Chapter13数字签名与认证协议.pptVIP

西安电子科技大学计算机学院 Chapter 13  数字签名和认证协议 §13.1 数字签名 消息认证可以保护信息交换不受第三方的攻击，但不能处理通信双方自身发生的攻击。 数字签名提供了这种能力: 验证签名者、签名的日期和时间 认证消息内容 可由第三方仲裁，以解决争执。 因此，数字签名具有认证功能 数字签名应满足的条件 签名值必须依赖于所签的消息 必须使用对于发送者唯一的信息 以防止伪造和否认 产生签名比较容易 识别和验证签名比较容易 伪造数字签名在计算上是不可行的。包括 已知数字签名，伪造新的消息 已知消息，伪造数字签名 保存数字签名的拷贝是可行的 直接数字签名 只涉及收发双方 假定接收方已知发送方的公钥 发送方可以用自己的私钥对整个消息内容或消息内容的hash值进行加密，完成数字签名。 可以用接收者的公钥来加密以提供保密性 先签名后加密，很重要。 缺点：安全性依赖于发送方私钥的安全性 仲裁数字签名 仲裁者A 验证任何签名的消息 给消息加上日期并发送给接收者 需要对仲裁者有合适的信任级别 即可在私钥体制中实现，又可在公钥体制中实现 仲裁者可以或者不可以阅读消息 §13.2 认证协议 用于确认通信的参与者，并交换会话密钥。 认证可以是单向的也可以是相互的。 主密钥应该是 保密的 – 保护会话密钥 有时间性 – 防止重放攻击 发布的协议往往发现有缺陷需要修订 §13.2.1 相互认证 当有效的签名消息被拷贝，之后又重新被发送 简单重放 可检测的重放 不可检测的重放 不加修改的逆向重放（对称密码） 解决办法包括： 序列号 (通常不可行) 时间戳(需要同步时钟) 随机数/响应 (目前的常用方法) 对称加密方法 如前所述，需要两层密钥。 可信的KDC, Key Distribution Center 每个用户与KDC共享一个主密钥 KDC产生通信方之间所用的会话密钥 主密钥用于分发会话密钥 Needham-Schroeder 协议 有第三方参与的密钥分发协议 KDC作为AB会话的中介 协议: 1. A - KDC: IDA || IDB || N1 2. KDC - A: EKa [Ks || IDB || N1 || EKb [Ks || IDA] ] 3. A - B: EKb [Ks || IDA] 4. B - A: EKs[N2] 5. A - B: EKs[ f (N2) ] Needham-Schroeder 协议 用于安全地分发AB之间通信所用的会话密钥 存在重放攻击的风险，如果一个过时的会话密钥被掌握 则消息3可以被重放以欺骗B使用旧会话密钥，使B遭到破坏 解决的办法: 时间戳 (Denning 81) 使用一个额外的临时会话号 (Neuman 93) 公钥加密方法 需要确保彼此的公钥提前已经获知 采用一个中心认证服务器Authentication Server (AS) 用时间戳或临时交互号的变形协议 Denning AS 协议 Denning 81 协议描述如下: 1. A - AS: IDA || IDB 2. AS - A: EPRas[IDA||PUa||T] || EPRas[IDB||PUb||T] 3. A - B: EPRas[IDA||PUa||T] || EPRas[IDB||PUb||T] || EPUb[EPRas[Ks||T]] 会话密钥由A选择，所以不存在会话密钥被AS泄密的危险 时间戳可用于防止重放攻击，但需要时钟同步。 改用临时交互号 §13.2.2 单向认证 当收发双方不能在同一时间在线时 (eg. email) 有明确的头信息以被邮件系统转发 希望对内容进行保护和认证 对称加密方法 可以变化对KDC的使用，但是不能使用临时交互号: 1. A-KDC: IDA || IDB || N1 2. KDC - A: EKa[Ks || IDB || N1 || EKb[Ks||IDA] ] 3. A - B: EKb[Ks||IDA] || EKs[M] 不能抗重放攻击 可以引入时间戳到信息中但email的处理中存在大量延时，使得时间戳用途有限。 公钥加密方法 已经讨论过一些公钥加密认证的论题 若关心保密性，则: A - B: EPUb[Ks] || EKs[M] 被加密的会话密钥和消息内容 若需要用数字证书提供数字签名，则: A - B: M || EPRa[H(M)] || EPRas[T||IDA||PUa] 消息，签名，证书 §13.2.2 数字签名标准Digital Signature Standard (DSS) 美国政府的签名方案 由NIST 和NSA，在20世纪90年代设计 1991年，作为FIPS-186发布