鉴别与签名分析.ppt

目 录 消息鉴别与散列函数 散列算法 数字签名 报文鉴别的局限性 用于保护通信双方免受第三方攻击 无法防止通信双方的相互攻击 信宿方伪造报文 信源方否认已发送的报文 引入数字签名，是笔迹签名的模拟 数字签名的性质 传统签名的基本特点 能与被签的文件在物理上不可分割 签名者不能否认自己的签名 签名不能被伪造 容易被验证 数字签名是传统签名的数字化 能与所签文件“绑定” 签名者不能否认自己的签名 容易被自动验证 签名不能被伪造 数字签名的性质 必须能够验证作者及其签名的日期时间 必须能够认证签名时刻的内容 签名必须能够由第三方验证，以解决争议 数字签名的设计要求 签名必须是依赖于被签名信息的一个位串模板 签名必须使用某些对发送者是唯一的信息，以防止双方的伪造与否认 必须相对容易生成该数字签名 必须相对容易识别和验证该数字签名 伪造该数字签名在计算复杂性意义上具有不可行性，既包括对一个已有的数字签名构造新的消息，也包括对一个给定消息伪造一个数字签名 在存储器中保存一个数字签名副本是现实可行的 数字签名分类 签名方式 直接数字签名direct digital signature 仲裁数字签名arbitrated digital signature 安全性 无条件安全的数字签名 计算上安全的数字签名 可签名次数 一次性的数字签名 多次性的数字签名 直接数字签名 直接数字签名 直接数字签名 直接数字签名的缺点 验证模式依赖于发送方的保密密钥 – 发送方要抵赖发送某一消息时，可能会声称其私有密钥丢失或被窃，从而他人伪造了他的签名 – 通常需要采用与私有密钥安全性相关的行政管理控制手段来制止或至少是削弱这种情况，但威胁在某种程度上依然存在 – 改进的方式例如可以要求被签名的信息包含一个时间戳（日期与时间），并要求将已暴露的密钥报告给一个授权中心 X的某些私有密钥确实在时间T被窃取，敌方可以伪造X的签名及早于或等于时间T的时间戳 仲裁数字签名 仲裁数字签名 引入仲裁者 – 所有从发送方X到接收方Y的签名消息首先送到仲裁者A – A将消息及其签名进行一系列测试，以检查其来源和内容 – A将消息加上日期并与已被仲裁者验证通过的指示一起发给Y 仲裁者在这一类签名模式中扮演敏感和关键的角色 – 所有的参与者必须极大地相信这一仲裁机制工作正常 仲裁数字签名－单密钥加密方式1 数字签名 仲裁数字签名－单密钥加密方式 仲裁数字签名－单密钥加密方式2 仲裁数字签名－双密钥加密方式 仲裁数字签名－双密钥加密方式 数字签名算法 普通数字签名算法 – EIGamal – RSA – DSS/DSA 不可否认的数字签名算法 群签名算法 盲签名算法 数字签名算法DSA DSA DSA DSA分析 基于离散对数的难度，对手通过r恢复k，或通过s恢复x都很难 签名产生的计算任务仅是计算 另一个需要完成的工作只是确定逆元 本章小结 消息鉴别与散列函数 散列算法 数字签名 散列函数基本用法(5) 散列函数基本用法(6) 消息鉴别码MAC M K MAC 函数域：任意长度的报文 值域：所有可能的MAC和所有可能的密钥 MAC一般为多对一函数 函数域：任意长度的报文 值域：所有可能的MAC和所有可能的密钥 假设 假设攻击者使用强行攻击，且已经获得报文的明文和相应的MAC,即 对MAC的强行攻击 假设 假设攻击者已经获得报文的明文和相应的MAC,即 假设 对MAC的强行攻击 对MAC的强行攻击 对MAC的强行攻击 如果 k≤n，则第一轮就可以产生一个唯一对应。仍然可以有多于一个key产生这一配对，这时攻击者只需对一个新的(message, MAC)进行相同的测试 由此可见，强力攻击企图发现authentication key不小于甚至大于对同样长度的解密key的攻击 MAC应具备的性质 如果一个攻击者得到M和CK(M)，则攻击者构造一个消息M’使得CK(M’)=CK(M)应具有计算复杂性意义下的不可行性 CK(M)应均匀分布，即：随机选择消息M和M’， CK(M)= CK(M’)的概率是2-n，其中n是MAC的位数 令M’为M的某些变换，即：M’=f(M)，（例如：f可以涉及M中一个或多个给定位的反转），在这种情况下，P [CK(M)= CK(M’)] = 2-n 基于DES的报文鉴别码 基于DES的报文鉴别码 算法来源 FIPS publication (FIPS PUB 113) ANSI standard (X9.17) 使用CBC(Cipher Block Chaining)