第3章 密碼技術(shù)的應(yīng)用

1、第三章密碼技術(shù)的應(yīng)用密碼技術(shù)的應(yīng)用 第三章第三章 密碼技術(shù)的應(yīng)用密碼技術(shù)的應(yīng)用3.1 數(shù)據(jù)的完整性和安全性數(shù)據(jù)的完整性和安全性3.2 數(shù)字簽名數(shù)字簽名（重點(diǎn)）（重點(diǎn)）3.3 數(shù)字信封數(shù)字信封3.4 混合加密系統(tǒng)混合加密系統(tǒng)（難點(diǎn)）（難點(diǎn)）3.5 數(shù)字時(shí)間戳數(shù)字時(shí)間戳3.1 數(shù)據(jù)的完整性與安全性數(shù)據(jù)的完整性與安全性3.1.1 3.1.1 數(shù)據(jù)完整性和安全性概念數(shù)據(jù)完整性和安全性概念（掌握）（掌握） 數(shù)據(jù)完整性是指數(shù)據(jù)處于數(shù)據(jù)完整性是指數(shù)據(jù)處于“一種未受損的狀態(tài)一種未受損的狀態(tài)”和和“保保持完整或未被分割的品質(zhì)或狀態(tài)持完整或未被分割的品質(zhì)或狀態(tài)”。 散列函數(shù)（散列函數(shù)（Hash FunctionH

2、ash Function）是實(shí)現(xiàn)數(shù)據(jù)）是實(shí)現(xiàn)數(shù)據(jù)完整性完整性的主要手的主要手段。段。1. 數(shù)據(jù)完整性被破壞的嚴(yán)重后果數(shù)據(jù)完整性被破壞的嚴(yán)重后果（了解）（了解） (1) 造成直接的經(jīng)濟(jì)損失造成直接的經(jīng)濟(jì)損失(2) 影響一個(gè)供應(yīng)鏈上許多廠商的經(jīng)濟(jì)活動(dòng)影響一個(gè)供應(yīng)鏈上許多廠商的經(jīng)濟(jì)活動(dòng)(3) 可能造成過(guò)不了的關(guān)口檢查，如海關(guān)、商檢、衛(wèi)檢等可能造成過(guò)不了的關(guān)口檢查，如海關(guān)、商檢、衛(wèi)檢等(4) 會(huì)牽涉到經(jīng)濟(jì)案件中會(huì)牽涉到經(jīng)濟(jì)案件中(5) 造成電子商務(wù)經(jīng)營(yíng)的混亂與不信任造成電子商務(wù)經(jīng)營(yíng)的混亂與不信任2. 散列函數(shù)的概念散列函數(shù)的概念（掌握）（掌握） 散列函數(shù)是將一個(gè)長(zhǎng)短不確定的輸入串轉(zhuǎn)換成一個(gè)長(zhǎng)度確定的散

3、列函數(shù)是將一個(gè)長(zhǎng)短不確定的輸入串轉(zhuǎn)換成一個(gè)長(zhǎng)度確定的輸出串輸出串稱為散列值。稱為散列值。 h=H(M)，H為散列函數(shù)，為散列函數(shù)，M為長(zhǎng)度不確定的輸入串，為長(zhǎng)度不確定的輸入串，h為散列為散列值，長(zhǎng)度是確定的。值，長(zhǎng)度是確定的。 散列函數(shù)散列函數(shù)H應(yīng)該具有如下特性：應(yīng)該具有如下特性：(1) 給定給定M，很容易計(jì)算，很容易計(jì)算h(2) 給定給定h，不能計(jì)算，不能計(jì)算M(3) 給定給定M，要找到另一個(gè)輸入串，要找到另一個(gè)輸入串M并滿足并滿足H(M)=H(M)很難。很難。3. 散列函數(shù)應(yīng)用于數(shù)據(jù)的完整性散列函數(shù)應(yīng)用于數(shù)據(jù)的完整性 Hash 算法 原文 摘要 摘要 對(duì)比？ 原文 摘要 Internet

