数字签名97681.pptVIP

* * * 仲裁数字签名 余小龙S313067037 基本概念 数字签名是一种以电子形式给一个消息签名的方法。 为什么需要数字签名： 报文认证用以保护双方之间的数据交换不被第三方侵犯； 但它并不保证双方自身的相互欺骗。假定A发送一个认证的信息给B，双方之间的争议可能有多种形式： B伪造一个不同的消息，但声称是从A收到的。 A可以否认发过该消息，B无法证明A确实发了该消息。 数字签名应满足的要求 收方能确认或证实发方的签字，并且不能伪造； 发方发出签名后的消息，就不能否认所签消息； 收方对已收到的消息不能否认； 第三者可以确认收发双方之间的消息传送，但不能伪造这一过程 两类数字签名函数 直接数字签名 仅涉及通信双方 有效性依赖发方密钥的安全性 仲裁数字签名 使用第三方认证 仲裁数字签名 引入仲裁者。 通常的做法是所有从发送方X到接收方Y的签名消息首先送到仲裁者A，A将消息及其签名进行一系列测试，以检查其来源和内容，然后将消息加上日期并与已被仲裁者验证通过的指示一起发给Y。 仲裁者在这一类签名模式中扮演敏感和关键的角色。 所有的参与者必须极大地相信这一仲裁机制工作正常。（trusted system） 仲裁数字签名技术（1） 单密钥加密方式，仲裁者可以看见消息 (1) X?A：M||EKxa[IDx|| H(M)] (2) A?Y：EKay[IDx|| M || EKxa[IDx|| H(M)] || T] X与A之间共享密钥Kxa，Y与A之间共享密钥Kay X：准备消息M，计算其Hash值H(M)，用X的标识符IDx 和Hash值构成签名，并将消息及签名经Kxa加密后发送给A； A：解密签名，用H(M)验证消息M，然后将IDx，M，签名，和时间戳一起经Kay加密后发送给Y； 仲裁数字签名技术（1） Y：解密A发来的信息，并可将M和签名保存起来。 解决纠纷： Y：向A发送 EKay[IDx|| M || EKxa[IDx|| H(M)]] A：用Kay恢复IDx，M，和签名（ EKxa[IDx|| H(M)]），然后用Kxa解密签名并验证Hash值. 仲裁数字签名技术（2） 单密钥加密方式，仲裁者不可以看见消息 (1) X?A：IDx || EKxy[M]||EKxa[IDx|| H(EKxy[M])] (2) A?Y：EKay[IDx||EKxy[M] || EKxa[IDx|| H(EKxy[M])] || T] 在这种情况下，X与Y之间共享密钥Kxy， X：将标识符IDx ,密文EKxy[M]，以及对IDx和密文消息的散列码用Kxa加密后形成签名发送给A。 A：解密签名，用散列码验证消息，这时A只能验证消息的密文而不能读取其内容。然后A将来自X的所有信息加上时间戳并用Kay加密后发送给Y。 (1)和(2)存在的一个共性问题 A和发送方联手可以否认签名的信息； A和接收方联手可以伪造发送方的签名； 在这两种模式下Y不能直接验证X的签名，Y认为A的消息已认证，只因为它来自A。因此，双方都需要高度相信A: X必须信任A没有暴露Kxa，并且没有生成错误的签名EKxa[IDx|| H(M)]。Y必须信任A仅当散列值正确并且签名确实是X产生的情况下才发送的 EKay[IDx|| M || EKxa[IDx|| H(M)] || T] 。双方都必须信任A处理争议是公正的。只要A遵循上述要求，则X相信没有人可以伪造其签名；Y相信X不能否认其签名。上述情况还隐含着A可以看到X给Y的所有信息，因而所有的窃听者也能看到。 仲裁数字签名技术（3） 双密钥加密方式，仲裁者不可以看见消息 (1) X?A： IDx||EKRx[IDx||EKUy (EKRx[M])] (2) A?Y： EKRa[IDx|| EKUy[EKRx[M]] || T] X：对消息M双重加密：首先用X的私有密钥KRx，然后用Y的公开密钥KUy。形成一个签名的、保密的消息。然后将该信息以及X的标识符一起用私钥KRx签名后与IDx 一起发送给A。这种内部、双重加密的消息对A以及对除Y以外的其它人都是安全的。 A：检查X的公开/私有密钥对是否仍然有效，如果是，则认证消息。并将包含IDx、双重加密的消息和时间戳构成的消息用KRa签名后发送给Y 仲裁数字签名技术（3） 本模式比上述两个模式具有以下好处： 1、在通信之前各方之间无须共享任何信息，从而避免了联手作弊； 2、从X发送给Y的消息的内容对A和任何其他人是保密的； 3、使任何拥有发送方公开密钥的人都可以验证数字签名的正确性； 4、由于发送方私有密钥的保密性