密码学(复习)技术分析.ppt

* * * * * * * 证明： 设r1，r2，…r?（n）是模数m的一组缩系，则由定理3，ar1，ar2，…，ar?（n）也是模数m的缩系。因此： （ar1）（ar2）…ar?（m）＝r1r2…r?（m）（mod m），即： a^?（m）r1r2…r?（m）= r1r2…r?（m）(mod m) 由于： （ri，m）＝1，i＝1，2，…， ?（m） 所以： （r1r2…r ?（m））＝1 因此： a^?（m）＝1（mod m） * * * * * * * * 5.4 DSS数字签名标准 1．参数与密钥生成 ① 选取大素数p，满足 ＜p＜ ，其中512≤L≤1024且L是64的倍数。显然，p是L位长的素数，L从512到1024且是64的倍数。 ② 选取大素数q，q是p?1的一个素因子且 ，即q是160位的素数且是p?1的素因子。 ③ 选取一个生成元 ，其中h是一个整数，满足1＜h＜p?1并且 。 ④ 随机选取整数x，0＜x＜q，计算 。 ⑤ p、q和g是公开参数，y为公钥，x为私钥。 2．签名 对于消息m，首先随机选取一个整数k , 0＜k＜q，然后计算： , 则m的签名为(r, s)，其中h为Hash函数，DSS规定Hash函数为SHA-1。 3．验证 对于消息签名对(m, (r, s))，首先计算： 然后验证： 如果等式成立，则(r, s)是m的有效签名；否则签名无效。 算法合理性证明 因为： s=k?1 (h (m)+ xr)mod q 所以： ks = (h (m)+ xr)mod q 于是我们有： 第七章 密码协议 复习要点 Diffie-Hellman密钥交换原理及安全性 Matsumoto-Takashima-Imai密钥协商 Shamir门限方案 Kerberos认证协议 用户B 用户A Diffie-Hellman密钥交换 W.Diffie和M.Hellman1976年提出 算法的安全性基于求离散对数的困难性 选择随机数xp 计算YA= gx mod p 选择随机数yp 计算YB= gy mod p YA YB 计算K=YA y = gxy mod p 计算K=YB x = gxy mod p 中间人攻击 用户B 选择随机数yp 计算YB= gy mod p 计算KBC =YCy = gyz mod p 用户A 选择随机数xp 计算YA= gx mod p 计算KAC=YC x = gxz mod p 敌手C 选择随机数zp 计算YC= gz mod p 计算KBC =YB z = gyz mod p YA YC YC 计算KAC =YA z = gxz mod p YB 端到端协议 1992年，Diffie、Oorschot和Wiener提出了一个端到端协议（station-to-station protocol） 隐式密钥认证 Matsumoto-Takashima-Imai密钥协商 可抵抗中间人攻击 门限方案的一般概念 秘密s被分为n个部分,每个部分称为shadow,由一个参与者持有，使得 由k个或多于k个参与者所持有的部分信息可重构s。 由少于k个参与者所持有的部分信息则无法重构s。 称为(k,n)秘密分割门限方案，k称为门限值。 少于k个参与者所持有的部分信息得不到s的任何信息称该门限方案是完善的。 Shamir门限方案 基于多项式Lagrange插值公式 设{(x1,y1),…,(xk,yk)}是平面上k个点构成的点集，其中xi(i=1,…k,)各不相同，那么在平面上存在唯一的k-1次多项式f(x)通过这k个点.若把秘密s取做f(0)，n个shadow取做f(xi)(i=1,…n),那么利用其中任意k个shadow可以重构f(x)，从而可以得到秘密s Shamir门限方案 有限域GF(q),q为大素数，q≥n+1。秘密s是GF(q)\{0}上均匀选取的随机数，表示为s∈RGF(q)\{0}.k-