4、發(fā)送方 接收方 Hash算法 3.1.2 常用散列函數(shù)常用散列函數(shù)（了解）（了解） 1. MD-4和和MD-5散列函數(shù)散列函數(shù) MD-4散列算法，特別適合于用軟、硬件快速實(shí)現(xiàn)。輸入消息可為散列算法，特別適合于用軟、硬件快速實(shí)現(xiàn)。輸入消息可為任意長(zhǎng)，按任意長(zhǎng)，按512比特分組，最后分組長(zhǎng)度不足，用數(shù)比特分組，最后分組長(zhǎng)度不足，用數(shù)0填充，使其成為填充，使其成為512比特的整數(shù)倍。比特的整數(shù)倍。 MD-5是是4輪運(yùn)算，各輪邏輯函數(shù)不同。每輪又要輪運(yùn)算，各輪邏輯函數(shù)不同。每輪又要進(jìn)行進(jìn)行16步迭代運(yùn)算，步迭代運(yùn)算，4輪共輪共56步完成。壓縮后輸出為步完成。壓縮后輸出為128比特。比特。 MD-5是是

5、MD-4的改進(jìn)形式。的改進(jìn)形式。 2. 安全散列算法（安全散列算法（SHA） 輸入消息長(zhǎng)度小于輸入消息長(zhǎng)度小于264比特，輸出壓縮值為比特，輸出壓縮值為160比特，而后送給比特，而后送給DSA（Digital Signature Algorithm）計(jì)算此消息的簽名。這種對(duì)消）計(jì)算此消息的簽名。這種對(duì)消息散列值的簽名要比對(duì)消息直接進(jìn)行簽名的效率更高。其基本框架與息散列值的簽名要比對(duì)消息直接進(jìn)行簽名的效率更高。其基本框架與MD-4類似。主要改變是增加了擴(kuò)展變換。類似。主要改變是增加了擴(kuò)展變換。3. 其他散列算法其他散列算法3.2 數(shù)字簽名數(shù)字簽名1. 數(shù)字簽名的基本概念數(shù)字簽名的基本概念2. 數(shù)

6、字簽名的必要性數(shù)字簽名的必要性3. 數(shù)字簽名的原理數(shù)字簽名的原理4. 數(shù)字簽名的要求數(shù)字簽名的要求5. 數(shù)字簽名的作用數(shù)字簽名的作用6. 安全問題安全問題7. RSA簽名體制簽名體制8. ELGamal簽名體制簽名體制9. 無(wú)可爭(zhēng)辯簽名無(wú)可爭(zhēng)辯簽名10.盲簽名盲簽名11.雙聯(lián)簽名雙聯(lián)簽名 3.2.1 數(shù)字簽名的基本概念數(shù)字簽名的基本概念（掌握）（掌握）n數(shù)字簽名是利用數(shù)字技術(shù)實(shí)現(xiàn)在網(wǎng)絡(luò)傳送文數(shù)字簽名是利用數(shù)字技術(shù)實(shí)現(xiàn)在網(wǎng)絡(luò)傳送文件時(shí)，附加個(gè)人標(biāo)記，完成傳統(tǒng)上手書簽名件時(shí)，附加個(gè)人標(biāo)記，完成傳統(tǒng)上手書簽名蓋章的作用，以表示確認(rèn)、負(fù)責(zé)、經(jīng)手等。蓋章的作用，以表示確認(rèn)、負(fù)責(zé)、經(jīng)手等。 3.2.2 數(shù)

7、字簽名的必要性數(shù)字簽名的必要性（理解）（理解）n可作到對(duì)電子商務(wù)高效而快速的響應(yīng)，能證明：可作到對(duì)電子商務(wù)高效而快速的響應(yīng)，能證明：（1）信息是由簽名者發(fā)送的）信息是由簽名者發(fā)送的（2）信息自簽發(fā)后到收到為止未曾做過(guò)任何修改。）信息自簽發(fā)后到收到為止未曾做過(guò)任何修改。 3.2.3 數(shù)字簽名的原理數(shù)字簽名的原理（重點(diǎn)掌握）（重點(diǎn)掌握）n消息M用散列函數(shù)H得到消息摘要h1=H(M)；n然后發(fā)送方A用自己的雙鑰密碼體制的私鑰對(duì)這個(gè)散列值進(jìn)行加密得到A的數(shù)字簽名；n然后把數(shù)字簽名和消息M一起發(fā)送給接收方B；n接收方B把接收到的原始消息分成M和數(shù)字簽名；n從M中計(jì)算出h2=H（M），再用發(fā)送方的公開密鑰

