消息認(rèn)證與數(shù)字簽名.ppt

《消息認(rèn)證與數(shù)字簽名.ppt》由會(huì)員分享，可在線閱讀，更多相關(guān)《消息認(rèn)證與數(shù)字簽名.ppt（55頁珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、1,第五章 消息認(rèn)證與數(shù)字簽名,5.1 信息認(rèn)證 5.2 散列（Hash）函數(shù) 5.3 數(shù)字簽名體制,2,問題的提出,通信威脅 1. 泄露：把消息內(nèi)容發(fā)布給任何人或沒有合法密鑰的進(jìn)程。 2. 偽造：從一個(gè)假冒信息源向網(wǎng)絡(luò)中插入消息。 3. 內(nèi)容修改：消息內(nèi)容被插入刪除變換修改。 4. 順序修改：插入刪除或重組消息序列。 5. 時(shí)間修改：消息延遲或重放。 6. 否認(rèn)：接受者否認(rèn)收到消息,發(fā)送者否認(rèn)發(fā)送過消息。,3,5.1 信息認(rèn)證,回顧：前面講述的對(duì)稱密碼（如DES和AES）和公鑰密碼體制（RSA）都是圍繞信息的保密性，即防止第三方獲取明文消息而展開的，但信息的完整性和抗否認(rèn)性也是信息安全

2、內(nèi)容的重要特征。保證信息的完整性和抗否認(rèn)性是通過信息認(rèn)證和數(shù)字簽名來實(shí)現(xiàn)的。 信息認(rèn)證（消息認(rèn)證）驗(yàn)證信息的完整性，當(dāng)接收方收到發(fā)送方的報(bào)文時(shí)，接收方能夠驗(yàn)證收到的報(bào)文時(shí)真實(shí)的未被篡改的。 （包括順序和及時(shí)性） 它包含兩方面的含義： （1）驗(yàn)證信息的發(fā)送者是真正的而不是冒充的，即數(shù)據(jù)起源驗(yàn)證； （2）驗(yàn)證信息在傳遞過程中未被篡改、重放或延遲等。,4,信息認(rèn)證檢驗(yàn)的內(nèi)容：證實(shí)報(bào)文的信源和信宿、報(bào)文內(nèi)容是否遭到偶然或有意地篡改、報(bào)文的序號(hào)是否正確，報(bào)文到達(dá)的時(shí)間是否在指定的期限內(nèi)。這種認(rèn)證只在通信的雙方之間進(jìn)行，而不允許第三者進(jìn)行上述認(rèn)證。認(rèn)證不一定實(shí)時(shí)的。 保密和認(rèn)證同時(shí)是信息系統(tǒng)安全的兩個(gè)方面

3、，但它們是兩個(gè)不同屬性的問題，認(rèn)證不能自動(dòng)提供保密性，而保密性也不能自然提供認(rèn)證功能。一個(gè)純認(rèn)證系統(tǒng)的模型如下圖所示：,5,認(rèn)證系統(tǒng)的模型,6,認(rèn)證函數(shù) 可用來做認(rèn)證的函數(shù)分為三類 (1) 信息加密函數(shù)(Message encryption)： 將明文加密后以密文作為認(rèn)證 (2) 信息認(rèn)證碼MAC(Message Authentication Code)：用一個(gè)密鑰控制的公開函數(shù)作用后，產(chǎn)生固定長度的數(shù)值作為認(rèn)證符，也稱密碼校驗(yàn)和。 (3) 散列函數(shù)(Hash Function)： 是一個(gè)公開的函數(shù)它將任意長的信息映射成一 個(gè)固定長度的散列值，以散列值作為認(rèn)證符。 常見的散列函數(shù)有：MD4、

