PDF數(shù)字簽名解析課件_第1頁
PDF數(shù)字簽名解析課件_第2頁
PDF數(shù)字簽名解析課件_第3頁
PDF數(shù)字簽名解析課件_第4頁
PDF數(shù)字簽名解析課件_第5頁
已閱讀5頁,還剩25頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

1、PDF數(shù)字簽名數(shù)字簽名介紹第1頁,共30頁。PDF數(shù)字簽名公鑰基礎(chǔ)設(shè)施(PKI)PDF標(biāo)準(zhǔn)定義的數(shù)字簽名PDF數(shù)字簽名第2頁,共30頁。公鑰基礎(chǔ)設(shè)施(PKI)公鑰密碼學(xué)與RSA算法證書與CA第3頁,共30頁。公鑰基礎(chǔ)設(shè)施(PKI)公鑰密碼學(xué)又稱不對稱加密。密碼學(xué)發(fā)展歷史中最偉大的一次革命1976年 斯坦福大學(xué)Diffie和Hellman 提出基于數(shù)論中的結(jié)論公鑰/私鑰公鑰(public key):可以對任何人公開的密鑰,用于加密消息或驗證簽名。 私鑰(private key):只能由用戶私存,用于解密消息或簽名。非對稱公開密鑰與私有密鑰是一對,如果用公開密鑰對數(shù)據(jù)進行加密,只有用對應(yīng)的私有密鑰

2、才能解密;如果用私有密鑰對數(shù)據(jù)進行加密,那么只有用對應(yīng)的公開密鑰才能解密。第4頁,共30頁。公鑰基礎(chǔ)設(shè)施(PKI)RSA算法1977由MIT的Rivest, Shamir 和 Adleman發(fā)明RSA算法基于一個十分簡單的數(shù)論事實:將兩個大素數(shù)相乘十分容易,但是想要對其乘積進行因式分解卻極其困難,因此可以將乘積公開作為加密密鑰。已知的且被廣泛使用的公鑰密碼方案RSA是目前最有影響力的公鑰加密算法,它能夠抵抗到目前為止已知的絕大多數(shù)密碼攻擊,已被ISO推薦為公鑰數(shù)據(jù)加密標(biāo)準(zhǔn)。只要其鑰匙的長度足夠長,用RSA加密的信息實際上是不能被解破的。SET(Secure Electronic Transac

3、tion)協(xié)議中要求CA采用2048bits長的密鑰,其他實體使用1024比特的密鑰。第5頁,共30頁。公鑰基礎(chǔ)設(shè)施(PKI)私鑰加密公鑰解密得到信息網(wǎng)絡(luò)傳輸文檔、公鑰AB怎樣才能知道任意一個公開密鑰是屬于誰的?如果收到一個自稱是某人的公開密鑰,能相信它嗎?問題所在:對公鑰缺乏鑒別機制!第6頁,共30頁。公鑰基礎(chǔ)設(shè)施(PKI)公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure,簡稱PKI)PKI采用證書進行公鑰管理,通過第三方的可信任機構(gòu)(認(rèn)證中心,即CA),把用戶的公鑰和用戶的其他標(biāo)識信息捆綁在一起,其中包括用戶信息,用于網(wǎng)絡(luò)驗證用戶的身份。PKI把公鑰密碼和對稱密碼結(jié)合起來,

4、在Internet網(wǎng)上實現(xiàn)密鑰的自動管理,保證網(wǎng)上數(shù)據(jù)的安全傳輸。是目前網(wǎng)絡(luò)安全建設(shè)的基礎(chǔ)與核心,是電子商務(wù)安全實施的基本保障實際上,PKI是生成、管理、存儲、分發(fā)和撤銷基于公開密碼的公鑰證書所需要的硬件、軟件、人員、策略和規(guī)程的總和。第7頁,共30頁。公鑰基礎(chǔ)設(shè)施(PKI)PKI標(biāo)準(zhǔn)化公鑰加密標(biāo)準(zhǔn)PKCS(Public Key Cryptography Standards)由RSA公司制定,定義了許多基本PKI部件,包括數(shù)字簽名和證書請求格式等具有互操作性的公鑰基礎(chǔ)設(shè)施協(xié)議PKIX。由Internet工程任務(wù)組IETF(Internet Engineering Task Force)和PKI