8、對(duì)數(shù)字簽名解密得到h1；n如果h1=h2，那么就說(shuō)明接收方收到信息是發(fā)送方A發(fā)送的，并且可以確定此消息沒有被修改過(guò)。 3.2.3 數(shù)字簽名的原理數(shù)字簽名的原理（重點(diǎn)掌握）（重點(diǎn)掌握） Hash 算法 原文 摘要 摘要 對(duì)比？ 原文 摘要 Internet 發(fā)送方 接收方 Hash算法 數(shù)字 簽名 發(fā)送者 私鑰加密 數(shù)字 簽名 發(fā)送者 公鑰解密 h1h1h2 3.2.4 數(shù)字簽名的要求數(shù)字簽名的要求（掌握）（掌握）數(shù)字簽名應(yīng)滿足以下要求：數(shù)字簽名應(yīng)滿足以下要求：(1)(1)接收方接收方B B能夠確認(rèn)或證實(shí)發(fā)送方能夠確認(rèn)或證實(shí)發(fā)送方A A的簽名，但不能由的簽名，但不能由B B或第三方或第三方C C

9、偽造偽造(2)(2)發(fā)送方發(fā)送方A A發(fā)出簽名的消息給接收方發(fā)出簽名的消息給接收方B B后，后，A A就不能再否認(rèn)自己所簽發(fā)的消息就不能再否認(rèn)自己所簽發(fā)的消息(3)(3)接收方接收方B B對(duì)已收到的簽名消息不能否認(rèn)，即有收?qǐng)?bào)認(rèn)證對(duì)已收到的簽名消息不能否認(rèn)，即有收?qǐng)?bào)認(rèn)證(4)(4)第三者第三者C C可以確認(rèn)收發(fā)雙方之間的消息傳送，但不能偽造這一過(guò)程可以確認(rèn)收發(fā)雙方之間的消息傳送，但不能偽造這一過(guò)程 數(shù)字簽名與手寫簽名的區(qū)別：數(shù)字簽名與手寫簽名的區(qū)別：n手寫簽名是模擬的，易偽造，要區(qū)別是否偽造，往往需要特殊的專家。手寫簽名是模擬的，易偽造，要區(qū)別是否偽造，往往需要特殊的專家。n數(shù)字簽名是數(shù)字簽名是

10、0和和1的數(shù)字串，極難偽造，要區(qū)別是否偽造，不需要專家。的數(shù)字串，極難偽造，要區(qū)別是否偽造，不需要專家。分類：分類：n確定性數(shù)字簽名：確定性數(shù)字簽名：RSA，Rabinn隨機(jī)化數(shù)字簽名：隨機(jī)化數(shù)字簽名： ELGamal 3.2.5 數(shù)字簽名的作用數(shù)字簽名的作用（掌握）（掌握）n可以證明簽名者身份和消息完整性可以證明簽名者身份和消息完整性n提供如下數(shù)字鑒別：提供如下數(shù)字鑒別： (1) 接收方偽造接收方偽造 (2) 發(fā)送者或接收者否認(rèn)發(fā)送者或接收者否認(rèn) (3) 第三方冒充第三方冒充 (4) 接收方篡改接收方篡改 3.2.6 單獨(dú)數(shù)字簽名的安全問題單獨(dú)數(shù)字簽名的安全問題n由于單獨(dú)數(shù)字簽名的機(jī)制中一對(duì)

