消息认证与数字签名.pptVIP

第五章 消息认证与数字签名 第五章 消息认证与数字签名 公钥密码体制的一种最重要的应用是数字签名。数字签名通常需要与散列函数结合起来使用。本章先简要介绍信息认证，然后介绍散列函数，最后介绍数字签名。 5.1 信息认证 前面所介绍的对称密码和公钥密码体制，都是围绕着信息的保密性，即防止第三方获取明文消息而展开，但信息的完整性和抗否认性也是信息安全的重要内容。保证信息的完整性和抗否认性主要通过信息认证和数字签名来实现。 产生认证符的方法可分以下三类： 信息加密：将明文加密后以密文作为认证符； 消息认证码 MAC：用一个密钥控制的公开函数作用后产生的固定长度的数值，也称密码校验和。 散列函数：一个将任意长度的消息映射为定长的散列值的函数，以散列值作为认证符。 5.1.1 加密认证 信息加密能够提供一种认证措施，这里分对称密码体制加密认证和公钥密码体制加密认证。 1. 对称密码体制加密认证 设想发送者A用只有他与接收者B知道的密钥K加密信息发送给接收者。因为A是除B以外惟一拥有密钥K的一方，而攻击者不知道如何改变密文来产生明文中所期望的变化，因此 B 知道解密得到的明文是否被改变。这样对称加密就提供了消息认证功能。 现在考虑如下情况：给定解密函数D和密钥K，接收者将接受任何输入X并产生输出Y=Dk(X)，如果X是合法信息M的密文，则Y是信息M的明文，否则 Y将是毫无意义的二进制比特序列。接收方需要某些自动化措施，以确定Y是否是合法的明文。 假定信息M 的明文可以是任意比特的组合。在这种情况下，接收方将没有自动的方法来确定收到的 X 是否是合法信息的密文。因此，需要从所有可能的比特模式的一个子集中来考虑合法的信息，任何可疑的密文不可能产生合法的明文 。如考虑在106的组合中只有一种是合法的，则从中随机选择一个比特组合作为密文能够产生合法的明文的概率为10-6 。 为了实现用自动的方法来确定收到的 Y 是否是合法信息的密文，可以采用的一种方法是强制明文有某种结构，这种结构易于识别但不能复制并且不求助于加密。例如，可以在加密以前对消息附加检错码。 2. 公钥密码体制加密认证 使用公开密钥加密信息的明文只能提供保密而不能提供认证。为了提供认证，发送者 A用私钥对信息的明文进行加密，任意接收者都可以用 A的公钥解密。这种方式提供的认证措施与对称密码体制加密的情形在原理上是相同的。与前面的一样，在明文中也要求有某种内部结构，因此，接收者能够识别正常的明文和随机的比特串。 采用这样的结构既可提供了认证，也可提供数字签名。因为只有A 能够产生该密文，其它任何一方都不能产生该密文，从效果上看 A 已经用私钥对信息的明文进行了签名。 应当注意 只用私钥加密不能提供保密性。因为任何人只要有A的公开密钥，就能够对该密文进行解密。 5.1.2 消息认证码 消息认证码 MAC（或称密码检验和）是在个密钥的控制下将任意长的消息映射到一个简短的定长数据分组，并将它附加在消息后。设M 是变长的消息，K是仅由收发双方共享的密钥，则M的MAC由如下的函数C生成：MAC = CK ( M ) 这里CK ( M )是定长的。发送者每次将MAC附加到消息中。接收者通过重新计算MAC来对消息进行认证。 如果收到的MAC与计算得出的MAC相同，则接收者可以认为： 消息未被更改过。因为任意更改消息而没有更改MAC的行为，都将导致收到的MAC与用更改过的消息计算出的MAC不相同。且由于使用的密钥只有收发双方知道，其它方无法更改MAC使之与更改后的消息对应。 消息来自与他共享密钥的发送者。由于使用的密钥只有收发双方知道，其它方无法产生对应的MAC。 MAC函数类似于加密函数，主要区别在于MAC函数不需要可逆而加密函数必须是可逆的。因此，认证函数比加密函数更不易破解。 应当注意，因收发双方共享相同的密钥，上述过程只提供认证而不提供保密，也不能提供数字签名。 前面谈到对称密码体制的加密能够提供认证，为什么还要使用独立的消息认证码呢？主要理由如下： 一些应用要求将相同的消息对许多终端进行广播，仅使用一个终端负责消息的认证，这种方法既经济又实用。负责认证的终端有相应的密钥，并执行认证操作。如果认证不正确，其它终端将收到它发来的警告。 接收方有繁重的任务，无法负担大量的解密任务，因此仅进行有选择的认证，对消息进行随机检查。 有一些应用，只关心信息的完整性而不需要保密性。 认证与保密的分离能够提供结构上的灵活性。 有些应用场合期望在超过接收时间后继续延长保护期限，同时允许处理消息的内容。如果使用加密，解密后保护就失效了，这样，消息只能在传输过程中得到完整