北科大数字签名与身份认证总结.docxVIP

密钥管理的内容?现代密码系统的安全是由密钥安全保证的

主密钥（MainKey）

?又称初始密钥（PrimaryKey)或用户密钥(Userkey)，是参与或控制密码变换，在一段时间内不进行更换的密钥。

会话密钥（SessionKey）

?在一次通话或交换数据时使用的临时密钥。通常与主密钥相结合对消息进行加密，且一报一换。

密钥分发?通信一方将会话密钥分发给另一方的过程

密钥协商?通信双方或多方共同形成会话密钥的过程

给定了输入x，通过验证者和证明者之间交换信息，最终，由验证者来根据证明者给出的信息，判断给定的输入是不是在语言L中

能力假设：验证者具有多项式时间确定图灵机的计算机能力，但是证明者具有无限大的计算能力；

?运行规则：博弈双方共走m步，且由验证者（或证明者）先行；

?胜负规则：x属于L，当且仅当，证明者在以x为输入的对局中有必胜策略。

完备性与可靠性证明者的忠实性

总结：：?数字认证过程本质是一个交互证明过程

?交互证明过程需要满足两个属性：完整性和完备性

?交互证明过程可以在证明者具有无限计算能力下，依然不能进行欺骗；而验证者只需很弱计算能力

对称密钥加密的消息认证?采用对称密钥加密过程：密钥的必威体育官网网址性

问题：?当敌手截获大量密文（或对应明文）后，可以对密文进行组合，伪造出新的密文

结论：不安全

采用非对称密钥加密过程：密钥的必威体育官网网址性?采用接收方的公钥

问题：?存在前述相同的问题?给定一个伪造M’，任何人可以用接收方的公钥加密信息，达到伪造的目的（存在性不可伪造）

如何同时保证数据的完整性和必威体育官网网址性？先认证后加密

消息认证（MessageAuthentication）:

?验证消息没有被改变，即完整性认证

Hash函数一般满足以下几个基本需求：

1）输入x可以为任意长度；2）输出数据长度固定；3）容易计算，给定任何x，容易计算出x的Hash值H(x)；4）单向函数：即给出一个Hash值，很难反向计算出原始输入；5）碰撞性：即难以找到两个不同的输入会得到相同的Hash输出值（在计算上是不可行的）。

单向函数

?Hash函数?单向性，（强和弱）碰撞性?用于构造消息认证函数

单向置换

?单向性，唯一性（无碰撞性）?用于构造加密算法

Hash函数的安全要求：

?单向性：已知y，找出x，使得Hashk(x)=y困难

?弱碰撞：已知x，找出x’≠x，，使得Hashk(x’)=Hashk(x)困难

?强碰撞：找出任意x’≠x，使得Hashk(x’)=Hashk(x)困难

?困难性具有递增关系

迭代压缩解决无限输入和有限输出的问题

为什么SHA-1是80轮？

?每轮只进行了32比特一个单元的混淆?每组5个单元，需要5次

?没次压缩为16分组，供需要16次才能将所有信息进行处理?16*5=80轮

?前16轮给SHA-1快速“填料”，后64轮加速混淆

安全要求：

?每一比特的变动都要以1/2概率影响其它所有比特

?对于全0和全1信息，输出也必须是随机串

?安全核心：非线性函数

MAC消息认证码带秘钥的Hash函数用于完整性验证

通过Hash函数构造

通常的方法：

?MACkey(M)=Hash(key||M)?即把密钥key作为Hash的初始向量IV?一些攻击被发现

?HMAC，嵌套MAC?通过加密算法构造?CBC-MAC

盲验证的定义?指在验证者看不到数据情况下对数据进行验证的方法

盲验证本质是交互式证明系统

消息认证：对信息系统中的数据或通信中的消息来源(所有权)进行认证

消息认证与完整性验证的区别

?完整性验证用以保护双方之间交换数据不被修改；

但它并不保证数据来源的真实性。

?消息认证是认证消息的确来源于某个实体，即消

息来源的正确性

?选择性伪造：给定x，计算y，使得Verify(x,y)=1

?存在性伪造：产生(x,y)，使得Verify(x,y)=1

基于单向陷门的签名通常构造（补充）

令H为Hash()函数

?单向陷门f(m)=c是公开函数?存在陷门钥匙k，使得f-1(k;c)=m?签名构造：

?验证：如果存在r，使得H(m)=f(H(m)+r)，r是计算困难的

?签名：r=H(m)+f-1(k;H(m))

只有公钥系统才能实现签名

RSA签名的安全性

能够抵抗选择性伪造，

?但敌手很容易进行存在性伪造?选择y，计算x=ydmodn?(x,y)是有效签名

?对密文组合

ElGamal签名的安全性：唯秘钥存在性