第03章消息鑒別與數(shù)字簽名

1、第第3章章 消息鑒別與數(shù)字簽名消息鑒別與數(shù)字簽名n經(jīng)典密碼學(xué)經(jīng)典密碼學(xué)-現(xiàn)代公開的計算機環(huán)境現(xiàn)代公開的計算機環(huán)境 n保密保密有效系統(tǒng)地保障電子數(shù)據(jù)的機密性、完整性有效系統(tǒng)地保障電子數(shù)據(jù)的機密性、完整性和真實性和真實性n公開的計算機網(wǎng)絡(luò)環(huán)境中，傳輸中的數(shù)據(jù)可能公開的計算機網(wǎng)絡(luò)環(huán)境中，傳輸中的數(shù)據(jù)可能遭受到威脅（遭受到威脅（5種）：種）：1.泄密泄密2.通信業(yè)務(wù)量分析通信業(yè)務(wù)量分析3.偽造：偽造： 攻擊者假冒發(fā)方身份，向網(wǎng)絡(luò)插入一條消攻擊者假冒發(fā)方身份，向網(wǎng)絡(luò)插入一條消息；或假冒接收方發(fā)送一個消息確認(rèn)。息；或假冒接收方發(fā)送一個消息確認(rèn)。4.篡改：內(nèi)容篡改篡改：內(nèi)容篡改 序號篡改序號篡改 時間篡改時

2、間篡改5.行為抵賴行為抵賴保密保密消息消息鑒別鑒別數(shù)字?jǐn)?shù)字簽名簽名第第3章章 消息鑒別與數(shù)字簽名消息鑒別與數(shù)字簽名n3.1 消息鑒別消息鑒別n3.1.1 消息鑒別的概念消息鑒別的概念 n3.1.2 基于基于MAC的鑒別的鑒別n3.1.3 基于散列函數(shù)的鑒別基于散列函數(shù)的鑒別n3.1.4 散列函數(shù)散列函數(shù) n3.2 數(shù)字簽名數(shù)字簽名 3.1. 消息鑒別消息鑒別n完整性是安全的基本要求之一。篡改消息是對通完整性是安全的基本要求之一。篡改消息是對通信系統(tǒng)的主動攻擊常見形式。信系統(tǒng)的主動攻擊常見形式。n被篡改的消息是不完整的；信道的偶發(fā)干擾和故障也被篡改的消息是不完整的；信道的偶發(fā)干擾和故障也破壞消息

3、破壞消息完整性完整性。n接收者能檢查所收到的消息是否完整；接收者能檢查所收到的消息是否完整；n進一步接收者能識別所收到的信息是否源于所聲稱的進一步接收者能識別所收到的信息是否源于所聲稱的主體主體。即消息來源的。即消息來源的真實性真實性n保障消息完整性和真實性的手段保障消息完整性和真實性的手段： 消息鑒別技術(shù)消息鑒別技術(shù)3.1.1 消息鑒別的概念消息鑒別的概念n消息鑒別消息鑒別 概念：是一個對收到的消息進行驗證概念：是一個對收到的消息進行驗證的過程，驗證的內(nèi)容包括：的過程，驗證的內(nèi)容包括：n真實性：消息發(fā)送者是真正的，而非假冒真實性：消息發(fā)送者是真正的，而非假冒n完整性：消息在存儲和傳輸過程中沒

4、有被篡改過。完整性：消息在存儲和傳輸過程中沒有被篡改過。n消息鑒別系統(tǒng)功能上的層次結(jié)構(gòu)消息鑒別系統(tǒng)功能上的層次結(jié)構(gòu)n低層低層 產(chǎn)生鑒別符產(chǎn)生鑒別符n高層：調(diào)用鑒別函數(shù)，驗證高層：調(diào)用鑒別函數(shù)，驗證低層：鑒別函數(shù)低層：鑒別函數(shù)高層：認(rèn)證協(xié)議高層：認(rèn)證協(xié)議3.1.1 消息鑒別的概念消息鑒別的概念n根據(jù)鑒別符的生成方式，鑒別函數(shù)分（根據(jù)鑒別符的生成方式，鑒別函數(shù)分（3類）：類）：n基于消息加密方式基于消息加密方式n以整個消息的密文作為鑒別符以整個消息的密文作為鑒別符n基于消息鑒別碼（基于消息鑒別碼（MAC）3.1.2n發(fā)送方利用發(fā)送方利用公開函數(shù)公開函數(shù)+密鑰密鑰產(chǎn)生一個固定長度的產(chǎn)生一個固定長度的

