何一项权利要求的方法，还包括：

向客户端计算机(14)提供电子文档(20)和第一数字签名(DTS)；以及

利用密码凭证(18)产生取决于电子文档和第一数字签名(DTS)的内容的第二数字签名(DUS)。

4.根据权利要求3的方法，其中密码凭证(18)涉及一个或多个个人用户和用户组。

5.根据上述任何一项权利要求的方法，其中所述数字标记(23)包括作为序列号、时间戳以及由其导出的值中的一个或多个的唯一数。

6.根据上述任何一项权利要求的方法，其中第二数字签名(DUS)基于比第一数字签名(DTS)更短的密码密钥。

7.根据上述任何一项权利要求的方法，进一步包括额外用第三数字签名对该电子文档签名。

8.一种计算机设备(13)，用于执行根据权利要求1-7所述的方法的第二数字签名。

9.根据权利要求8的计算机设备，包括用于读取智能卡(18)的电子智能卡读取器(16)。

10.一种用于为长期安全目的而对电子文档加上数字签名的系统，所述系统包括：

文档库(10)，用于存储并提供电子文档(20)；

数字签名计算设备(12)，连接到文档库(10)，用于由数字标记(23)和电子文档(20)导出第一数字签名(DTS)；以及

密码设备(13)，用于生成在其生成时计算量比第一数字签名(DTS)更少的第二数字签名(DUS)。

11.根据权利要求10的系统，其中所述数字签名计算设备(12)包括防篡改时钟(11)。

12.根据权利要求10或11的系统，其中密码设备(13)包括一个内部时钟，用于验证数字标记签名(DTS)和第二数字签名(DUS)的发放之间的预定时间间隔。

13.根据权利要求10-12中任何一项的系统，该系统用于利用相应于第一数字签名(DTS)的第一公开密钥(46)和相应于第二数字签名(DUS)的第二公开密钥(47)验证加有数字签名的电子文档(39)。

14.一种用于验证电子文档的方法，该电子文档利用数字标记(23)通过第一数字签名(DTS)加有数字签名，并且随后用第二数字签名(DUS)加有数字签名，所述方法包括步骤：

利用相应于第一数字签名(DTS)的第一公开密钥(46)和相应于在其生成时计算量比第一数字签名(DTS)更少的第二数字签名(DUS)的第二公开密钥(47)验证加有数字签名的电子文档(39)的有效性。