ch-10数字签名及身份认证.pptVIP

密 码 学 南京农业大学信息学院 主讲：赵力 签名为什么如此引人注目呢？ 签名是可信的； 签名不可伪造； 签名不可重用； 签名的文件不可改变； 签名不可抵赖。 而现实生活中，关于签名的这些陈述没有一个是完全真实的。 现实生活中，签名能够被伪造，签名能够从一篇文章盗用移到另一篇文章中，文件在签名后能够被改变。然而，我们之所以愿意与这些问题纠缠在一起，是因为欺骗是困难的，并且还要冒被发现的危险。 我们或许愿意在计算机上做这种事情，但还存在一些问题。 计算机文件易于复制，即使某人的签名难以伪造（例如，手写签名的图形），但是从一个文件到另一个文件剪裁和粘贴有效的签名都是很容易的。这种签名没有什么意义。 文件在签名后也易于修改，并且不会留下任何修改的痕迹。 但我们还是要解决计算机签名的问题——数字签名。 第十讲 数字签名 基于共享密钥的报文鉴别技术用于保护通信双方，使其免受来自第三方的攻击。但却无法防止通信双方之间的互相攻击，也不能有效防止通信双方的欺骗和抵赖行为。 现代经济生活中，大量的交易可能通过网络进行，因此，除报文鉴别技术以外，迫切需要一种技术手段来防止通信中的抵赖和欺骗行为。 数字签名的基本特性： 数字签名是对现实生活中笔迹签名的模拟。它应该具有： 必须能够用来证实签名者和签名的时间； 必须能够对消息的内容进行鉴别； 签名应具有法律效力，必须能够被第三方仲裁，以解决争端。 由此，归纳出数字签名的设计目标： 数字签名的设计目标（1） 签名必须是与消息相关的二进制位串。 签名必须使用发送方某些独有的消息，以防伪造和否认。 产生数字签名比较容易。 识别和验证签名比较容易。 数字签名的设计目标（2） 伪造数字签名在计算上是不可行的。 无论是从给定的数字签名伪造消息， 还是从给定的消息伪造数字签名， 在计算上都是不可行的。 保存数字签名的拷贝是可行的。 目前，已经有多种数字签名的解决方案和数字签名计算函数。按照其技术特点，这些方案可分为两类： 直接数字签名 基于仲裁的数字签名 直接数字签名 在技术上仅涉及通信双方，即源点X和终点Y。 终点Y需要了解源点X的公开密钥KUx。 发送方X可以使用其私有密钥KRx对 整个消息报文进行加密来生成数字签名； 消息报文的散列码进行加密来形成数字签名（更好的方法）。 直接数字签名举例-发送方X 〖1〗计算消息M的散列码： H(M) 〖2〗使用X的私人密钥KRx对H(M)进行加密，形成： EKRx(H(M)) 〖3〗使用Y的公开密钥KUy对M和EKRx(H(M))进行加密，形成： EKUy(M||EKRx(H(M))) 〖4〗将EKUy(M||EKRx(H(M)))发送给Y。 直接数字签名举例-接收方Y 接收方Y收到EKUy(M||EKRx(H(M)))，Y将 〖1〗使用自己的私人密钥KRy对EKUy(M||EKRx(H(M)))进行解密，得到： M和EKRx(H(M)) 〖2〗使用X的公钥对EKRx(H(M))进行解密，得到： H(M) 〖3〗计算M的散列码 H(M)’ 〖4〗比较H(M)与H(M)’，如果相等，可证实消息确实来自X。 数字签名生成后，可对整个报文和签名进行进一步加密以增强数据通信的保密性。 加密可以是基于公开密钥方式，也可以是基于对称密钥方式。 报文及签名可以保存在存储介质中，以备解决争端时使用。 在这种情况下，第三方必须掌握解密密钥才能查看报文和签名。 对直接数字签名的讨论 直接数字签名方案在安全性上存在一个共同的弱点：方案的安全性依赖于发送方X私有密钥的安全性。 发送方可以声称自己的私有密钥丢失或被盗用，而否认其发送过某个报文。 若对私有密钥引入额外的管理控制，将限制给签名方案的适用范围。 解决的方案：引入第三方作为仲裁 基于仲裁的数字签名 每个从X发往Y的签名报文 首先被送给仲裁者A， A检验该报文及其签名的出处和内容， 然后对报文注明日期，并附加一个“仲裁证实”的标记发给Y。 基于仲裁的数字签名 仲裁者A的引入解决了直接签名方案所面临的发送者的否认行为带来的难题。 在这种方案中，仲裁的地位非常关键和敏感，它必须是一个所有通信方都能充分信任的仲裁机构；也就是说，仲裁者A必须是一个可信的系统。 基于仲裁的数字签名方案一——传统加密，A能阅读消息 Y可以存储报文M及签名。 解决争端 当发生争执时，例如，X否认他自己的行为时，Y可向A发出报文。 那么，仲裁A就可 用Kay恢复出IDx、M及签名， 用Kax对签名解密并验证其散列码， 这样就可断定报文M是否是X发送的。 方案特点 报文内容M以明文方式传送给仲裁者A，有可能被窃听。 X和Y对A是高度信任的 X确信A不会泄漏密钥Kax，因此不会产生伪造的签名； Y也确信A发来的报文M是经过验证的、