5、值作為值作為鑒別標(biāo)識鑒別標(biāo)識，并與消息一同發(fā)送，并與消息一同發(fā)送n基于散列函數(shù)基于散列函數(shù) 3.1.3n采用采用hash函數(shù)將任意長度的消息映射為一個定長函數(shù)將任意長度的消息映射為一個定長的散列值，以此散列值為鑒別碼。的散列值，以此散列值為鑒別碼。MAC方式的一方式的一種特例種特例n最近幾年消息鑒別符的熱點轉(zhuǎn)向最近幾年消息鑒別符的熱點轉(zhuǎn)向 Hash函數(shù)導(dǎo)函數(shù)導(dǎo)出出MAC的方法的方法3.1.2 基于基于MAC的鑒別的鑒別n消息鑒別碼原理消息鑒別碼原理n基于基于DES的消息鑒別碼的消息鑒別碼3.1.2 -1 消息鑒別碼原理消息鑒別碼原理n消息鑒別碼消息鑒別碼(MAC Message Authent

6、ication Code) 又密碼校驗和。原理：又密碼校驗和。原理：n采用公開函數(shù)和采用公開函數(shù)和密鑰密鑰生成一個生成一個固定大小的小數(shù)據(jù)塊固定大小的小數(shù)據(jù)塊，即，即MAC，并附加到消息后面?zhèn)鬏?，接收方利用與，并附加到消息后面?zhèn)鬏?，接收方利用與發(fā)送方共享的密鑰進行鑒別。發(fā)送方共享的密鑰進行鑒別。nMAC提供消息完整性保護，提供消息完整性保護，可以在不安全信道中傳可以在不安全信道中傳輸輸，因為，因為MAC生成需要密鑰。生成需要密鑰。 3.1.2 -1 消息鑒別碼原理消息鑒別碼原理MK源源A宿宿BMC|C(K,M)K比較比較圖圖3-2 MAC鑒別原理圖鑒別原理圖C通信雙方通信雙方AB共享密鑰共享密

7、鑰K，AB, 則則A計算計算MAC，其中：，其中：M明文明文C-MAC函數(shù)函數(shù)K-共享的密鑰共享的密鑰MAC-消息鑒別碼消息鑒別碼 MAC=C(K ,M) 3.1.2 -1 消息鑒別碼原理消息鑒別碼原理n消息和消息和MAC一起發(fā)給接收方。接收方對收到的一起發(fā)給接收方。接收方對收到的消息利用相同的密鑰消息利用相同的密鑰K計算，得出新的計算，得出新的MAC。如果接收到的如果接收到的MAC與計算得出的與計算得出的MAC相等：相等：n接收者可以確信消息接收者可以確信消息M在傳送途中未被篡改在傳送途中未被篡改n接收者可以確信消息來自所聲稱的發(fā)送者接收者可以確信消息來自所聲稱的發(fā)送者n如果消息中含有序列號

8、（如如果消息中含有序列號（如TCP序列號），接收方序列號），接收方可以相信接收順序是正確的。因為攻擊者無法成功可以相信接收順序是正確的。因為攻擊者無法成功修改序列號并保持修改序列號并保持MAC與消息一致。與消息一致。 圖圖3-2 僅僅提供鑒別，而不能提供保密性。因僅僅提供鑒別，而不能提供保密性。因為消息是明文傳輸?shù)?。如果要加密？為消息是明文傳輸?shù)摹Ｈ绻用埽?.1.2 -1 消息鑒別碼原理消息鑒別碼原理nMAC與加密函數(shù)類似，與加密函數(shù)類似， 但不需要可逆，更不易但不需要可逆，更不易攻破。攻破。n使用分離的消息鑒別碼的情形使用分離的消息鑒別碼的情形(3)：n加解密算法，尤其公鑰算法代價大。廣

