07数字签名，密钥管理.pptVIP

为了承诺 数字签名是密码学发展过程中的最重要的概念之一。数字签名可以提供其他方法难以实现的安全性---抗抵赖。 抵抗内部攻击！ 数字签名的一般模型 数字签名过程机制 Schnorr签名算法 “公开”密钥？这太简单了！ 错！ 曾经使用对称密码体制时，一个非常烦人的问题是如何协商会话密钥。 公钥体制中只需公开发布公钥(切保守私钥) ，因此通常被认为是减轻了密钥管理的负担。 但当认真考虑如何发布公钥时，你会发现： 原来可靠地发布公钥其实也很难。 公钥的发布体制---证书体系(CA)，是PKI的核心和基础。事实上，证书体系的过于复杂阻碍了PKI的普及。 对称密钥分发 用私钥发布会话密钥 密钥的层次使用 分布式密钥分配 控制向量加密解密 密钥管理 公钥的分配 公钥体制用于传统密码体制的密钥分配 公钥的分配方法 1. 临时索要公钥/自由的扩散/PGP的公钥环 2. 公开的目录服务(在线方式) 3. 公钥授权(在线中心方式) 4. 通过证书中心CA(离线中心方式) 1. 自由方式 当要通信时向对方索要其公钥 没有先验知识，不能确定对方的身份，不能提供鉴别特性 只能用在不究身份时的加密，如萍水相逢的两人之间的防偷听聊天 扩散 通过可信的朋友之间的辗转交换 PGP中即有此种公钥交换机制 朋友并不总可信 问题：相信阁下的人品，但是不相信阁下的智商 2. 公开目录 公开的目录服务 目录的维护得由信得过的机构执行 每个用户在目录里有一项 {身份信息，其公钥} 面对面的审核和注册 可以更新或废止 提供网络的访问手段，可公开查询 目录中心的安全负担太重，也是性能瓶颈 3. 公钥授权：在线中心 有在线中心帮助的公钥交换 A请求中心给B的公钥，带时间戳 中心用私钥签署的消息，包括： 原始请求和时间戳，B的公钥， A用B的公钥加密：自己的身份IDa和会话标识号N1 B也如法取得A的公钥 B用A的公钥加密：N1和N2 A用B的公钥加密N2，以最后确认会话 在线中心容易成为单点故障和性能瓶颈 公钥授权：在线中心 4. 证书：离线中心 Certificate Authentication CA是受信任的权威机构，有一对公钥私钥。 每个用户自己产生一对公钥和私钥，并把公钥提交给CA申请证书。 CA以某种可靠的方式核对申请人的身份及其公钥，并用自己的私钥“签发”证书。 证书主要内容：用户公钥，持有人和签发人的信息，用途，有效期间，签名等。 证书在需要通信时临时交换，并用CA的公钥验证。 有了经CA签名保证的用户公钥，则可进行下一步的身份验证和交换会话密钥等。 CA 使用公钥传递会话密钥 公钥算法太慢 对称算法一般几十兆字节/秒 1024位RSA解密约100多次/秒(加密快10倍以上) 100*128B = 10KB/s 只用来传递会话密钥 (假设B已经有A的公钥KeA) A发起和B的通信 B产生会话密钥Ks，并用KeA加密后传给A A能用自己的私钥KdA解开 他人不会知道Ks Merkle方案 NEED78方案 （事先拥有对方公钥） 数字签名标准 Digital Signature Standard （DSS） Digital Signature Algorithm （DSA） DSS标准－DSA FIPS 186 NIST 1991 1993 只能签名，不能加密 概念对比 RSA：M＋Eki(H(M))，ki是私钥 DSS：M＋Eki(H(M), k)，ki是私钥 k是随机数 图示 RSA vs. DSS DSA 准备 素数p，约512＋比特； 素数q，约160比特，要求是p-1的因子 选择g＝h^(p-1/q) mod p 密钥 用户私钥x，xq 公钥y，y＝g^x mod p 签名，对报文M 产生随机数k r＝(g^k mod p) mod q s= k-1 (H(M)+xr) mod q (r，s)即是签名，连同明文的M 验证，测试是否v＝r’，其中 v＝g^u1×y^u2 mod p mod q u1＝H(M’) ×s’-1 mod q u2＝r’×s’-1 mod q DSA Figure 因为B临时获取A的公钥，所以存在“中间人攻击”的问题 Copyright by ? 王鲲鹏 kpwang@gucas.ac.cn Copyright by ? 王鲲鹏 kpwang@guca