數(shù)字簽名與鑒別協(xié)議.ppt

1、第十章數(shù)字簽名和認證協(xié)議、數(shù)字簽名認證協(xié)議數(shù)字簽名標(biāo)準(zhǔn)(DSS )、1 .數(shù)字簽名、消息認證示例：1 .數(shù)字簽名、消息認證示例的安全性分析：可用于保護通信雙方不受第三方攻擊。 不能用于防止通信雙方的相互攻擊，通信雙方可能存在各種形式的紛爭。 原因：收件人可能是偽造的，聲稱來自發(fā)件人。 接收方只要單純生成一條消息，并將使用發(fā)送方和接收方共享的密鑰生成的認證碼附加即可。 發(fā)送者可以否定該消息已經(jīng)被發(fā)送。 由于接收方能夠偽造消息，因此不能證明發(fā)送方已經(jīng)發(fā)送了該消息。 1 .數(shù)字簽名、解決方案：由于發(fā)件人和收件人之間存在欺詐或否認，除了防止第三方攻擊的鑒別外，還需要采取防止雙方相互攻擊的手段。 最吸引

2、人的解決辦法是筆跡簽名的模擬數(shù)字簽名。 數(shù)字簽名所需的基本性質(zhì)：必須能夠確認作者的簽名和簽名的日期和時間。 簽名時必須能夠認證內(nèi)容。 簽名必須由第三方證明以解決糾紛。 數(shù)字簽名、密碼學(xué)對數(shù)字簽名的需要：簽名必須是比特模式，取決于要簽名的報紙文章。 簽名必須使用發(fā)送者唯一的信息來防止偽造或者否認。 數(shù)字簽名的生成必須相對簡單。 數(shù)字簽名的識別和證明必須相對簡單。 偽造數(shù)字簽名是不可糾正的，不論是利用現(xiàn)有的數(shù)字簽名構(gòu)造新的信息，還是針對給定的信息構(gòu)造虛假的數(shù)字簽名。 保留數(shù)字簽名的備份在存儲上是真實的。 數(shù)字簽名的方法：需要直接仲裁的、1 .數(shù)字簽名、直接數(shù)字簽名方案實施關(guān)于通信方和接收方的加密方

3、案的非對稱密碼學(xué)前提接收方的公鑰簽名實施可以通過使用發(fā)送方的私鑰加密整條消息，或者使用發(fā)送方的私鑰加密消息的哈希碼來形成機密保持方案可以通過進一步加密整個消息和簽名來實現(xiàn)，并可以使用接收方的公開密鑰(公開加密)或雙方共享的密鑰(通常加密)來加密。 實現(xiàn)密鑰接收者應(yīng)該假定發(fā)送者對私鑰的完全控制、1 .數(shù)字簽名、直接數(shù)字簽名實現(xiàn)、1 .數(shù)字簽名、直接數(shù)字簽名方案的有效性取決于發(fā)送者的私鑰的安全性。 弱點分析發(fā)送者如果想要否定某個消息的發(fā)送，則聲稱其私有密鑰丟失或被盜，并偽造他(她)的簽名。 x的私鑰真的有可能在時間t被盜。 收到此密鑰的人可以發(fā)送具有x的簽名消息并且可以添加小于或等于t的時間戳。1

4、 .需要數(shù)字簽名、仲裁的數(shù)字簽名方案，從x對收件人y的每條簽名消息首先發(fā)送給仲裁員a，仲裁員a對該消息及其簽名進行一系列測試，驗證其來源和內(nèi)容。 然后，在新聞報道中明確記載日期，附上經(jīng)仲裁證明是真實的說明寄給y。 a的存在解決了直接簽名方式面臨的問題： x可能否認發(fā)送了這篇報紙報道。 實施一切重要通信的一方，必須充分信任仲裁機構(gòu)。 1 .數(shù)字簽名、需要仲裁的數(shù)字簽名方案示例(a )正常加密、仲裁可以查看消息內(nèi)容xa:m| ekxaidx| h (m ) ay:ekayidx| m| ek XXX在仲裁中，報紙報道的內(nèi)容xa:idx| ekxym| ekxaidx 在看不到ay:ekxaidx|