9、播信息經(jīng)濟可加解密算法，尤其公鑰算法代價大。廣播信息經(jīng)濟可靠方式，明文傳送，一個接收者驗證?？糠绞剑魑膫魉?，一個接收者驗證。n一些應(yīng)用不關(guān)心保密，而關(guān)心消息鑒別一些應(yīng)用不關(guān)心保密，而關(guān)心消息鑒別n將鑒別函數(shù)和加密函數(shù)結(jié)構(gòu)上分離，可使層次結(jié)構(gòu)更將鑒別函數(shù)和加密函數(shù)結(jié)構(gòu)上分離，可使層次結(jié)構(gòu)更加靈活。應(yīng)用層鑒別消息，傳輸層提供保密。加靈活。應(yīng)用層鑒別消息，傳輸層提供保密。3.1.2 -2基于基于DES的消息鑒別碼的消息鑒別碼 基于基于DES的消息鑒別碼的消息鑒別碼n基于分組密碼，并按密文塊鏈接模式操作基于分組密碼，并按密文塊鏈接模式操作 CBC。n數(shù)據(jù)鑒別算法數(shù)據(jù)鑒別算法 CBCMAC 密文分組鏈

10、接消息鑒密文分組鏈接消息鑒別碼別碼n數(shù)據(jù)鑒別算法圖數(shù)據(jù)鑒別算法圖 圖圖3-3 p57O0 = IVO1 = Ek（D1 O0）O2 = Ek（D2 O1）。ON = Ek（DN ON-1）3.1.3 基于散列函數(shù)的鑒別基于散列函數(shù)的鑒別n散列函數(shù)散列函數(shù)(Hash)是消息鑒別碼是消息鑒別碼(MAC)的一種變形的一種變形。散列函數(shù)與消息鑒別碼相同點：。散列函數(shù)與消息鑒別碼相同點：n輸入都是可變大小輸入都是可變大小M；n輸出都是固定大小散列碼輸出都是固定大小散列碼 H(M)n散列函數(shù)與消息鑒別碼不同點散列函數(shù)與消息鑒別碼不同點:n散列碼不使用密鑰，它僅是輸入消息的函數(shù)。散列碼不使用密鑰，它僅是輸入

11、消息的函數(shù)。n需要安全地存放和傳輸消息摘要，防止被篡改。需要安全地存放和傳輸消息摘要，防止被篡改。3.1.3 基于散列函數(shù)的鑒別基于散列函數(shù)的鑒別n散列碼用于消息鑒別的兩種方法：圖散列碼用于消息鑒別的兩種方法：圖1）加密消息及散列碼）加密消息及散列碼 AB A 計算，加密：計算，加密：E(K，M|H(M) B 解密，計算，比較解密，計算，比較2）僅加密散列碼）僅加密散列碼 （共享密鑰）（共享密鑰） AB: A 計算，加密：計算，加密： M| E(K，H(M) B 計算，解密，比較計算，解密，比較3.1.3-散列碼用于消息鑒別的兩種方法：散列碼用于消息鑒別的兩種方法：(a)加密消息及散列碼加密消

12、息及散列碼(b)只加密散列碼只加密散列碼D()MH()密鑰KE()密鑰KH()|比較比較MMH(M)H()D()比較比較密鑰密鑰KE()密鑰密鑰KMH(M)H()源源A宿宿B3.1.3 基于散列函數(shù)的鑒別基于散列函數(shù)的鑒別nHMAC 散列函數(shù)散列函數(shù)+MAC（K，M） IP安全安全 和和SSL協(xié)議使用協(xié)議使用HMACnRF2104給出的給出的HMAC設(shè)計目標(biāo)（設(shè)計目標(biāo)（5） nHMAC總體結(jié)構(gòu)圖總體結(jié)構(gòu)圖 圖圖3-5 p59 HMAC(K,M)= H (K+ opad)|H (K+ ipad)|M1.不必修改而直接使用現(xiàn)有的散列函數(shù)。散列函數(shù)不必修改而直接使用現(xiàn)有的散列函數(shù)。散列函數(shù)-黑盒黑盒

