第3課_數(shù)字簽名技術(shù)與應(yīng)用

1、第第3 3課課 數(shù)字簽名技術(shù)與應(yīng)用數(shù)字簽名技術(shù)與應(yīng)用n教學(xué)目的F掌握數(shù)字簽名的基本原理和要求F了解幾種常見的數(shù)字簽名技術(shù)的基本概念F了解數(shù)字簽名在PKI中的幾種典型應(yīng)用 n學(xué)習(xí)方法F注意閱讀相關(guān)數(shù)字簽名技術(shù)的資料和書籍F切實(shí)理解數(shù)字簽名的基本原理以及在電子商務(wù)中的作用F了解常見數(shù)字簽名技術(shù)的特點(diǎn)和原理F了解常見數(shù)字簽名的應(yīng)用形式n學(xué)習(xí)內(nèi)容F數(shù)字簽名的基本原理F幾種常見的數(shù)字簽名技術(shù)F幾種常見的數(shù)字簽名應(yīng)用形式第第1 1節(jié)節(jié) 數(shù)字簽名的基本原理數(shù)字簽名的基本原理F數(shù)字簽名的要求 (1)接收者能夠核實(shí)發(fā)送者對報(bào)文的簽名 (2)發(fā)送者事后不能抵賴對報(bào)文的簽名 (3)接收者不能偽造對報(bào)文的簽名F數(shù)字簽

2、名和手書簽名的區(qū)別 (1)手書簽名是簽署文件的物理部分；數(shù)字簽名是簽名“綁”到所簽署文件上 (2)手書簽名通過比較其它已認(rèn)證的簽名來驗(yàn)證當(dāng)前簽名的真?zhèn)?；?shù)字簽名通過一個(gè)公開的驗(yàn)證算法對它進(jìn)行確認(rèn) (3)手書簽名文件能與原來的簽名文件區(qū)分開來；數(shù)字簽名文件的“拷貝”與原簽名文件相同F(xiàn)數(shù)字簽名提供的服務(wù) (1)數(shù)據(jù)完整性服務(wù) (2)不可否認(rèn)服務(wù)第第1 1節(jié)節(jié) 數(shù)字簽名的基本原理數(shù)字簽名的基本原理F數(shù)字簽名的組成 數(shù)字簽名含有兩個(gè)組成部分，即簽名算法和驗(yàn)證算法。對m的簽名可簡記為sig(m,k)，而對s的證實(shí)簡記為ver(s)=真,偽=0,1。簽名算法或簽名密鑰是秘密的，只有簽名人掌握。證實(shí)算法應(yīng)當(dāng)

3、公開，以便于他人進(jìn)行驗(yàn)證。F數(shù)字簽名的分類 按簽名內(nèi)容劃分有兩種，一種是對整個(gè)消息簽名，一種是對壓縮消息簽名，它們都是附加在被簽名消息之后或某一特定位置上的一段簽名。數(shù)字簽名按明、密文的對應(yīng)關(guān)系也有兩種，一種是確定型數(shù)字簽名，其銘文與密文是一一對應(yīng)的，它對一特定消息的簽名不變化（使用簽名者的密鑰簽名），如RSA，EIGamal等簽名；另一種是隨機(jī)化的或概率式數(shù)字簽名，它對同一消息的簽名是隨機(jī)變化的，取決于簽名算法的隨機(jī)參數(shù)和取值。第第2 2節(jié)節(jié) 幾種常見的數(shù)字簽名技術(shù)幾種常見的數(shù)字簽名技術(shù)n數(shù)據(jù)摘要和Hash函數(shù) 雜湊（Hash）函數(shù)是將任意長的數(shù)字串M映射成一個(gè)較短的定長輸出字符串H的函數(shù)，