11、密鑰沒有與擁有者由于單獨(dú)數(shù)字簽名的機(jī)制中一對(duì)密鑰沒有與擁有者的真實(shí)身份有唯一的聯(lián)系，所以存在一個(gè)簽字的安的真實(shí)身份有唯一的聯(lián)系，所以存在一個(gè)簽字的安全問題：全問題： 如果有人（如果有人（G）產(chǎn)生一對(duì)公鑰系統(tǒng)的密鑰，對(duì)）產(chǎn)生一對(duì)公鑰系統(tǒng)的密鑰，對(duì)外稱是外稱是A所有，則他可以假冒所有，則他可以假冒A的名義進(jìn)行欺騙活的名義進(jìn)行欺騙活動(dòng)。動(dòng)。怎么才能解決這個(gè)問題呢？怎么才能解決這個(gè)問題呢？ 3.2.7 RSA數(shù)字簽名系統(tǒng)數(shù)字簽名系統(tǒng)（了解）（了解）nRSA算法中數(shù)字簽名技術(shù)實(shí)際上是通過(guò)一個(gè)哈希函數(shù)來(lái)實(shí)現(xiàn)的。數(shù)字簽名的特點(diǎn)是它代表了文件的特征，文件如果發(fā)生改變，數(shù)字簽名的值也將發(fā)生變化。不同的文件將得到

12、不同的數(shù)字簽名。一個(gè)最簡(jiǎn)單的哈希函數(shù)是把文件的二進(jìn)制碼相累加，取最后的若干位。哈希函數(shù)對(duì)發(fā)送數(shù)據(jù)的雙方都是公開的。 n用RSA或其它公開密鑰密碼算法的最大方便是沒有密鑰分配問題（網(wǎng)絡(luò)越復(fù)雜、網(wǎng)絡(luò)用戶越多，其優(yōu)點(diǎn)越明顯）。因?yàn)楣_密鑰加密使用兩個(gè)不同的密鑰，其中有一個(gè)是公開的，另一個(gè)是保密的。公開密鑰可以保存在系統(tǒng)目錄內(nèi)、未加密的電子郵件信息中、電話黃頁(yè)（商業(yè)電話）上或公告牌里，網(wǎng)上的任何用戶都可獲得公開密鑰。而私有密鑰是用戶專用的，由用戶本身持有，它可以對(duì)由公開密鑰加密信息進(jìn)行解密。 3.2.8 ELGamal簽名體制簽名體制（了解）（了解）nELGamalELGamal是是RabinRabi

13、n體制的一種變型。此體制專門設(shè)計(jì)體制的一種變型。此體制專門設(shè)計(jì)簽名，方案的安全性基于求離散對(duì)數(shù)的困難性。簽名，方案的安全性基于求離散對(duì)數(shù)的困難性。n它是一種它是一種非確定性非確定性的雙鑰體制，即對(duì)同一明文消息的雙鑰體制，即對(duì)同一明文消息，根據(jù)隨機(jī)參數(shù)選擇不同而得到不同的數(shù)字簽名。，根據(jù)隨機(jī)參數(shù)選擇不同而得到不同的數(shù)字簽名。 3.2.9 無(wú)可爭(zhēng)辯簽名無(wú)可爭(zhēng)辯簽名（了解）（了解）n不可爭(zhēng)辯簽名是在沒有簽名者自己的合作下不可能驗(yàn)證簽名的簽名。無(wú)可爭(zhēng)辯簽名是為了防止所簽名文件被復(fù)制，有利于產(chǎn)權(quán)擁有者控制產(chǎn)品的散發(fā)。n不可爭(zhēng)辯簽名1989年由Chaum（喬姆）和Antwerpen（梵海斯特）引入，這類簽

14、名有一些特點(diǎn)，適用于某些應(yīng)用，如電子出版系統(tǒng)，以利于對(duì)知識(shí)產(chǎn)權(quán)的保護(hù)。n在簽名人合作下才可能驗(yàn)證簽名，又會(huì)給簽名者一種機(jī)會(huì)，在不利于他時(shí)可拒絕合作，因而不具有“不可否認(rèn)性”。不可爭(zhēng)辯簽名除了一般簽名體制中的簽名算法和驗(yàn)證算法（或協(xié)議）外，還需要第三個(gè)組成部分，即否認(rèn)協(xié)議；簽名者利用不可爭(zhēng)辯簽名可向法庭或公眾證明一個(gè)偽造的簽名的確是假的；但如果簽名者拒絕參與執(zhí)行否認(rèn)協(xié)議，就表明簽名真的由他簽署。 3.2.10 盲簽名盲簽名（了解）（了解）n一般數(shù)字簽名中，總是要先知道文件內(nèi)容而后才簽一般數(shù)字簽名中，總是要先知道文件內(nèi)容而后才簽署，這正是通常所需要的。但有時(shí)需要某人對(duì)一個(gè)署，這正是通常所需要的。但