5、 ekxaidx| h (ekxym )的仲裁中，可以看到訊息內(nèi)容xa:idx| ekrxidx| ekraidx| ekuyekrxm| t，1 .數(shù)字簽名必須確保a是正確的散列碼，而且僅在確實是x簽名的情況下才被發(fā)送。仲裁可以與始發(fā)者結(jié)成同盟否認簽名信息。 雙方必須確信a能公平解決爭端。 仲裁作用。 方案(c )的優(yōu)點通信前的各方不共享任何信息，可以防止串通欺詐的發(fā)生。 假定KRa是安全的，即使KRx不安全，也不會發(fā)送錯誤的消息。 從x發(fā)送給y的信息的內(nèi)容對a和其他任何人都保密。 2 .認證協(xié)議主要涉及內(nèi)容基于新聞報道的認證執(zhí)行與通信對方的更深層次的有效性認證。 相互認證單向認證，2 .認

6、證協(xié)議，相互認證的必要性通信對方的確認通信對方相互認證對方的身份信息交換的機密性防止信息的篡改和泄漏信息交換的時效性防止消息再生的威脅消息再生威脅的表現(xiàn)最佳狀況通過提供類似于通信對方的消息來擾亂正常的操作。 最壞的情況是，對方可以獲得會話密鑰，或者偽裝成通信對方。 2 .認證協(xié)議、相互認證再生攻擊的一般方法示例簡單再生：對方簡單復(fù)制新聞報道，然后再生。 可記錄的重復(fù)：對方可以在有效的時間窗口內(nèi)播放帶時間戳的消息。 可記錄的重復(fù)：對方可以在有效的時間窗口內(nèi)播放帶時間戳的消息。 沒有修正的插入播放：這是信息回復(fù)目標(biāo)的播放。 使用普通加密，這種攻擊是可能的，發(fā)送者很難根據(jù)內(nèi)容識別發(fā)送的消息和接收的消

7、息之間的差異。 2 .對每條消息分配序列號，并且僅當(dāng)序列號滿足正確順序時才接收新消息，該消息用于認證常用方法交換以防相互認證重放攻擊。 該方法的難點在于，需要記錄通信對方處理過的最新序列號。 因為存在這樣的負擔(dān)，序列號一般不被用于認證和密鑰交換。 時戳： a方接收該消息，并且只有當(dāng)該消息中所包含的時戳(在由a確定之后)足夠接近a已知的當(dāng)前時間時，才將該消息視為新的。 這種方法的難點在于，通信對方的時鐘需要同步。 首先，需要一些協(xié)議來維持不同的處理器時鐘同步，該協(xié)議必須能夠應(yīng)對容錯性和安全性，即網(wǎng)絡(luò)故障和惡意攻擊。 其次，如果暫時失去同步，則一方的時間修正機制會錯誤，攻擊成功的概率會大幅度增加。

8、 最后，不期望分布時鐘保持準(zhǔn)確的同步，因為網(wǎng)絡(luò)時延的可變性和不可預(yù)測性。 因此，基于時間戳的過程需要足夠的時間來支持網(wǎng)絡(luò)延遲，并且需要足夠小的時間來將成功攻擊的概率降到最低。 查詢/響應(yīng)：如果a方想要從b方接收新消息，則首先向b方發(fā)送當(dāng)前消息(nonce ) (查詢)，然后請求在從b方接收的消息(響應(yīng))中包含正確的當(dāng)前值。 此方法不適用于未連接的應(yīng)用程序。 由于在未連接的傳輸之前握手會增加負擔(dān)，因此，未連接的傳輸?shù)闹饕卣鲿蠓鶃G失。2 .認證協(xié)議、相互認證的通常的加密原始方案示意圖、2 .認證協(xié)議相互認證的例行加密過程描述akdc:IDA| n1kdca:e kaks| IDB| n1|ek

9、 bks| idab:ek bks|將IDA x假定為對方若已獲得舊會話密鑰，則x可冒充a，而可通過使用舊密鑰簡單地再生第3步來騙取b。 除非b始終記住與a的所有會話密鑰，否則b無法確定這是重放。2 .鑒別協(xié)議、相互鑒別相互鑒別的通常加密原始方案改善1過程記述akdc:IDA| idbkdca:e kaks| IDB| ek bks| IDA| tab 這樣，a和b雙方都知道這個密鑰分發(fā)是最新的交換。 其中t1是估計KDC時鐘與本地時鐘(a或b )的正常偏差，t2是預(yù)期的網(wǎng)絡(luò)延遲。 每個節(jié)點可以參照特定的標(biāo)準(zhǔn)參照源設(shè)定自己的時鐘。 時間戳t由主密鑰加密，即使對方獲得舊會話密鑰，由于步驟3的再生