4、以h(M)表示。即由M計(jì)算H=h(M)是容易的，但要產(chǎn)生一個(gè)M，使h(M)等于給定的雜湊值H是件難事。 雜湊函數(shù)分類一類有密鑰控制，以h(k,M)表示，為密碼雜湊函數(shù)；另一類無密碼控制，為一般雜湊函數(shù)。無密鑰控制的雜湊函數(shù)的函數(shù)值只是輸入字符串的函數(shù)，用于檢測數(shù)據(jù)的完整性；有密鑰控制的雜湊函數(shù)的函數(shù)值不僅與輸入有關(guān)，與密鑰也有關(guān)，具有驗(yàn)證功能。我們研究的是密碼雜湊函數(shù)。 數(shù)據(jù)摘要是用Hash函數(shù)把輸入的任意長度消息變成特定長度的密文。 Hash函數(shù)的使用并不削弱簽名方案的安全性，因?yàn)楹灻氖窍⒄窍⒈旧?。第? 2節(jié)節(jié) 幾種常見的數(shù)字簽名技術(shù)幾種常見的數(shù)字簽名技術(shù)nRSA簽名 存在問題

5、：通過選擇任意的s和計(jì)算m=ek(s)，任何人都能偽造發(fā)送方的RSA簽 名，因?yàn)閟=sigk(m)是關(guān)于m的一個(gè)有效的簽名。數(shù)據(jù)加密數(shù)字簽名加密：ek(m)=me(mod n)解密：dk(c)=cd(mod n)簽名：sigk(m)=md(mod n)驗(yàn)證：verk(s)=truem se(mod n)其中：e、n為發(fā)送方的公開密鑰；d為發(fā)送方的私有密鑰。第第2 2節(jié)節(jié) 幾種常見的數(shù)字簽名技術(shù)幾種常見的數(shù)字簽名技術(shù)nRSA簽名 解決方法：Hash函數(shù)與數(shù)字簽名結(jié)合使用。第第2 2節(jié)節(jié) 幾種常見的數(shù)字簽名技術(shù)幾種常見的數(shù)字簽名技術(shù)nELGamal簽名 ELGamal簽名在1985年給出，其變型已

6、被美國國家標(biāo)準(zhǔn)技術(shù)研究所采納為數(shù)字簽名算法（DSA）。它是為簽名專門設(shè)計(jì)的，安全性基于求離散對數(shù)的困難性。可以看出，它是一種非確定性的雙鑰體制，即對同一個(gè)明文消息，由于隨即參數(shù)選擇的不同而又不同的簽名。 定義：設(shè)p是一個(gè)使得在Zp上的離散對數(shù)問題是難處理的素?cái)?shù)；是Zp*的一個(gè)生成元或本原元素；消息空間M為Zp*；簽名空間S為Zp*Zp-1；a(mod p) 。值p、是公鑰，a是私鑰。 對于密鑰K=(p, a, p)和一個(gè)在Zp-1*上秘密的隨機(jī)數(shù)k，定義：sigk(m)=(,)，其中=k (mod p) ,=(m-)k-1mod(p-1)；定義：verk(x,(,)=true =m(mod p

7、)。第第2 2節(jié)節(jié) 幾種常見的數(shù)字簽名技術(shù)幾種常見的數(shù)字簽名技術(shù)nELGamal簽名 舉例：假定選取p=467，=2，a=127，那么 =a(mod p)=2127mod 467=132 若發(fā)送方要對消息m=100簽名，取k=213(注意，gcd(213,416)=1)且213-1mod 466=431)。那么 =k (mod p)=2213mod 467=29 =(m-)k-1mod(p-1)=(100-12729)431 mod 466=51 任何人可通過計(jì)算 132292951189(mod 467) 和 2100189(mod 467) 來驗(yàn)證這個(gè)簽名有效。因此，該簽名是有效的。第第2

