【现代密码学】数字签字标准.pptVIP

第八章 数字签字和密码协议 数字签字的基本概念 数字签字标准 其他签字方案 认证协议 身份证明技术 其他密码协议 其他签字方案 Schnorr签字体制 体制参数 p, q：大素数，q|p-1。q是大于等于160 bits的整数，p是大于等于512 bits的整数，保证Zp中求解离散对数困难； g：Zp*中元素，且gq?1 mod p； x：用户密钥1xq； y：用户公钥y?gx mod p。 消息空间M=Zp*，签字空间S=Zp*×Zq；密钥空间K={(p,q,g,x,y): y?gx mod p} Schnorr签字体制 签字过程：令待签消息为M，对给定的M做下述运算： (a) 发用户任选一秘密随机数k?Zq (b) 计算 r?gk mod p s?k＋xe mod p 式中 e=H(r||M) (c) 签字S=Sigk(M)=(e,s) Schnorr签字体制 验证过程：收信人收到消息M及签字S=(e,s)后 (a) 计算r’?gsye mod p 而后计算H(r’||M)。 (b) 验证 Ver(M, r, s) ? H(r’||M)=e 因为，若(e||s)是M的合法签字，则有 gsye?gk-xegxe?gk?r mod p。 Schnorr签字体制 Schnorr签字与ElGamal签字的不同点： ? 在ElGamal体制中，g为Z*p的本原元素；而在Schnorr体制中，g为Zp*中子集Zq*的本原元素，它不是Zp*的本原元素。显然ElGamal的安全性要高于Schnorr。 ? Schnorr的签字较短，由|q|及|H(M)|决定。 ? 在Schnorr签字中，r=gk mod p可以预先计算，k与M无关，因而签字只需一次mod q乘法及减法。所需计算量少，速度快。 认证协议 Authentication Protocols 相互认证 A，B双方在建立共享密钥时需要考虑保密性和实时性。 保密性：会话密钥应以密文传送，因此双方应事先共享密钥或者使用公钥 实时性:防止重放 序列号方法 时戳 询问－应答 序列号方法 对交换的每一条消息加上序列号，序列号正确才被接收 要求每个用户分别记录与其他每一用户交互的序列号，增加用户负担，因而很少使用 时戳法 A收到消息中包含时戳，且A看来这一时戳充分接近自己的当前时刻，A才认为收到的消息是新的并接收 要求各方时间同步 询问－应答 用户A向B发出一个一次性随机数作为询问，如果收到B发来的应答消息也包含一正确的一次性随机数，A就认为消息是新的并接受之。 各种方法的比较 时戳法不适用于面向连接的应用过程 要求不同的处理器之间时间同步，所用的协议必须是容错的以处理网络错误 协议中任何一方时钟出现错误失去同步，则敌手攻击的可能性增加 网络中存在延迟，不能期待保持精确同步，必须允许误差范围 各种方法的比较 询问－应答不适合于无连接的应用过程 在传输前需要经过询问－应答这一额外的握手过程，与无连接应用过程的本质特性不符。 无连接应用最好使用安全时间服务器提供同步 Needham－Schroeder协议 Needham－Schroeder改进协议（1） Needham－Schroeder改进协议（2） Needham－Schroeder改进协议（2） 公钥加密体制 公钥加密体制 单向认证 不需要双方同时在线（电子邮件） 邮件接收者希望认证邮件的来源以防假冒 分为单钥加密方法和公钥加密方法 单钥加密 公钥加密 西安电子科技大学 * 2. 4. KDC A B 1. IDA|| IDB ||N1 3. 5. 如果敌手获得了旧会话密钥，则可以冒充A重放3，并且可回答5，成功的欺骗B 2. 4. KDC A B 1. IDA|| IDB 3. 5. 以时戳替代随机数，用以向A，B保证Ks的新鲜性 |Clock－T|⊿t1+⊿t2 Clock:本地时钟 ⊿t1：本地时钟与KDC时钟误差估计值 ⊿t2 ：网络延迟时间 要求各方时钟同步 如果发方时钟超前B方时钟，可能导致等待重放攻击 KDC A B 3. 1. 4. 2. 会话密钥的截止时间 A B 1. 2. 3. 有效期内可不通过KDC直接认证 AS A B 1. IDA|| IDB 2. 3. 时戳防止重放，要求时钟同步 AS A B 2. 1. IDA|| IDB 3. 4. 6 7