4、 MD5、SHA和 SHA-1,7,5.1.1 信息加密認(rèn)證,信息加密函數(shù)分兩種，一種是常規(guī)的對(duì)稱密鑰加密函數(shù)，另一種是公開密鑰的雙密鑰加密函數(shù)。下圖的通信雙方是，用戶A為發(fā)信方，用戶B為接收方。用戶B接收到信息后，通過解密來判決信息是否來自A， 信息是否是完整的，有無竄擾。 1.對(duì)稱密碼體制加密： 對(duì)稱加密：具有機(jī)密性，可認(rèn)證,不提供簽名,8, 如何自動(dòng)確定是否收到的明文可解密為可懂的明文? 一種解決辦法是強(qiáng)制明文有某種結(jié)構(gòu).,差錯(cuò)控制：Error Control,9,2. 公鑰密碼體制加密認(rèn)證： （1）公鑰加密：具有機(jī)密性，不能提供認(rèn)證（任何人都可以得到公鑰）,（2）私鑰加密：認(rèn)證和簽名，

5、沒有保密性,10,（3）公鑰加密體制：機(jī)密性，可認(rèn)證和簽名,11,5.1.2 消息認(rèn)證碼（MAC）,消息認(rèn)證碼（MAC）是在密鑰的控制下將任意長的消息映射到一個(gè)簡短的定長數(shù)據(jù)分組，并將它附加在消息后。MAC進(jìn)行消息的認(rèn)證過程如圖：,MAC的基本用法(a),12,A B: M||CK(M) 即A使用雙方共享的密鑰K對(duì)明文進(jìn)行計(jì)算，產(chǎn)生一個(gè) 短小的數(shù)據(jù)塊，即消息驗(yàn)證碼 MAC=CK(M) 。發(fā)送給 接收方B時(shí)，將它附加在報(bào)文中。 接收方收到報(bào)文使用相同的密鑰K執(zhí)行相同的計(jì)算，得到新的MAC。接收方將收到的MAC與計(jì)算得到MAC進(jìn)行比較，如果相匹配，那么可以保證報(bào)文在傳輸過程中維持了完整性：

6、（1）報(bào)文未被更改過 （2）接收者確信報(bào)文來自真實(shí)的發(fā)送者。（無人知曉密鑰） 注意：上述認(rèn)證過程只提供認(rèn)證、不提供保密性。,,13,MAC的基本用法(b),提供消息認(rèn)證與保密，認(rèn)證碼與明文連接 Provides authentication -- only A and B share K1 Provides confidentiality -- only A and B share KK2 2,A B: EK2(M||CK1(M)),,14,MAC的基本用法(c),提供消息認(rèn)證與保密，認(rèn)證碼與密文連接 Provides authentication -- Using K1 Provide

7、s confidentiality -- Using K2,A B: EK2(EK2(M) ||CK1(EK2(M))),,15,消息認(rèn)證 VS 常規(guī)加密,MAC函數(shù)類似于加密函數(shù)，主要區(qū)別在于MAC函數(shù)不需要可逆而加密函數(shù)必須是可逆的，因此，認(rèn)證函數(shù)比加密函數(shù)更不易破解。 保密性與真實(shí)性是兩個(gè)不同的概念 根本上,信息加密提供的是保密性而非真實(shí)性 加密代價(jià)大(公鑰算法代價(jià)更大) 認(rèn)證函數(shù)與保密函數(shù)的分離能提供功能上的靈活性 某些信息只需要真實(shí)性,不需要保密性 廣播的信息難以使用加密(信息量大) 網(wǎng)絡(luò)管理信息等只需要真實(shí)性 政府/權(quán)威部門的公告,16,5.2 散列（Hash）函數(shù),散列函

8、數(shù)（又稱雜湊函數(shù)）是對(duì)不定長的輸入產(chǎn)生定長輸出的一種特殊函數(shù)：h=H(M) M: 變長消息 h=H(M)是定長的散列值（或稱消息摘要） H：散列函數(shù)，是公開的； H(M)又稱為：哈希函數(shù)、數(shù)字指紋（Digital finger print)、壓縮（Compression)函數(shù)、數(shù)據(jù)鑒別碼（Dataauthentication code）等 散列值在信源處被附加在消息上，接收方重新計(jì)算散列值來確認(rèn)消息未被篡改。由于函數(shù)本身公開，傳送過程中需要對(duì)散列值加密保護(hù)（如果沒有對(duì)散列值的保護(hù)，篡改者可以在修改消息的同時(shí)修改散列值，從而使散列值的認(rèn)證功能失效）。,17,5.2.1 散列函數(shù)的性質(zhì),散列函數(shù)的