8、 2節(jié)節(jié) 幾種常見的數(shù)字簽名技術(shù)幾種常見的數(shù)字簽名技術(shù)nELGamal簽名變型 ELGamal簽名的安全性依賴于求離散對數(shù)的困難性，一般需要使用一個(gè)大的模p，p的長度至少需要1024bit，p越大安全性越高。一個(gè)1024bit的模導(dǎo)致ELGamal簽名有2048bit。對許多要求使用智能卡的潛在應(yīng)用而言，需要的是短簽名。 1989年，Schnorr提出了一種可看作是ELGamal簽名的變型的一種簽名方案，其簽名的長度被大大地縮短了。Schnorr簽名中密鑰的其他方面與ELGamal簽名的類似。然而，Schnorr簽名將Hash函數(shù)直接集成到了簽名算法當(dāng)中。 數(shù)字簽名算法（DSA）是ELGama

9、l簽名的另一種變型，它吸收了Schnorr簽名的一些思想。DSA中的密鑰與Schnorr簽名中的密鑰具有相同的形式，DSA同時(shí)還規(guī)定在消息簽名之前，要用SHA-1算法生成一個(gè)消息摘要，對消息壓縮，形成固定的160bit的消息摘要，最后得到320bit的簽名。 橢圓曲線數(shù)字簽名算法可以看作是DSA的變型，ECDSA的生成簽名和驗(yàn)證要比DSA更快，一般用于一些較小的、對資源有一定限制的設(shè)備上，如智能卡。第第2 2節(jié)節(jié) 幾種常見的數(shù)字簽名技術(shù)幾種常見的數(shù)字簽名技術(shù)n美國數(shù)字簽名標(biāo)準(zhǔn)DSS 在1991年8月30日，美國國家標(biāo)準(zhǔn)與技術(shù)學(xué) 會（NIST）在聯(lián)邦注冊書上發(fā)表了一個(gè)通知，提 出了一個(gè)聯(lián)邦數(shù)字簽

10、名標(biāo)準(zhǔn)，NIST稱之為數(shù)字簽 名標(biāo)準(zhǔn)（DSS，Digital Signature Standard）。 DSS提供了一種查核電子傳輸數(shù)據(jù)及發(fā)送者身份的一種方式。NITS提出，“此標(biāo)準(zhǔn)適用于聯(lián)邦政府的所有部門，以保護(hù)韋加保密的信息.它同樣適用于E-mail、電子金融信息傳輸、電子數(shù)據(jù)交換、軟件發(fā)布、數(shù)據(jù)存儲及其它需要數(shù)據(jù)完整性和原是真實(shí)性的應(yīng)用”。 自從NIST引薦數(shù)字簽名標(biāo)準(zhǔn)以來，它對DSS簽名作了廣泛的修改。DSS簽名為計(jì)算和核實(shí)數(shù)字簽名指定了一個(gè)數(shù)字簽名算法（DSA），DSA于1994年5月19日頒布。DSA是Schnorr和ELGamal簽名的變型，該算法只能用于數(shù)字簽名而不能用于加密。

11、第第3 3節(jié)節(jié) 幾種常見的數(shù)字簽名形式幾種常見的數(shù)字簽名形式n具有數(shù)字摘要的數(shù)字簽名 先用單向函數(shù)Hash算法，對原文信息進(jìn)行加密壓縮形成數(shù)據(jù)摘要，然后，對數(shù)據(jù)摘要用公開密鑰算法進(jìn)行加密和解密。原文的任何變化都會使數(shù)據(jù)摘要發(fā)生改變，所以它是一種對壓縮的消息的簽名。 這種數(shù)據(jù)簽名是和對大文件的信息的數(shù)字簽名。對一個(gè)數(shù)據(jù)簽名要進(jìn)行驗(yàn)證，就是最后對數(shù)據(jù)摘要的比較。第第3 3節(jié)節(jié) 幾種常見的數(shù)字簽名形式幾種常見的數(shù)字簽名形式n直接用私鑰加密的數(shù)字簽名 采用非對稱算法中私有密鑰對原文進(jìn)行加密，而不用Hash單向散列函數(shù)做數(shù)據(jù)摘要，是一種對整體消息的簽名，適用于小文件信息。 首先將原文用發(fā)方私鑰加密，得到

