1. 选取两个512位的大素数p和q，使得N(=pq)为1024位;
2. 可得Φ(N)=(p-1)(q-1);
3. 选取随机整数e(1<e<Φ(N))，满足gcd(e,Φ(N))=1;
4. 计算d: d≡e^-¹(mod Φ(N))；
5. 公钥Pk=(n,e),私钥为{d,Φ(N),p,q}。

  这里，先选择e再确定d的原因是：加密的重要性大于解密的重要性。

1. 利用一个安全的Hash函数h来产生消息摘要h(m);
2. s≡h(m)^d(mod n),s就是消息m的签名；
3. 将(s,m)发送给B。

1.   利用上述Hash函数生成h(m);
2. 检验等式h(m)mod n≡s^e(mod n)是否成立，成立则签名有效，否则签名无效。

1. 签名时使用了Hash函数可以防止利用同态的伪造攻击，有很好的抗攻击性。
2. RSA签名方案存在签名可重用的问题，同一消息在不同时刻签名不应是相同的。

1.  选取一个1024位的大素数p；
2. 选择一个生成元g和随机数x，计算y≡g^x(mod p)

           签名者的公钥是(p,g,y)，私钥是x。

1. 随机数k的选取和保管：首先k值不能泄露，否则签名者的私钥泄露；其次，k不能重复使用；最后，签名者多次签名的的多个k之间无关联。
2. 如果不使用Hash函数，则签名方案容易受到伪造攻击

1. 选取两大素数p(1024位)和q，q是p-1的大素因子且长度比p小得多；
2. 选取一个生成元，且g^q≡1(mod o),g≠1；
3. 选取随机数1<x<q，计算y≡g^x(mod p)，公钥为(p,q,g,y)，私钥为x。

签名者选择随机数k,1≤k≤q-1，然后进行如下计算：

　　　　　　　　　　　　r≡g^k(mod p)

　　　　　　　　　　　　e=h(m,r)

　　　　　　　　　　　　s≡(xe+k)(mod q)

签名为(e,s),其中h为安全的Hash函数。

 安全性和ElGaml类似

1.   选取160bite的素数q，选择512~1024bite的素数p，使得p-1能被q整除；
2. 选择g≡h^(p-1)/q(mod p),h满足1<h<p-1,且g>1;
3. 选择1~q之间的随机数x作为私钥，计算y≡g^x(mod p)，用户的公钥是(p,q,g,y)

收到m和签名值(r,s)后，计算

　　w≡s^-1(mod q)  

　　u₁≡h(m)w(mod q)

　　u₂≡rw(mod q)

　　v=(g^u₁y^u₂mod p)mod q

比较v和r，相同则签名有效，否则无效。

  选择E上一点G∈E，G的阶为满足安全要求的素数n，即nG=O。

  选取一个随机数d∈[1,n-1]，计算Q使得Q=dG，那么公钥为(n,Q)，私钥为d。

1. 用户随机选取整数k∈[1,n-1]，计算kG=(x,y),r≡x(mod n)；
2. 计算e＝h(m)；
3. 计算s≡(e+rd)k^-1(mod n)，如果r=0或s=0，则另选随机数k，重新执行上面的过程，消息m的签名为(r,s)。

1.   计算e=h(m)；
2. 计算u≡s^-1e(mod n),v≡s^-1r(mod n)，(x₁,y₁)=uG+vQ,r₁≡x₁(mod n)；
3. 判断r和r1的关系，相等则签名有效，否则无效。