9、目的是為文件、消息或其他的分組數(shù)據(jù)產(chǎn)生“指紋”。用于消息認(rèn)證的散列函數(shù)H具有如下性質(zhì): （1）H能用于任何大小的數(shù)據(jù)分組，都能產(chǎn)生定長的輸出。 （2）對(duì)于任何給定的x， H(x)要相對(duì)易于計(jì)算。 （3）對(duì)任何給定的散列碼h,尋找x使得H(x)=h在計(jì)算上不可行（單向性）。 （4）對(duì)任何給定分組x，尋找不等于x的y，使得H(x)=H(y)在計(jì)算上不可行（弱抗沖突）。 （5）尋找任何的（x,y），使得H(x)=H(y)在計(jì)算上不可行（強(qiáng)抗沖突）。,18,注意：前兩個(gè)性質(zhì)使得散列函數(shù)用于消息認(rèn)證成為可能。 第二和第三個(gè)性質(zhì)保證H的單向性，保證攻擊者無法通過散列值恢復(fù)消息。 第四個(gè)性質(zhì)保證了攻擊者無法

10、在不修改散列值的情況下替換消息而不被察覺。 第五個(gè)性質(zhì)比第四個(gè)更強(qiáng)。保證了一種被稱為生日攻擊的方法無法湊效。 生日問題：一個(gè)教室中，最少應(yīng)有多少學(xué)生，才使至少有兩人具有相同生日的概率不小于1/2？ 實(shí)際上只需23人,即任找23人，從中總能選出兩人具有相同生日的概率至少為1/2。,19,通過以下方式使用散列函數(shù)常提供消息認(rèn)證,（1）使用對(duì)稱加密算法對(duì)附加消息摘要的報(bào)文進(jìn)行加密 A B: EK(M||H(M)) 提供保密、認(rèn)證 （2）使用對(duì)稱加密方法對(duì)消息摘要加密 A B: M||EK(H(M)) 提供認(rèn)證 （3）使用發(fā)方的私鑰對(duì)消息摘要進(jìn)行加密 A B: M||EKRa(H(M))

11、提供數(shù)字簽名、認(rèn)證 （4）在（3）的基礎(chǔ)上，使用對(duì)稱加密方法進(jìn)行加密 A B: EK(M||EKa(H(M)) ) 提供數(shù)字簽名、認(rèn)證和保密 （5）假定雙方共享一個(gè)秘密值S，與消息M串接，計(jì)算散列值 A B: M||(H(M||S)) 提供認(rèn)證 （6）假定雙方共享一個(gè)秘密值S，使用散列函數(shù)，對(duì)稱加密方法 A B: EK(M||H(M||S)) 提供數(shù)字簽名、認(rèn)證和保密,,,,,,,20,認(rèn)證 和保密,認(rèn)證,認(rèn)證和 數(shù)字簽名,21,認(rèn)證 保密和 數(shù)字簽名,認(rèn)證,S:雙方共享的秘密值,認(rèn)證 保密和,22,Hash vs MAC,MAC需要對(duì)全部數(shù)據(jù)進(jìn)行加密 MAC速度慢 Hash是一種