13、2.如果找到更快更安全的散列函數(shù)，應(yīng)能很容易替代原來嵌如果找到更快更安全的散列函數(shù)，應(yīng)能很容易替代原來嵌入的散列函數(shù)。入的散列函數(shù)。3.應(yīng)保持散列函數(shù)的原有性能，不能過分降低其性能。應(yīng)保持散列函數(shù)的原有性能，不能過分降低其性能。4.對密鑰的使用和處理應(yīng)比較簡單對密鑰的使用和處理應(yīng)比較簡單5.如果已知嵌入的散列函數(shù)的強度，則完全可以知道認(rèn)證機如果已知嵌入的散列函數(shù)的強度，則完全可以知道認(rèn)證機制抗密碼分析的強度。制抗密碼分析的強度。3.1.4 散列函數(shù)散列函數(shù)n散列函數(shù)散列函數(shù) 是一種將輸入任意長度消息映射到是一種將輸入任意長度消息映射到固定長度消息摘要的函數(shù)。固定長度消息摘要的函數(shù)。 h=H（M

14、），沒有），沒有K1.散列函數(shù)安全性散列函數(shù)安全性2.SHA-1算法算法3.MD5算法算法3.1.4 -1 散列函數(shù)安全性散列函數(shù)安全性n攻擊：攻擊：n攻擊者得到攻擊者得到h(M)，試圖，試圖偽造偽造M ，使，使h(M)= h(M)n散列函數(shù)必須滿足的安全特征（散列函數(shù)必須滿足的安全特征（3）：）：n單向性單向性 對于任意給定的散列碼對于任意給定的散列碼h，尋找尋找x使得使得H(x)=h在計算上不可行。在計算上不可行。n強對抗碰撞性（強對抗碰撞性（3） 輸入輸入 輸出輸出 h(M)容易計算容易計算+ (4)：尋找任何的：尋找任何的(M1,M2)使得使得H(M1)=h(M2) 在計算在計算上不可

15、行。上不可行。n弱對抗碰撞性弱對抗碰撞性 (4減弱減弱)：對于任意給定的分組：對于任意給定的分組M,尋找不尋找不等于等于M的的M，使得，使得H(M)=h(M)在計算上不可行在計算上不可行。弱對弱對抗碰撞的散列函數(shù)隨著使用次數(shù)增加，安全性降低?？古鲎驳纳⒘泻瘮?shù)隨著使用次數(shù)增加，安全性降低。3.1.4 -2 SHA-1算法算法nSHA是美是美 國家標(biāo)準(zhǔn)和技術(shù)協(xié)會（國家標(biāo)準(zhǔn)和技術(shù)協(xié)會（NIST）1993提出，提出， 1995年發(fā)布年發(fā)布SHA-1。輸入。輸入512比特單位分組，輸出比特單位分組，輸出160比特消息摘要。比特消息摘要。n步驟：步驟：1.附加填充位附加填充位 填充后結(jié)果長度（模填充后結(jié)果

16、長度（模512）=4482.附加長度附加長度 64位：表示原始消息長度位：表示原始消息長度3.初始化散列緩沖區(qū)初始化散列緩沖區(qū) 兩個緩沖區(qū)（兩個緩沖區(qū)（2* 5*32位），第一個緩沖區(qū)位），第一個緩沖區(qū)ABCDE初始化值初始化值.第二個緩沖區(qū)第二個緩沖區(qū)H0 H1 H2 H3 H44.計算消息摘要計算消息摘要（每一個階段一個分組），每組（每一個階段一個分組），每組80輪輪5.輸出。第輸出。第N階段輸出階段輸出n步驟步驟2得到的消息塊得到的消息塊M1,M2,Mn. 每塊每塊80輪運算輪運算，每輪輸入，每輪輸入ABCDE，更新，更新. 每一輪使用每一輪使用:n附加常數(shù)附加常數(shù)Kt 給出，給出， 0

