第03章 消息鑒別與數(shù)字簽名

第3章消息鑒別與數(shù)字簽名經(jīng)典密碼學(xué)->現(xiàn)代公開(kāi)的計(jì)算機(jī)環(huán)境保密有效系統(tǒng)地保障電子數(shù)據(jù)的機(jī)密性、完整性和真實(shí)性公開(kāi)的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境中，傳輸中的數(shù)據(jù)可能遭受到威脅（5種）：泄密通信業(yè)務(wù)量分析偽造：攻擊者假冒發(fā)方身份，向網(wǎng)絡(luò)插入一條消息；或假冒接收方發(fā)送一個(gè)消息確認(rèn)。篡改：內(nèi)容篡改序號(hào)篡改時(shí)間篡改行為抵賴保密消息鑒別數(shù)字簽名第3章消息鑒別與數(shù)字簽名3.1消息鑒別3.1.1消息鑒別的概念3.1.2基于MAC的鑒別3.1.3基于散列函數(shù)的鑒別3.1.4散列函數(shù)3.2

數(shù)字簽名3.1.消息鑒別完整性是安全的基本要求之一。篡改消息是對(duì)通信系統(tǒng)的主動(dòng)攻擊常見(jiàn)形式。被篡改的消息是不完整的；信道的偶發(fā)干擾和故障也破壞消息完整性。接收者能檢查所收到的消息是否完整；進(jìn)一步接收者能識(shí)別所收到的信息是否源于所聲稱的主體。即消息來(lái)源的真實(shí)性保障消息完整性和真實(shí)性的手段：

消息鑒別技術(shù)3.1.1消息鑒別的概念消息鑒別概念：是一個(gè)對(duì)收到的消息進(jìn)行驗(yàn)證的過(guò)程，驗(yàn)證的內(nèi)容包括：真實(shí)性：消息發(fā)送者是真正的，而非假冒完整性：消息在存儲(chǔ)和傳輸過(guò)程中沒(méi)有被篡改過(guò)。消息鑒別系統(tǒng)功能上的層次結(jié)構(gòu)低層產(chǎn)生鑒別符高層：調(diào)用鑒別函數(shù)，驗(yàn)證低層：鑒別函數(shù)高層：認(rèn)證協(xié)議3.1.1消息鑒別的概念根據(jù)鑒別符的生成方式，鑒別函數(shù)分（3類）：基于消息加密方式以整個(gè)消息的密文作為鑒別符基于消息鑒別碼（MAC）3.1.2發(fā)送方利用公開(kāi)函數(shù)+密鑰產(chǎn)生一個(gè)固定長(zhǎng)度的值作為鑒別標(biāo)識(shí)，并與消息一同發(fā)送基于散列函數(shù)3.1.3采用hash函數(shù)將任意長(zhǎng)度的消息映射為一個(gè)定長(zhǎng)的散列值，以此散列值為鑒別碼。MAC方式的一種特例最近幾年消息鑒別符的熱點(diǎn)轉(zhuǎn)向Hash函數(shù)導(dǎo)出MAC的方法3.1.2基于MAC的鑒別消息鑒別碼原理基于DES的消息鑒別碼3.1.2-1消息鑒別碼原理消息鑒別碼(MAC

MessageAuthenticationCode)又密碼校驗(yàn)和。原理：采用公開(kāi)函數(shù)和密鑰生成一個(gè)固定大小的小數(shù)據(jù)塊，即MAC，并附加到消息后面?zhèn)鬏?，接收方利用與發(fā)送方共享的密鑰進(jìn)行鑒別。MAC提供消息完整性保護(hù)，可以在不安全信道中傳輸，因?yàn)镸AC生成需要密鑰。

3.1.2-1消息鑒別碼原理MK源A宿BMC||C(K,M)K比較圖3-2MAC鑒別原理圖C通信雙方AB共享密鑰K，AB,則A計(jì)算MAC，其中：M—明文C---MAC函數(shù)K---共享的密鑰MAC---消息鑒別碼

