密码学与密码技术 第十三章 数字签名.ppt

School of Software School of Software * 密码学与密码技术 * 第13章 数字签名 数字签名，DSA * Hash函数的应用 UNIX操作系统一直在使用hash函数进行登录时的验证：口令不以明文形式存储，而是存储口令的hash值： 用户每次登录时，首先hash口令，然后与存储在哈希口令数据库中的值进行比较。 * Hash函数的应用 UNIX的质询响应机制： 在用户要用口令登录时，服务器会给客户发出随机的数据信息块，客户的口令摘要和这个随机数据被绑定在一起再进行hash。 * 重放攻击 * 数字签名 我们的数字签名采用hash值作为输入： 签名必须依赖于要签名明文的每一个比特。 签名必须使用对发送者来说是惟一的信息，以防止伪造和抵赖。 数字签名的产生必须相对简单。 数字签名的识别和证实必须相对简单。 伪造一个数字签名在计算上是不可行的，不论是通过对已有的数字签名来构造新明文，还是对给定的明文构造一个虚假的数字签名。 保留一个数字签名的备份在存储上是现实可行的。 * 数字签名 * 直接数字签名 签名仅涉及通信双方（某某人和银行）。 用私钥对整个明文签名，或对哈希值签名。 保密性可采用常规加密方式，也可采用公开钥加密方式。 某某人在抵赖时可以声称私钥丢失或被盗用。 致命弱点： * 需仲裁的数字签名 进行一系列的测试以检验它的出处，注明日期，附上一个已经经过证实属实的说明。 签名明文+属实说明 * 需仲裁的数字签名 C=IDA ||EKDA[IDA||EKEB[EKDA[M]]] IDA是标识符（身份证） C C’=EKDX[IDA||EKEB[EKDA[M]]||T] A B * 需仲裁的数字签名 某某人和银行没有共享任何密钥信息，可防止内讧。 从某某人发送给银行的明文内容对仲裁者和其他人都是保密的。 某某人私钥被盗，立即向仲裁者申报，日期不对的明文不会被发送，时间戳可记录仲裁者接收到某某人信息的日期和时间。 * DSA 1991年8月，NIST提出了数字签名算法（DSA）用于他们的数字签名标准（DSS）中。DSS使用公钥密码技术，可以让接收者验证数据的完整性和数据发送者的身份。DSA仅用来提供唯一的数字签名，不能用作加解密或密钥交换 * RSA vs DSS * DSA 全局公钥KUG p：素数，其中2L-1P2L，512?L1024且L为64的倍数，即L长度在512到1024之间，长度增量为64bit； q：p-1的素因子，长度为160bit； g=h(p-1)/q mod p，其中h是一整数，满足1hp-1并且h(p-1)/q mod p1 * DSA 用户私有密钥 x：随机或伪随机整数，其中0xq 用户公开密钥 y=gx mod q 与每条消息相关的秘密值 k：随机或伪随机整数，其中0kq 给定y计算x，属于“离散对数”问题。 k对每个签名是唯一的。 * DSA 签名 r=(gk mod p) mod q s=(k-1(H(M)+xr)] mod q 签名 =(r,s) r的值根本不依赖于明文，可预先算出来，以备用于文档的签名。 H(M)：使用SHA生成的M的散列码。 * DSA 验证 w =(s’)-1 mod q u1 =[H(M’)w] mod q u2 =(r’)w mod q v =[(gu1yu2) mod p] mod q 验证：v=r’ s’,M’,r’是收到的签名信息。 * 签名 手写签名：签名与所签文档没有紧密联系在一起，文档可能会在签署后被篡改，所以在一些高额交易中出现了签名认证者，签名仪式等，这使得商业手续变的冗长、麻烦和复杂。 数字签名：保证电子数据不被篡改，同时可以认证用户的身份，大大提高了灵活性和生产率但是它正在等待被广泛启动。 School of Software School of Software