12、數(shù)字簽名，然后將原文和數(shù)字簽名一起發(fā)向接收方，接收方用發(fā)方的公鑰進(jìn)行解密，最后與原文進(jìn)行比較。第第3 3節(jié)節(jié) 幾種常見的數(shù)字簽名形式幾種常見的數(shù)字簽名形式n數(shù)字信封 所謂數(shù)字信封就是信息發(fā)送端用接收端的公鑰，將一個(gè)通信密鑰，即對稱密鑰，給予加密，形成一個(gè)數(shù)字信封（DE）。然后傳送給接收端，只有指定的接收方才能用自己的私鑰打開數(shù)字信封，獲取該對稱密鑰（SK），用它來解讀傳送來的信息。 數(shù)字信封是PKI中使用對稱密鑰算法與非對稱密鑰算法的巧妙結(jié)合，是加密、數(shù)字簽名和數(shù)據(jù)摘要技術(shù)的綜合運(yùn)用。第第3 3節(jié)節(jié) 幾種常見的數(shù)字簽名形式幾種常見的數(shù)字簽名形式第第3 3節(jié)節(jié) 幾種常見的數(shù)字簽名形式幾種常見的數(shù)

13、字簽名形式將要傳輸?shù)男畔⒔?jīng)雜湊函數(shù)運(yùn)算后，得到一個(gè)數(shù)據(jù)摘要MD，MD=hash(信息)。發(fā)送者A用自己的私鑰PVA對數(shù)據(jù)摘要MD進(jìn)行加密，得A的數(shù)字簽名發(fā)送者A將信息明文、數(shù)字簽名和他的證書上的公鑰三項(xiàng)信息，通過對稱算法， 用對稱密鑰SK進(jìn)行加密，得密文E發(fā)送者A在發(fā)送信息之前，必須事先得到接收方B的證書公鑰PBB，用PBB加密 密鑰SK，形成一個(gè)數(shù)字信封DEE+DE就是將密文與數(shù)字信封連接起來，即A所發(fā)送的內(nèi)容接收者B用自己的私鑰PVB解開所收到的數(shù)字信封DE，并從中取出A所用過的 對稱密鑰SK接收者B用SK將密文E解密還原成信息明文、數(shù)字簽名和A的證書公鑰B將數(shù)字簽名用A證書中的公鑰PBA

14、進(jìn)行解密，將數(shù)字簽名還原成信息摘要MDB再對已收到的信息明文，用同樣的hash函數(shù)算法進(jìn)行雜湊運(yùn)算，得到一個(gè)新 的信息摘要MD對數(shù)字簽名進(jìn)行校驗(yàn)，比較收到已還原的MD和新產(chǎn)生的MD是否相等，二者 必須相等無誤，否則不接收第第3 3節(jié)節(jié) 幾種常見的數(shù)字簽名形式幾種常見的數(shù)字簽名形式n雙重?cái)?shù)字簽名 所謂雙重?cái)?shù)字簽名就是在有的場合，發(fā)送者需要寄出兩個(gè)相關(guān)信息給接收者，接收者只能解讀其中的一組，而另一組只能轉(zhuǎn)給第三方接收者，不能打開看其內(nèi)容。這時(shí)發(fā)送者就須分別加密兩組密文，做兩組數(shù)字簽名，故稱雙重?cái)?shù)字簽名。 舉例：有一個(gè)B to C的電子商務(wù)應(yīng)用過程，參與方為持卡人、商戶和結(jié)算銀行。當(dāng)持卡人客戶登陸商

