【软考继续教育-应用密码学】19数字签名探究.ppt

* 数字签名 学习要点： 了解数字签名产生的背景 了解数字签名的基本要求 了解数字签名方案 了解数字签名标准DSS * 数字签名问题 Message authentication用以保护双方之间的数据交换不被第三方侵犯；但它并不保证双方自身的相互欺骗。假定A发送一个认证的信息给B，双方之间的争议可能有多种形式： B伪造一个不同的消息，但声称是从A收到的。 A可以否认发过该消息，B无法证明A确实发了该消息。 例如：EFT中改大金额；股票交易指令亏损后抵赖。 * 数字签名的目的 对数字对象的合法性、真实性进行标记 提供签名者的承诺 * 数字签名的特殊性 传统文档的符号一般都具有墨迹等物理特征（可鉴别性） 相应的手写签名与被签名文档使用共同的物理载体（不可分割性） 手写签名能够反映签名者的个性特征（独特性 ） 电子文档的物理载体表现为电磁信号 所携带的文字符号以二进制编码的逻辑形式存在 可以任意分割、复制而不被察觉 数字信息本身没有个性特征 很容易被伪造和重用，完全达不到签名的目的 传统手写签名的验证具有一定程度的主观性和模糊性 * 数字签名 是手写签名的一种电子模拟 用于向接收方或第三方证实消息被信源方签署， 用于存储的数据或程序的完整性证实 基于两条基本的假设： 私钥是安全的 产生数字签名的唯一途径是使用私钥 * 数字签名应具有的性质 签名是对文档的一种映射，签名与文档具有一一对应关系（精确性） 签名应基于签名者的唯一性特征（如私钥），从而确定签名的不可伪造性和不可否认性（唯一性） 签名应该具有时间特征，防止签名的重复使用（时效性） * 数字签名的要求 接收者能够核实发送者对报文的签名 发送者事后不能抵赖对报文的签名 接收者不能伪造对报文的签名 必须能够认证签名时刻的内容 签名必须能够被第三方验证，以解决争议 * 数字签名的设计要求 签名必须依赖于被签名信息 签名必须使用某些对发送者是唯一的信息 签名必须相对容易生成 必须相对容易识别和验证该签名 伪造该数字签名在计算复杂性意义上具有不可行性 保存一个数字签名副本是可行的 * 数字签名方案描述 设P是消息的有限集合（明文空间），S是签名的有限集合（签名空间），K是密钥的有限集合（密钥空间），则：签名算法是一个映射： 　　　 验证算法也是一个映射： 　 五元组{P,S,K,sig,ver}就称为一个签名方案 * 最基本的数字签名 基于对称密钥密码算法 本质是基于共享密钥的验证 　签名算法－加密算法： 　 验证算法－解密算法： 或加密算法： 基于公钥密码算法 本质上是公钥密码加密算法的逆应用 * 两类数字签名函数 直接数字签名 可仲裁数字签名 * 直接数字签名（DDS） A?B: EKRa[M] 提供了认证与签名： 只有A具有KRa进行加密 传输中无法被篡改 任何第三方可以用KUa 验证签名 (1’) A?B: EK [EKRa(M)] 提供了保密(K)、认证与签名(KRa) * 直接数字签名 (2) A?B: M||EKRa[H(M)] 提供认证及数字签名 －H(M) 受到密码算法的保护 －只有 A 能够生成 EKRa[H(M)] 　　－H(M)有压缩功能 (2’) A?B: EK[M||EKRa[H(M)]]　或EK [M]||EKRa[H(M)] 提供保密性、认证和数字签名 * 直接数字签名的缺点 验证模式依赖于发送方的私有密钥 发送方可能声称其私有密钥丢失或被窃，而抵赖发送过某一消息 需采用与私有密钥安全性相关的行政管理控制手段来制止或削弱这种情况，但威胁在某种程度上依然存在 X的某些私有密钥确有可能在时间T被窃取，敌方可以伪造X的签名及早于或等于时间T的时间戳 改进的方式：对被签名的信息添加时间戳（日期与时间） 　　　　　　　　 须将已暴露的密钥及时报告给一个授权中心（如CRL） * 可仲裁数字签名 引入仲裁者 通常做法：所有X－＞Y的签名消息首先送到仲裁者A，A将消息及其签名进行一系列测试，以检查其来源和内容，然后将消息加上时间戳，并与已被验证通过的签名一起发给Y 仲裁者在这一类签名模式中扮演裁判角色 所有参与者必须绝对相信这一仲裁机制工作正常（trusted system） 仲裁数字签名技术： (a) 单密钥加密方式，仲裁者可以看见消息： (1) X?A：M||EKxa[IDx|| H(M)] (2) A?Y：EKay[IDx|| M || EKxa[IDx|| H(M)] || T] X与A之间共享密钥Kxa，Y与A之间共享密钥Kay； X：准备消息M，计算其散列码H(M)，用X的标识符IDx 和散列值构成