17、=t=79; 函數(shù)函數(shù)ftn 消息消息M擴充擴充（16*32比特）比特） (80*32比特比特) Wj=Mj （0= j=15） Wj= (W j-3 Wj-8 W j-14 W j-16)1 （16= j=79） n H0,H1,H2,H3,H4 A,B,C,D,En TEMP= , E=D D=C C=B30, B= A A=TEMPn 最后最后：A,B,C,D,E H0+A,H1+B,H2+C,H3+D,H4+E計算消息摘要計算消息摘要ft非線性函數(shù)非線性函數(shù)明文相關(guān)的內(nèi)容明文相關(guān)的內(nèi)容3.1.4 -3 MD5*nMD5： 1991 麻省理工學(xué)院麻省理工學(xué)院 Ronald L.Rives

18、t MD4改進，速度慢，安全性高。改進，速度慢，安全性高。 n輸入輸入512分組（分組（16*32）輸出）輸出128位（位（4*32）步驟步驟1.消息填充消息填充 結(jié)果長度模結(jié)果長度模512 =448 2.添加長度添加長度3.初始化緩沖區(qū)初始化緩沖區(qū) (4*32) a b c dAA BB CC DD4.定義輔助函數(shù)定義輔助函數(shù) 4個非線性函數(shù)個非線性函數(shù)5.4輪計算輪計算3.1.4 MD5 *4.定義輔助函數(shù)定義輔助函數(shù) n4個非線性函數(shù)個非線性函數(shù) F(X,Y,Z), G(X,Y,Z), H(), I（）（）n4 4種操作：種操作：FF(a,b,c,d,Mj,s,ti)= a b+ ( a

19、+ F(b,c,d)+ Mi+ti)s5.4輪計算輪計算 （4*16）1.第一輪第一輪 FF(a,b,c,d,Mj,s,ti) 16次次2.第二輪第二輪 GG(a,b,c,d,Mj,s,ti) 16次次3.第三輪第三輪 HH(a,b,c,d,Mj,s,ti) 16次次4.第四輪第四輪 II(a,b,c,d,Mj,s,ti) 16次次 ti = 4294967296*abs(sin(i)整數(shù)部分整數(shù)部分最后最后 a,b,c,d=a+AA,b+BB,c+CC,d+DD3.2 數(shù)字簽名數(shù)字簽名n手寫簽名與數(shù)字簽名手寫簽名與數(shù)字簽名n手寫簽名作用：鑒別、核準(zhǔn)、負(fù)責(zé)等作用，表示簽名手寫簽名作用：鑒別、核

20、準(zhǔn)、負(fù)責(zé)等作用，表示簽名者對文件的認(rèn)同，產(chǎn)生某種者對文件的認(rèn)同，產(chǎn)生某種承諾承諾或或法律上的效應(yīng)法律上的效應(yīng)。n數(shù)字簽名數(shù)字簽名是手寫簽名數(shù)字化形式，公鑰密碼學(xué)發(fā)展中是手寫簽名數(shù)字化形式，公鑰密碼學(xué)發(fā)展中最重要的概念之一，一項重要的計算機網(wǎng)絡(luò)安全技術(shù)最重要的概念之一，一項重要的計算機網(wǎng)絡(luò)安全技術(shù)n美國，中國美國，中國電子簽名法電子簽名法，可靠的數(shù)字簽名與手寫，可靠的數(shù)字簽名與手寫簽名或印章具有同等法律效率。簽名或印章具有同等法律效率。3.2數(shù)字簽名數(shù)字簽名 n3.2.1 數(shù)字簽名簡介數(shù)字簽名簡介n3.2.2 基于公鑰密碼的數(shù)字簽名原理基于公鑰密碼的數(shù)字簽名原理n3.2.3 數(shù)字簽名算法數(shù)字簽名