15、戶網(wǎng)站，提出申請購物時(shí)，持卡人要向商戶提出兩組信息：向商戶直接提出訂購信息的同時(shí)，還必須向銀行提出付款信息，以便授權(quán)銀行付款。但其中處理過程要有兩個(gè)要點(diǎn)，即：持卡人不希望商戶知道自己的銀行支付賬號的有關(guān)信息；同時(shí)也不希望銀行方面知道具體的購物內(nèi)容，只需按金額貸記或借記賬戶即可。 一個(gè)人的雙重?cái)?shù)字簽名可以分別傳送個(gè)特約商戶和用戶銀行，特約商戶只能解讀與自己相關(guān)的信息，卻解不開轉(zhuǎn)送給開戶銀行的信息。設(shè)持卡人為A，特約商戶為B，開戶銀行為C。第第3 3節(jié)節(jié) 幾種常見的數(shù)字簽名形式幾種常見的數(shù)字簽名形式第第3 3節(jié)節(jié) 幾種常見的數(shù)字簽名形式幾種常見的數(shù)字簽名形式(1)(4)：為持卡人A，對訂貨信息和支

16、付信息，做雙重?cái)?shù)字簽名，將發(fā)送給商戶B的訂貨信息OI轉(zhuǎn)發(fā)給開戶銀行C的支付信息PI分別做數(shù)據(jù)摘要處理后進(jìn)行連接，形成MDBC，并以發(fā)送者A的私鑰對MDBC進(jìn)行加密，形成數(shù)字簽名(DS)，從而使收到信息的B、C兩方能各自用A的公鑰進(jìn)行解密并驗(yàn)證。(5)(6)：發(fā)送者A用隨機(jī)產(chǎn)生的對稱密鑰SK1和SK2發(fā)送給商戶B、銀行C的信息，其中包括給B的信息：OI、DS、MDC和A自己證書上的公鑰PBB；發(fā)送給銀行C的信息：PI、DS、MDB和A的公鑰PBA，對這些信息要進(jìn)行加密，得密文EMB和EMC。其中，特別要注意的是，必須將訂貨信息摘要MBB傳送給C，將支持信息摘要MDC傳送給B。(7)(8)：以接收

17、者B和C證書的公鑰將SK1和SK2加密，分別得到兩個(gè)數(shù)字信封DEB和DEC。(9)：商戶B的電子信箱收到了由A發(fā)送來的兩組信息，一份自己解開；另一份B不能解讀，只能傳送給銀行C。(10)(15)：商戶B的電子信箱收到了EMB和DEB，B先用自己的私鑰PVB打開數(shù)字信DEB，取出秘密密鑰SK1，B再用SK1，使用對稱DES算法解開密文EMB，其中B只能看到A傳送給他的信息，而不能解讀A所在開戶行C的信息；然后，B用A的公鑰PBA解讀數(shù)字簽名，并驗(yàn)證數(shù)據(jù)摘要MDBC是否等于MDBC，即MDBC=MDBC？。(16)(21)：為接收銀行C的處理過程。當(dāng)C收到B轉(zhuǎn)發(fā)來的EMC和DEC之后，C先用自己的

18、私鑰PVC解開數(shù)字信封，取出秘密密鑰SK2。然后用SK2解開密文EMC。這時(shí)就可以用A的公鑰PBA，解讀數(shù)字簽名MDBC，并與MDBC相比較，驗(yàn)證兩個(gè)數(shù)據(jù)摘要是否相等。以此來證實(shí)A傳來的消息未曾被B解讀過。第第3 3節(jié)節(jié) 幾種常見的數(shù)字簽名形式幾種常見的數(shù)字簽名形式n其他形式的數(shù)字簽名 盲簽名：是一種允許一個(gè)人讓另一個(gè)人簽署文件，而第一個(gè)人不向簽名者泄漏任何關(guān)于文檔內(nèi)容的技術(shù)。 盲簽名舉例：假設(shè)Alice為消息的擁有者，而Bob為簽名人。在盲簽名協(xié)議中，Alice的目的是讓Bob對其文件進(jìn)行簽名，但又不想讓Bob指導(dǎo)文件的具體內(nèi)容。而Bob并不關(guān)心文件中說些什么，它只是保證它在某一是可以公證人