5、工作組PKIX(Public Key Infrastructure Working Group)所定義。 在今后很長的一段時間內(nèi),PKCS和PKIX將會并存,大部分的PKI產(chǎn)品為保持兼容性,也將會對這兩種標(biāo)準(zhǔn)進行支持。第8頁,共30頁。公鑰基礎(chǔ)設(shè)施(PKI)數(shù)字證書包含用戶標(biāo)識、用戶公鑰及其它信息、CA簽名,是網(wǎng)絡(luò)用戶的身份證明,相當(dāng)于現(xiàn)實生活中的個人身份證。證書頒發(fā)機構(gòu)CA它向用戶頒發(fā)數(shù)字證書,證書中含有用戶名、公開密鑰以及其他身份信息,并由證書頒發(fā)機構(gòu)對之進行了數(shù)字簽名,即證書的擁有者是被證書機構(gòu)所信任的。若信任證書機構(gòu) 信任證書擁有者第9頁,共30頁。公鑰基礎(chǔ)設(shè)施(PKI)數(shù)字證書格式目

6、前廣泛采用的證書格式是國際電信聯(lián)盟(ITU)提出的X.509v3格式內(nèi)容說明版本VX509版本號證書序列號用于標(biāo)識證書算法標(biāo)識符簽名證書的算法標(biāo)識符參數(shù)算法規(guī)定的參數(shù)頒發(fā)者證書頒發(fā)者的名稱及標(biāo)識符(X.500)起始時間證書的有效期 終止時間證書的有效期持證者證書持有者的姓名及標(biāo)識符算法證書的公鑰算法參數(shù)證書的公鑰參數(shù)持證書人公鑰證書的公鑰擴展部分CA對該證書的附加信息,如密鑰的用途數(shù)字簽名證書所有數(shù)據(jù)經(jīng)H運行后CA用私鑰簽名第10頁,共30頁。公鑰基礎(chǔ)設(shè)施(PKI)X.509(1993) X.509是由國際電信聯(lián)盟(ITU-T)制定的數(shù)字證書標(biāo)準(zhǔn)。在X.500確保用戶名稱惟一性的基礎(chǔ)上,X.5

7、09為X.500用戶名稱提供了通信實體的鑒別機制,并規(guī)定了實體鑒別過程中廣泛適用的證書語法和數(shù)據(jù)接口。 PKCS系列標(biāo)準(zhǔn) PKCS是由美國RSA數(shù)據(jù)安全公司及其合作伙伴制定的一組公鑰密碼學(xué)標(biāo)準(zhǔn),其中包括證書申請、證書更新、證書作廢表發(fā)布、擴展證書內(nèi)容以及數(shù)字簽名、數(shù)字信封的格式等方面的一系列相關(guān)協(xié)議。PKCS#7 定義一種通用的消息語法,包括數(shù)字簽名和加密等用于增強的加密機制第11頁,共30頁。公鑰基礎(chǔ)設(shè)施(PKI)支付寶個人數(shù)字證書實例第12頁,共30頁。公鑰基礎(chǔ)設(shè)施(PKI)windows系統(tǒng)運行certmgr.msc打開證書管理第13頁,共30頁。公鑰基礎(chǔ)設(shè)施(PKI)使用PKI的例子h

