數(shù)字簽名與信息隱藏(0002)課件

2024/1/71第六講數(shù)字簽名與信息隱藏王志偉Email:zhwwang@2024/1/72課程內(nèi)容數(shù)字簽名原理鑒別協(xié)議數(shù)字簽名算法信息隱藏41235數(shù)字水印數(shù)字簽名及其應(yīng)用公鑰密碼體制為解決計(jì)算機(jī)信息網(wǎng)中的安全提供了新的理論和技術(shù)基礎(chǔ)。公鑰密碼體制的最大特點(diǎn)是采用兩個(gè)密鑰將加密和解密能力分開，使得通信雙方無需事先交換密鑰就可進(jìn)行保密通信，從而大大減少了多實(shí)體通信網(wǎng)實(shí)體之間通信所需的密鑰量，便于密鑰管理。此外，公鑰體制的一個(gè)重要的特性是可用于實(shí)現(xiàn)數(shù)字簽字。數(shù)字簽名在信息安全，包括身份認(rèn)證、數(shù)據(jù)完整性、不可否認(rèn)性以及匿名性等方面有著重要的應(yīng)用，特別是在大型網(wǎng)絡(luò)安全通信中的密鑰分配、認(rèn)證以及電子商務(wù)系統(tǒng)安全性等方面具有非常重要的作用。2024/1/74數(shù)據(jù)的易復(fù)制性2024/1/75簽名2024/1/76考慮兩種情形Bob可以偽造一條消息并稱該消息發(fā)自Alice使用Bob和Alice共享的密鑰產(chǎn)生認(rèn)證碼，并附于消息之后Alice可以否認(rèn)曾發(fā)送某條消息因?yàn)锽ob可以偽造，所以無法證明Alice確實(shí)發(fā)送過消息

最吸引人的解決方案是數(shù)字簽名數(shù)字簽名應(yīng)滿足的要求收方能夠確認(rèn)或證實(shí)發(fā)方的簽名，但不能偽造，簡記為R1-條件（unforgeablity）。發(fā)方發(fā)出簽名的消息給收方后，就不能再否認(rèn)他所簽發(fā)的消息，簡記為S-條件(non-repudiation)。收方對(duì)已收到的簽名消息不能否認(rèn)，即有收?qǐng)?bào)認(rèn)證，簡記作R2-條件。第三者可以確認(rèn)收發(fā)雙方之間的消息傳送，但不能偽造這一過程，簡記作T-條件。2024/1/710數(shù)字簽名傳統(tǒng)簽名的基本特點(diǎn):能與被簽的文件在物理上不可分割簽名者不能否認(rèn)自己的簽名簽名不能被偽造容易被驗(yàn)證數(shù)字簽名是傳統(tǒng)簽名的數(shù)字化,基本要求:能與所簽文件“綁定”簽名者不能否認(rèn)自己的簽名簽名不能被偽造容易被驗(yàn)證數(shù)字簽名體制一個(gè)簽名體制可由量(M,S,K,V)其中M是明文空間，S是簽名的集合，K

是密鑰空間，V

是證實(shí)函數(shù)的值域，由真、偽組成。(1)簽名算法：對(duì)每一M

M和k

K，易于計(jì)算對(duì)M的簽名S=Sigk(M)

S

簽名密鑰是秘密的，只有簽名人掌握；

(2)驗(yàn)證算法：Verk(S,M)

{真，偽}={0，1}（顯著的概率）驗(yàn)證算法應(yīng)當(dāng)公開，已知M，S易于證實(shí)S是否為M的簽名，以便于他人進(jìn)行驗(yàn)證。