12、直接產(chǎn)生認(rèn)證碼的方法,23,5.2.2 散列函數(shù)的結(jié)構(gòu),為了對(duì)不定長的輸入產(chǎn)生定長的輸出，并且最后的結(jié)果要與所有的字節(jié)有關(guān)，大多數(shù)的散列函數(shù)的結(jié)構(gòu)都采用了分塊填充鏈接的模式，其結(jié)構(gòu)是迭代型的。 以MD4為例講解散列函數(shù)的結(jié)構(gòu) MD4散列函數(shù)將輸入數(shù)據(jù)分為L個(gè)固定長度為b比特的分組。 輸入數(shù)據(jù)包括：消息、填充數(shù)據(jù)和消息的長度值（消息長度值用64比特表示）。 說明：填充數(shù)據(jù)的目的是使輸入數(shù)據(jù)為b比特的倍數(shù)；增加消息長度值將增加攻擊者攻擊的難度。 散列函數(shù)的結(jié)構(gòu)如圖所示：,24,迭代型散列函數(shù)的結(jié)構(gòu),MD4算法如下： CV0=Vi CVi=f(CVi-1,Yi-1) h=H(M)=CVL=f(CVL

13、-1,YL-1) Vi：初始鏈接變量 CVi-1：連接變量；f：壓縮函數(shù)(由若干輪處理組成)； 通常bn,25,5.2.3 MD5算法,Ron Rivest于1990年提出了一個(gè)稱為MD4的散列函數(shù)。他的設(shè)計(jì)沒有基于任何假設(shè)和密碼體制，不久，他的一些缺點(diǎn)也被提出。為了增強(qiáng)安全性和克服MD4的缺陷， Rivest于1991年對(duì)MD4作了六點(diǎn)改進(jìn)，并將改進(jìn)后的算法稱為MD5. MD5算法：將明文按512比特進(jìn)行分組，即MD5中的b=512bit，經(jīng)填充后信息長度為512的倍數(shù)（包括64比特的消息長度）。 填充：首位為1，其余補(bǔ)0至滿足要求，即填充后的比特?cái)?shù)為512的整數(shù)倍減去64，或使得填充后的數(shù)

14、據(jù)長度與448模512同余。,26,MD5的框圖,27,5.2.4 安全散列算法（SHA）,舉例：MD5算法：已知消息為“河北工業(yè)大學(xué)分校電子Z08級(jí)的信息安全技術(shù)是一門專業(yè)基礎(chǔ)課，我們必須學(xué)好?！庇?jì)算填充長度為多少？（標(biāo)點(diǎn)符號(hào)為全角）（392）,目前，MD5被認(rèn)為是易受攻擊的（很容易遭遇強(qiáng)碰撞的生日攻擊），因此，有必要用一個(gè)具有更長散列碼和更能抗擊已知密碼分析攻擊的散列函數(shù)來代替現(xiàn)在流行的MD5?，F(xiàn)在已經(jīng)有兩個(gè)散列碼長度為160比特的替代者SHA-1和RIPEMD-160。我們了解SHA-1即可。,28,29,安全散列算法SHA(Secure Hash Algorithm)是由美國國家標(biāo)準(zhǔn)和

15、技術(shù)協(xié)會(huì)提出的，并作為聯(lián)邦信息處理標(biāo)準(zhǔn)在1993年公布。1995年又發(fā)布了一個(gè)修訂版，通常稱為SHA-1。SHA是基于MD4算法的。 MD5與SHA-1對(duì)比 MD5 SHA-1 消息長度 128bit 160bit 分組長度 512bit 512bit 步驟數(shù) 64 80 消息最大長度 264-1 速度 較快 慢,30,Hash 函數(shù),MD5 ：對(duì)輸入消息（任意長）按照 512位進(jìn)行分組處理，輸出128位消息摘要 SHA-1：輸入長度小于264位消息，按 512位進(jìn)行分組處理，輸出160位消息摘要。 RIP

16、EMD-160：對(duì)輸入消息（任意長）按照 512位進(jìn)行分組處理，輸出160位消息摘要,31,5.3 數(shù)字簽名體制,數(shù)字簽名是電子商務(wù)安全的一個(gè)非常重要的分支，在大型網(wǎng)絡(luò)安全通信中的密鑰分配、安全認(rèn)證、防否認(rèn)等方面具有重要作用。 1999年美國參議院已通過了立法，規(guī)定數(shù)字簽名與手寫簽名的文件、郵件在美國具有同等的法律效力。 前面我們講述的消息認(rèn)證是保護(hù)通信雙方之間不受第三方的攻擊，但卻無法防止通信雙方中一方對(duì)另一方的欺騙。如A偽造一個(gè)消息并使用與B共享的密鑰產(chǎn)生該消息的認(rèn)證碼，然后聲稱該消息來自于B，同樣，B也可以對(duì)自己給A發(fā)送的消息予以否認(rèn)。因此，除了認(rèn)證之外還需要其他機(jī)制來防止通信雙方的抵賴

