数字签名(我的课件).pptVIP

第十一章 数字签名 主要内容 1.数字签名 数字签名的用途 数字签名的分类 数字签名算法 为什么需要数字签名？ 消息认证（Message authentication）用于保护通信双方之间的数据交换不受第三方攻击；但并不能保证通信双方自身的相互攻击、欺骗。 假定A发送一个认证的信息给B，双方之间的争议可能有多种形式： B伪造一个不同的消息，但声称是从A收到的； A可以否认发过该消息，B无法证明A确实发了该消息。 为什么需要数字签名？ 例如： 1.对于第一种情形，EFT（Electronic Fund Transfer电子资金转帐）中接收方改大转帐金额，并声称来自发送方； 2.对于第二种情形，股票交易指令亏损后抵赖：股票经纪人收到发送方电子邮件消息要他进行一笔交易，但后来这笔交易失败，但发送方抵赖从未发送消息。 为什么需要数字签名？ 引入数字签名（Digital signature），是笔迹签名的模拟。 数字签名与传统签名 传统签名的基本特点： 能与被签的文件在物理上不可分割 签名者不能否认自己的签名 签名不能被伪造 容易被验证 数字签名与传统签名 数字签名是传统签名的数字化， 基本要求： 能与所签文件“绑定” 签名者不能否认自己的签名 容易被自动验证 签名不能被伪造 数字签名的特征 必须能够验证作者及其签名的日期时间。 必须能够认证签名时刻的内容。 签名必须能够由第三方验证，以解决争议。 因此，数字签名功能包含了认证的功能。 数字签名的设计需求 签名必须是依赖于被签名信息的一个位串模式。 签名必须使用某些对发送者是唯一的信息，以防止双方的伪造与否认。 必须相对容易生成该数字签名。 必须相对容易识别和验证该数字签名。 数字签名的设计需求 伪造该数字签名在计算复杂性意义上具有不可行性： 不能从给定的数字签名构造伪造消息； 也不能对一个给定消息伪造一个数字签名。 6.保存一个数字签名副本是现实可行的 数字签名分类 1.从接收者验证签名的方式分类 直接数字签名direct digital signature 仲裁数字签名arbitrated digital signature 2.从计算能力上分类 无条件安全的数字签名 计算上安全的数字签名 3.从签名者在一个数字签名算法中所能鉴别 的消息个数分类 一次性的数字签名 多次性的数字签名 分类1－－直接数字签名 只涉及通信双方，有四种方法： (1) A→B: EPRa[M] （图11.1c，对整个消息加密），提供了认证和签名（PRa）： 只有A具有PRa进行加密; 传输中没有被篡改； 需要某些格式信息/冗余度； 任何第三方可以用PUa 验证签名 分类1－－直接数字签名 (2) A→B: M||EPRa[H(M)] （图11.5c，对消息摘要加密），提供认证和签名（PRa）： -- H(M) 受到密码算法的保护； -- 只有A 能够生成EPRa[H(M)] 分类1－－直接数字签名 (3)A→B: EPUb [EPRa(M)]（图11.1d），提供了保密(PUb)、认证与签名(PRa) (4)A→B: EK[M||EKRa[H(M)]]（图11.5d），提供保密性（k）、认证和签名（PRa）。 直接数字签名的缺点 验证模式的有效性依赖于发送方私钥的安全性 1）威胁1： 发送方抵赖发送某一消息，可能会声称其私钥丢失或被窃，他人伪造了他的签名。 通常需要采用与私钥安全性相关的行政管理控制手段来制止或至少是削弱这种情况，但威胁在某种程度上依然存在 直接数字签名的缺点 改进的方式：例如可以要求被签名的信息包含一个时间戳（日期与时间），并要求将已暴露的密钥报告给一个授权中心 2）威胁2：X的某些私钥确实在时间T被窃取，敌方可以伪造X的签名，并加盖一个早于或等于时间T的时间戳。 分类1－－仲裁数字签名（2） 引入仲裁者 所有从发送方X到接收方Y的签名消息首先送到仲裁者A。 A将消息及其签名进行一系列测试，以检查其来源和内容。 A将消息加上日期并与已被仲裁者验证通过的指示一起发给Y。 仲裁者在这一类签名模式中扮演敏感和关键的角色。 所有的参与者必须极大的相信这一仲裁机制工作正常。 仲裁数字签名方法1－对称加密方式1 对称加密方式，仲裁者可看见消息。 仲裁数字签名方法1－对称加密方式1 讨论存在的问题 作用：签名可以解决纠纷 Y：向A发送 EKay[IDx|| M || EKxa[IDx|| H(M)]] A：用Kay恢复IDx，M，和签名（ EKxa[IDx|| H(M)]），然后用Kxa解密签名并验证散列码 存在的问题：Y不能直接验证X的签名， Y认为X的消息正确，