2024/1/712問題公鑰的管理，公鑰與身份的對(duì)應(yīng)關(guān)系簽名的有效性，私鑰丟失？2024/1/713數(shù)字證書數(shù)字簽名用來保證信息傳輸過程中信息的完整和提供信息發(fā)送者的身份的確認(rèn)。數(shù)字證書采用公開密鑰體制（例如RSA）。每個(gè)用戶設(shè)定一僅為本人所知的私有密鑰，用它進(jìn)行解密和簽名；同時(shí)設(shè)定一公開密鑰，為一組用戶所共享，用于加密和驗(yàn)證簽名。2024/1/714數(shù)字證書的作用采用數(shù)字證書，能夠確認(rèn)以下兩點(diǎn)：(1)保證信息是由簽名者自己簽名發(fā)送的，簽名者不能否認(rèn)或難以否認(rèn)。(2)保證信息自簽發(fā)后到收到為止未曾做過任何修改，簽發(fā)的信息是真實(shí)信息。2024/1/715課程內(nèi)容數(shù)字簽名原理鑒別協(xié)議數(shù)字簽名算法信息隱藏41235數(shù)字水印2024/1/716鑒別協(xié)議報(bào)文鑒別往往必須解決如下的問題：(1)報(bào)文是由確認(rèn)的發(fā)送方產(chǎn)生的。(2)報(bào)文的內(nèi)容是沒有被修改過的。(3)報(bào)文是按傳送時(shí)的相同順序收到的。(4)報(bào)文傳送給確定的對(duì)方。2024/1/717鑒別方法一種方法是發(fā)送方用自己的私鑰對(duì)報(bào)文簽名，簽名足以使任何人相信報(bào)文是可信的。另一種方法常規(guī)加密算法也提供了鑒別。但有兩個(gè)問題，一是不容易進(jìn)行常規(guī)密鑰的分發(fā)，二是接收方?jīng)]有辦法使第三方相信該報(bào)文就是從發(fā)送方送來的，而不是接收方自己偽造的。因此，一個(gè)完善的鑒別協(xié)議往往考慮到四方面的鑒別。報(bào)文源報(bào)文宿報(bào)文內(nèi)容報(bào)文時(shí)間性2024/1/718Needham—Schroeder協(xié)議Needham—Schroeder協(xié)議--利用常規(guī)加密方法進(jìn)行雙向鑒別采用了常規(guī)加密體制和密鑰分配中心KDC技術(shù)。盡管這個(gè)協(xié)議本身存在一定的安全漏洞，但是后來發(fā)展的很多鑒別協(xié)議都是在NSNeedham—Schroeder協(xié)議的基礎(chǔ)上擴(kuò)展而成的。2024/1/719在該協(xié)議中，網(wǎng)絡(luò)中通信的各方與密鑰分配中心KDC共享一個(gè)主密鑰這個(gè)主密鑰已通過其他安全的渠道傳送完成。密鑰分配中心KDC為通信的雙方產(chǎn)生短期通信所需的會(huì)話密鑰并通過主密鑰來保護(hù)這些密鑰的分發(fā)。2024/1/720（1）AKDC:（IDa，IDb，Ra）通信方A將由自己的名字IDa，通信方B的名字IDb和隨機(jī)數(shù)Ra組成的報(bào)文傳給KDC。

（2）KDCA:EKa(Ra,IDb,Ks,EKb(Ks,IDa))。KDC產(chǎn)生一隨機(jī)會(huì)話密鑰Ks。他用與通信方B共享的秘密密鑰Kb對(duì)隨機(jī)會(huì)話密鑰Ks和通信方A名字組成的報(bào)文加密。然后用他和通信方A共享的秘密密鑰Ka對(duì)通信方A的隨機(jī)值、通信方B的名字、會(huì)話密鑰Ks和已加密的報(bào)文進(jìn)行加密，最后將加密的報(bào)文傳送給通信方A。（3）AB:EKb(Ks,IDa)。通信方A將報(bào)文解密并提取Ks。他確認(rèn)Ra與他在第(1)步中發(fā)送給KDC的一樣。然后他將KDC用通信方B的密鑰Kb加密的報(bào)文發(fā)送給通信方B。協(xié)議步驟2024/1/721（4）BA:EKs(Rb)通信方B對(duì)報(bào)文解密并提取會(huì)話密鑰Ks，然后產(chǎn)生另一隨機(jī)數(shù)Rb。他使用會(huì)話密鑰Ks加密它并將它發(fā)送給通信方A。（5）AB:EKs(Rb-1)通信方A用會(huì)話密鑰Ks將報(bào)文解密，產(chǎn)生Rb-1并用會(huì)話密鑰Ks對(duì)它加密，然后將報(bào)文發(fā)回給通信方B。（6）通信方B用會(huì)話密鑰Ks對(duì)信息解密，并驗(yàn)證它是Rb-12024/1/722