17、行為，最常見的是數(shù)字簽名技術(shù)。,32,5.3.1 數(shù)字簽名原理,傳統(tǒng)的軍事、政治、外交活動(dòng)中的文件、命令和條約及商業(yè)中的契約等需要人手工完成簽名或印章，以表示確認(rèn)和作為舉證等。隨著計(jì)算機(jī)通信網(wǎng)絡(luò)的發(fā)展，人們更希望通過電子設(shè)備實(shí)現(xiàn)快速、遠(yuǎn)距離交易，數(shù)字簽名就由此應(yīng)運(yùn)而生，并被用于商業(yè)通信系統(tǒng)。 數(shù)字簽名：在公鑰體制下的簽名，用戶用自己的私鑰對(duì)原始數(shù)據(jù)的哈希摘要進(jìn)行加密，然后信息接收者使用信息發(fā)送者的公鑰對(duì)附在原始信息后的數(shù)字簽名進(jìn)行解密后獲得哈希摘要，并通過與用自己收到的原始數(shù)據(jù)產(chǎn)生的哈希摘要對(duì)照，便可確信原始信息是否被篡改，這樣就保證了數(shù)據(jù)傳輸?shù)牟豢煞裾J(rèn)性。,33,案例 中國首例電子郵件案例,

18、1996年7月9日,北京市海淀區(qū)法院審理國內(nèi)第一起電子郵件侵權(quán)案。 此案的原、被告均系北大心理學(xué)系93級(jí)女研究生。4月9日。原告薛燕戈收到美國密執(zhí)安大學(xué)教育學(xué)院通過互聯(lián)網(wǎng)發(fā)給她的電子郵件。內(nèi)容是該學(xué)院將給她提供1.8萬美元金額獎(jiǎng)學(xué)金的就學(xué)機(jī)會(huì)，她非常高興。因?yàn)檫@是唯一一所答應(yīng)給她獎(jiǎng)學(xué)金美國名牌大學(xué)。此后，她久等正式通知，但杳無音訓(xùn)，蹊蹺之中委托在美國的朋友去密執(zhí)安大學(xué)查詢。4月27日朋友告知，密執(zhí)安大學(xué)收到一封北京時(shí)間4月12日10時(shí)16分發(fā)出的署名薛燕戈的電子郵件，表示拒絕該校的邀請(qǐng)。因此密執(zhí)安大學(xué)以將原準(zhǔn)備給薛的獎(jiǎng)學(xué)金轉(zhuǎn)給他人。,34,法庭上，薛燕戈說 ，密執(zhí)安大學(xué)發(fā)來的電子郵件，是她

19、和被告張男一起去北大心理學(xué)認(rèn)知心理學(xué)實(shí)驗(yàn)室看到的，并且存放在張男的電子信箱里。薛燕戈認(rèn)為，是張男在4月12 日10時(shí)16分用薛的名義給密執(zhí)安大學(xué)發(fā)了一封郵件，謊稱薛已接受其他學(xué)校的邀請(qǐng)，故不能去該校學(xué)習(xí)。薛從北大計(jì)算中心取得4月12日的電子郵件記錄，與美國取證回來的材料完全吻合。因此，薛提出訴訟請(qǐng)求：被告承認(rèn)并公開道歉，又被告承擔(dān)原告的調(diào)查取證以及和美國學(xué)校交涉的費(fèi)用、醫(yī)療費(fèi)和營養(yǎng)費(fèi)用、精神損失補(bǔ)償?shù)热嗣駧?.5萬元。張男在法庭上稱，事實(shí)上她從未以薛的名義給密執(zhí)安大學(xué)發(fā)過電子郵件，對(duì)此事沒有絲毫責(zé)任。,35,此案在開庭審理后，盡管到底誰借原告之名向密執(zhí)安大學(xué)發(fā)出拒絕接受入學(xué)邀請(qǐng)的電子郵件，使原

