第3讲 密码学基础.ppt

思想 手写签名:Alice对一个文档利用手写签名后, 人们就可以验证她的签名,并且其他人很难模仿她的签名. 数字签名(digital signature),也称电子签名,就是对电子文档利用电子手段进行签名,电子签名必须至少具备手写签名的两个性质,即可验证性与不可伪造性. RSA数字签名 简化的RSA数字签名 RSA数字签名 用散列函数进行的RSA数字签名 盲签名 盲签名是根据电子商务具体的应用需要而产生的一种签名应用。当需要某人对一个文件签名，而又不让他知道文件的内容，这时就需要盲签名。 一般用于电子货币和电子选举中 几种盲签名方案 盲消息签名 盲参数签名 弱盲签名 强盲签名 多重签名 多个用户对同一消息进行签名，这就是多重数字签名问题 多重数字签名方案的两种类型 有序多重数字签名 广播多重数字签名方案 在办公自动化、电子金融和CA认证等方面有重要的应用 代理签名 代理签名的目的就是当某签名人因公务或身体健康等原因不能行使签名权力时，将签名权委派给其他人替自己行使签名权 代理签名的基本要求 签名容易验证 源签名者与代理签名者的签名容易区分 签名事实不可否认 几种代理签名方案 一次性代理签名方案 代理多重签名 盲代理签名 定向签名 定向签名仅允许特定的收方对签名进行验证 ElGamal型签名方案和MR型定向签名方案 双联签名 双联签名用于解决三方参加电子贸易过程中的安全通信问题 团体签名 只有团体内的成员能对消息签名 签名的接收者能够证实消息是该团体的有效签名 签名的接收者不能决定是该团体内哪一个成员签的名 在出现争议时，签名能够被 “打开”，以揭示签名者的身份 不可争辩签名 不可争辩签名是在没有签名者自己的合作下不可能验证签名的签名 目的是为了防止签名接收者滥用签名 可用于软件产品的分发 电子签名法律概述 电子签名——在数据电文中，以电子形式所含、所附或在逻辑上与数据电文有联系的数据，它可用于鉴别与数据电文相关的签名人和表明签名人认可数据电文所含信息。 电子签名是法律上为了追求技术中立性而泛化的概念，数字签名是电子签名的一种特定实现形式。 我国数字签名法律 《中华人民共和国电子签名法》由中华人民共和国第十届全国人民代表大会常务委员会第十一次会议于2004年8月28日通过，自2005年4月1日起施行。 《电子签名法》重点解决了五个方面的问题。 确立了电子签名的法律效力 规范了电子签名的行为 明确了认证机构的法律地位及认证程序，并给认证机构设置了市场准入条件和行政许可的程序 规定了电子签名的安全保障措施 明确了认证机构行政许可的实施主体是国务院信息产业主管部门 MD5描述 Merkle于1989年提出hash function模型 Ron Rivest于1990年提出MD4 1992年, Ron Rivest 完成MD5 (RFC 1321) 在最近数年之前,MD5是最主要的hash算法 现行美国标准SHA-1以MD5的前身MD4为基础 MD5描述 输入：任意长度的报文 输入分组长度：512 bit 输出：128 bit 报文 MD5的安全性 Berson表明，对单循环MD5，使用不用的密码分析可能在合理的时间内找出能够产生相同摘要的两个报文，这个结果被证明对四个循环中的任意一个循环也成立，但作者没有能够提出如何攻击包含全部4个循环MD5的攻击 Boer和Bosselaers显示了即使缓存ABCD不同，MD5对单个512bit分组的执行将得到相同的输出(伪冲突） Dobbertin的攻击技术：使MD5的压缩函数产生冲突，即寻找 MD5被认为是易受攻击的，逐渐被SHA-1和RIPEMD-160替代 其它常用哈希算法 Hash小结 Hash函数把变长信息映射到定长信息 Hash函数不具备可逆性 Hash函数速度较快 Hash函数与对称密钥加密算法有某种相似性 对Hash函数的密码分析比对称密钥密码更困难 Hash函数可用于消息摘要 Hash函数可用于数字签名 报文鉴别的局限性 用于保护通信双方免受第三方攻击 无法防止通信双方的相互攻击 信宿方伪造报文 信源方否认已发送的报文 引入数字签名，是笔迹签名的模拟 数字签名 数字签名问题 Message authentication用以保护双方之间的数据交换不被第三方侵犯；但它并不保证双方自身的相互欺骗。假定A发送一个认证的信息给B，双方之间的争议可能有多种形式： B伪造一个不同的消息，但声称是从A收到的。 A可以否认发过该消息，B无法证明A确实发了该消息。 例如： EFT (electronic funds transfer,电子资金转账)中改大金额；股票交易指令亏损后抵赖。 数字签名的性质 传