数字签名、 消息认证和hash函数.pdf

第十讲数字签名、消息认证和Hash函数 上海交通大学计算机系 龙宇 E-mail longyu@sjtu.edu.cn 引言—密码学的理论体系  密码学的基础是  数学：数论、代数、统 计、…  计算：计算理论、形式化理 论、…  密码算法的基础  单向函数、随机数生成 器、…  密码协议的基础  密钥分配协议、认证协 议、…  应用协议… Part I 数字签名和密钥管理 内容  数字签名体制  公钥密码体制中的密钥管理 数字签名（Digital Signature）  数字签名：给以电子形式存储的消息进行签名，签名后的消 息可以通过计算机网络传输  相对于传统签名  签署的文件：DS中必须以某种形式将签名“绑”到所签的文件上  使用公开的验证算法验证，“任何人”都能验证签名  数字签名文件的copy与原签名文件相同（而仿造的手写签名很容易与原 始签名区分开），因此签名文件本身应包含日期等信息  为什么需要数字签名？ 避免双方相互欺骗 假定A发送一个认证的信息给B，双方之间的争议可能有 多种形式：  B伪造一个不同的消息，但声称是从A收到的。  A可以否认发过该消息，B无法证明A确实发了该消息  第三方对消息进行篡改 数字签名组成和原理  数字签名组成  明文：签名算法的输入  签名算法：对明文进行各种转换  公钥和私钥：签名和验证算法的输入，一个用于签名，一个用于验证  签名：签名算法的输出  验证算法：输入为消息和签名，输出为0 或1  数字签名原理  每个用户拥有一对公私钥对(PK , SK)  公钥PK公开，私钥SK保密；  已知公钥算法，公钥PK，得不到SK的值。  签名  签名S=SigSK[M]，输出M || SigSK[M]=M || S （用户用自己的私钥签名）  验证  验证VerPK[S，M]]=1 or 0  输出1,代表S是对M的有效签名  输出0,代表S是对M的无效签名 数字签名的特征及要求  数字签名的特征  收方能确认或证实发方的签字，但不能伪造；  发方发出签名后的消息，就不能否认所签消息；  第三者可以确认收发双方之间的消息传送，但不能伪造这一过程  数字签名的要求  签名必须是依赖于被签名信息的比特模式；  签名必须使用某些发送者独有的信息，以防止双方的伪造与否认；  签名过程及验证过程容易；  伪造该数字签名在计算复杂性意义上具有不可行性  既包括对一个已有的数字签名构造新的消息  也包括对一个给定消息伪造一个数字签名；  在存储器中保存一个数字签名备份是现实可行的 两类数字签名函数  直接数字签名 仅涉及通信双方 有效性依赖发方密钥的安全性  仲裁数字签名 使用第三方认证 直接数字签名 (1)AB: SigSKa[M] 提供了认证与签名： • 只有A具有SK ，可以用SK 进行签名; a a • （希望）签名传输中无法被篡改； • 需要某些格式信息/冗余度； • 任何第三方可以用PKa 验证签名 M Sig Veri