安徽工程大学信息安全原理及其应用第7讲数字签名和身份认证.ppt

第7讲 数字签名与身份认证 主要内容 7.1 数字签名 数字签名（Digital Signature）是公开密钥体系加密技术发展的一个重要的成果。 消息认证可以保护消息交换双方不受第三方的攻击。 但是不能处理通信双方自身发生的互相攻击。 不可否认性的应用需求 网络通信中，希望有效防止通信双方的欺骗和抵赖行为。 Y 伪造一个不同的消息，但声称是从 X 收到的； X可以否认发过该消息，Y 无法证明 X 确实发了该消息； 数字签名技术为此提供了一种解决方案。 它的作用相当于手写签名。 数字签名的特征 必须能够验证签名者、签名日期和时间； 必须能够认证被签的消息内容； 签名应能够由第三方仲裁，以解决争执。 数字签名的满足条件 数字签名必须是与消息相关的二进制位串； 签名必须使用发送方某些独有的信息，以防伪造和否认； 产生数字签名比较容易； 识别和验证数字签名比较容易； 伪造数字签名在计算上是不可行的； 保存数字签名的拷贝是可行的。 数字签名体制 一个数字签名体制应由以下部分组成： 一个明文消息空间M：某字母表中串的集合； 一个签名空间S：可能的签名集合； 一个签名密钥空间K：用于生成签名的可能密钥集合；一个认证密钥空间K’：用于验证签名的可能密钥集合； 一个有效的密钥生成算法； 一个有效的签名算法s←Signsk(m) ； 一个有效的验证算法Verifypk(m,s)={True,False}。 案例解决方案 这个问题利用数字签名可以解决。 软件发行者生成软件后，用私钥对软件签名，再把软件本身、签名结果、公钥证书制作成一个包发行。这样用户可以从公钥证书知道发行者的真实身份，经验证签名可以确定软件发行后有没有被篡改。 数字签名的解决方案 可分为两大类： 直接数字签名方案； 基于仲裁的数字签名方案。 直接数字签名 实现比较简单，在技术上仅涉及到通信的源点X和终点Y双方。 终点Y需要了解源点X的公开密钥Kux。 发送方A可以使用其私有密钥KRx对整个消息进行加密来生成数字签名。 更好的方法是使用KRx对消息的散列码进行加密来形成数字签名。 直接数字签名的安全性 方案的安全性依赖于发送方X私有密钥的安全性。 发送方可以声称自己的私有密钥丢失或被盗用，而否认其发送过某个报文。 改进：每个签名报文中包含一个时间戳。 问题： X 的私有密钥确实在时间 T 被窃取； 攻击者窃取 X 的密钥后，则可能发送带有 X 的签名报文，附上一个等于 T 的时间戳，接受者无法判别。 基于仲裁的数字签名 通过引入仲裁来解决直接签名方案中的问题。 仲裁者必须是一个所有通信方都能充分信任的仲裁机构。 基本工作方式（假定用户X和Y之间进行通信）： 每个从X发往Y的签名消息首先被送给仲裁者A； A检验该报文及其签名的出处和内容，然后对报文注明日期，并附加上一个“仲裁证实”的标记发给Y。 基于仲裁的数字签名--对称密钥加密方式(1) 发送方X和仲裁A共享一个密钥Kax 。A和Y共享密钥Kay。 数字签名由X的标识符IDx和消息的散列码H(M)构成 ，用密钥Kax进行加密。 过程： (1)X → A ：M‖EKax( IDx‖H(M) )。 (2)A → Y ：EKay( IDx‖M‖EKax( IDx‖H(M) )‖T )。 (3) Y存储报文M及签名。 基于仲裁的数字签名--对称密钥加密方式(1) 当发生争端时解决方式 Y → A ：EKay( IDx‖M‖EKax( IDx‖H(M) ) )。 仲裁A可用Kay恢复出IDx 、M及签名，然后再用Kax对签名解密并验证其散列码。 基于仲裁的数字签名--对称密钥加密方式(1) 特点： Y 不能直接验证 X 的签名。 双方都需要高度相信 A Y 相信 A 已对消息认证，X 不能否认其签名； X 信任 A 没有暴露 Kxa，无人可伪造 签名； 双方都信任 A 处理争议是公正。 问题： 报文 M 明文传送给A，有可能被窃听。 基于仲裁的数字签名--对称密钥加密方式(2) 明文加密的方案（仲裁方不能阅读消息） 假定X和Y共享密钥Kxy。X用Kxa对其标识、用Kxy加密后的消息的hash值产生签名，然后将其标识、用Kxy加密后的消息和签名发送给A。 (1)X → A ：IDx‖EKxy (M)‖EKax( IDx‖H (EKxy(M)) )。 (2)A → Y ：EKay( IDx‖EKxy (M)‖EKax( IDx‖H (EKxy(M))‖T )。 基于仲裁的数字签名--对称密钥加密方式(2) 特征： X 与 Y 之间共享密钥 Kxy 。 签名的构成：IDx 和消息密文的散列码用 Kxa 加密。 签名的验证：A 解密签名，用散列码验证消息。 A 只能验证消息的密文，而不