05数字签名东与认证技术.pptVIP

第5章 数字签名与认证技术 目录 哈希函数 数字签名 消息鉴别 身份认证 身份认证实例－Kerberos 数据保护工具 哈希函数概念 哈希函数，也称为单向散列函数、杂凑函数或消息摘要算法。它通过把一个单向数学函数应用于数据，将任意长度的一块数据转换为一个定长的、不可逆转的数据。 哈希函数H能用于任意大小的分组，产生定长的输出；对任何给定的x，H(x)要相对易于计算，使得硬件和软件实现成为实际可能；单向性；弱抗冲突性；即强抗冲突性。 哈希函数必须具有的特性 单向性：给定M和H，求h＝H(M)容易，但反过来给定h，寻找一个M’使H(M’)=h在计算上是不可行的； 抗弱碰撞：给定M，要寻找另一信息 M′，满足 H(M′)＝H(M)在计算上不可行； 抗强碰撞：要寻找不同的信息M 和M′，满足 H(M′)＝H(M)在计算上不可行。 （概率论：生日攻击） 生日悖论 生日问题：一个教室中，最少应有多少学生，才 使至少有两人具有相同生日的概率不小于1/2？ 概率结果与人的直觉是相违背的.实际上只需23人, 即任找23人，从中总能选出两人具有相同生日的概率至 少为1/2。 【分析】：生日的取值范围：[1-365] 不同输入的个数：23 哈希函数的一般结构图 IV：初始值， CV：链接值， Yi：第i个输入数据块， f：压缩算法， n：散列码长度， b：输入块的长度。 MD5算法 输入：任意长度的消息 输出：128bit消息摘要 处理：以512bit分组为处理单位 注：MD5 was developed by Ron Rivest (“R” of the RSA) at MIT in 1990’s MD5算法结构图 在MD5算法中的处理步骤包括以下过程： 首先，需要对消息进行填充。 其次，将MD缓冲初始化。 当设置好这四个链接变量后，就开始进入算法的四轮循环运算，循环的次数是信息中512位信息分组的数目。 输出散列值。所有L个512比特的分组处理完成后，第L阶段输出的结果便是消息M的信息摘要。 MD5算法结构图 MD5的单步操作 MD5的安全性 2004年，山东大学王小云教授证明了从理论上可以破解MD5-即找到MD5的碰撞，两个不同的文件可以产生相同的摘要。 2004年8月美国加州召开的国际密码学会议，王小云做了破译MD5等算法的报告，产生了很大的影响。 MD5设计者说到：“这些结果无疑给人非常深刻的印象，她应当得到我最热烈的祝贺，虽然我不希望看到MD5这样倒下，但人必须尊重真理” 哈希函数 数字签名 消息鉴别 身份认证 身份认证实例－Kerberos 数据保护工具 数字签名的引入 如何应对以下的攻击方式 发送方不承认自己发送过某一报文 接收方自己伪造一份报文，并声称它来自发送方 某个用户冒充另一个用户接收或发送报文 接收方对收到的消息进行修改 数字签名可以解决以上争端 数字签名概念 数字签名就是利用一套规则对数据进行计算的结果，用此结果能确认签名者的身份和数据的完整性 （美国DSS对数字签名的解释） 数字签名应满足三个基本条件 签名者不能否认自己的签名； 接收者能够验证签名，而其他任何人都不能伪造签名； 当签名的真伪发生争执时，存在一个仲裁机构或第三方能够解决争执。 数字签名根据签名方式可以分为 直接数字签名(direct digital signature) 仲裁数字签名(arbitrated digital signature)。 需要仲裁的数字签名 引入仲裁者来解决直接签名方案的问题。 通常的做法是：所有从发送方A到接收方B的签名消息首先送到仲裁者Y，Y将消息及其签名进行一系列测试，以检查其来源和内容，然后将消息加上日期并与已被仲裁者验证通过的指示一起发给B。 思考： A还能否认他的签名吗？ 仲裁者在这一类签名模式中扮演敏感和关键的角色。所有的通信方必须充分信任仲裁机构。 需要仲裁的数字签名 仲裁者是除通信双方之外，值得信任的公正的第三方； “公正”意味着仲裁者对参与通信的任何一方没有偏向。 “值得信任”表示所有人都认为仲裁者所说的都是真实的，所做的都是正确的。 举例： 律师、银行、公证人（现实生活） 在计算机网络中，由可信机构的某台计算机充当。 数字签名方案 普通数字签名体制 – RSA – EIGamal – DSS/DSA 盲签名体制 盲签名体制 盲签名是根据电子商务具体的应用需要而产生的一种签名应用。当需要某人对一个文件签名，而又不让他知道文件的内容，这时就需要盲签名。 盲签名与普通签名相比有两个显著的特点： 签名者不知道所签署的消息内容； 签名被接收者泄漏后,签名者无法追踪签