21、算法(難難) 3.2.1 數(shù)字簽名簡介數(shù)字簽名簡介1.數(shù)字簽名必要性數(shù)字簽名必要性2.數(shù)字簽名的概念及特征數(shù)字簽名的概念及特征3.2.1 -1數(shù)字簽名的必要性數(shù)字簽名的必要性n消息鑒別消息鑒別 能通過驗證消息完整性和真實性，保能通過驗證消息完整性和真實性，保護通信不受外部第三方的攻擊，但不能防止通護通信不受外部第三方的攻擊，但不能防止通信信雙方內(nèi)部的相互攻擊雙方內(nèi)部的相互攻擊，如：，如：B偽造一個消息，并聲稱是從偽造一個消息，并聲稱是從A收到的。因收到的。因A B共享共享密鑰，密鑰，A無法證明自己沒有發(fā)送。無法證明自己沒有發(fā)送。A可以否認(rèn)發(fā)送過某個消息，可以否認(rèn)發(fā)送過某個消息，B無法證明無法證

22、明A發(fā)送過。發(fā)送過。n電子商務(wù)方面法律應(yīng)防范：電子商務(wù)方面法律應(yīng)防范：例：例： （1）進行電子資金轉(zhuǎn)賬時，接收方增加轉(zhuǎn)賬資金）進行電子資金轉(zhuǎn)賬時，接收方增加轉(zhuǎn)賬資金，并聲稱這是來自發(fā)送方的轉(zhuǎn)賬金額。，并聲稱這是來自發(fā)送方的轉(zhuǎn)賬金額。(2)委托方發(fā)委托方發(fā)送電子郵件要求經(jīng)紀(jì)人進行股票交易，交易賠錢，送電子郵件要求經(jīng)紀(jì)人進行股票交易，交易賠錢，委托方偽稱從沒有發(fā)過這樣的消息。委托方偽稱從沒有發(fā)過這樣的消息。n應(yīng)用環(huán)境應(yīng)用環(huán)境：通信通信(電子交易電子交易)雙方彼此不能完全雙方彼此不能完全信任的情況下信任的情況下. 數(shù)字簽名，數(shù)字簽名，手寫簽名。手寫簽名。消息鑒別消息鑒別 概念：概念：是一個對收到的消

23、息進行驗證是一個對收到的消息進行驗證的過程，驗證的內(nèi)容包括：的過程，驗證的內(nèi)容包括：真實性：消息發(fā)送者是真正的，而非假冒真實性：消息發(fā)送者是真正的，而非假冒完整性：消息在存儲和傳輸過程中沒有被篡完整性：消息在存儲和傳輸過程中沒有被篡改過。改過。3.2.1 -2數(shù)字簽名的概念及其特征數(shù)字簽名的概念及其特征n數(shù)字簽名概念數(shù)字簽名概念(DS)ISO7498-2: n附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對數(shù)據(jù)單元所作的密附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對數(shù)據(jù)單元所作的密碼變換，這種碼變換，這種數(shù)據(jù)和變換數(shù)據(jù)和變換允許數(shù)據(jù)單元接收者用以確認(rèn)數(shù)允許數(shù)據(jù)單元接收者用以確認(rèn)數(shù)據(jù)單元來源和數(shù)據(jù)單元完整性，并保護數(shù)據(jù)

24、，防止被人據(jù)單元來源和數(shù)據(jù)單元完整性，并保護數(shù)據(jù)，防止被人(包括接收者包括接收者)進行偽造進行偽造.n消息鑒別概念消息鑒別概念n一個數(shù)字簽名體制是一個五元組一個數(shù)字簽名體制是一個五元組 (M,A,K,S,V)nM:消息空間；消息空間； A：簽名空間：簽名空間 K密鑰空間；密鑰空間； nS：簽名算法集合，：簽名算法集合，V：驗證算法集合：驗證算法集合 。滿足對任意。滿足對任意k，有，有一簽名算法一簽名算法Sigk 一驗證算法一驗證算法 Verk ，對任意，對任意m M， a A， Verk(m，a)=1 a=Sigk（m） （m，a）是一個）是一個消息簽名對消息簽名對。3.2.1 -2數(shù)字簽名的

