网络安全之密码体制讲义(PPT 50页).ppt

公钥算法的特点（续） 加密和解密的运算可以对调，即 在计算机上容易地产生成对的 PK 和 SK。 从已知的 PK 实际上不可能推导出 SK，即从 PK 到 SK 是“计算上不可能的”。 加密和解密算法都是公开的。 * 公钥密码体制 密文Y E 运算 加密算法 D 运算 解密算法 加密 解密 明文 X 明文 X A B B 的私钥 SKB 密文Y 因特网 B 的公钥 PKB * 7.3 数字签名 数字签名必须保证以下三点： (1) 报文鉴别——接收者能够核实报文发送者的真伪； (2) 报文的完整性——接收者确信收到的数据未被篡改； (3) 不可否认——发送者事后不能抵赖对报文的签名，即抵赖没有发送过该报文。 采用公钥算法更容易实现数字签名的方法。 * 密文 数字签名的实现 D 运算 明文 X 明文 X A B A 的私钥 SKA 因特网 签名 核实签名 E 运算 密文 A 的公钥 PKA * 数字签名的实现 因为除 A 外没有别人能具有 A 的私钥，所以除 A 外没有别人能产生这个密文。因此 B 相信报文 X 是 A 签名发送的。 若 A 要抵赖曾发送报文给 B，B 可将明文和对应的密文出示给第三者。第三者很容易用 A 的公钥去证实 A 确实发送了 X 给 B。 反之，若 B 将 X 伪造成 X’，则 B 不能在第三者前出示对应的密文。这样就证明了 B 伪造了报文。 * 具有保密性的数字签名 核实签名 解密 加密 签名 E 运算 D 运算 明文 X 明文 X A B A 的私钥 SKA 因特网 E 运算 B 的私钥 SKB D 运算 加密与解密 签名与核实签名 B 的公钥 PKB A 的公钥 PKA 密文 * 7.4 鉴别 对付被动攻击的重要措施是加密，而对付主动攻击中的篡改和伪造则用鉴别(authentication) 。 报文鉴别使得通信的接收方能够验证所收到的报文（发送者和报文内容、发送时间等）真伪。 使用加密就可达到报文鉴别的目的。但在网络的应用中，许多报文并不需要加密。应当使接收者能用很简单的方法鉴别报文的真伪。 鉴别与授权(authorization)不同 授权涉及到的问题是：所进行的过程是否被允许（如是否可以对某文件进行读或写）。 * 7.4.1 报文鉴别 许多报文并不需要加密但却需要数字签名，以便让报文接收者鉴别报文的真伪。 对很长的报文进行数字签名会使计算机增加很大的负担。 当我们传送不需要加密的报文时，应使接收者能用很简单的方法鉴别报文真伪。 * 报文摘要 MD (Message Digest) A 将报文 X 经过报文摘要算法运算后得出很短的报文摘要 H。然后用自己的私钥对 H 进行 D 运算，即进行数字签名。得出已签名的报文摘要 D(H)后，并将其追加在报文 X 后面发送给 B。 B 收到报文后首先把已签名的 D(H) 和报文 X 分离。然后再做两件事。 用A的公钥对 D(H) 进行E运算，得出报文摘要 H 。 对报文 X 进行报文摘要运算，看是否能够得出同样的报文摘要 H。如一样，就能以极高的概率断定收到的报文是 A 产生的。否则就不是。 * 报文摘要的优点 仅对短得多的定长报文摘要 H 进行数字签名要比对整个长报文进行数字签名要简单得多，所耗费的计算资源也小得多。 对鉴别报文 X 来说，效果是一样的。报文 X 和已签名的报文摘要 D(H) 合在一起是不可伪造的，是可检验的和不可否认的。 * 报文摘要算法 报文摘要算法就是一种散列函数。报文摘要算法是防止报文被人恶意篡改。 报文摘要算法是精心选择的一种单向函数。 很容易地计算出一个长报文 X 的报文摘要 H，但要想从报文摘要 H 反过来找到原始的报文 X，则实际上是不可能的。 若想找到任意两个报文，使得它们具有相同的报文摘要，那么实际上也是不可能的。 * 报文摘要的实现 A 比较 签名 核实签名 报文 X ? H D 运算 D(H) A 的私钥 报文 X D(H) B 报文摘要 报文 X D(H) 发送 E 运算 H 签名的报文摘要 H 报文摘要 运算 A 的公钥 报文摘要 运算 报文摘要 报文摘要 因特网 * 7.4.2 实体鉴别 实体鉴别和报文鉴别不同。 报文鉴别是对每一个收到的报文都要鉴别报文的发送者，而实体鉴别是在系统接入的全部持续时间内对和自己通信的对方实体只需验证一次。 * 最简单的实体鉴别过程 A 发送给 B 的报文被加密，使用的是对称密钥 KAB。 B 收到此报文后，用共享对称密钥 KAB 进行解密，因而鉴别了实体 A 的身份。 明显的漏洞：重放攻击 A B A的身份,登录口令 KAB * 使用不重数 为了对付重放攻击，可以使