15、有時(shí)需要某人對(duì)一個(gè)文件簽名，但又不讓他知道文件內(nèi)容，稱為盲簽名文件簽名，但又不讓他知道文件內(nèi)容，稱為盲簽名，它是由，它是由ChaumChaum在在19831983年最先提出的。在選舉投票年最先提出的。在選舉投票和數(shù)字貨幣協(xié)議中會(huì)使用到。利用盲變換可以實(shí)現(xiàn)和數(shù)字貨幣協(xié)議中會(huì)使用到。利用盲變換可以實(shí)現(xiàn)盲簽名。盲簽名。 3.2.10 盲簽名盲簽名（了解）（了解）n盲簽名在某種程度上保護(hù)了參與者的利益，但不幸的是盲簽名的匿名性可能被犯罪份子所濫用。為了阻止這種濫用，人們又引入了公平盲簽名的概念。公平盲簽名比盲簽名增加了一個(gè)特性，即建立一個(gè)可信中心，通過(guò)可信中心的授權(quán)，簽名者可追蹤簽名 利用盲變換可以實(shí)

16、現(xiàn)盲簽名的基本原理利用盲變換可以實(shí)現(xiàn)盲簽名的基本原理 （1） A取一文件并以一隨機(jī)值乘之，稱此隨機(jī)值為盲因子（2） A將此盲文件發(fā)送給B；（3） B對(duì)盲文件簽名；（4） A以盲因子除之，得到B對(duì)原文件的簽名nChaum將盲變換看做是信封，盲文件是對(duì)文件加個(gè)信封，而去掉盲因子的過(guò)程是打開信封的過(guò)程。文件在信封中時(shí)無(wú)人可讀，而在盲文件上簽名相當(dāng)于在復(fù)寫紙信封上簽名，從而得到了對(duì)起文件（信封內(nèi)容）的簽名。 3.2.11 雙聯(lián)簽名雙聯(lián)簽名（了解）（了解）n在一次電子商務(wù)活動(dòng)過(guò)程種可能同時(shí)有兩個(gè)有聯(lián)系的消息M1和M2，要對(duì)它們同時(shí)進(jìn)行數(shù)字簽名。例如，一個(gè)是送銀行B的有關(guān)轉(zhuǎn)帳財(cái)務(wù)明細(xì)表，即消息M1，另一個(gè)

17、是廠商C的進(jìn)貨清單即消息M2；但要求交送銀行B的數(shù)字簽名不應(yīng)知道M2，送廠商C的數(shù)字簽名不應(yīng)知道M1.3.3 數(shù)字信封數(shù)字信封（掌握）（掌握）n數(shù)字信封的功能類似于普通信封，普通信封在法律的約束下保證只有收信人才能閱讀信的內(nèi)容；數(shù)字信封則采用密碼技術(shù)保證了只有規(guī)定的接收人才能閱讀信息的內(nèi)容。3.3 數(shù)字信封數(shù)字信封（掌握）（掌握）n數(shù)字信封中采用了對(duì)稱密碼體制和公鑰密碼體制。信息發(fā)送者首先利用隨機(jī)產(chǎn)生的對(duì)稱密碼加密信息，再利用接收方的公鑰加密對(duì)稱密碼，被公鑰加密后的對(duì)稱密碼被稱之為數(shù)字信封。3.3 數(shù)字信封數(shù)字信封（掌握）（掌握）n在傳遞信息時(shí)，信息接收方若要解密信息，必須先用自己的私鑰解密數(shù)