10、未被b檢測到，因而也不成功。 2、認證協(xié)議、相互認證的傳統(tǒng)加密原始方案改進1存在的危險分布時鐘因陰謀破壞或同步時鐘、同步機制的故障而成為不同的步驟。 這個問題會在發(fā)送側(cè)的時間修正比預(yù)計接收側(cè)的時間修正快時發(fā)生。 在這種情況下，對方截取從a發(fā)送過來的消息，并當(dāng)該消息中的時戳到達接收方的當(dāng)前時間時再現(xiàn)該消息。 這樣的再生可能會導(dǎo)致意想不到的結(jié)果。 這樣的攻擊稱為重放攻擊的抑制。 相互認證的以往的加密原始方案改善1的可能性改善加強通信對方的定期和KDC時鐘的校正。 避免時鐘同步的需要，依賴于使用當(dāng)前的握手。 (仍然會帶來其他問題。 原因是收件人選擇的目前無法預(yù)測發(fā)件人。 2 .認證協(xié)議、相互認證相互

11、認證的一般加密改進方案ab:IDA|nab KDC:IDB|ek bida| tbk DCA:eka IDB| na| |因此，此時間戳不需要同步時鐘。 因為b只檢查自己生成的時間戳。 a和b分別檢查生成的當(dāng)前Na和Nb，確認不是再生。 可信任度過期Tb的使用使得a在有效時間內(nèi)想要與b建立新會話時，雙方都不需要重復(fù)與認證服務(wù)器的聯(lián)系。 2 .建立認證協(xié)議、相互認證的普通加密改進方案新會話的方案A B:EKbIDA | Ks | Tb、Na B A: Nb、EKaNa A B:EKaNb建立新會話的方案安全信任狀的到期日Tb驗證消息中的票據(jù)是未到期的新發(fā)生、2 .認證協(xié)議相互認證的公鑰加密原案A

12、AS:IDA| id basa:ekrasida| kua| ekrasidb| tab:ekrasida| ekubekraks| t相互認證的公鑰加密原始方案特征中心AS實際上提供公鑰證書。 會話密鑰由a選擇和加密，因此AS不會泄漏密鑰。 時間戳可以防止威脅密鑰安全的再生攻擊，但需要時鐘同步。 認證協(xié)議相互認證的公鑰加密改進方案1 a KDC:IDA| idbkdca:ekrauthidb| kubab:eku bna| IDA| ekuauthe ekubekrauthna| ks| id BBA:ekba 會話密鑰由KDC代表b生成。 有安全漏洞(步驟5 )。認證協(xié)議相互認證的公鑰加密

13、改進方案1的改進akdc:IDA| idbkdca:ekrauthidb| kubab:eku bna| IDA| ekuauu ekubekrauthna| ks| IDA| id BBA ks| IDA| IDB| eks nb，單向認證的單向認證的必要性通信對方的確認通信的接收方證明發(fā)送方身份信息交換的機密性，防止信息的篡改和泄露。2 .認證協(xié)議單向認證的一般加密方案過程描述akdc:ida|idb| 由于n1kdca:e kaks|n1| ek bks，ida|潛在的延遲，即使采用時間戳，其作用也是有限的。 假定x為對方，得到舊會話密鑰和對應(yīng)的EKbKs、IDA，x能夠簡單地進行信息偽

14、造。 2 .認證協(xié)議、用于單向認證的公鑰加密方案示意圖；2 .認證協(xié)議和用于單向認證的公鑰加密方案對機密性A B:EKUbKs | EKsM方案的優(yōu)點感興趣的方法，遠遠高于簡單地用b的公鑰加密整條消息的方法。 無法確認腳本的缺點信息m是來自a的。 2 .認證協(xié)議、用于單向認證的公鑰加密方案描述興趣認證A B:M | EKRaH(M )方案優(yōu)勢保證a，此后無法否認發(fā)送此消息。 腳本缺點1 .很難防止用戶x對信息m剽竊。 讓X B:M | EKRxH(M) 2知道a的公鑰，確信它不會過時。 2 .認證協(xié)議、用于單向認證的公鑰加密方案認證和加密ab:eku BM|ek rah (m ) ab:eku bks| eksm| ek rah (m )方案優(yōu)勢保證a確保了后來無法否認發(fā)送此消息的信息的安全性。 劇本的缺點是讓b知道a的公鑰，確信沒有過時。 2 .公鑰加密方法描述認證ab:m|ek rah (m )| ek rast| IDA| kua方法的優(yōu)點根據(jù)認證協(xié)議和單向認證的數(shù)字證書來驗證發(fā)送方的公鑰，并驗證