[经济学]电子商务安全介绍.ppt

为什么需要数字签名？ 消息认证（Message authentication）用以保护双方之间的数据交换不被第三方侵犯；但它并不保证双方自身的相互欺骗。假定A发送一个认证的信息给B，双方之间的争议可能有多种形式： ??B伪造一个不同的消息，但声称是从A收到的 ??A可以否认发过该消息，B无法证明A确实发了该消息 ? 例如：电子金融交易中改大金额；股票交易指令亏损后抵赖。 利用windows搜索有数字签名的文件 ? 数字签名是笔迹签名的模拟，其特征： 必须能够验证作者及其签名的日期时间 必须能够认证签名时刻的内容 签名必须能够由第三方验证，以解决争议 因此，数字签名功能包含了认证的功能。 Word软件实现数字签名 消息认证 消息加密 消息认证码 散列函数 消息加密 消息的自身加密可以作为一个认证的度量。 对称加密模式和公钥加密模式有所不同。 对称加密：保密性与认证 提供保密 只有A和B共享K 提供认证 仅来自A 传输中没有被更改 需要某种结构或冗余 不提供签名 接收方可以伪造消息 发送方可以否认消息 公钥加密：保密性 提供保密 只有B拥有解密的密钥KRb 不提供认证 任何一方都可用KUb对消息加密并假称是A 私钥加密：认证与签名 ? 提供认证和签名 ?? 仅A有KRa可以进行加密 ?? 传输中没有被更改 ?? 需要某种结构或冗余 ?? 任何一方均可以使用KUa验证签名 公钥加密：保密性、认证与签名 ? KUb提供保密性 ? KRa提供认证和签名 消息认证码（MAC） MAC的安全性 ? 只有共享一个密钥的A和B 可以为消息M创建一个MAC码 ? 只有认定的A 或B可以认证接收的消息 ? 攻击者如果没有重新计MAC=CK(M’)，无法修改M 散列函数（Hash Function） 散列函数的基本用法（1） 散列函数的基本用法（2） 散列函数的用法总结 Hash与MAC的区别 ? MAC需要对全部数据进行加密 ? MAC速度慢 ? Hash是一种直接产生认证码的方法 ? 安全性： ?? Hash值长度为m位hash函数，攻击代价2m/2 ?? 密钥长度为k位，码长度为n位的MAC，攻击代价是min(2k,2n) 一个好的盲签名应该具有以下的性质： 1. 不可伪造性。除了签名者本人外，任何人都不能以他的名义生成有效的盲签名。这是一条最基本的性质。 2. 不可抵赖性。签名者一旦签署了某个消息，他无法否认自己对消息的签名。 3. 盲性。签名者虽然对某个消息进行了签名，但他不可能得到消息的具体内容。 4. 不可跟踪性。一旦消息的签名公开后，签名者不能确定自己何时签署的这条消息。 　背景：电子现金. 　　一般的签名，签名者对自己发出的签名，必须是记得的，比如，在何时何地对谁发的，他自己可以记下来。但是，如果把签名看作是电子现金的话，就涉及到一个匿名性的问题 　　用实际钞票的时候，钞票上有没有写你的名字？当然没有。那我也不希望，银行通过追踪自己发出签名，来获得用户的消费情况。于是就设计出盲签名。 　　盲签名算法是具有下列两个特性的数字签名算法 　　Oslash; 消息的内容对签名者是不可见的 　　Oslash; 在签名被接受者公开后，签名者不能追踪签名。 * 3.4.2 数字签名算法（DSA） 基于离散对数问题 单项不可逆的公开密钥系统 验证过程中对资源的处理要比RSA更彻底 DSA数字签名 1991年8月美国国家标准局(NIST)公布了数字签名标准(Digital Signature Standard, DSS)。 此标准采用的算法称为数字签名算法(Digital Signature Algorithm, DSA)，它作为ElGamal和Schnorr签名算法的变种，其安全性基于离散对数难题；并且采用了Schnorr系统中，g为非本原元的做法，以降低其签名文件的长度。 方案包括初始过程、签名过程和验证过程。 １. 初始过程 (1) 系统参数：大素数p, q满足q｜p-1, 2511p21024, 2159q2160 ，确保在 Zp中求解离散对数的困难性；g ∈ Zp , 且满足 g =h(p-1)/qmodp,其中h是一整数， 1hp-1且h(p-1)/q modp1 。p,q,g 作为系统参数，供所有用户使用，在系统内公开。 (2) 用户私钥：用户选取一个私钥x，1x q，保密。　　 (3) 用户公钥：用户的公钥y，y= gx modp，公开。 DSA数字签名 2. 签名过程 对待签消息m，设 0mp。签名过程如下： (1) 生成一随机整数 k, k ∈ Zp* ； (2) 计算 r=(gkmodp)modq； (3) 计算 s=k-1(h(m)+x