crypto4c-ch13-数字签名和认证协议.ppt

为了承诺 数字签名是密码学发展过程中的最重要的概念之一。数字签名可以提供其他方法难以实现的安全特性，即抗抵赖。 数字签名 Digital Signature 加密 报文鉴别 数字签名 抵制通信双方的抵赖 对方(自己)否认发送过或收到过某个报文 向对方表明自己的身份 13.1 数字签名 消息认证基于共享秘密，不能防止抵赖 只是2方合作抵抗第3方窜改/假冒 共享的秘密不具有排他性质 双方有同样的不分彼此地能力；因此对某个报文的存在和有效性，每一方都不能证明是自己所为，或者是和自己无关 特异性 要想实现类似签名的安全能力，必须使每个人使用独有的秘密 考察手写签名的特性 签名的含义 签名者慎重表达认可文件内容的意向的行为 主要形式 手写签名、签章、手指纹印(其他生物技术) 特性 不可伪造，特异性 不可重用，日期和时间相关性 不可改变，能发现涂改、转移意义或用途 不可抵赖，能够质证 可仲裁的，可做为法律证据 数字签名: 要适应的新变化 数字签名 手写签名 数字文件 纸版文件 数字小文件 手写字（签章） 如何绑定? 同一页纸 关于扫描手写字迹、鼠标手写 No! 手写签名的数字化改造 数学支持: 签名函数 被签署的是文件(大文件) 签名生成另外一个文件(小文件) 签名过程一定有签署人的身份和某种秘密(别人不知的)参与 简单易行 计算/存储 签名验证操作抽象图 签名 验证 用私钥加密当作签名 主要操作 输入 报文明文、私钥 m^d = s 输出 报文明文、报文密文(签名) (m, s) 验证 s^e =? m 是否满足签名要求的特性 不可伪造 不可改变 抗抵赖 散列||签名 讨论 私钥(其实是公钥)的管理: 和身份绑定、更新等 签名过程太慢: 启用散列函数 改进 对报文的散列值用私钥加密得到和n等宽的签名值 无中心数字签名 直接使用自己的私钥加密作为签名 无中心 存在问题 声称私钥被偷窃而抵赖。虽然可以给报文添加时间戳，并要求用户必须及时挂失私钥，但是盗用者仍可以伪造较早期的签名。 引入中心可以有很多优点，同时也很多缺点。 有信任中心帮助的签名 优点：可以简化用户的考虑，甚至可以使用对称算法 缺点：中心的安全故障、在线瓶颈、可靠性等问题 13.a PKCS#1v2.1 Outline RSA public key ：(n，e) RSA private key：(n，d) ed≡1 mod λ(n) 其中λ是n的(素因子-1)的LCM I2OSP (Integer-to-Octet-String primitive) 给定正整数x，输出字节串X=X1X2X3… x＝2560X1＋2561X2＋2562X3＋… OS2IP (Octet-String-to-Integer primitive) 输入字节串，返回整数值 RSA Primitive RSAEP ((n, e), m) c = me mod n RSADP ((n,d), c) m = cd mod n RSASP1((n,d), m) s = md mod n RSAVP1((n,e), s) m = se mod n Encryption Schemes ES RSAES-OAEP (Optimal Asymmetric Encryption Padding) new, recommended RSAES-PKCS1-v1_5 obsolete RSAES-OAEP EME-OAEP＋RSAEP/RSADP RSAES-PKCS1-v1_5 EME-PKCS1-v1_5＋RSAEP/RSADP RSAES-OAEP RSAES-OAEP-ENCRYPT((n, e), M, L) Option: Hash of hLen-byte MGF mask generation function (output, an octet string) mLen = k-2hLen-2 L optional label to be associated with the message |L| = 2^61-1 octets for SHA-1 EME-OAEP encoding EM = 0x00 || maskedSeed || maskedDB m = OS2IP (EM) c = RSAEP ((n, e), m) C = I2OSP (c, k) RSAES-OAEP-DECRYPT (K＝(n, d), C, L) EME-OAEP encoding operation RSAES-PKCS1-v1_5 RSAES-PKCS1-V1_5-ENCRYPT((n, e)