8、ttps網(wǎng)銀的數(shù)字證書支付寶數(shù)字證書第14頁,共30頁。PDF標(biāo)準(zhǔn)定義的數(shù)字簽名PDF簽名類型與功能PDF簽名驗證方法與標(biāo)準(zhǔn)第15頁,共30頁。PDF標(biāo)準(zhǔn)定義的數(shù)字簽名PDF數(shù)字簽名是一個國際化標(biāo)準(zhǔn),ISO 32000標(biāo)準(zhǔn)數(shù)字簽名包含用戶信息、文檔狀態(tài)兩種行為1. 對pdf文檔進行數(shù)字簽名2 . 驗證簽名是否有效第16頁,共30頁。PDF標(biāo)準(zhǔn)定義的數(shù)字簽名簽名的標(biāo)準(zhǔn)類型最多一個認(rèn)證簽名 (certification signature)一個或多個審批簽名(approval signature)第17頁,共30頁。PDF標(biāo)準(zhǔn)定義的數(shù)字簽名認(rèn)證簽名設(shè)置文檔的三種權(quán)限不允許任何修改只允許填表單只允許

9、填表單和寫注釋任何權(quán)限外的修改,將導(dǎo)致簽名失效。第18頁,共30頁。PDF標(biāo)準(zhǔn)定義的數(shù)字簽名簽名的交互操作功能目的:使簽名支持不同廠商的驗證。標(biāo)準(zhǔn)定義了幾種標(biāo)準(zhǔn)的驗證方法,全部是基于公鑰加密標(biāo)準(zhǔn)。1. PKCS#1 簽名 使用RSA加密算法和SHA-1摘要方法2. PKCS#7 簽名第19頁,共30頁。PDF標(biāo)準(zhǔn)定義的數(shù)字簽名PKCS#7 標(biāo)準(zhǔn)adbe.pkcs7.detachedadbe.pkcs7.sha1 adbe.x509.rsa.sha1Message DigestSHA1 (PDF 1.3)SHA256 (PDF 1.6)SHA384 (PDF 1.7)SHA512 (PDF 1.

10、7)RIPEMD160 (PDF 1.7)SHA1 (PDF 1.3)SHA1 (PDF 1.3)SHA256 (PDF 1.6)SHA384 (PDF 1.7)SHA512 (PDF 1.7)RIPEMD160 (PDF 1.7)RSA Algorithm SupportUp to 1024-bit (PDF 1.3)Up to 2048-bit (PDF 1.5)Up to 4096-bit (PDF 1.5)See dbe.pkcs7.detachedSee dbe.pkcs7.detachedDSA Algorithm SupportUp to 4096-bits (PDF 1.6)S

11、ee dbe.pkcs7.detachedNo第20頁,共30頁。PDF數(shù)字簽名存儲方式簽名過程驗證過程第21頁,共30頁。PDF數(shù)字簽名存儲方式簽名保存在一個簽名目錄,目錄的條目由PDF標(biāo)準(zhǔn)定義。第22頁,共30頁。PDF數(shù)字簽名證書保存在pdf文檔里面,用于驗證簽名的有效性。第23頁,共30頁。PDF數(shù)字簽名傳統(tǒng)文件簽名過程通常是在向公證人提供身份的充分證明,在公證人面前進行簽字,因為公證人是被認(rèn)可的,所以簽名文件是有效的。PKI是類似的信任方式。第24頁,共30頁。PDF數(shù)字簽名第25頁,共30頁。PDF數(shù)字簽名簽名過程1. 文檔中分配簽名目錄的空間,填寫其內(nèi)容,保存數(shù)字證書,填寫B(tài)yt

12、eRange。2. 用戶選取一種SHA算法,根據(jù)ByteRange計算出整個pdf的document digest,僅僅除了該簽名值保存的條目。3. 從數(shù)字證書取得私鑰和加密算法,加密文檔的document digest,獲取時間戳,生成標(biāo)準(zhǔn)格式PKSC7或x509 object,結(jié)果寫入簽名值條目。第26頁,共30頁。PDF數(shù)字簽名一個認(rèn)證簽名,多個審批簽名傳統(tǒng)紙張方式文件一式兩份,多個簽名只需多寫一行,簽名者保存一份。簽名者很容易辨認(rèn)另一份是否修改。pdf數(shù)字簽名方式pdf標(biāo)準(zhǔn)支持增量更新,當(dāng)有了一個簽名后,不能修改文檔原來的內(nèi)容,但可以不斷在文檔后面增加簽名信息,實現(xiàn)多人簽名。第27頁,共30頁。PDF數(shù)字

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論