_7.3 _________数字签名与鉴别.pptVIP

7.3 数字签名与鉴别数字签名： 数字签名必须保证以下三点： (1) 接收者能够核实发送者对报文的签名； (2) 发送者事后不能抵赖对报文的签名； (3) 接收者不能伪造对报文的签名。 数字签名的方法 常规密钥算法 公开密钥算法 秘密密钥算法的数字签名 公开密钥算法的数字签名 数字签名的实现 B 用已知的 A 的公开加密密钥得出 EPKA(DSKA(X)) ? X。因为除 A 外没有别人能具有 A 的解密密钥 SKA，所以除 A 外没有别人能产生密文 DSKA(X)。这样，B 相信报文 X 是 A 签名发送的。 若 A 要抵赖曾发送报文给 B，B 可将 X 及DSKA(X)出示给第三者。第三者很容易用 PKA去证实 A 确实发送 X 给 B。反之，若 B 将 X 伪造成 X‘，则 B 不能在第三者前出示DSKA(X’)。这样就证明了 B 伪造了报文。 具有保密性的数字签名 报文鉴别 (message authentication)： 作用： 报文鉴别使得通信的接收方能够验证所收到的报文（发送者和报文内容、发送时间、序列等）的真伪。 方法： 使用加密就可达到报文鉴别的目的。 但在网络的应用中，许多报文并不需要加密。应当使接收者能用很简单的方法鉴别报文的真伪。 报文摘要MD MD(Message Digest) 将可变长度的报文作为单向散列函数的输入，得到一个固定长度的MD(M)。 单向散列函数须满足的条件 对于任何给定的报文M，容易计算MD(M)。-单向 给定MD(M)，计算M是不可行的。-不可逆 不可能产生出具有相同MD的两个不同的报文。 即不存在M1≠ M2,而MD(M1)=MD(M2)。-抗冲突 抗冲突 两种抗冲突类型： 任给一个报文摘要值 x，若想找到一个报文 y 使得 H(y) = x，则在计算上是不可行的。 -弱抗冲突 若想找到任意两个报文 x 和 y，使得： H(x) = H(y)，则在计算上是不可行的。 -强抗冲突 报文摘要 MD (Message Digest) 发送端将报文 m 经过报文摘要算法运算后得出固定长度的报文摘要 H(m)。然后对 H(m) 进行加密，得出EK(H(m))，并将其追加在报文 m 后面发送出去。 接收端将 EK(H(m)) 解密还原为 H(m)，再将收到的报文进行报文摘要运算，看得出的是否为此 H(m)。 如不一样，则可断定收到的报文不是发送端产生的。 报文摘要的优点就是：仅对短得多的定长报文摘要 H(m)进行加密比对整个长报文 m 进行加密要简单得多。 M 和 EK(H(m)) 合在一起是不可伪造的，是可检验的和不可抵赖的。 SHA-1 Secure Hash Algorithm SHA由NIST NSA于1993年设计，1995年修订为SHA-1。 使用DSA签名的US标准 FIPS 180-1 1995, RFC3174 注意：算法是SHA,标准是SHS。 产生160位的散列值 目前推荐的散列函数。 SHA-1* 填充数据至448 mod 512 附加64位的报文长度字段 初始化5个字(160-位)的缓冲区(A,B,C,D,E) efcdab89,98badcfec3d2e1f0) 处理过程 使用混合和移位把16个字扩充为80个字。 对报文块和缓冲区执行4步20个位操作。 输出值相加构成新的缓冲区。 SHA-1* 其他散列函数* MD5 报文摘要 RFC 1321 by Ron Rivest 128位报文摘要 由于处理机的速度提高，安全性值得怀疑 RIPEMD-160 欧洲提出的标准 产生160 位摘要 以512位为一个分组进行处理 报文摘要的实现 数字签名-报文摘要MD * * A A,K A (B,R A ,t,P) B CA K B (A,R A ,t,P,K CA (A,t,P)) CA—值得信赖的中央权威机构（Central Authority） KA—CA和A的共享密钥，同KB KCA—只有CA自己知道的密钥 P—A向B发送的一个签名的报文 t—时间戳。t和RA的作用：防止重放攻击 RA—A选择的一个随机数，同RB D SK PK 用公开密钥 核实签名 用秘密密钥 进行签名 X 发送者 A 接收者 B DSK(X) X E D SKA PKA 用公开密钥 核实签名 用秘密密钥 签名 X 发送者 A 接收者 B DSKA(X) X E E PKB 用公开密钥 加密 EPKB(DSKA(X)) D SKB 用秘密密钥 解密 DSKA(X) 密