第10章数字签名与鉴别协议.ppt

第10章 数字签名和鉴别协议 数字签名 鉴别协议 数字签名标准(DSS) 1. 数字签名 报文鉴别示例： 1. 数字签名 报文鉴别示例的安全性分析： 可用来保护通信双方免受任何第三方的攻击。 无法用来防止通信双方的互相攻击，无法解决通信双方可能存在多种形式的争执。 原因： 接收方可能伪造并声称它来自发送方。接收方只要简单地生成一个报文，并附加使用由发送方和接收方所共享的密钥生成的鉴别码即可。 发送方可以否认发送过该报文。因为接收方伪造一个报文是可能的，无法证明发送方发送过该报文这一事实。 1. 数字签名 解决方案： 由于发方和收方之间存在欺骗或抵赖，因此除了采用防止第三方攻击的鉴别之外还需要采用防止当事双方相互攻击的手段。最吸引人的解决方案是笔迹签名的模拟——数字签名。 数字签名必须拥有的基本性质： 必须能证实作者签名和签名的日期和时间。 在签名时必须能对内容进行鉴别。 签名必须能被第三方证实以便解决争端。 1. 数字签名 密码学上对数字签名的需求： 签名必须是依赖于要签名报文的比特模式。 签名必须使用对发送者来说是惟一的信息，以防伪造和抵赖。 数字签名的产生必须相对简单。 数字签名的识别和证实必须相对简单。 伪造一个数字签名在计算上是不可行的，无论是通过对已有的数字签名来构造新报文，还是对给定的报文构造一个虚假的数字签名。 保留一个数字签名的备份在存储上是现实可行的。 数字签名的方法： 直接的 需仲裁的 1. 数字签名 直接数字签名 方案实施 涉及通信方——发方和收方 密码方案——非对称密码学 使用前提——收方知道发方的公开密钥 签名实施——可以通过使用发方的私有密钥对整个报文进行加密，或通过使用发方的私有密钥对报文的散列码进行加密来形成。 必威体育官网网址方案——可通过对整个报文和签名进行更进一步的加密来实现，可采用收方的公用密钥（公开加密）或采用双方共享的密钥（常规加密）来进行加密。 实施关键 收方应假定发方对私有密钥的完全控制 1. 数字签名 直接数字签名 实施示例 1. 数字签名 直接数字签名 方案弱点 方案的有效性依赖于发方私有密钥的安全性。 弱点分析 发方若想否认发送过某个报文，则可以声称该私有密钥丢失或被盗用，且伪造了他（她）的签名。 X的私有密钥真的可能在时间T被盗。获得该密钥的人便能发送带有X的签名报文并附上小于等于T的时间戳。 1. 数字签名 需仲裁的数字签名 方案实施 每个从X发往收方Y的签名报文首先被送给仲裁者A，仲裁者A对该报文和它的签名进行一系列的测试以检验它的出处和内容。然后对报文注明日期，附上一个已经经过仲裁证实属实的说明后发给Y。A的存在解决了直接签名方案所面临的问题：X可能否认发送过该报文。 实施关键 所有通信方必须充分信任仲裁机构。 1. 数字签名 需仲裁的数字签名 方案示例 (a)常规加密，仲裁能看到报文内容 X → A：M || EKxa[IDx || H(M)] A → Y：EKay[IDx || M || EKxa[IDx || H(M)] || T] (b)常规加密，仲裁不能看到报文内容 X → A：IDX || EKxy[M] || EKxa[IDX || H(EKxy[M])] A → Y：EKay[IDX || EKxy[M] || EKxa[IDX || H(EKxy[M])] || T] (c)公开密钥加密，仲裁不能看到报文内容 X → A：IDX || EKRx[IDX || EKUy(EKRx[M])] A → Y：EKRa[IDX || EKUy[EKRx[M]] || T] 1. 数字签名 需仲裁的数字签名 方案示例讨论 方案(a)和(b)存在的问题 X必须确信A不会泄露Kxa，也不会产生虚假的签名。(仲裁能和收方结成联盟来伪造发方的签名。) Y必须确信A只有在散列码正确且确是X签名的情况下才发送。(仲裁能和发方结成联盟来否认一个签名报文 。) 双方必须确信A能公平地解决争端。(仲裁作用。) 方案(c)的优点 通信前各方没有共享任何信息，可防止结盟欺骗的发生。 假定KRa是安全的，即使KRx已不安全，日期不对的报文不会被发送。 从X发给Y的报文内容对A和其他任何人都是必威体育官网网址的。 2. 鉴别协议 主要涉及内容 在报文鉴别的基础上，进行更深层次的通信对象和通信内容有效性的鉴别。 相互鉴别 单向鉴别 2. 鉴别协议 相互鉴别 相互鉴别的必要性 通信对象的确认——通信各方相互证实对方的身份 信息交换的机密性——防止信息的篡改和泄漏 信息交换的时效性 ——防止报文重放的威胁 报文重放威胁的表现 最好情况——一个成功的重放会通过为通信方提供用似是而非的报文而打乱正常的操作。 最差情况——可能允许对手获取会话密钥或成功地假扮为通信的另一方。 2. 鉴别协议 相互鉴