MAC=C(K,M)3.1.2-1消息鑒別碼原理消息和MAC一起發(fā)給接收方。接收方對(duì)收到的消息利用相同的密鑰K計(jì)算，得出新的MAC。如果接收到的MAC與計(jì)算得出的MAC相等：接收者可以確信消息M在傳送途中未被篡改接收者可以確信消息來(lái)自所聲稱的發(fā)送者如果消息中含有序列號(hào)（如TCP序列號(hào)），接收方可以相信接收順序是正確的。因?yàn)楣粽邿o(wú)法成功修改序列號(hào)并保持MAC與消息一致。圖3-2僅僅提供鑒別，而不能提供保密性。因?yàn)橄⑹敲魑膫鬏數(shù)?。如果要加密？?.1.2-1消息鑒別碼原理MAC與加密函數(shù)類似，但不需要可逆，更不易攻破。使用分離的消息鑒別碼的情形(3)：加解密算法，尤其公鑰算法代價(jià)大。廣播信息經(jīng)濟(jì)可靠方式，明文傳送，一個(gè)接收者驗(yàn)證。一些應(yīng)用不關(guān)心保密，而關(guān)心消息鑒別將鑒別函數(shù)和加密函數(shù)結(jié)構(gòu)上分離，可使層次結(jié)構(gòu)更加靈活。應(yīng)用層鑒別消息，傳輸層提供保密。3.1.2-2基于DES的消息鑒別碼基于DES的消息鑒別碼基于分組密碼，并按密文塊鏈接模式操作CBC。數(shù)據(jù)鑒別算法CBC—MAC密文分組鏈接消息鑒別碼數(shù)據(jù)鑒別算法圖圖3-3p57O0

=IVO1=Ek（D1O0）O2=Ek（D2O1）。。。ON=Ek（DNON-1）3.1.3基于散列函數(shù)的鑒別散列函數(shù)(Hash)是消息鑒別碼(MAC)的一種變形。散列函數(shù)與消息鑒別碼相同點(diǎn)：輸入都是可變大小M；輸出都是固定大小散列碼H(M)散列函數(shù)與消息鑒別碼不同點(diǎn):散列碼不使用密鑰，它僅是輸入消息的函數(shù)。需要安全地存放和傳輸消息摘要，防止被篡改。3.1.3基于散列函數(shù)的鑒別散列碼用于消息鑒別的兩種方法：圖1）加密消息及散列碼ABA計(jì)算，加密：E(K，[M||H(M)])B解密，計(jì)算，比較2）僅加密散列碼（共享密鑰）AB:A計(jì)算，加密：M||E(K，[H(M)])B計(jì)算，解密，比較3.1.3-散列碼用于消息鑒別的兩種方法：(a)加密消息及散列碼(b)只加密散列碼D()MH()密鑰KE()密鑰KH()||比較MMH(M)H()D()比較密鑰KE()密鑰KMH(M)H()源A宿B3.1.3基于散列函數(shù)的鑒別HMAC散列函數(shù)+MAC（K，M）IP安全和SSL協(xié)議使用HMACRF2104給出的HMAC設(shè)計(jì)目標(biāo)（5）

