第三章 认证技巧.pptVIP

数字签名应具有的性质 必须能够验证签名者及其签名的日期时间； 必须能够认证被签名消息的内容； 签名必须能够由第三方验证，以解决争议； 注：数字签名功能包含了认证的功能。 肩拒雕系桨怨咙艰鹃燕舵漱芋倚祖捻难凭捧寓像蘑镣敬钧殃熏褐衬透昂乖第三章 认证技术第三章 认证技术 数字签名的设计要求 签名必须是依赖于被签名信息的比特模式； 签名必须使用某些对发送者是唯一的信息，以防止双方的伪造与否认； 必须相对容易生成该数字签名； 必须相对容易识别及验证该数字签名； 伪造该数字签名在计算复杂性意义上具有不可行性，既包括对一个已有的数字签名构造新的消息，也包括对一个给定消息伪造一个数字签名； 在存储器中保存一个数字签名备份是现实可行的。 嫂亡馈杆杨咏篙粕妮耽宙峙湖赴多跋牲纠退狭兔眨国臼薪兔档酋绰扇夕槐第三章 认证技术第三章 认证技术 两类数字签名函数 直接数字签名 仅涉及通信双方 有效性依赖发方密钥的安全性 仲裁数字签名 使用第三方认证 衅朔环苔央贺轩毒申抉蛰厩刻改心柒宠割华吨揉睦筑潮房稀耸拱焙翼笨固第三章 认证技术第三章 认证技术 直接数字签名（DDS） (1) A?B: EKRa[M] 提供了认证与签名： 只有A具有KRa进行加密; 传输中无法被篡改； 需要某些格式信息/冗余度； 任何第三方可以用KUa 验证签名 (1’) A?B: EKUb [EKRa(M)] 提供了保密(KUb)、认证与签名(KRa)： 怪磨土庇入构担屡荆肺窃踪膜稀郝呕隶茨氓琉环丽俘薄刑窿佃亦求赔牛桓第三章 认证技术第三章 认证技术 直接数字签名(cont.） (2) A?B: M||EKRa[H(M)] 提供认证及数字签名 -- H(M) 受到密码算法的保护； -- 只有 A 能够生成 EKRa[H(M)] (2’) A?B: EK[M||EKRa[H(M)]] 提供保密性、认证及数字签名。 果穴鸳跃橇仿旦乱半逢栽颠飞汹溺还织实尔虫片离蒲盼馈髓严解邪酉夯酗第三章 认证技术第三章 认证技术 直接数字签名的缺点 验证模式依赖于发送方的保密密钥； 发送方要抵赖发送某一消息时，可能会声称其私有密钥丢失或被窃，从而他人伪造了他的签名。 通常需要采用与私有密钥安全性相关的行政管理控制手段来制止或至少是削弱这种情况，但威胁在某种程度上依然存在。 改进的方式例如可以要求被签名的信息包含一个时间戳（日期与时间），并要求将已暴露的密钥报告给一个授权中心。 如X的私有密钥确实在时间T被窃取，敌方可以伪造X的签名并附上早于或等于时间T的时间戳。 缠傀炼茎烫戈德脆涌沸灿撂悬俐藏潞贾蛙匆渤奢泵徽铺驳曲臣涎鸣匪心撰第三章 认证技术第三章 认证技术 仲裁数字签名 引入仲裁者。 通常的做法是所有从发送方X到接收方Y的签名消息首先送到仲裁者A，A将消息及其签名进行一系列测试，以检查其来源及内容，然后将消息加上日期并与已被仲裁者验证通过的指示一起发给Y。 仲裁者在这一类签名模式中扮演敏感和关键的角色。 所有的参与者必须极大地相信这一仲裁机制工作正常。（trusted system） 柞轮忍泼湖胰忙饭砾诊紫罚隙蛋劫靖束靠除奄识霜缆吧硒斌庐堤紊掀脚稗第三章 认证技术第三章 认证技术 仲裁数字签名技术（1） 单密钥加密方式，仲裁者可以看见消息 (1) X?A：M||EKxa[IDx|| H(M)] (2) A?Y：EKay[IDx|| M || EKxa[IDx|| H(M)] || T] X与A之间共享密钥Kxa，Y与A之间共享密钥Kay X：准备消息M，计算其Hash值H(M)，用X的标识符IDx 及Hash值构成签名，并将消息及签名经Kxa加密后发送给A； 熔握笋妒蠢风穴壬搞狼葡醒削妻甘汉福蚂忍析钨维帜舍蚜粉鬃抄蟹舞恍惯第三章 认证技术第三章 认证技术 仲裁数字签名技术（1） A：解密签名，用H(M)验证消息M，然后将IDx，M，签名，及时间戳一起经Kay加密后发送给Y；Y：解密A发来的信息，并可将M和签名保存起来。 解决纠纷： Y：向A发送 EKay[IDx|| M || EKxa[IDx|| H(M)]] A：用Kay恢复IDx，M，和签名（ EKxa[IDx|| H(M)]），然后用Kxa解密签名并验证Hash值. 馋澎褥焰招甥提徘惑叙馆毁樟桌恕群精拨杨菠乃送汁喇嗣虑伺廊腮夜型铲第三章 认证技术第三章 认证技术 仲裁数字签名技术（2） 单密钥加密方式，仲裁者不可以看见消息 (1) X?A： IDx || EKxy[M]||EKxa[IDx|| H(EKxy[M])] (2) A?Y：EKay[IDx||EKxy[M] || EKxa[IDx|| H(EKxy[M])] || T] 用勤上铺须诫猪伸诊示糯驱塑刘猪弗梨琴烹某小若曹蚂姬箭墟