25、概念及其特征數(shù)字簽名的概念及其特征n數(shù)字簽名特征數(shù)字簽名特征(4) (提出需求提出需求)n可驗證性可驗證性n不可偽造性不可偽造性n不可否認(rèn)性：發(fā)送方發(fā)送簽名消息，無法抵賴發(fā)送不可否認(rèn)性：發(fā)送方發(fā)送簽名消息，無法抵賴發(fā)送行為；接收方在收到消息后，也無法否認(rèn)接收行文行為；接收方在收到消息后，也無法否認(rèn)接收行文n數(shù)據(jù)完整性：發(fā)送方能夠?qū)ο⒌耐暾赃M行校驗數(shù)據(jù)完整性：發(fā)送方能夠?qū)ο⒌耐暾赃M行校驗，具有消息鑒別的作用，具有消息鑒別的作用3.2.1 -2數(shù)字簽名的概念及其特征數(shù)字簽名的概念及其特征n根據(jù)特征數(shù)字簽名應(yīng)滿足下列條件根據(jù)特征數(shù)字簽名應(yīng)滿足下列條件 實現(xiàn)機制實現(xiàn)機制-6n簽名必須是與信息相

26、關(guān)的二進制位串。簽名必須是與信息相關(guān)的二進制位串。n簽名必須使用發(fā)送者某些獨有信息，以防偽造與抵賴；簽名必須使用發(fā)送者某些獨有信息，以防偽造與抵賴；n產(chǎn)生數(shù)字簽名比較容易；產(chǎn)生數(shù)字簽名比較容易；n識別和驗證簽名比較容易；識別和驗證簽名比較容易；n偽造該數(shù)字簽名在計算是不可行的：無論從給定的數(shù)字偽造該數(shù)字簽名在計算是不可行的：無論從給定的數(shù)字簽名偽造消息，還是從給定消息偽造一個數(shù)字簽名；簽名偽造消息，還是從給定消息偽造一個數(shù)字簽名；n保存一個數(shù)字簽名副本是可行的。保存一個數(shù)字簽名副本是可行的。3.2.1 -2數(shù)字簽名的概念及其特征數(shù)字簽名的概念及其特征n基于公鑰體制可以獲得數(shù)字簽名基于公鑰體制可

27、以獲得數(shù)字簽名:n簽名算法使用簽名人的私鑰，私有保密。簽名算法使用簽名人的私鑰，私有保密。n驗證算法使用簽名人的公鑰，可以被任何人驗證驗證算法使用簽名人的公鑰，可以被任何人驗證3.2.2 基于公鑰密碼的數(shù)字簽名原理基于公鑰密碼的數(shù)字簽名原理n假定接收方已知發(fā)送方的公開密鑰，發(fā)送方假定接收方已知發(fā)送方的公開密鑰，發(fā)送方A用用自己的私鑰自己的私鑰kRa對整個消息或消息的哈希值進行加對整個消息或消息的哈希值進行加密生成數(shù)字簽名。接收方用發(fā)送方的公鑰對簽名密生成數(shù)字簽名。接收方用發(fā)送方的公鑰對簽名進行驗證，從而確認(rèn)簽名消息的準(zhǔn)確性。進行驗證，從而確認(rèn)簽名消息的準(zhǔn)確性。n原理圖原理圖n考慮效率，采用第二

28、種方法。對消息散列值加密考慮效率，采用第二種方法。對消息散列值加密3.2.2 基于公鑰密碼的數(shù)字簽名原理基于公鑰密碼的數(shù)字簽名原理圖圖 3-6 基于公鑰密碼的數(shù)字簽名原理基于公鑰密碼的數(shù)字簽名原理M比較比較密鑰密鑰KUaMPRa|HEEPRa(H(M)）HDMCMPRaPUaED發(fā)送方發(fā)送方A接收方接收方B3.2.2 基于公鑰密碼的數(shù)字簽名原理基于公鑰密碼的數(shù)字簽名原理圖圖3-7 簽名和保密簽名和保密CCMPUbPUaDD發(fā)送方發(fā)送方A接收方接收方BMEPRaCEPRbM比較密鑰PUaPRa|HEE(K,M|E(PRa,H(M)）HDKEDKME(PRa,H(M)）簽名和保密時，先簽名再外層加

