消息认证和数字签名.pptVIP

A B C D A B C D + + + + ft E E S5 Wt Kt S30 基本SHA操作(单步) + 是 mod 232加法 Step Function Name Function Value (0? t ?19) f1 = f(t,B,C,D) (B?C)?(B?D) (20? t ?39) f2 = f(t,B,C,D) B?C ? D (40? t ?59) f3 = f(t,B,C,D) (B?C)?(B?D) ?(C?D) (60? t ?79) f4 = f(t,B,C,D) B?C ? D Wt = S1(Wt-16 ? Wt-14 ? Wt-8 ? Wt-3 ) Yq 512bits W0 W1 W15 W16 S1 XOR W0 W2 W8 W13 Wt S1 XOR Wt-16 Wt-14 Wt-8 Wt-3 W79 S1 XOR W63 W65 W71 W76 迭代次数 常量 Kt 0=t=19 5A827999 20=t=39 6ED9EBA1 40=t=59 8F1BBCDC 60=t=79 CA62C1D6 散列函数的应用 A-B: EK[ M||H(M)] 提供保密：只有A和B共享K 提供认证：H(M)被加密保护 M H || M H(M) D K Compare EK[ M||H(M)] E K M H(M) H A-B: M||EK[H(M)] 提供认证：H(M)被加密保护 M H || M Ek[H(M)] D K Compare E K H(M) H A-B: M||EKRa[H(M)] 提供认证和数字签名 H(M)被加密保护 只有A能生成EKRa[H(M)] M H || M EKRa[H(M)] D KRa Compare E KUa H(M) H A-B: EK[M||EKRa[H(M)]] 提供认证和数字签名 提供保密 M H || M EKRa[H(M)] D KRa Compare E K E K EK[M||EKRa[H(M)]] M EKRa[H(M)] D KUa H A-B: M||[H(M||S) 只有A和B共享S 提供认证 M H || M H(M||S) Compare M S H || S M S || S A-B: EK[M||[H(M||S)] 提供认证：只有A和B共享S 提供保密：只有A和B共享K M H || M H(M||S) Compare M S H || S M S || S EK[M||[H(M||S)] D K M H(M||S) E K 数字签名体制 数字签名的必要性 抗否认性 Y 伪造一个不同的消息，但声称是从 X 收到的；（接收端否认） X可以否认发过该消息，Y 无法证明 X 确实发了该消息；（发送端否认） 数字签名 所谓数字签名（Digital Signature），也称电子签名，是指附加在某一电子文档中的一组特定的符号或代码，它是利用数学方法和密码算法对该电子文档进行关键信息提取并进行加密而形成的，用于标识签发者的身份以及签发者对电子文档的认可，并能被接收者用来验证该电子文档在传输过程中是否被篡改或伪造。 数字签名应满足的条件 1.签名者事后不能否认自己的签名 2.接收者能验证签名，而任何其他人都不能伪造签名。 3.在有争议时，可由第三方进行验证 数字签名的原理 RSA签字体制 体制参数： n=pq (p,q为两个大素数），选e并计算书d，使ed≡1 mod φ(n)。公开n,e，保密d。 签字过程： 对消息的摘要M,计算 S=Sigk(M)=Md mod n 验证过程： 对给定的M，S Verk(M,S)=1 = M=Se mod n 其他签名体制： Rabin签名体制 ElGamal签名体制 Schnorr签名体制 DSS签名标准（美国标准） GOST签名标准（俄罗斯标准） 两类数字签名方案 直接数字签名 仅涉及通信双方 有效性依赖发方密钥的安全性 仲裁数字签名 使用第三方认证 直接数字签名应用 (1) A?B: M||EKRa[H(M)] 提供认证及数字签名 -- H(M) 受到算法的保护； -- 只有 A 能够生成 EKRa[H(M)] (2) A?B: EK[M||EKRa[H(M)]] 提供保密性、认证和数字签名。 直接数字签名的安全性 方案的安全性依赖于发送方X私有密钥的安全性。 发送方可以声称自己的私有密钥丢失或被盗用，而否认其发送过某个报文。 改进：每个签名报文中包含一个时间戳。 基于仲裁的数字签名 用