第六章数字签名详解.ppt

第六章主要内容 基本概念 基本原理 常用算法 数字签名的引入 政治、军事、外交等的文件、命令和条约，商业中的契约以及个人之间的书信等，传统上采用手书签名或印章，以便在法律上能认证、核准、生效 随着计算机通信网的发展，人们希望通过电子设备实现快速、远距离的交易，数字(或电子)签名技术应运而生 开始用于商业通信系统，如电子邮递、电子转账以及办公自动化等系统 问题：手书签名为什么会有法律效力？也就是说，满足什么条件？ 数字签名应满足以下要求 收方能够确认或证实发方的签名，但不能伪造，简记为R1-条件 发方发出签名的消息给收方后，就不能再否认他所签发的消息，简记为S-条件 收方对已收到的签名消息不能否认，即有收报认证，简记作R2-条件 第三者可以确认收发双方之间的消息传送，但不能伪造这一过程，简记作T-条件 区别：数字签名与手书签名的区别在于手书签名是模拟的，且因人而异；而数字签名是0和1的数字串，因消息而异 概念辨析：数字签名与消息认证 消息认证使收方能验证消息发送者及所发消息内容是否被篡改过 当收发者之间没有利害冲突时，这对于防止第三者的破坏来说是足够安全了 但当收者和发者之间有利害冲突时，单纯用消息认证技术就无法解决他们之间的纠纷，此时须借助满足前述要求的数字签名技术 如何实现数字签名 为了实现签名目的，发方必须向收方提供足够的非保密信息，以便使其能验证消息的签名；但又不能泄露用于产生签名的机密信息，以防止他人伪造签名 因此，签名者和证实者可公用的信息不能太多 任何一种产生签名的算法或函数都应当提供这两种信息，而且从公开的信息很难推测出用于产生签名的机密信息 此外，任何一种数字签名的实现都有赖于设计仔细的通信协议 数字签名有两种（明文） 一种是对整体消息的签名，它是消息经过密码变换的被签消息整体 一种是对压缩消息的签名，它是附加在被签名消息之后或某一特定位置上的一段签名图样 数字签名有两类（密文） 一类是确定性(Deterministic)数字签名，其明文与密文一一对应，它对一特定消息的签名不变化，如RSA、Rabin等签名 另一类是随机化的(Randomized)或概率式数字签名，它对同一消息的签名是随机变化的，取决于签名算法中的随机参数的取值。一个明文可能有多个合法数字签名，如ElGamal等签名 数字体制由两部分组成 签名算法(Signature algorithm)和验证算法(Verification algorithm) 对M的签名可简记为Sig(M)=S 对S的证实简记为Ver(S)={真，伪}={0，1} 签名算法或签名密钥是秘密的，只有签名人掌握；证实算法应当公开，以便于他人进行验证 签名体制 签名体制 概念辨析：消息签名与消息加密 消息加密和解密可能是一次性的，它要求在解密之前是安全的 而一个签名的消息可能作为一个法律上的文件，如合同等，很可能在对消息签署多年之后才验证其签名，且可能需要多次验证此签名 签名的安全性和防伪造的要求更高些，且要求证实速度比签名速度还要快些，特别是联机在线实时验证 概念辨析：数字信封与数字签名 数字信封(Digital Envelop)的功能类似于普通信封。普通信封在法律的约束下保证只有收信人才能阅读信的内容；数字信封则采用密码技术保证了只有规定的接收人才能阅读信息的内容 数字信封中可以采用单钥密码体制和公钥密码体制 数字签名是指用户用自己的私钥对原始数据的哈希摘要进行加密所得的数据。信息接收者使用信息发送者的公钥对附在原始信息后的数字签名进行解密后获得哈希摘要，并通过与自己用收到的原始数据产生的哈希摘要对照，便可确信原始信息是否被篡改。这样就保证了消息来源的真实性和数据传输的完整性。 签名给他人的保证 文件上的手写签名长期以来被用作作者身份的证明，或表明签名者同意文件的内容。实际上，签名体现了以下几个方面的保证 签名是可信的。签名使文件的接收者相信签名者是慎重地在文件上签名的 签名是不可伪造的。签名证明是签名者而不是其他的人在文件上签名 签名不可重用。签名是文件的一部分，不可能将签名移动到不同的文件上 签名后的文件是不可变的。在文件签名以后，文件就不能改变 签名是不可抵赖的。签名和文件是不可分离的，签名者事后不能声称他没有签过这个文件 信息化网络化带来的困难 而在计算机上进行数字签名，并使这些保证能够继续有效，则还存在一些问题 计算机文件易于复制，即使某人的签名难以伪造，但是将有效的签名从一个文件剪辑和粘贴到另一个文件上是很容易的。这就使这种签名失去了意义 文件在签名后也易于修改，并且不会留下任何修改的痕迹 签名框架（其中一种常见模式） RSA签名体制 RSA签密框架 ElGamal签名算法