20、告喪失了一次出國深造的機(jī)會(huì)，并沒有得出確切結(jié)論。但是在休庭之后，被告終于向原告承認(rèn)，該電子郵件時(shí)她所為，并愿意就此向原告道歉并賠償因其侵權(quán)行為給原告造成的精神及財(cái)產(chǎn)損失。經(jīng)過法院調(diào)解，原、被告雙方當(dāng)事人自愿達(dá)成協(xié)議：被告以書面形式向原告賠禮道歉，并賠償原告精神損害、補(bǔ)償經(jīng)濟(jì)損失共計(jì)1.2萬元。 如果郵件的發(fā)送附加了可防偽 和可追蹤的數(shù)字簽名，也許本案就不會(huì)發(fā)生了。,36,1.數(shù)字簽名的設(shè)計(jì)要求,依賴性：簽名必須是依賴于被簽名信息的比特模式（依賴性） 唯一性：簽名必須使用某些對(duì)發(fā)送者是唯一的信息，以防止雙方的偽造與否認(rèn) 可用性：必須相對(duì)容易生成該數(shù)字簽名，在存儲(chǔ)器中保存一個(gè)數(shù)字簽名副本是現(xiàn)

21、實(shí)可行的 可驗(yàn)證：必須相對(duì)容易識(shí)別和驗(yàn)證該數(shù)字簽名， 抗偽造：偽造該數(shù)字簽名在計(jì)算上具有不可行性，既包括對(duì)一個(gè)已有的數(shù)字簽名構(gòu)造新的消息，也包括對(duì)一個(gè)給定消息偽造一個(gè)數(shù)字簽名,37,2.數(shù)字簽名與手寫簽名的區(qū)別,簽名：手簽是被簽文件的物理組成部分，而數(shù)字簽名不是被簽文件的物理組成部分，因而需要將簽名連接到被簽文件上。 驗(yàn)證：手寫簽名是通過將它與真實(shí)的簽名進(jìn)行比較來驗(yàn)證；而數(shù)字簽名是利用已經(jīng)公開的算法來驗(yàn)證。 數(shù)字簽名消息的復(fù)制品與其本身是一樣的；而手寫簽名的復(fù)制品與原品是不同的。,38,3.數(shù)字簽名應(yīng)滿足的基本條件,簽名者不能否認(rèn)自己的簽名 接收者能夠驗(yàn)證簽名，而其他任何人都不能偽造簽名 當(dāng)關(guān)

22、于簽名的真?zhèn)伟l(fā)生爭執(zhí)時(shí)，存在一個(gè)仲裁機(jī)構(gòu)或第三方能夠解決爭執(zhí),39,4.數(shù)字簽名的分類,按明文、密文對(duì)應(yīng)關(guān)系劃分：確定性數(shù)字簽名（RSA體制）和非確定數(shù)字簽名（ElGamal體制） 按照簽名方式：直接數(shù)字簽名和需仲裁的數(shù)字簽名 按照簽名內(nèi)容的多少劃分：對(duì)整個(gè)消息簽名和對(duì)壓縮消息的簽名 安全性:無條件安全的數(shù)字簽名和計(jì)算上安全的數(shù)字簽名 可簽名次數(shù):一次性的數(shù)字簽名和多次性的數(shù)字簽名。,40,直接數(shù)字簽名,直接數(shù)字簽名可通過四種方法實(shí)現(xiàn) 直接數(shù)字簽名僅涉及通信方。假設(shè)接收方知道發(fā)方的公鑰。數(shù)字簽名通過使用發(fā)方的私鑰對(duì)整個(gè)消息進(jìn)行加密或使用發(fā)方的私鑰對(duì)消息的散列碼（消息摘要）進(jìn)行加密來產(chǎn)生。 (