HMAC總體結(jié)構(gòu)圖圖3-5p59HMAC(K,M)=H[(K+

opad)||H[(K+

ipad)||M]]不必修改而直接使用現(xiàn)有的散列函數(shù)。散列函數(shù)---黑盒如果找到更快更安全的散列函數(shù)，應(yīng)能很容易替代原來(lái)嵌入的散列函數(shù)。應(yīng)保持散列函數(shù)的原有性能，不能過(guò)分降低其性能。對(duì)密鑰的使用和處理應(yīng)比較簡(jiǎn)單如果已知嵌入的散列函數(shù)的強(qiáng)度，則完全可以知道認(rèn)證機(jī)制抗密碼分析的強(qiáng)度。3.1.4散列函數(shù)散列函數(shù)是一種將輸入任意長(zhǎng)度消息映射到固定長(zhǎng)度消息摘要的函數(shù)。h=H（M），沒(méi)有K散列函數(shù)安全性SHA-1算法MD5算法3.1.4-1散列函數(shù)安全性攻擊：攻擊者得到h(M)，試圖偽造M’，使h(M’)=h(M)散列函數(shù)必須滿足的安全特征（3）：?jiǎn)蜗蛐詫?duì)于任意給定的散列碼h，尋找x使得H(x)=h在計(jì)算上不可行。強(qiáng)對(duì)抗碰撞性（3）輸入輸出h(M)容易計(jì)算+(4)：尋找任何的(M1,M2)使得H(M1)=h(M2)在計(jì)算上不可行。弱對(duì)抗碰撞性(4減弱)：對(duì)于任意給定的分組M,尋找不等于M的M’，使得H(M’)=h(M)在計(jì)算上不可行。弱對(duì)抗碰撞的散列函數(shù)隨著使用次數(shù)增加，安全性降低。3.1.4-2SHA-1算法SHA是美國(guó)家標(biāo)準(zhǔn)和技術(shù)協(xié)會(huì)（NIST）1993提出，1995年發(fā)布SHA-1。輸入512比特單位分組，輸出160比特消息摘要。步驟：附加填充位填充后結(jié)果長(zhǎng)度（模512）=448附加長(zhǎng)度64位：表示原始消息長(zhǎng)度初始化散列緩沖區(qū)兩個(gè)緩沖區(qū)（2*5*32位），第一個(gè)緩沖區(qū)ABCDE初始化值.第二個(gè)緩沖區(qū)H0H1

H2

H3

H4計(jì)算消息摘要（每一個(gè)階段一個(gè)分組），每組80輪輸出。第N階段輸出步驟2得到的消息塊M1,M2,…Mn.每塊80輪運(yùn)算，每輪輸入ABCDE，更新.每一輪使用:附加常數(shù)Kt

給出，0<=t<=79;函數(shù)ft

消息M擴(kuò)充（16*32比特）(80*32比特)

Wj=Mj

（0<=j<=15）

Wj=

(Wj-3Wj-8Wj-14Wj-16)<<1

（16<=j<=79）

H0,H1,H2,H3,H4A,B,C,D,E

TEMP=

(A<<5)+ft(B,C,D)+E+Wj+Kt,

E=DD=CC=B<<30,B=AA=TEMP最后：A,B,C,D,EH0+A,H1+B,H2+C,H3+D,H4+E計(jì)算消息摘要ft非線性函數(shù)明文相關(guān)的內(nèi)容3.1.4-3MD5*MD5：1991麻省理工學(xué)院RonaldL.Rivest

MD4改進(jìn)，速度慢，安全性高。輸入512分組（16*32）輸出128位（4*32）步驟消息填充結(jié)果長(zhǎng)度模512=448添加長(zhǎng)度初始化緩沖區(qū)(4*32)abcd→AABBCCDD定義輔助函數(shù)4個(gè)非線性函數(shù)4輪計(jì)算3.1.4MD5*定義輔助函數(shù)4個(gè)非線性函數(shù)F(X,Y,Z),G(X,Y,Z),H(),I（）4種操作：FF(a,b,c,d,Mj,s,ti)=ab+(a+F(b,c,d)+M[i]+ti)<<s4輪計(jì)算（4*16）第一輪FF(a,b,c,d,Mj,s,ti)16次第二輪GG(a,b,c,d,Mj,s,ti)16次第三輪HH(a,b,c,d,Mj,s,ti)16次第四輪II(a,b,c,d,Mj,s,ti)16次

