消息认证和数字签名PPT培训课件.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * hash函数小结 hash函数把变长信息映射到定长信息 hash函数不具备可逆性 hash函数速度较快 hash函数与对称密钥加密算法有某种相似性 对hash函数的密码分析比对称密钥密码更困难 hash函数可用于消息摘要 hash函数可用于数字签名 前面介绍的消息认证能保护通信双方以防止第三方的攻击，然而却无法防止通信双方的一方对另一方的欺骗，因此除了认证之外还需要其它机制来防止通信双方的抵赖行为，最常见的解决方案就是采用数字签名。 5.3 数字签名体制 5.3.1 数字签名原理 签名：手写签名是被签文件的物理组成部分；而数字签名不是被签消息的物理部分，需要将签名连接到被签消息上。 验证：手写签名通过将它与真实的签名进行比较来验证，因此需要保留签名的副本。而数字签名利用已经公开的验证算法来验证，任何地方都不会存有这个签名的副本。 复制品：数字签名消息的复制品与其本身是一样的，而手写签名纸质文件的复制品与原品不同。 关系：手写签名在签名和文件之间是一对多的关系。数字签名在签名和文件之间是一对一的关系。 签名者不能否认自己的签名； 接收者能够验证签名，而其他任何人都不能伪造签名； 签名必须能够由第三方验证，以解决争议； 因此，数字签名功能包含了鉴别的功能。 数字签名应具有的基本条件 依赖性：数字签名必须依赖于要签名的消息的比特模式。 唯一性：必须使用对签名者来说是唯一的信息，以防伪造和否认。 可验证性：数字签名必须使在算法上可验证的。 抗伪造性：伪造一个数字签名在计算上是不可行的。 可用性：数字签名的产生、识别和验证必须相对简单。 数字签名的需求 目前已经提出了许多数字签名体制，按签名的 方式可以分成两类： 直接数字签名 需仲裁的数字签名 数字签名的方式 直接数字签名： 直接数字签名仅涉及通信方，它假定收方知道 发方的公开密钥数字，签名通过使用发方的私有密 钥对整个消息进行加密、或使用发方的私有密钥对 消息的散列码进行加密来产生。方案的有效性依赖 于发方私有密钥的安全性。 数字签名的方式 M：信息 S：签名 签名 M 验证 M M 爱丽丝 鲍勃 Hash S Hash 爱丽丝的私钥 爱丽丝的公钥 摘要签名 签名算法 M 验证算法 M （M，S） M：信息 S：签名 爱丽丝 鲍勃 爱丽丝的私钥 爱丽丝的公钥 直接数字签名 直接数字签名的缺点 验证模式依赖于发送方的保密密钥； 发送方要抵赖发送某一消息时，可能会声称其私有密钥丢失或被窃，从而他人伪造了他的签名。 改进的方式例如可以要求被签名的信息包含一个时间戳（日期与时间），并要求将已暴露的密钥报告给一个授权中心。 X的某些私有密钥确实在时间T被窃取，敌方可以伪造X的签名及早于或等于时间T的时间戳。 需仲裁的数字签名 引入仲裁者 通常的做法是发送方爱丽创建一个签名，并把这个信 息、她的身份、鲍勃的身份和签名发送给仲裁者A，A将消 息及其签名进行一系列测试，以检查其来源和内容，然后 包含发送方的身份、接受者的身份和时间戳的信息副本保 留在档案中。该仲裁者还用它的私钥从信息创建另一个签 名。再把信息、新签名、爱丽丝的身份和鲍勃的身份发送 给鲍勃。 仲裁者在这一类签名模式中扮演敏感和关键的角色。所有的参与者必须极大地相信这一仲裁机制工作正常。（trusted system） M：信息 S：签名 签名 M 验证 M (M,SA) 爱丽丝 鲍勃 Hash Hash 爱丽丝的私钥 可信中心的公钥 爱丽丝的公钥 验证算法 签名算法 M 可信中心的私钥 可信中心 (M,ST) 针对不可否认的可信中心的运用 实现机密性的数字签名 签名算法 M 验证算法 M Ek（M，S） M：信息 S：签名 爱丽丝 鲍勃 爱丽丝的私钥 爱丽丝的公钥 加密算法 鲍勃的公钥 解密算法 鲍勃的私钥 5.3.2 RSA数字签名体制 方法一：发送者用私钥对文件进行签名，接收者用公钥来验证签名。 Mdmod n M Semod n M M 爱丽丝 鲍勃 S 接收 爱丽丝的私钥(d，n) 爱丽丝的公钥(e,n) M’=M M’ True M 方法二： 签名的报文作为一个散列函数的输入，产生一个定长的安全散列码，使用签名者的私有密钥对这个散列码进行加密，就形成签名，