第三讲密码协议结构模块.pptVIP

混合密码系统 把公开密钥密码用于密钥分配解决了很重要的密钥管理问题。对对称密码而言，数据加密密钥直到使用时才起作用。如果Eve得到了密钥，那么她就能够解密用这个密钥加密的消息。在前面的协议中，当需要对通信加密时，才产生会话密钥，不再需要时就销毁，这极大地减少了会话密钥遭到损害的风险。当然，私钥面对泄露是脆弱的，但风险较小，因为只有每次对通信的会话密钥加密时才用它。 数字签名 在文件上手写签名长期以来被用作作者身份的证明，或至少同意文件的内容。签名为什么会如此引人注目呢？ （1）签名是可信的。签名使文件的接收者相信签名者是慎重地在文件上签字的。 （2）签名不可伪造。签名证明是签字者而不是其他人慎重地在文件上签字。 （3）签名不可重用。签名是文件的一部分，不法之徒不可能将签名移到不同的文件上。 （4）签名的文件是不可改变的。在文件签名后，文件不能改变。 （5）签名是不可抵赖的。签名和文件是物理的东西。签名者事后不能声称他没有签过名。 数字签名 在现实生活中，关于签名的这些陈述没有一个是完全真实的。签名能够被伪造，签名能够从文章中盗用移到另一篇文章中，文件在签名后能够被改变。然而，我们之所以愿意与这些问题纠缠在一起，因为欺骗是困难的，并且还要冒被发现的危险。 在计算机上做这种事情，但还存在一些问题。首先计算机文件易于复制。即使某人的签名难以伪造（例如，手写签名的图形），但是从一个文件到另一个文件剪裁和粘贴有效的签名都是很容易的。这种签名并没有什么意义；其次文件在签名后也易于修改，并且不会留下任何修改的痕迹。 使用对称密码系统和仲裁者的文件签名 Alice想对数字消息签名，并送给Bob。在Trent和对称密码系统的帮助下，她能做到。 Trent是一个有权的、值得依赖的仲裁者。他能同时与Alice和Bob（也可以是其他想对数据文件签名的任何人）通信。他和Alice共享秘密密钥KA，和Bob共享另一个不同的秘密密钥KB。这些密钥在协议开始前就早已建好，并且为了多次签名可多次重复使用。 （1）Alice用KA加密她准备发送给Bob的信息，并把它传送给Trent。 （2）Trent用KA解密信息。 （3）Trent把这个解密信息和他收到Alice信息的声明，一起用KB加密。 （4）Trent把加密的信息包传给Bob。 （5）Bob用KB解密信息包，他就能读Alice所发的信息和Trent的证书，证明信息来自Alice。 使用对称密码系统和仲裁者的文件签名 Trent怎么知道信息是从Alice而不是从其他人冒名顶替者那里来的呢？从信息的加密推断出来。由于只有他和Alice共享他们两人的秘密密钥，所以只有Alice能用这个密钥加密信息。 这和文件签名一样好吗？让我们看看我们需要的特点： （1）这个签名是可信的，Trent是可信的仲裁者，并且知道消息是从Alice那里来的，Trent的证书对Bob起着证明的作用。 （2）这个签名是不可伪造的。只有Alice（和Trent，但每个人都相信他）知道KA，因此只有Alice才能把用KA加密的信息传给Trent。如果有人冒充Alice，Trent在第（2）步马上就会察觉，并且不会去证明它的可靠性。 使用对称密码系统和仲裁者的文件签名 （3）这个签名是不能重新使用的。如果Bob想把Trent的证书附到另一个信息上，Alice可能就会大叫受骗了。仲裁者（可能是Trent或者可存取同一信息的完全不同的仲裁者）就会要求Bob同时提供信息和Alice加密后的信息，然后仲裁者就用KA加密信息，他马上就会发现它与Bob提供的加密信息不相同。很显然，Bob由于不知道KA，他不可能提供加密信息使它与用KA加密的信息相符。 （4）签名文件是不能改变的。Bob想在接收后改变文件，Trent就可用刚才描述的同样办法证明Bob的愚蠢行为。 （5）签名是不能抵赖的，即使Alice以后声称她没有发信息给Bob，Trent的证书会说明不是这样。记住：Trent是每个人都信任的，他说的都是正确的。 使用对称密码系统和仲裁者的文件签名 如果Bob想把Alice签名的文件给Carol阅读，他不能把自己的秘密密钥交给她，他还得通过Trent： （1）Bob把信息和Trent关于信息是来自Alice的声明用KB加密，然后送回给Trent。 （2）Trent用KB解密信息包。 （3）Trent检查他的数据库，并确认原始信息是从Alice那里来的。 （4）Trent用他和Carol共享的密钥KC重新加密信息包，把它送给Carol。 （5）Carol 用KC解密信息包，她就能阅读信息和Trent证实信息来自Alice的证书。 使用对称密码系统和仲裁者的文件签名 这些协议是可行的，但对Trent来说是非常耗时的。他不得不整天加密、解密信息，在彼此想