第4章_电子商务安全概述祥解.ppt

* * 图： 发送签名邮件 * 图： 收到签名邮件的提示信息 * 图： 发送加密邮件 * 图： 收到加密邮件的提示信息 返回本节 * 破译两大密码震惊世界 　　 MD5、SHA－1是国际通行的两大密码标准，两大算法是目前国际电子签名及许多其它密码应用领域的关键技术，从理论上讲，它们是“计算不可能的”.MD5密码算法，运算量达到2的80次方。即使采用现在最快的巨型计算机，也要运算100万年以上才能破解。 * 2004年8月王小云教授宣布成功破译MD5，王小云和她的研究小组用普通的个人电脑，几分钟内就可以找到有效结果。 国际密码学会议的总结报告这样写道：“我们该怎么办？MD5被重创了，它即将从应用中淘汰。SHA-1仍然活着，但也见到了它的末日。现在就得开始更换SHA-1了。” * 然而，更让密码学界震惊的是，仅仅半年的时间，SHA-1也宣告被破解，而且破译者是同一个人领导的研究小组。一贯被认为固若金汤的两大世界密码算法戏剧性地走到了尽头。 人有了知识，就会具备各种分析能力， 明辨是非的能力。 所以我们要勤恳读书，广泛阅读， 古人说“书中自有黄金屋。 ”通过阅读科技书籍，我们能丰富知识， 培养逻辑思维能力； 通过阅读文学作品，我们能提高文学鉴赏水平， 培养文学情趣； 通过阅读报刊，我们能增长见识，扩大自己的知识面。 有许多书籍还能培养我们的道德情操， 给我们巨大的精神力量， 鼓舞我们前进。 * * * * * * * 比较著名的非对称加密算法 算法 注释 ECC LUC RSA 块加密；RSA公司提出 * 4.3 数字签名技术 1．概念 数字签名（Digital Signature）技术是将摘要用发送者的私钥加密，与原文一起传送给接收者，接收者只有用发送者的公钥才能解密被加密的摘要。 数字签名与书面文件签名有相同之处，采用数字签名，能确认以下两点． （1）信息是由签名者发送的；（不可否认性） （2）信息自签发后到收到为止未曾作过任何修改。（信息完整性） * 2、 数字摘要 数字摘要简要地描述了一份较长的信息或文件，它可以被看作一份长文件的“数字指纹”。信息摘要用于创建数字签名，对于特定的文件而言，信息摘要是唯一的。信息摘要可以被公开，它不会透露相应文件的任何内容。 * 摘要函数 又称杂凑函数、杂凑算法或哈希函数 ，就是把任意长度的输入串变化成固定长度的输出串的一种函数。 * 摘要函数的安全性 输入长度是任意的； 输出长度是固定的，根据目前的计算技术至少取128比特长，以便抵抗生日攻击； 对每一个给定的输入，计算输出即杂凑值是很容易的； （a）给定杂凑函数的描述，找到两个不同的输入消息杂凑到同一个值在计算上是不可行的，或（b）给定杂凑憾事的描述和一个随机选择的消息，找到另一个与该消息不同的消息使得他们杂凑到同一个值在计算上是不可行的。 数字摘要的作用 用于验证信息的完整性。 * 比较著名的摘要算法 算法 注释 MD2 目前已放弃； RSA公司提出 MD4 目前已不安全；128位散列值； RSA公司提出 MD5 能提供较好的保密；128位散列值； RSA公司提出 SHA1 SHA的替代算法； 160位散列值 * 数字摘要——保证完整性 图 ：数字摘要过程 返回本节 * 数字签名 图：数字签名过程 * * 数字时间戳技术 在电子商务交易文件中，时间是十分重要的信息。在书面合同中，文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。 数字时间戳服务（DTS：digita1 time stamp service）是网上电子商务安全服务项目之一，能提供电子文件的日期和时间信息的安全保护，由专门的机构提供。 * 如果在签名时加上一个时间标记，即是有数字时间戳（digital time stamp）的数字签名。 时间戳（time-stamp）是一个经加密后形成的凭证文档，它包括三个部分： （1）需加时间戳的文件的摘要（digest）； （2）DTS收到文件的日期和时间； （3）DTS的数字签名。 书面签署文件的时间是由签署人自己写上的，而数字时间戳则不然，它是由认证单位DTS来加的，以DTS收到文件的时间为依据。 * 图： 获得数字时间戳的过程 返回本节 * 4.4 数字证书的概念 所谓数字证书（Digital Certification）是指利用电子信息技术手段，确认、鉴定、认证Internet上信息交流参与者或服务器的身份，是一个担保个人、计算机系统或者组织(企业或政府部门)的身份，并且发布加密算法类别、公开密钥及其所有权的电子文档。 它是由一个权威机构发行的，人们可以在交往中用它来识别对方的身份。 最简单