ti=4294967296*abs(sin(i))整數(shù)部分最后a,b,c,d=a+AA,b+BB,c+CC,d+DD3.2數(shù)字簽名手寫(xiě)簽名與數(shù)字簽名手寫(xiě)簽名作用：鑒別、核準(zhǔn)、負(fù)責(zé)等作用，表示簽名者對(duì)文件的認(rèn)同，產(chǎn)生某種承諾或法律上的效應(yīng)。數(shù)字簽名是手寫(xiě)簽名數(shù)字化形式，公鑰密碼學(xué)發(fā)展中最重要的概念之一，一項(xiàng)重要的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)美國(guó)，中國(guó)《電子簽名法》，可靠的數(shù)字簽名與手寫(xiě)簽名或印章具有同等法律效率。3.2數(shù)字簽名3.2.1數(shù)字簽名簡(jiǎn)介3.2.2基于公鑰密碼的數(shù)字簽名原理3.2.3數(shù)字簽名算法(難)3.2.1數(shù)字簽名簡(jiǎn)介數(shù)字簽名必要性數(shù)字簽名的概念及特征3.2.1-1數(shù)字簽名的必要性消息鑒別能通過(guò)驗(yàn)證消息完整性和真實(shí)性，保護(hù)通信不受外部第三方的攻擊，但不能防止通信雙方內(nèi)部的相互攻擊，如：B偽造一個(gè)消息，并聲稱是從A收到的。因AB共享密鑰，A無(wú)法證明自己沒(méi)有發(fā)送。A可以否認(rèn)發(fā)送過(guò)某個(gè)消息，B無(wú)法證明A發(fā)送過(guò)。電子商務(wù)方面法律應(yīng)防范：例：（1）進(jìn)行電子資金轉(zhuǎn)賬時(shí)，接收方增加轉(zhuǎn)賬資金，并聲稱這是來(lái)自發(fā)送方的轉(zhuǎn)賬金額。(2)委托方發(fā)送電子郵件要求經(jīng)紀(jì)人進(jìn)行股票交易，交易賠錢(qián)，委托方偽稱從沒(méi)有發(fā)過(guò)這樣的消息。應(yīng)用環(huán)境：通信(電子交易)雙方彼此不能完全信任的情況下….數(shù)字簽名，手寫(xiě)簽名。消息鑒別概念：是一個(gè)對(duì)收到的消息進(jìn)行驗(yàn)證的過(guò)程，驗(yàn)證的內(nèi)容包括：真實(shí)性：消息發(fā)送者是真正的，而非假冒完整性：消息在存儲(chǔ)和傳輸過(guò)程中沒(méi)有被篡改過(guò)。3.2.1-2數(shù)字簽名的概念及其特征數(shù)字簽名概念(DS)ISO7498-2:▲附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對(duì)數(shù)據(jù)單元所作的密碼變換，這種數(shù)據(jù)和變換允許數(shù)據(jù)單元接收者用以確認(rèn)數(shù)據(jù)單元來(lái)源和數(shù)據(jù)單元完整性，并保護(hù)數(shù)據(jù)，防止被人(包括接收者)進(jìn)行偽造.消息鑒別概念一個(gè)數(shù)字簽名體制是一個(gè)五元組(M,A,K,S,V)M:消息空間；

