0消息认与数字签名.pptVIP

第五章 消息认证与数字签名 问题的提出 通信威胁 1. 泄露：把消息内容发布给任何人或没有合法密钥的进程。 2. 伪造：从一个假冒信息源向网络中插入消息。 3. 内容修改：消息内容被插入删除变换修改。 4. 顺序修改：插入删除或重组消息序列。 5. 时间修改：消息延迟或重放。 6. 否认：接受者否认收到消息,发送者否认发送过消息。 5.1.2 消息认证码（MAC） A B: M||CK(M) 即A使用双方共享的密钥K对明文进行计算，产生一个短小的数据块，即消息验证码 MAC=CK(M) 。发送给接收方B时，将它附加在报文中。 接收方收到报文使用相同的密钥K执行相同的计算，得到新的MAC。接收方将收到的MAC与计算得到MAC进行比较，如果相匹配，那么可以保证报文在传输过程中维持了完整性： （1）报文未被更改过 （2）接收者确信报文来自真实的发送者。（无人知晓密钥） 注意：上述认证过程只提供认证、不提供保密性。 消息认证 VS 常规加密 MAC函数类似于加密函数，主要区别在于MAC函数不需要可逆而加密函数必须是可逆的，因此，认证函数比加密函数更不易破解。 保密性与真实性是两个不同的概念 根本上,信息加密提供的是保密性而非真实性 加密代价大(公钥算法代价更大) 认证函数与保密函数的分离能提供功能上的灵活性 某些信息只需要真实性,不需要保密性 – 广播的信息难以使用加密(信息量大) – 网络管理信息等只需要真实性 – 政府/权威部门的公告 案例 中国首例电子邮件案例 1996年7月9日,北京市海淀区法院审理国内第一起电子邮件侵权案。 此案的原、被告均系北大心理学系93级女研究生。4月9日。原告薛燕戈收到美国密执安大学教育学院通过互联网发给她的电子邮件。内容是该学院将给她提供1.8万美元金额奖学金的就学机会，她非常高兴。因为这是唯一一所答应给她奖学金美国名牌大学。此后，她久等正式通知，但杳无音训，蹊跷之中委托在美国的朋友去密执安大学查询。4月27日朋友告知，密执安大学收到一封北京时间4月12日10时16分发出的署名薛燕戈的电子邮件，表示拒绝该校的邀请。因此密执安大学以将原准备给薛的奖学金转给他人。 法庭上，薛燕戈说 ，密执安大学发来的电子邮件，是她和被告张男一起去北大心理学认知心理学实验室看到的，并且存放在张男的电子信箱里。薛燕戈认为，是张男在4月12 日10时16分用薛的名义给密执安大学发了一封邮件，谎称薛已接受其他学校的邀请，故不能去该校学习。薛从北大计算中心取得4月12日的电子邮件记录，与美国取证回来的材料完全吻合。因此，薛提出诉讼请求：被告承认并公开道歉，又被告承担原告的调查取证以及和美国学校交涉的费用、医疗费和营养费用、精神损失补偿等人民币1.5万元。张男在法庭上称，事实上她从未以薛的名义给密执安大学发过电子邮件，对此事没有丝毫责任。 此案在开庭审理后，尽管到底谁借原告之名向密执安大学发出拒绝接受入学邀请的电子邮件，使原告丧失了一次出国深造的机会，并没有得出确切结论。但是在休庭之后，被告终于向原告承认，该电子邮件是她所为，并愿意就此向原告道歉并赔偿因其侵权行为给原告造成的精神及财产损失。经过法院调解，原、被告双方当事人自愿达成协议：被告以书面形式向原告赔礼道歉，并赔偿原告精神损害、补偿经济损失共计1.2万元。 如果邮件的发送附加了可防伪和可追踪的数字签名，也许本案就不会发生了。 盲签名协议： 采用分割－选择(Cut - and - Choose)技术，可以使签名者B知道他签署的是哪方面的信息，但是还保留盲签名的特征 例：每天很多人进入这个国家，而移民局要确信他们没有走私可卡因。官员们可以搜查每一个人，但他们换用了一种概率解决办法。他们检查入境人中的十分之一。十个人中有一个人的行李被检查，其余的九个畅通无阻。长期的走私犯会在大多数时间里逍遥法外，但他们有10%的机会被抓住。并且如果法院制度有效，则抓住一次的处罚将远远超出其它九次所得到的。 如果移民局想增大抓住走私犯的可能性，他们将不得不搜查更多的人。如果他们要减少这种可能性，他们只须搜查少量的人。通过操纵概率，他们可以控制协议抓住走私犯的成功程度。 5.3.1 数字签名原理 仲裁数字签名 (c) 双密钥加密方式，仲裁者不可以看见消息 1) X?A： IDx || EKRx[IDx || EKUy (EKRx[M])] 2) A?Y： EKRa[IDx|| EKUy[EKRx[M]] || T] X：对消息M双重加密，形成一个签名的、保密的消息。 A：检查X的公开/私有密钥对