推荐06-数字签名与信息隐藏.pptVIP

* * * * * * 这个协议的最终结果是把密钥分配中心KDC产生的会话密钥Ks安全地分发给通信方A和通信方B，同时通信双方A和B都证实自己的身份和对方的身份。 * * * 本科生课堂不讲单向鉴别，此页面隐藏 * * * * * 提问：为什么分组需要足够大？ 分组太大使速度较慢，较对称密码算法慢几个数量级；且随着大数分解技术的发展，这个长度还在增加，不利于数据格式的标准化。 * * RSA的缺点 两个主要缺点： A)产生密钥很麻烦，受到素数产生技术的限制，因而难以做到一次一密。 B)分组长度太大，为保证安全性，n 至少也要 600 bits以上，使运算代价很高目前， SET(Secure Electronic Transaction)协议中要求CA采用2048比特长的密钥，其他实体使用1024比特的密钥。 * 美国的数字签名标准/算法(DSS/DSA) 美国国家标准技术学会(NIST)的一个标准 它是ElGamal数字签名算法的一个修改 当选择p为512比特的素数时，ElGamal数字签名的尺寸是1024比特，而在DSA中通过选择一个160比特的素数可将签名的尺寸降低为320比特，这就大大地减少了存储空间和传输带宽。 ElGamal 签名体制 (1) 体制参数 p：一个大素数，可使Zp中求解离散对数为困难问题； g：是Zp中乘群Zp*的一个生成元或本原元素； M：消息空间，为Zp*； S：签名空间，为Zp*×Zp－1； x：用户秘密钥x?Zp*； y?gx mod p K=(p, g, x, y)：其中p，g，y为公钥，x为秘密钥。 (2) 签名过程：给定消息M，发送者进行下述工作。 (a) 选择秘密随机数k?Zp*； (b) 计算： H(M), r=gk mod p，s=(H(M)－xr)k-1 mod (p－1) (c) 将Sigk(M, k) =S=(r||s)作为签名，将M，(r||s)送给对方。 (3) 验证过程：接收者先计算H(M)，并按下式验证 Verk(H(M), r, s)=真 ? yrrs?gH(M) mod p 数字签名的安全性 安全性定义：存在（existential）/ 广义（universal）伪造。必须注意的是，我们不考虑伪造消息的无意义性。 攻击类型： 1.直接攻击（ Forge from scratch ） 2.选择消息攻击（CMA） 3.自适应选择消息攻击（ Adaptive CMA ） 安全模型：Random Oracle Model；Standard Model 特殊性质的签名体制 普通的数字签名具有广义可验证性，即任何人都可验证某个签名是否是对某个消息的签名。然而在某些情形下，特别是为了保护签名者或接收者的隐私时，并不希望让所有人都能验证签名--消息对。这就是数字签名体制中广义可验证性和隐私性之间的矛盾。 一些特殊的性质使得数字签名在不同的情形下有更多的应用。 可控制验证的签名 不可否认签名 指定确认者签名 指定验证者签名 广义指定验证者签名 广义指定验证者签名证明 限制验证者签名 变色龙签名 匿名性的签名 盲签名（完全盲签名、部分盲签名、限制性盲签名、限制性部分盲签名、公平盲签名） 群签名 群盲签名 环签名 其它性质的签名 消息恢复签名 防失败签名 基于群体的签名：门限签名、多签名 传递签名 短签名 在线-脱线签名 聚合签名 可验证加密的签名 代理签名 前向（后向）安全的签名 …… Please refer to .sg/staff/guilin/bible.htm * 课程内容 数字签名原理 鉴别协议 数字签名标准 信息隐藏 4 1 2 3 5 数字水印 边看边思考 P142 * 信息隐藏技术和加密技术有何异同？ 数字水印有哪些算法？如何对数字水印进行攻击？ * 信息隐藏 是一门近年来蓬勃发展、引起人们极大兴趣的学科 利用人类感觉器官对数字信号的冗余，将一个消息（通常为秘密消息）伪装藏于另一个消息（通常为非机密的信息） 不同于传统的密码学技术 信息隐藏将自己伪装隐藏在环境中 * 信息隐藏系统模型 * 信息隐藏技术的主要分支与应用 * 信息隐藏系统的特征 鲁棒性（Robustness） 不因宿主文件的某种改动而导致因此信息丢失 不可检测性（Undetectability） 指隐蔽宿主与原始宿主具有一致的特性 透明性（Invisibility） 目标数据没有明显的降质现象，而隐藏的数据却无法人为地看见或听见 安全性（Security） 有较强的抗攻击能力 * 数据隐写术 替换系统 变换域技术