第7篇 章 数字签字和密码协议 现代密码学教案.ppt

第7章 数字签字和密码协议;数字签字由公钥密码发展而来，它在网络安全，包括身份认证、数据完整性、不可否认性以及匿名性等方面有着重要应用。本章首先介绍数字签字的基本概念和一些常用的数字签字算法，然后介绍身份认证协议、身份证明技术以及其他一些常用的密码协议。;上一章介绍的消息认证其作用是保护通信双方以防第三方的攻击，然而却不能保护通信双方中的一方防止另一方的欺骗或伪造。通信双方之间也可能有多种形式的欺骗，例如通信双方A和B（设A为发方，B为收方）使用图6.1所示的消息认证码的基本方式通信，则可能发生以下欺骗： ;① B伪造一个消息并使用与A共享的密钥产生该消息的认证码，然后声称该消息来自于A。 ② 由于B有可能伪造A发来的消息，所以A就可以对自己发过的消息予以否认。 这两种欺骗在实际的网络安全应用中都有可能发生，例如在电子资金传输中，收方增加收到的资金数，并声称这一数目来自发方。又如用户通过电子邮件向其证券经纪人发送对某笔业务的指令，以后这笔业务赔钱了，用户就可否认曾发送过相应的指令。;因此在收发双方未建立起完全的信任关系且存在利害冲突的情况下，单纯的消息认证就显得不够。数字签字技术则可有效解决这一问题。类似于手书签字，数字签字应具有以下性质： ① 能够验证签字产生者的身份，以及产生签字的日期和时间。 ② 能用于证实被签消息的内容。 ③ 数字签字可由第三方验证，从而能够解决通信双方的争议。;(1) 单钥加密 如图7.1(a)所示，发送方A根据单钥加密算法以与接收方B共享的密钥K对消息M加密后的密文作为对M的数字签字发往B。该系统能向B保证所收到的消息的确来自A，因为只有A知道密钥K。再者B恢复出M后，可相信M未被篡改，因为敌手不知道K就不知如何通过修改密文而修改明文。具体来说，就是B执行解密运算Y=DK(X)，如果X是合法消息M加密后的密文，则B得到的Y就是明文消息M，否则Y将是无意义的比特序列。 ; 图7.1 消息加密产生数字签字的基本方式;(2) 公钥加密 如图7.1(b)所示，发送方A使用自己的秘密钥SKA对消息M加密后的密文作为对M的数字签字，B使用A的公开钥PKA对消息解密，由于只有A才拥有加密密钥SKA，因此可使B相信自己收到的消息的确来自A。然而由于任何人都可使用A的公开钥解密密文，所以这种方案不提供保密性。为提供保密性，A可用B的公开钥再一次加密，如图7.1(c)所示。;下面以RSA签字体制为例说明数字签字的产生过程。 ① 体制参数。 选两个保密的大素数p和q，计算n=p×q，φ(n)=(p-1)(q-1)；选一整数e，满足1eφ(n)，且gcd(φ(n),e)=1；计算d，满足d·e≡1 mod φ(n)；以{e,n}为公开钥,{d,n}为秘密钥。 ② 签字过程。 设消息为M，对其签字为 S≡Md mod n ;③ 验证过程。 接收方在收到消息M和签字S后，验证 是否成立，若成立，则发送方的签字有效。 实际应用时，数字签字是对消息摘要加密产生，而不是直接对消息加密产生，如图6.3(a)~图6.3(d)所示。;由加密算法产生数字签字又分为外部保密方式和内部保密方式，外部保密方式是指数字签字是直接对需要签字的消息生成而不是对已加密的消息生成，否则称为内部保密方式。外部保密方式便于解决争议，因为第3方在处理争议时，需得到明文消息及其签字。但如果采用内部保密方式，第3方必须得到消息的解密密钥后才能得到明文消息。如果采用外部保密方式，接收方就可将明文消息及其数字签字存储下来以备以后万一出现争议时使用。;2. 由签字算法产生数字签字 签字算法的输入是明文消息M和密钥x，输出是对M的数字签字，表示为S=Sigx(M)。相应于签字算法，有一验证算法，表示为Verx(S,M)，其取值为 算法的安全性在于从M和S难以推出密钥x或伪造一个消息M′使M′和S可被验证为真。;数字签字的执行方式有两类： 直接方式和具有仲裁的方式。 1. 直接方式 直接方式是指数字签字的执行过程只有通信双方参与，并假定双方有共享的秘密钥或接收一方知道发方的公开钥。;直接方式的数字签字有一公共弱点，即方案的有效性取决于发方秘密钥的安全性。如果发方想对已发出的消息予以否认，就可声称自己的秘密钥已丢失或被窃，因此自己的签字是他人伪造的。可采取某些行政手段，虽然不能完全避免但可在某种程度上减弱这种威胁。例如，要求每一被签字的消息都包含有一个时戳（日期和时间）并要求密钥丢失后立即向管理机构报告。这种方式的数字签字还存在发方的秘密钥真的被偷的危险，例如敌手在时刻T偷得发方的秘密钥，然后可伪造一消息，用偷得的秘密钥为其签字并加上T以前的时刻作为时戳。 ;2. 具有仲裁方式的数字签字 上述直接方式的数字签字所具有的缺陷都可通过使用仲裁