A：簽名空間K密鑰空間；S：簽名算法集合，V：驗(yàn)證算法集合

。滿足對(duì)任意k，有一簽名算法Sigk一驗(yàn)證算法Verk

，對(duì)任意mM，aA，

Verk(m，a)=1a=Sigk（m）（m，a）是一個(gè)消息簽名對(duì)。3.2.1-2數(shù)字簽名的概念及其特征數(shù)字簽名特征(4)(提出需求)可驗(yàn)證性不可偽造性不可否認(rèn)性：發(fā)送方發(fā)送簽名消息，無(wú)法抵賴發(fā)送行為；接收方在收到消息后，也無(wú)法否認(rèn)接收行文數(shù)據(jù)完整性：發(fā)送方能夠?qū)ο⒌耐暾赃M(jìn)行校驗(yàn)，具有消息鑒別的作用3.2.1-2數(shù)字簽名的概念及其特征根據(jù)特征數(shù)字簽名應(yīng)滿足下列條件—實(shí)現(xiàn)機(jī)制-6簽名必須是與信息相關(guān)的二進(jìn)制位串。簽名必須使用發(fā)送者某些獨(dú)有信息，以防偽造與抵賴；產(chǎn)生數(shù)字簽名比較容易；識(shí)別和驗(yàn)證簽名比較容易；偽造該數(shù)字簽名在計(jì)算是不可行的：無(wú)論從給定的數(shù)字簽名偽造消息，還是從給定消息偽造一個(gè)數(shù)字簽名；保存一個(gè)數(shù)字簽名副本是可行的。3.2.1-2數(shù)字簽名的概念及其特征基于公鑰體制可以獲得數(shù)字簽名:簽名算法使用簽名人的私鑰，私有保密。驗(yàn)證算法使用簽名人的公鑰，可以被任何人驗(yàn)證3.2.2基于公鑰密碼的數(shù)字簽名原理假定接收方已知發(fā)送方的公開(kāi)密鑰，發(fā)送方A用自己的私鑰kRa對(duì)整個(gè)消息或消息的哈希值進(jìn)行加密生成數(shù)字簽名。接收方用發(fā)送方的公鑰對(duì)簽名進(jìn)行驗(yàn)證，從而確認(rèn)簽名消息的準(zhǔn)確性。原理圖考慮效率，采用第二種方法。對(duì)消息散列值加密3.2.2基于公鑰密碼的數(shù)字簽名原理圖3-6基于公鑰密碼的數(shù)字簽名原理M比較密鑰KUaMPRa||HEEPRa(H(M)）HDMCMPRaPUaED發(fā)送方A接收方B3.2.2基于公鑰密碼的數(shù)字簽名原理圖3-7簽名和保密CCMPUbPUaDD發(fā)送方A接收方BMEPRaC’EPRbM比較密鑰PUaPRa||HEE(K,[M||E(PRa,H(M))]）HDKEDKME(PRa,H(M)）簽名和保密時(shí)，先簽名再外層加密在發(fā)生爭(zhēng)執(zhí)時(shí)的好處?3.2.2基于公鑰密碼的數(shù)字簽名原理簽名的有效性依賴于發(fā)送方私鑰的安全性。每條簽名的消息包含時(shí)間戳。泄密后向管理中心報(bào)告的時(shí)間3.2.3數(shù)字簽名算法基于RSA的數(shù)字簽名算法數(shù)字簽名標(biāo)準(zhǔn)DSS3.2.3-1基于RSA的數(shù)字簽名算法使用一個(gè)散列函數(shù)H，H的輸入是消息，輸出是定長(zhǎng)的散列碼。發(fā)送方用私鑰和RSA算法對(duì)散列碼加密形成簽名，發(fā)送簽名和消息。接收方收到消息后，計(jì)算散列碼，并用發(fā)送方公鑰解密得到發(fā)送方的散列碼，如果兩個(gè)散列碼相同，則認(rèn)為簽名有效。圖M比較PUaPRa||HEE(PRa，H(M))HD圖3-8RSA數(shù)字簽名3.2.3-2數(shù)字簽名標(biāo)準(zhǔn)DSSDSS：NIST1991年提出聯(lián)邦數(shù)字加密標(biāo)準(zhǔn)；使用安全散列算法SHA

，給出數(shù)字簽名方法DSAMPRA||HSigHM比較PUGKsrVerPUGPUAPUG：全局公開(kāi)密鑰PRa：發(fā)送方的私鑰K:隨機(jī)數(shù)DSS數(shù)字簽名與RSA不同，是一種公鑰方法，只提供數(shù)字簽名，不提供加密和密鑰分配。3.2.3-2數(shù)字簽名標(biāo)準(zhǔn)DSSDSA安全性基于計(jì)算離散對(duì)數(shù)的困難性。算法：發(fā)送方確定全局公開(kāi)密鑰KUG：p,q,g素?cái)?shù)p，512~1024bits，位數(shù)64的倍數(shù)素?cái)?shù)q是p-1的因子，159或160bitsg=h(p-1)/qmodq,1<h<(p-1)，整數(shù)，且g>1發(fā)送方確定公鑰和私鑰私鑰：隨機(jī)數(shù)x，滿足0<x<q公鑰：y=gxmodp單向函數(shù)x->y與每條消息相關(guān)的秘密值K，0<k<q，每次簽名