信息安全概论第9讲.ppt

信息安全概论 第9讲 2006年3月31日 3.4 哈希函数 3.5数字签名算法 3.5.1 RSA签名算法 3.5.1 RSA签名算法 3.5.1 RSA签名算法 3.5.2 ElGamal签名算法 3.5.2 ElGamal签名算法 3.5.2 ElGamal签名算法 3.5.2 ElGamal签名算法 3.6密码学的新方向 3.6.1可证明安全性 3.6.2基于身份的密码技术 3.6.3量子密码学 1. 量子力学现象 1. 量子力学现象 1. 量子力学现象 2. 量子密钥分发技术 2. 量子密钥分发技术 2. 量子密钥分发技术 作业 * * 这里 数字签名算法属于公钥密码范畴，它的签名密钥是私钥，验证密钥是公钥。主要用途是完成数字签名，从而实现抗抵赖、消息鉴别和身份识别。 假设你想签署一个电子文档，是否可以将你的签名数字化并简单地附在文档上呢？因为任何得到该文档的人都可以简单地将你的签名移走并将其添加到其他地方，比如，大面额的支票。对于传统的签名，这需要将文档上的签名剪下来或者影印下来，然后将其粘贴到支票上。这种几乎无法通过验证的伪造签名方法，在电子签名上变得容易，并且很难与最初的区分。 因此，要求电子签名不仅仅和签名者联系，而且还与签名的消息联系在一起，同时签名需要很容易证实。 因此数字签名包含两个不同的步骤：签名过程和认证过程。 1. 系统建立过程 Bob选定两个不同的素数p和q，令n = pq，再选取一个整数e ,使得 。从而可以计算出 Bob公开(e, n)作为公开密钥，而保存(d, n)作为自己的私有密钥。 这里， 表示n的欧拉函数，即表示不超过n且与n互素的整数个数。易证当n = pq， p和q为不同的素数时， 。当把e看成 中的元时对乘法是可逆的，从而可用欧几里的算法求出其逆元 对给定的消息m, Bob计算， 2. Bob签名 并把 传送给Alice。 3. Alice验证签名 Alice 能够通过下面的步骤验证Bob真正签署了消息。 Alice首先从一个可信第三方那里获得Bob的公钥 然后计算 如果 那么Alice就认为消息是有效的，否则消息是无效的。 ElGamal签名提供一种新的方案，它与RSA签名算法的不同之处在于，对于ElGamal签名算法，同一个消息有许多不同的有效签名。 假设Alice想对一个消息签名。首先她选择一个大素数 和一个本原根 然后选择一个秘密的整数a 公开 由于离散对数问题是非常困难的，对手很难由 计算a 把 a 作为私钥 1. 系统建立过程 2. Alice签名 Alice为了签署消息 （1）选择一个随机数 ，使得 （2）计算 （3）计算 为签署的消息 3.Bob验证签名 （1）Bob首先从一个可信第三方那里获得Alice的公钥 （2）计算 时签名是有效的。 ElGamal签名的安全性依赖于群上的离散对数计算。同基于离散对数的加密算法一样，基于离散对数的数字签名算法ElGamal也可以在椭圆曲线加法群上实现。 （参看p71 的安全性分析） 密码学把信息安全核心算法作为其研究目标。其研究内容也随着信息安全的不断增长的需求而发展。本节介绍几个有代表性的密码算法研究方向，以及这些算法与传统密码算法相比的特点。 所谓可证明安全性，是指一个密码算法或密码协议，其安全性可以通过“归约”的方法得到证明。所谓归约就是把一个公认的难解问题，通过多项式时间化成密码算法（或协议）的破译问题。换句话说，证明安全性是假定攻击者能够成功，则可以从逻辑上推出这些攻击信息可以使得攻击者或系统的使用者能够解决一个公认的数学难题。 这种思想使密码算法或密码协议的安全性论证比以往的方法更加科学、可信，因而成为密码学研究的一个热点问题。 利用用户的部分身份信息可以直接推导出他的公开密钥的思想早在1984年Shamir就提出来了。对普通公钥密码来说，证书权威机构是在用户生成自己的公、私密钥对之后，对用户身份和公钥进行捆绑（签名），并公开这种捆绑关系。而对于基于身份的公钥密码来说，与证书权威机构对应的可信第三方，在用户的公、私密钥对生成过程中已经参与，而且公开密钥可以选择为用户的部分身份信息的函数值。这时，用户与其公钥的捆绑关系不是通过数字签名，而是通过可信第三方的对密码参数的可信、统一（而不是单独对每个用户的公钥）公开得到保障。可以看出，在多级交叉通信的情况下，对基于身份的密码的使用比普通公钥密码的使用减少了一个签名、验证层次。从而受到人们的关注。 Shamir、Fiat和Feige在1984年后的几年中，提出基于身份的数字签名方案和身份