18、字信封，得到對(duì)稱密碼，才能利用對(duì)稱密碼解密所得到的信息。這樣就保證了數(shù)據(jù)傳輸?shù)恼鎸?shí)性和完整性。 3.3 數(shù)字信封數(shù)字信封（掌握）（掌握）n在數(shù)字信封中，信息發(fā)送方采用對(duì)稱密鑰來(lái)加密信息內(nèi)容，然后將此對(duì)稱密鑰用接收方的公開密鑰來(lái)加密（這部分稱數(shù)字信封）之后，將它和加密后的信息一起發(fā)送給接收方，接收方先用相應(yīng)的私有密鑰打開數(shù)字信封，得到對(duì)稱密鑰，然后使用對(duì)稱密鑰解開加密信息。3.3 數(shù)字信封數(shù)字信封（掌握）（掌握）n數(shù)字信封主要包括數(shù)字信封打包和數(shù)字信封拆解，數(shù)字信封打包是使用對(duì)方的公鑰將加密密鑰進(jìn)行加密的過(guò)程，只有對(duì)方的私鑰才能將加密后的數(shù)據(jù)(通信密鑰)還原；n數(shù)字信封拆解是使用私鑰將加密過(guò)的數(shù)

19、據(jù)解密的過(guò)程。 數(shù)字信封的打包消息明文消息明文接收方公鑰對(duì)稱密鑰對(duì)稱密鑰加密對(duì)稱密鑰加密公鑰加密公鑰加密消息密文密鑰密文數(shù)字信封數(shù)字信封數(shù)字信封的拆解消息明文消息明文接收方私鑰對(duì)稱密鑰私鑰解密私鑰解密對(duì)稱密鑰解密對(duì)稱密鑰解密消息密文密鑰密文Internet發(fā)送方發(fā)送方對(duì)稱加密對(duì)稱加密明文明文密文密文發(fā)送方發(fā)送方秘密密鑰秘密密鑰接收方接收方發(fā)送方發(fā)送方秘密密鑰秘密密鑰接收方私接收方私有密鑰有密鑰加密后加密后的密鑰的密鑰密文密文加密后加密后的密鑰的密鑰+加密后加密后的密鑰的密鑰接收方公接收方公開密鑰開密鑰發(fā)送方發(fā)送方秘密密鑰秘密密鑰對(duì)稱解密對(duì)稱解密 密文密文明文明文發(fā)送方發(fā)送方秘密密鑰秘密密鑰不對(duì)

20、稱解密不對(duì)稱解密不對(duì)稱加密不對(duì)稱加密數(shù)字信封實(shí)現(xiàn)過(guò)程3.3 數(shù)字信封數(shù)字信封（掌握）（掌握）n數(shù)字信封既克服了兩種加密體制的缺點(diǎn)，發(fā)揮了兩種加密體制的優(yōu)點(diǎn)，又妥善地解決了密鑰傳送的問題；n在這個(gè)使用過(guò)程中，對(duì)稱密鑰產(chǎn)生是隨機(jī)的，使用后即廢棄，不用管理，這可以稱為“一次一密”。3.4 混合加密系統(tǒng)混合加密系統(tǒng)（掌握）（掌握）實(shí)際上，在一次信息傳送過(guò)程中，可以綜合利用消實(shí)際上，在一次信息傳送過(guò)程中，可以綜合利用消息加密、數(shù)字信封、散列函數(shù)和數(shù)字簽名實(shí)現(xiàn)安全性、息加密、數(shù)字信封、散列函數(shù)和數(shù)字簽名實(shí)現(xiàn)安全性、完整性、可鑒別和不可否認(rèn)。（具體過(guò)程參看視頻）完整性、可鑒別和不可否認(rèn)。（具體過(guò)程參看視頻）混合加密系統(tǒng)流程圖用戶B 數(shù)字 證書用戶A 數(shù)字 證書加密數(shù)字信封數(shù)字簽名數(shù)字簽名解密密文明文明文加密Hash加密密文A用戶用戶A 的私 有簽名密鑰數(shù)字簽名對(duì)稱密鑰+密文加密解密用戶A 數(shù)字 證書數(shù)字簽名明文信息摘要信息摘要比較Hash+用戶A 的公 開簽名密鑰用戶B 的私 有密鑰B用戶用戶B 的公 開簽名密鑰對(duì)稱密鑰對(duì)稱密鑰+對(duì)稱密鑰信息摘要數(shù)字信封數(shù)字信封3.5 數(shù)字時(shí)間戳數(shù)字時(shí)間戳 n如果在簽名時(shí)加上一個(gè)時(shí)間標(biāo)記，即是有數(shù)字時(shí)間戳如果在簽名時(shí)加上