23、1) AB:EKRaM 提供了認(rèn)證與簽名 只有A具有KRa進(jìn)行加密; 傳輸中無法被篡改 需要某些格式信息/冗余度 任何第三方可以用KUa 驗(yàn)證簽名,41,直接數(shù)字簽名,(2) AB: EKUb EKRa(M) 提供了保密(KUb) 、認(rèn)證與簽名(KRa) (3) AB: M||EKRaH(M) 提供認(rèn)證及數(shù)字簽名 -- H(M) 受到密碼算法的保護(hù) -- 只有A 能夠生成EKRaH(M) 4) AB: EKM||EKRaH(M) 提供保密性、認(rèn)證和數(shù)字簽名,42,直接數(shù)字簽名的缺點(diǎn),驗(yàn)證模式依賴于發(fā)送方的保密密鑰 （1）發(fā)送方要抵賴發(fā)送某一消息時(shí)，可能會(huì)聲稱其私有密鑰丟失或被竊，從而他人偽造了

24、他的簽名。 （2）通常需要采用與私有密鑰安全性相關(guān)的行政管理控制手段來制止或至少是削弱這種情況，但威脅在某種程度上依然存在。 （3）改進(jìn)的方式：例如可以要求被簽名的信息包含一個(gè)時(shí)間戳（日期與時(shí)間），并要求將已暴露的密鑰報(bào)告給一個(gè)授權(quán)中心。 X的某些私有密鑰確實(shí)在時(shí)間T被竊取，敵方可以偽造X的簽名及早于或等于時(shí)間T的時(shí)間戳,43,仲裁數(shù)字簽名,引入仲裁者 通常的做法是所有從發(fā)送方X到接收方Y(jié)的簽名消息首先送到仲裁者A， A將消息及其簽名進(jìn)行一系列測(cè)試，以檢查其來源和內(nèi)容，然后將消息加上日期并與已被仲裁者驗(yàn)證通過的指示一起發(fā)給Y。 仲裁者在這一類簽名模式中扮演敏感和關(guān)鍵的角色 所有的參與者必須極大

25、地相信這一仲裁機(jī)制工作正常（trusted system）,44,仲裁數(shù)字簽名技術(shù),單密鑰加密方式仲裁者可以看見消息 X與A之間共享密鑰Kxa，Y與A之間共享密鑰Kay； X：準(zhǔn)備消息M ，計(jì)算其散列碼H(M)，用X的標(biāo) 識(shí)符IDx和散列值構(gòu)成簽名，并將消息及簽名經(jīng) Kxa加密后發(fā)送給A； A ：解密簽名，用H(M)驗(yàn)證消息M ，然后將Idx， M， 簽名和時(shí)間戳一起經(jīng)Kay加密后發(fā)送給Y； Y ：解密A發(fā)來的信息，并可將M和簽名保存起來。,45,解決糾紛：,Y： 向A發(fā)送EKayIDx||M || EKxaIDx|| H(M) A： 用Kay恢復(fù)IDx，M 和簽名（EKxaIDx|| H(M

26、) ），然后用Kxa解密簽名并驗(yàn)證散列碼 注意：在這種模式下Y不能直接驗(yàn)證X的簽名，Y認(rèn)為A的 消息已認(rèn)證，只因?yàn)樗鼇碜訟 ，因此雙方都需要高度相 信A： X必須信任A沒有暴露Kxa 并且沒有生成錯(cuò)誤的簽名，EKxaIDx|| H(M) Y必須信任A僅當(dāng)散列值正確并且簽名確實(shí)是X產(chǎn)生的 情況下才發(fā)送的EKayIDx|| M || EKxaIDx|| H(M) || T 雙方都必須信任A處理爭議是公正的。,46,解決糾紛：,只要A遵循上述要求，則X相信沒有人可以偽造 其簽名；Y相信X不能否認(rèn)其簽名。 上述情況還隱含著A可以看到X給Y的所有信息， 因而所有的竊聽者也能看到。,47,(b) 單密鑰加

