第4章消息认证与数字签名1.pptVIP

公钥密码体制的一种最重要的应用是数字签名，数字签名通常需要与散列函数结合起来使用。 §5.1 消息认证 消息认证就是验证消息的完整性.当接收方收到发送方的报文时，接收方能够验证收到的报文是真实的未被篡改的。 信息的认证和保密是不同的两个方面。 一个认证码，可具有保密功能也可没有保密功能 消息认证 消息认证是使预定的消息接收者能够检验收到的消 息是否真实的方法。检验内容应包括： (1)证实报文的源和宿 (2)报文内容是否曾受到偶然的或有意的篡改 (3)报文的序号和时间栏 总之，消息认证使接收者能识别： 消息的源，内容的真伪，时间性和意定的信宿 这种认证只在相应通信的双方之间进行，而不允许 第三者进行上述认证。认证不一定是实时的，可用消息认证码MAC对消息做认证 利用函数f和密钥k， 对要发送的明文x或密文y变换成r bit的消息认证码f(k,x)(或f(k,y)) ，将其称为认证符附加在x(或y)之后发出，x//As(或y//As)表示，其中“//”符号表示数字的链接。接收者收到发送的消息序列后，按发方同样的方法对接收的数据(或解密后)进行计算，应得到相应的r bit数据 直接数字签名 A用其私钥加密文件，这便是签名过程； A将加密的文件送到B； B用A的公钥解开A送来的文件。 直接数字签名的缺点 ?验证模式依赖于发送方的保密密钥 发送方要抵赖发送某一消息时，可能会声称其私有密 钥丢失或被窃，从而他人伪造了他的签名。 通常需要采用与私有密钥安全性相关的行政管理控制 手段来制止或至少是削弱这种情况，但威胁在某种程 度上依然存在 改进的方式例如可以要求被签名的信息包含一个时间 戳（日期与时间），并要求将已暴露的密钥报告给一 个授权中心 ?X的某些私有密钥确实在时间T被窃取，敌方可以伪造X的签名及早于或等于时间T的时间戳 仲裁数字签名 直接数字签名的缺陷：签名者声称私钥被盗，签名是他人假冒。为此引入第三方作仲裁者。 引入仲裁者 –通常的做法是所有从发送方X到接收方Y的签名消息首先送到仲裁者A， A将消息及其签名进行一系列测试，以检查其来源和内容，然后将消息加上日期并与已被仲裁者验证通过的指示一起发给Y。 仲裁者在这一类签名模式中扮演敏感和关键的角色 所有的参与者必须极大地相信这一仲裁机制工作正常 数字签名的应用例子 现在Alice向Bob传送数字信息，为了保证信息传送的保密性、真实性、完整性和不可否认性，需要对要传送的信息进行数字加密和数字签名，其传送过程如下： Alice准备好要传送的数字信息（明文）。 Alice对数字信息进行哈希（hash）运算，得到一个信息摘要。 Alice用自己的私钥（SK）对信息摘要进行加密得到Alice的数字签名，并将其附在数字信息上。 Alice随机产生一个加密密钥（DES密钥），并用此密钥对要发送的信息进行加密，形成密文。 Alice用Bob的公钥（PK）对刚才随机产生的加密密钥进行加密，将加密后的DES密钥连同密文一起传送给Bob。 Bob收到Alice传送过来的密文和加过密的DES密钥，先用自己的私钥（SK）对加密的DES密钥进行解密，得到DES密钥。 Bob然后用DES密钥对收到的密文进行解密，得到明文的数字信息，然后将DES密钥抛弃（即DES密钥作废）。 Bob用Alice的公钥（PK）对Alice的数字签名进行解密，得到信息摘要。 Bob用相同的hash算法对收到的明文再进行一次hash运算，得到一个新的信息摘要。 Bob将收到的信息摘要和新产生的信息摘要进行比较，如果一致，说明收到的信息没有被修改过。 信息隐藏不同于传统的密码学技术。密码技术主要是研究如何将机密信息进行特殊的编码，以形成不可识别的密码形式(密文)进行传递；而信息隐藏则主要研究如何将某一机密信息秘密隐藏于另一公开的信息中，然后通过公开信息的传输来传递机密信息。 在认证理论中一般将信源识别和发送信息的完整性检验两者作为一个整体进行讨论。 签名与加密 签名提供真实性(authentication) 加密提供保密性(confidentiality) “签名+加密”提供“真实性+保密性” 两种实现方式: (A?B) ?先签名,后加密: ?先加密,后签名: 密钥管理 所有的密码技术都依赖于密钥。 密钥的管理本身是一个很复杂的课题，而且是保证安全性的关键点。 密钥管理方法因所使用的密码体制（对称密码体制和公钥密码体制）而异。 密钥的生存期 一个密钥主要经历以下几个阶段： 1）产生（可能需要登记） 2）分配 3）使用 4）更新/替换 5）撤销 6）销毁 密钥管理 密钥管理（key m