19、的資格證實(shí)了這個(gè)文件。 Alice從Bob處獲得盲簽名的過程一般有如下幾個(gè)步驟： (1)Alice將文件m成一個(gè)隨機(jī)數(shù)得m，這個(gè)隨機(jī)數(shù)通常稱為盲因子，Alice將盲消息m送給Bob； (2)Bob在m上簽名后，將其簽名sig(m)送回Alice； (3)Alice通過除去盲因子，可從Bob關(guān)于m的簽名sig(m)中得到Bob關(guān)于原始文件m的簽名sig(m)。 第第3 3節(jié)節(jié) 幾種常見的數(shù)字簽名形式幾種常見的數(shù)字簽名形式n其他形式的數(shù)字簽名 代理簽名： 最近，一種稱為代理簽名的新型簽名方案被提出，由于這種簽名機(jī)制在許多領(lǐng)域都有重要的應(yīng)用，因此引起了人們的極大興趣。代理簽名的目的是當(dāng)某簽名人（這里

20、稱為授權(quán)人）因公務(wù)或身體健康等原因不能行使簽名權(quán)力時(shí)，將簽名權(quán)委派給其他人替自己行使簽名權(quán)。 目前，已經(jīng)出臺的一些代理簽名方案仍存在一些 問題。有待進(jìn)一步完善和解決。本章小結(jié)本章小結(jié)F本章介紹了數(shù)字簽名技術(shù)的基本概念和原理，常用的幾種數(shù)字簽名技術(shù)，其中重點(diǎn)介紹了Hash函數(shù)、RSA簽名、ELGamal簽名及其變型和美國數(shù)字簽名標(biāo)準(zhǔn)DSS，幾種數(shù)字簽名應(yīng)用形式舉例，包括具有數(shù)據(jù)摘要和直接用私鑰加密的數(shù)字簽名、數(shù)字信封和雙重?cái)?shù)字信封。關(guān)鍵術(shù)語關(guān)鍵術(shù)語F數(shù)字簽名伴隨著數(shù)字化編碼的消息一起發(fā)送并與發(fā)送的消息有一定邏輯關(guān)聯(lián)的數(shù)據(jù)項(xiàng)，借助數(shù)字簽名可以確定消息的發(fā)送方，同時(shí)還可以確定消息子發(fā)出后未被修改過。

21、FHash函數(shù)是一種計(jì)算相對簡單但卻很難進(jìn)行逆運(yùn)算的函數(shù)。F數(shù)據(jù)摘要用Hash函數(shù)把明文變成密文就形成數(shù)據(jù)摘要。FRSA簽名利用RSA算法進(jìn)行數(shù)字簽名的技術(shù)，數(shù)字簽名的過程中運(yùn)用了消息的驗(yàn)證模式。發(fā)送方用發(fā)送方的私鑰簽名，接收方用發(fā)送方的公鑰驗(yàn)證。FEIGamal簽名利用EIGamal體制進(jìn)行數(shù)字簽名的技術(shù)，安全性依賴于求解離散對數(shù)問題的困難性。F數(shù)字簽名標(biāo)準(zhǔn)DSS美國國家標(biāo)準(zhǔn)與技術(shù)學(xué)會（NIST）提出的聯(lián)邦數(shù)字簽名標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)制定一個(gè)數(shù)字簽名算法（DSA，Digital Signature Algorithm），只能用于數(shù)字簽名而不能用于加密。關(guān)鍵術(shù)語關(guān)鍵術(shù)語F具有數(shù)字摘要的數(shù)字簽名先用單向函數(shù)Hash算法，對原文信息進(jìn)行加密壓縮形成數(shù)據(jù)摘要，然后，對數(shù)據(jù)摘要用公開密鑰算法進(jìn)行加密和解密。原文的任何變化都會使數(shù)據(jù)摘要發(fā)生改變，所以它