27、密方式，仲裁者不可以看見消息 在這種情況下，X與Y之間共享密鑰Kxy， X ：將標(biāo)識(shí)符IDx ,密文EKxyM ，以及對(duì)IDx和密文消 息的散列碼用Kxa加密后形成簽名發(fā)送給A。 A ：解密簽名用散列碼驗(yàn)證消息，這時(shí)A只能驗(yàn)證消息 的密文，而不能讀取其內(nèi)容，然后A將來自X的所有信息 加上時(shí)間戳并用Kay加密后發(fā)送給Y。 (a)和(b)共同存在一個(gè)共性問題： A和發(fā)送方聯(lián)手可以否認(rèn)簽名的信息； A和接收方聯(lián)手可以偽造發(fā)送方的簽名；,48,(c) 雙密鑰加密方式仲裁者不可以看見消息 X ：對(duì)消息M雙重加密：首先用X的私有密鑰KRx，然后 用Y的公開密鑰Kuy。形成一個(gè)簽名的、保密的消息。然 后

28、將該信息以及X的標(biāo)識(shí)符一起用KRx簽名后與Idx一起 發(fā)送給A。這種內(nèi)部、雙重加密的消息對(duì)A以及對(duì)除Y以 外的其它人都是安全的。 A： 檢查X的公開/私有密鑰對(duì)是否仍然有效，是，則認(rèn) 證消息。并將包含Idx、 雙重加密的消息和時(shí)間戳構(gòu)成 的消息用KRa簽名后發(fā)送給Y。,49,本模式比上述兩個(gè)模式具有以下好處： 1 在通信之前各方之間無須共享任何信息，從而避免了聯(lián)手作弊。 2 即使KRx暴露，只要KRa未暴露不會(huì)有錯(cuò)誤標(biāo)定日期的消息被發(fā)送； 3 從X發(fā)送給Y的消息的內(nèi)容對(duì)A和任何其他人是保密的。,50,5.3.2 RSA數(shù)字簽名體制,RSA是最流行的一種加密標(biāo)準(zhǔn)，許多產(chǎn)品的內(nèi)核都有RSA的軟件和

29、類庫，RSA與Microsoft、IBM、Sun和Digital都簽訂了許可協(xié)議，使其在生產(chǎn)線上加入了類似的簽名特性。與DSS不同，RSA既可用于加密數(shù)據(jù)，也可用于身份認(rèn)證。,51,RSA數(shù)字簽名體制,h=H(M) S=Sig(h)=hdmodn M|| Sig(h) h= H(M) h=semodn h?= h 對(duì)照數(shù)字簽名的各項(xiàng)要求，RSA數(shù)字簽名體制體現(xiàn)了數(shù)字簽名的各項(xiàng)要求： 散列函數(shù)取得消息的信息摘要，從而使對(duì)摘要進(jìn)行加密而產(chǎn)生的簽名依賴于消息；(依賴性) RSA私鑰的保密性使得簽名是唯一的(唯一性) 信息摘要的字節(jié)數(shù)很少（SHA的160比特），因而產(chǎn)生簽名相對(duì)簡單，同樣的，簽名的識(shí)別與證實(shí) 也相對(duì)簡單。(可用性) 散列函數(shù)的單向性以及RSA私鑰的保密性，使得偽造數(shù)字簽名不可行。(抗偽造性),52,簽名與加密,53,5.3.4 數(shù)字簽名標(biāo)準(zhǔn)DSS,DSS是由美國國家標(biāo)準(zhǔn)化研究院和國家安全局共同開發(fā)的，被美國NIST作為DSS（Digital Signature Standard）數(shù)字簽名標(biāo)準(zhǔn)。主要用于與美國政府做生意的公司，其他公司則較少使用，它只是一個(gè)簽名系統(tǒng)，而且美國政府不提倡使用任何削弱政府竊聽能力的加密軟件，認(rèn)為這才符合美國的國家利益。,54,55,End thank you!,