盡管Needham—Schroeder協(xié)議已經(jīng)考慮了重放攻擊，但是設(shè)計(jì)一個(gè)完美的沒有漏洞的鑒別協(xié)議往往是很困難的?？紤]一下這種情況：如果一個(gè)對(duì)手已經(jīng)獲得了一個(gè)舊的會(huì)話密鑰，那么在第(3)步中就可冒充通信方A向通信方B發(fā)送一個(gè)舊密鑰的重放報(bào)文，而此時(shí)通信方B無法確定這是—個(gè)報(bào)文的重放。NS協(xié)議的問題2024/1/723Denning對(duì)Needham—schroeder協(xié)議進(jìn)行了修改，防止這種情況下的重放攻擊，其過程如下：（1）AKDC:（IDa，IDb）。（2）KDCA:EKa(T,IDb,Ks,EKb(T,Ks,IDa))。（3）AB:EKb(T,Ks,IDa)。（4）BA:EKs(Rb)。（5）AB:EKs(Rb-1)。在這個(gè)過程中，增加了時(shí)間戳T，向通信方A和B確保該會(huì)話密鑰是剛產(chǎn)生的，使得通信方A和B雙方都知道這個(gè)密鑰分配是一個(gè)最新的。Denning的改進(jìn)2024/1/724單向鑒別第一個(gè)需求是電子郵件，報(bào)文的首部必須是明文的，以便報(bào)文能被SMTP處理，而郵件報(bào)文內(nèi)容應(yīng)該加密。第二個(gè)需求是鑒別。典型的是，收方想得到某種保證，即該報(bào)文確實(shí)是來自被認(rèn)為的發(fā)方。如果使用常規(guī)加密方法進(jìn)行發(fā)方和收方的直接鑒別，密鑰分配策略是不現(xiàn)實(shí)的。這種方案需要發(fā)方向預(yù)期的收方發(fā)出請(qǐng)求，等待包括一個(gè)會(huì)話密鑰的響應(yīng)，然后才能發(fā)送報(bào)文。？？考慮到應(yīng)該避免要求收方B和發(fā)方A同時(shí)在線，如下基于常規(guī)加密方法的方案解決了鑒別。2024/1/725（1）AKDC:（IDa，IDb,Ra）。（2）KDCA:EKa(IDb,Ks,Ra,EKb(Ks,IDa))。（3）AB:EKb(Ks,IDa)EKs(M)。這個(gè)常規(guī)加密方案提供了對(duì)A的認(rèn)證，并且保證只有B可以看到明文，但是會(huì)遭到重放攻擊。另外，如果在報(bào)文中加入時(shí)間戳，由于電子郵件潛在的時(shí)延，時(shí)間戳的作用非常有限。

2024/1/726公開密鑰加密方法適合電子郵件AB:EKUb[Ks]||Eks[M]關(guān)心機(jī)密，比使用公鑰加密全文更高效AB:M||EKRa[H(M)]關(guān)心鑒別，可能換簽名AB:EKUb[M,EKRa[H(M)]]機(jī)密＋鑒別2024/1/727課程內(nèi)容數(shù)字簽名原理鑒別協(xié)議數(shù)字簽名算法信息隱藏41235數(shù)字水印2024/1/728數(shù)字簽名標(biāo)準(zhǔn)數(shù)字簽名算法主要有兩個(gè)算法組成簽名算法驗(yàn)證算法目前已有大量的數(shù)字簽名算法RSA數(shù)字簽名算法EIGamal數(shù)字簽名算法橢圓線數(shù)字簽名算法……2024/1/729兩種數(shù)字簽名方案全局公鑰組KUG 簽名隨機(jī)數(shù)k 發(fā)送方私鑰KRaRSA簽名體制(1)體制參數(shù)：令n=p1p2，p1和p2是大素?cái)?shù)，令M=C=Zn，選e并計(jì)算出d使ed

1

mod

(n)，公開n和e，將p1,p2和d保密。K=(n,p,q,e,d)。(2)

簽名過程：對(duì)消息M

Zn的簽名S=Sigk(M)=Mdmodn(3)驗(yàn)證過程：對(duì)給定的M和

S，可按下式驗(yàn)證：Verk(M,S)=真

M

Se

modn在Internet中所采用的PGP(PrettyGoodPrivacy)中將RSA作為傳送會(huì)話密鑰和數(shù)字簽字的標(biāo)準(zhǔn)算法。2024/1/735RSA的缺點(diǎn)兩個(gè)主要缺點(diǎn)：A)產(chǎn)生密鑰很麻煩，受到素?cái)?shù)產(chǎn)生技術(shù)的限制，因而難以做到一次一密。B)分組長度太大，為保證安全性，n至少也要600bits以上，使運(yùn)算代價(jià)很高目前，SET(SecureElectronicTransaction)協(xié)議中要求CA采用2048比特長的密鑰，其他實(shí)體使用1024比特的密鑰。2024/1/736美國的數(shù)字簽名標(biāo)準(zhǔn)/算法(DSS/DSA)美國國家標(biāo)準(zhǔn)技術(shù)學(xué)會(huì)(NIST)的一個(gè)標(biāo)準(zhǔn)它是ElGamal數(shù)字簽名算法的一個(gè)修改當(dāng)選擇p為512比特的素?cái)?shù)時(shí)，ElGamal數(shù)字簽名的尺寸是1024比特，而在DSA中通過選擇一個(gè)160比特的素?cái)?shù)可將簽名的尺寸降低為320比特，這就大大地減少了存儲(chǔ)空間和傳輸帶寬。ElGamal簽名體制(1)體制參數(shù)