29、密在發(fā)生爭執(zhí)時的好處簽名和保密時，先簽名再外層加密在發(fā)生爭執(zhí)時的好處 ?3.2.2 基于公鑰密碼的數(shù)字簽名原理基于公鑰密碼的數(shù)字簽名原理簽名的有效性依賴于發(fā)送方私鑰的安全性。簽名的有效性依賴于發(fā)送方私鑰的安全性。n每條簽名的消息包含時間戳。泄密后向管理中心報告的每條簽名的消息包含時間戳。泄密后向管理中心報告的時間時間3.2.3 數(shù)字簽名算法數(shù)字簽名算法n基于基于RSA的數(shù)字簽名算法的數(shù)字簽名算法n數(shù)字簽名標(biāo)準(zhǔn)數(shù)字簽名標(biāo)準(zhǔn)DSS3.2.3 -1 基于基于RSA的數(shù)字簽名算法的數(shù)字簽名算法n使用一個散列函數(shù)使用一個散列函數(shù)H，H的輸入是消息，輸出是的輸入是消息，輸出是定長的散列碼。發(fā)送方用私鑰和定

30、長的散列碼。發(fā)送方用私鑰和RSA算法對散算法對散列碼加密形成簽名，發(fā)送簽名和消息。接收方列碼加密形成簽名，發(fā)送簽名和消息。接收方收到消息后，計算散列碼，并用發(fā)送方公鑰解收到消息后，計算散列碼，并用發(fā)送方公鑰解密得到發(fā)送方的散列碼，如果兩個散列碼相同密得到發(fā)送方的散列碼，如果兩個散列碼相同，則認(rèn)為簽名有效。，則認(rèn)為簽名有效。n圖圖M比較PUaPRa|HEE(PRa，H(M)HD圖圖3-8 RSA數(shù)字簽名數(shù)字簽名3.2.3 -2數(shù)字簽名標(biāo)準(zhǔn)數(shù)字簽名標(biāo)準(zhǔn)DSSnDSS：NIST 1991年提出聯(lián)邦數(shù)字加密標(biāo)準(zhǔn)；使年提出聯(lián)邦數(shù)字加密標(biāo)準(zhǔn)；使用安全散列算法用安全散列算法SHA ，給出數(shù)字簽名方法，給出數(shù)

31、字簽名方法DSAMPRA|HSigHM比較比較PUGKsrVerPUGPUAPUG：全局公開密鑰：全局公開密鑰PRa：發(fā)送方的私鑰：發(fā)送方的私鑰K: 隨機數(shù)隨機數(shù)DSS數(shù)字簽名與數(shù)字簽名與RSA不同，是一種公鑰方法，只提供數(shù)不同，是一種公鑰方法，只提供數(shù)字簽名，不提供加密和密鑰分配。字簽名，不提供加密和密鑰分配。3.2.3 -2數(shù)字簽名標(biāo)準(zhǔn)數(shù)字簽名標(biāo)準(zhǔn)DSSDSA安全性基于計算離散對數(shù)的困難性。算法：安全性基于計算離散對數(shù)的困難性。算法：n發(fā)送方確定全局公開密鑰發(fā)送方確定全局公開密鑰KUG：p, q, gn素數(shù)素數(shù)p，512 1024 bits，位數(shù)，位數(shù)64的倍數(shù)的倍數(shù)n素數(shù)素數(shù)q是是p-1的因子，的因子，159或或160bitsng=h (p-1)/q mod q, 1h1n發(fā)送方發(fā)送方確定公鑰和私鑰確定公鑰和私鑰n私鑰：隨機數(shù)私鑰：隨機數(shù)x，滿足，滿足0 x yn與每條消息相關(guān)的秘密值與每條消息相關(guān)的秘密值K，0kq，每次簽名唯一。，每次簽名唯一。n發(fā)送方發(fā)送方簽名簽名: (r, s)