《密码学第7章.pptVIP

第七章 数字签字和密码协议 数字签字的基本概念 数字签字标准 其他签字方案 认证协议 身份证明技术 其他密码协议 数字签字的基本概念 数字签字应具有的性质 能够验证签字产生者的身份，以及产生签字的日期和时间 能用于证实被签消息的内容 数字签字可由第三方验证，从而能够解决通信双方的争议 数字签字应满足的要求 签字的产生必须使用发方独有的一些信息以防止伪造和否认 签字的产生应较为容易 签字的识别和验证应较为容易 对已知的数字签字构造一些新的消息或对已知的消息构造一假冒的数字签字在计算上都是不可行的 消息认证码的不足 可以保护通信双方以防止第3者攻击，不能保护通信双方中一方防止另一方的欺骗和伪造。 B伪造一个消息并使用于A共享的密钥产生该消息的认证码，然后声称该消息来自于A B有可能伪造A发来的消息，所以A就可以对自己发过的消息予以否认 数字签字的产生方式 由加密算法产生数字签字 由签字算法产生数字签字 由加密算法产生数字签字 单钥加密 向B保证收到的消息确实来自A B恢复M后，可相信B未被窜改，否则B将得到无意义的比特序列 由加密算法产生数字签字 公钥加密 由加密算法产生数字签字 RSA签字体制 体制参数 大素数p,q，n=p×q, y(n)=(p-1)(q-1)。选整数1e y(n),且gcd(e, y(n))=1;计算d满足de≡1 mod y(n). {e,n}为公开密钥，{d,n}为秘密密钥。 签字过程 S=Md mod n 验证过程 M=Se mod n 实际应用中加密是对H(M)进行的。 由加密算法产生数字签字 外部保密 数字签字直接对需要签字的消息生成 内部保密 数字签字对已加密的消息产生 外部保密有利于争议的解决。 由签字算法产生数字签字 签字体制=(M , S , K , V) M:明文空间， S:签字的集合， K:密钥空间， V :证实函数的值域，由真、伪组成。 (1) 签字算法： 对每一M?M和每一k?K，易于计算对M的签字 S=Sigk(M)?S 签字算法或签字密钥是秘密的，只有签字人掌握； (2)验证算法： Verk(S, M)?{真，伪}={0，1} 由签字算法产生数字签字 体制的安全性：从M和其签字S难于推出K或伪造一个M’使M’和S可被证实为真。 与消息加密不同点：消息加密和解密可能是一次性的，它要求在解密之前是安全的；而一个签字的消息可能作为一个法律上的文件，如合同等，很可能在对消息签署多年之后才验证其签字，且可能需要多次验证此签字。 数字签字的执行方式 直接方式 数字签字的执行过程只有通信的双方参与，并假定双方有共享的秘密密钥或者接收一方知道发送方的公开钥。 缺点：方案的有效性取决于发方密钥的安全性。 发方可声称秘密钥丢失或被窃 数字签字的执行方式 具有仲裁方式的数字签字 发方X对发往收方Y的消息签字 将消息和签字先发往仲裁者A A对消息和签字验证完后，再连同一个表示已通过验证的指令一起发给Y. 数字签字的执行方式－具有仲裁方式的数字签字 例1： X?A:M|| A?Y: 数字签字的执行方式－具有仲裁方式的数字签字 例2 X?A:IDX|| A?Y: 数字签字的执行方式－具有仲裁方式的数字签字 例3 数字签名标准 Digital Signature Standard (DSS) 概况 由NIST1991年公布 1993年公布修改版 美国联邦信息处理标准FIPS PUB 186 签名长度320bit 只能用于数字签字，不能用于加密 DSS的基本方式 数字签字算法DSA 在Elgamal和Schnorr两个方案基础上设计的 算法描述: (a) 全局公钥( p, q, g ) p：是2L-1 p 2L中的大素数，512 ? L ? 1024，按64 bits递增； q：(p－1)的素因子，且2159 q 2160，即字长160 bits； g：= hp-1 mod p，且1 h (p－1)，使h(p-1)/q mod p 1。 (b) 用户秘密钥 x：x为在0xq内的随机数。 (c) 用户公钥 y：=g x mod p。 (d) 用户每个消息用的秘密随机数k：在0kq内的随机数 数字签字算法DSA (e) 签字