数字签名和密码协议27.ppt

第七章 数字签名和密码协议 数字签名由公钥发展而来，为保证网络安全起着决定性的作用，在身份认证、数据完整性和不可否认性以及匿名性等方面有着重要的应用。 数字签名的基本概念 数字签名标准 认证协议 身份证明技术 数字签名 消息认证用以保护通信双方之间的数据交换不被第三方侵犯；但它并不保证双方自身的相互欺骗。假定A发送一个认证的信息给B，双方之间的争议可能有多种形式： B伪造一个不同的消息，但声称是从A收到的。 A可以否认发过该消息，B无法证明A确实发了该消息。 例如：EFT中改大金额；发送股票交易指令亏损后抵赖。 数字签名应具有的性质 必须能够验证作者及其签名的日期时间； 必须能够认证签名时刻的内容； 签名必须能够由第三方验证，以解决争议； 数字签名的设计要求 签名必须是依赖于被签名信息的一个位串模式； 签名必须使用某些对发送者是唯一的信息，以防止双方的伪造与否认； 必须相对容易生成该数字签名； 必须相对容易识别和验证该数字签名； 伪造该数字签名在计算复杂性意义上具有不可行性，既包括对一个已有的数字签名构造新的消息，也包括对一个给定消息伪造一个数字签名； 在存储器中保存一个数字签名副本是现实可行的。 数字签名的产生方式 数字签名可用加密算法或特定的签名算法产生。 由加密算法产生的数字签名 公钥加密 由签名算法产生数字签名 明文M，密钥x 签名算法Sigx（M） 验证算法Verx（M） 数字签名的执行方式——直接数字签名（DDS） 直接数字签名 直接数字签名的缺点 验证模式依赖于发送方的必威体育官网网址密钥； 发送方要抵赖发送某一消息时，可能会声称其私有密钥丢失或被窃，从而他人伪造了他的签名。 通常需要采用与私有密钥安全性相关的行政管理控制手段来制止或至少是削弱这种情况，但威胁在某种程度上依然存在。 改进的方式例如可以要求被签名的信息包含一个时间戳（日期与时间），并要求将已暴露的密钥报告给一个授权中心。 X的某些私有密钥确实在时间T被窃取，敌方可以伪造X的签名及早于或等于时间T的时间戳。 数字签名的执行方式——仲裁数字签名 引入仲裁者。 通常的做法是所有从发送方X到接收方Y的签名消息首先送到仲裁者A，A将消息及其签名进行一系列测试，以检查其来源和内容，然后将消息加上日期并与已被仲裁者验证通过的指示一起发给Y。 仲裁者在这一类签名模式中扮演敏感和关键的角色。 所有的参与者必须极大地相信这一仲裁机制工作正常。（trusted system） 数字签名算法 普通数字签名算法 RSA EIGamal DSS/DSA 不可否认的数字签名算法 群签名算法 盲签名算法 RSA签名方案 EIGamal签名方案 ElGamal于1985年提出,很大程度上为Diffe-Hellman密钥交换算法的推广和变形。 分为两种情形: p是大素数 ?q=p或者?q是p-1的大素因子 DSS(数字签名标准)是后者的一种变形,该方案是特别为签名的目的而设计的。这个方案的改进已被美国NIST（国家标准和技术研究所）采纳作为数字签名标准。 数字签名标准 公布于1994年5月19日的联邦记录上，并于1994年12月1日采纳为标准DSS。DSS为EIGamal签名方案的改进。 DSS签名方案 DSS算法说明--算法参数 全局公开密钥分量 p ： 素数, 其中2L-1p2L,512?L1024,且L为64的倍数:即比特长度在512到1024之间,长度增量为64比特 q： (p-1)的素因子, 其中2159q2160 g=h(p-1)/q mod p, 其中h是一整数,1h(p-1) 用户私有密钥 x 随机或伪随机整数, 其中0xq 用户公开密钥 y=gx mod p 用户每个报文的密数 k随机或伪随机整数, 其中0kq DSS算法的签名与验证过程 签名 r=(gkmod p)mod q s=[k-1(H(M)+xr)] mod q 签名=(r,s) 验证 w=(s?)-1 mod q u1=[H(M ?)w] mod q, u2=( r ?) w mod q v=[(gu1yu2)mod p] mod q TEST: v=r ? 符号: M 要签名的消息 H(M)使用SHA-1生成的M的散列码 M ?,r ?,s ? 接收到的M,r,s版本 DSS签名和验证 群签名方案 群中各个成员以群的名义匿名地签发消息.具备下列三个特性 ?只有群成员能代表所在的群签名 ?接收者能验证签名所在的群,但不知道签名者 ?需要时,可借助于群成员或者可信机构找到签名者 应用: 投标 盲签名 盲签名要求: ?消息内容对签名者不可见 ?签名被接收者泄漏后,签名者无法追踪签名 应