p：一個(gè)大素?cái)?shù)，可使Zp中求解離散對(duì)數(shù)為困難問題；

g：是Zp中乘群Zp*的一個(gè)生成元或本原元素；

M：消息空間，為Zp*；

S：簽名空間，為Zp*×Zp－1；

x：用戶秘密鑰x

Zp*；y

gx

modpK=(p,g,x,y)：其中p，g，y為公鑰，x為秘密鑰。(2)簽名過程：給定消息M，發(fā)送者進(jìn)行下述工作。

(a)選擇秘密隨機(jī)數(shù)k

Zp*；

(b)計(jì)算：H(M),r=gkmodp，s=(H(M)－xr)k-1mod(p－1)(c)將Sigk(M,k)=S=(r||s)作為簽名，將M，(r||s)送給對(duì)方。(3)驗(yàn)證過程：接收者先計(jì)算H(M)，并按下式驗(yàn)證

Verk(H(M),r,s)=真

yrrs

gH(M)modp

數(shù)字簽名的安全性安全性定義：存在（existential）/廣義（universal）偽造。必須注意的是，我們不考慮偽造消息的無意義性。攻擊類型：

1.直接攻擊（Forgefromscratch

）

2.選擇消息攻擊（CMA）

3.自適應(yīng)選擇消息攻擊（AdaptiveCMA

）安全模型：RandomOracleModel；StandardModel特殊性質(zhì)的簽名體制普通的數(shù)字簽名具有廣義可驗(yàn)證性，即任何人都可驗(yàn)證某個(gè)簽名是否是對(duì)某個(gè)消息的簽名。然而在某些情形下，特別是為了保護(hù)簽名者或接收者的隱私時(shí)，并不希望讓所有人都能驗(yàn)證簽名--消息對(duì)。這就是數(shù)字簽名體制中廣義可驗(yàn)證性和隱私性之間的矛盾。一些特殊的性質(zhì)使得數(shù)字簽名在不同的情形下有更多的應(yīng)用。可控制驗(yàn)證的簽名不可否認(rèn)簽名指定確認(rèn)者簽名指定驗(yàn)證者簽名廣義指定驗(yàn)證者簽名廣義指定驗(yàn)證者簽名證明限制驗(yàn)證者簽名變色龍簽名匿名性的簽名盲簽名（完全盲簽名、部分盲簽名、限制性盲簽名、限制性部分盲簽名、公平盲簽名）群簽名群盲簽名環(huán)簽名其它性質(zhì)的簽名消息恢復(fù)簽名防失敗簽名基于群體的簽名：門限簽名、多簽名傳遞簽名短簽名在線-脫線簽名聚合簽名可驗(yàn)證加密的簽名代理簽名前向（后向）安全的簽名……Pleasereferto.sg/staff/guilin/bible.htm2024/1/743課程內(nèi)容數(shù)字簽名原理鑒別協(xié)議數(shù)字簽名標(biāo)準(zhǔn)信息隱藏41235數(shù)字水印邊看邊思考P1422024/1/744信息隱藏技術(shù)和加密技術(shù)有何異同？數(shù)字水印有哪些算法？如何對(duì)數(shù)字水印進(jìn)行攻擊？2024/1/745信息隱藏是一門近年來蓬勃發(fā)展、引起人們極大興趣的學(xué)科利用人類感覺器官對(duì)數(shù)字信號(hào)的冗余，將一個(gè)消息（通常為秘密消息）偽裝藏于另一個(gè)消息（通常為非機(jī)密的信息）不同于傳統(tǒng)的密碼學(xué)技術(shù)信息隱藏將自己偽裝隱藏在環(huán)境中2024/1/746信息隱藏系統(tǒng)模型2024/1/747信息隱藏技術(shù)的主要分支與應(yīng)用2024/1/748信息隱藏系統(tǒng)的特征魯棒性（