网络安全与信息加密技术-第十三章导论.pptxVIP

数字签名是公钥密码学发展过程中最重要的概念之一，它可以提供其他方法难以实现的安全性。 下图是产生和使用数字签名过程的一般模型。;下图说明了数字签名机制的本质：;特性 消息认证可以保护信息交换双方不受第三方的攻击，但是它不能处理通信双方自身发生的攻击，这种攻击可以由多种形式。 例如，假定John使用消息加密(见12章)的某种方法给Mary发送一条认证消息。 考虑下面两种情形： (1)Marry可以伪造一条消息并称该消息发自John。Mary只需产生一条消息，用John和Mary共享的密钥产生认证码，并将认证码附于消息之后。 (2)John可以否定曾发送过某条消息。因为Mary可以伪造消息，所以无法证明John确实发送过该消息。;这两种情形都是法律关注的。例如，对于第一种情形，在进行电子资金转账时，接收方可以增加转账资金，并声称这是来自发送方的转账资金额；对于第二种情形，股票经纪人收到有关电子邮件消息，要他进行一笔交易，而这笔交易后来赔钱了，但是发送方可以伪称从未发送过这条消息。 在收发双方不能完全信任的情况下，就需要除认证之外的其他方法来解决这些问题。数字签名是解决这个问题的最好方法。 数字签名必须具有下列特征： 它必须能验证签名者、签名日期和时间。 它必须能认证被签的消息内容。 签名应能由第三方仲裁，以解决争执。 因此，数字签名具有认证功能。;攻击和伪造 参考文件给出了危害程度从高到低的下列攻击类型。这里A代表其签名方案遭受攻击的用户，C代表攻击者。 唯密钥攻击：C仅知道A的公钥。 已知消息攻击：C掌握一些消息以及对应的合法签名。 一般选择消息攻击：在攻击A的签名方案之前，C首先选择一些消息，而无须知道A的公钥。然后C对于这些选择的消息从A处获得合法签名。该攻击是一般性的，因为与A的公钥无关，同样的攻击可用于其他用户。 定向选择消息攻击：同一般选择消息攻击类似，不同的是攻击者选择消息的时间是在C掌握A的公钥之后，在签名生成之前。 适应性选择消息攻击：允许C将A作为“oracle”进行轮询。这意味着A可以被要求对于特定的消息签名，而这些消息与C之前已获得的消息-签名对相关。;参考文献还定义了何谓成功的攻击签名方案，即C能够以一定的概率进行下列攻击： 完全破译：C判断出A的私钥。 通用伪造：C掌握一个有效的签名方法，使得对于任意消息都能够等价的构造出合法签名。 选择伪造：C对于所选特定消息能够伪造出合法签名。 存在性伪造：C至少可以伪造出一个消息的合法签名，但C不能控制该消息的选择。这种伪造对于A的危害最低。;数字签名需求 根据刚才讨论的基本特性和攻击，数字签名应满足下列条件： 签名必须是与消息相关的二进制位串。 签名必须使用发送方某些独有的信息，以防伪造和否认。 产生数字签名比较容易。 识别和验证签名比较容易。 伪造数字签名在计算上是不可行的。无论是从给定的数字签名伪造消息，还是从给定的消息伪造数字签名，在计算上都是不可行的。 保存数字签名的副本是可行的。 安全Hash函数在基于前边所述的数字签名方案中被使用，提供了满足上述条件的基础。;直接数字签名 直接数字签名指只涉及通信双方(发送方和接收方)的数字签名方案。假定接收方已知发送方的公钥。 用共享的秘钥(对称密码)对整个消息和签名加密，则可以获得保密性。注意这里是先进行签名，然后才执行外层的加密，这样在发生争执时，第三方可以查看消息及其签名。若先对消息加密，然后才对消息的密文签名，那么第三方必须知道解密密钥才能读取原始消息。但是签名若在内层进行，那么接收方可以存储明文形式的消息及其签名，已被将来解决争执时使用。;上述直接签名方法都有这样一个弱点，即这些方法的有效性依赖于发送方密钥的安全性，如果发送方想否认以前曾发送过某条消息，那么他可以称其私钥已丢失或被盗用，其他人伪造了他的签名。虽然在某种程度上这种威胁可能存在，但我们可以通过在私钥的安全性方面进行管理和控制来阻止或至少减少这种情况的发生。例如，可以要求每条要签名的消息都包含一个时间戳(日期和时间)，以及在密钥被泄露后应立即向管理中心报告。 另一种可能的威胁是，X的私钥可能在时刻T被盗用，但攻击者可用X的签名发一条消息并加盖一个在T或T之前的时间戳。被广泛接受的克服以上问题的方法是，使用数字证书的证书管理中心(CA)。;?;?;?;?;?;?;美国国家标准与技术研究所(NIST)发布的联邦信息处理标准FIPS 186，称为数字签名算法(DSA)。 DSA方法 DSA使用的是只能提供数字签名功能的算法。与RSA不同，DSA虽然是一种公钥密码算法，但是不能用于加密或密钥交换。 下图对用DSA产生数字签名和用RSA产生数字签名这两种方法进行了对比。;在RSA方法中，Hash函数的输入时要签名的消息，输出是定长的Hash码，用发送方的