数字签名与数字水印数字签名与数字水印.PPT

数字签名与数字水印 消息认证的局限性 数字签名的概念和作用 RSA数字签名算法 DSS数字签名标准 盲签名与群签名 数字水印 消息认证的局限性 消息认证可以保护信息交换双方不受第三方的攻击，但是它不能处理通信双方的相互攻击 信宿方可以伪造消息并称消息发自信源方，信源方产生一条消息，并用和信源方共享的密钥产生认证码，并将认证码附于消息之后 信源方可以否认曾发送过某消息，因为信宿方可以伪造消息，所以无法证明信源方确实发送过该消息 在收发双方不能完全信任的情况下，引入数字签名来解决上述问题 数字签名的作用相当于手写签名 数字签名的概念和作用 在公钥体制中，用接受者的公钥加密消息得到密文，接受者用自己的私钥解密密文得到消息。加密过程任何人都能完成，解密过程只有接受者能够完成。 考虑一种相反的过程，发送者用自己的私钥“加密”消息得到“密文”，然后利用发送者的公钥“解密”密文得到消息。很显然，加密只有发送者能够完成，而解密任何人都可以完成。 所以，任何人都可相信是特定的发送者产生了该消息，这就相当于“签名”，证明一个消息的所属。 数字签名的概念和作用 随着计算机通信网的发展，人们希望通过电子设备实现快速、远距离的交易，数字(或电子)签名法应运而生，并开始用于商业通信系统，如电子邮递、电子转账和办公自动化等系统。随着计算机网络的发展，过去依赖于手书签名的各种业务都可用这种电子数字签名代替，它是实现电子贸易、电子支票、电子货币、电子购物、电子出版及知识产权保护等系统安全的重要保证 数字签名的特点 传统签名的基本特点 与被签的文件在物理上不可分割 签名者不能否认自己的签名 签名不能被伪造 容易被验证 数字签名是传统签名的数字化 能与所签文件“绑定” 签名者不能否认自己的签名 容易被自动验证 签名不能被伪造 数字签名的主要特征 数字签名必须具有下述特征 收方能够确认或证实发方的签名，但不能伪造，简记为R1-条件（unforgeable） 发方发出签名的消息给收方后，就不能再否认他所签发的消息，简记为S-条件(non-repudiation) 收方对已收到的签名消息不能否认，即有收报认证，简记作R2-条件 第三者可以确认收发双方之间的消息传送，但不能伪造这一过程，简记作T-条件 数字签名与消息认证的区别 与手书签名的区别：手书签名是模拟的，且因人而异。数字签名是0和1的数字串，因消息而异。 与消息认证的的区别：消息认证使收方能验证消息发送者及所发消息内容是否被窜改过。当收发者之间没有利害冲突时，这对于防止第三者的破坏来说是足够了。但当收者和发者之间有利害冲突时，就无法解决他们之间的纠纷，此时须借助满足前述要求的数字签名技术。 与消息加密区别：消息加密和解密可能是一次性的，它要求在解密之前是安全的；而一个签名的消息可能作为一个法律上的文件，如合同等，很可能在对消息签署多年之后才验证其签名，且可能需要多次验证此签名。因此，签名的安全性和防伪造的要求更高些，且要求证实速度比签名速度还要快，特别是联机在线实时验证。 数字签名的分类 根据签名的内容分 对整体消息的签名 对压缩消息的签名 按明、密文的对应关系划分 确定性(Deterministic)数字签名，其明文与密文一一对应，它对一特定消息的签名不变化，如RSA、Rabin等签名； 随机化的(Randomized)或概率式数字签名 数字签名常见算法 普通数字签名算法 RSA ElGamal /DSS/DSA ECDSA 盲签名算法 群签名算法 RSA算法的签名和验证过程 RSA签名方案 密钥的生成（同加密系统） 公钥Pk={e, n}；私钥Sk={d, n} 签名过程 (用私钥d, n) 明文：Mn 密文：S=Md mod n 验证过程 (用公钥e, n) 给定M，S，Ver (M, S)为真，当且仅当M=Se mod n 安全性 由于只有签名者知道d，其他人不能伪造签名，但可易于证实所给任意（M，S）对是否是消息M和相应签名构成的合法对 数字签名标准DSS 美国国家标准与技术研究所NIST发布的联邦信息处理标准FIPS186，称为数字签名标准DSS (Digital Signature Standard) 于1991年最初提出，1994年12月1日采纳为标准DSS，2000年发布DSS的扩充版，即FIPS 186-2 DSS为EIGamal和Schnorr签名方案的改进，其使用的算法记为DSA（Digital Signature Algorithm)。此算法由D. W. Kravitz设计。DSS使用了SHA，安全性是基于求离散对数的困难性 DSS和DSA是有所不同的：前者是一个标准，后者是标准中使用的算法 只能用于数字签名，不能用于加密或密钥分配 安全性基于基于离散对数难题 DS