数字签名与信息隐藏.ppt

数字签名及其应用 公钥密码体制为解决计算机信息网中的安全提供了新的理论和技术基础。公钥密码体制的最大特点是采用两个密钥将加密和解密能力分开，使得通信双方无需事先交换密钥就可进行保密通信，从而大大减少了多实体通信网实体之间通信所需的密钥量，便于密钥管理。此外，公钥体制的一个重要的特性是可用于实现数字签字。数字签名在信息安全，包括身份认证、数据完整性、不可否认性以及匿名性等方面有着重要的应用，特别是在大型网络安全通信中的密钥分配、认证以及电子商务系统安全性等方面具有非常重要的作用。 数字签名应满足的要求 收方能够确认或证实发方的签名，但不能伪造，简记为R1-条件（unforgeablity）。 发方发出签名的消息给收方后，就不能再否认他所签发的消息，简记为S-条件(non-repudiation)。 收方对已收到的签名消息不能否认，即有收报认证，简记作R2-条件。 第三者可以确认收发双方之间的消息传送，但不能伪造这一过程，简记作T-条件。 数字签名体制 一个签名体制可由量(M , S , K , V)其中M 是明文空间， S 是签名的 集合， K 是密钥空间， V 是证实函数的值域，由真、伪组成。 (1) 签名算法：对每一M?M和k?K，易于计算对M的签名 S=Sigk(M)?S 签名密钥是秘密的，只有签名人掌握； (2)验证算法：Verk(S, M)?{真，伪}={0，1} RSA签名体制 (1) 体制参数：令n=p1p2，p1和 p2是大素数，令M=C=Zn，选e 并计算出 d 使ed?1 mod ?(n)，公开n和e，将p1,p2 和 d 保密。K=(n,p,q,e,d)。 (2) 签名过程：对消息M ?Zn的签名 S=Sigk(M)=Md mod n (3) 验证过程：对给定的M和 S，可按下式验证： Verk(M, S)=真 ? M?Se mod n 在Internet中所采用的PGP(Pretty Good Privacy)中将RSA作为传送会话密钥和数字签字的标准算法。 ElGamal 签名体制 (1) 体制参数 p：一个大素数，可使Zp中求解离散对数为困难问题； g：是Zp中乘群Zp*的一个生成元或本原元素； M：消息空间，为Zp*； S：签名空间，为Zp*×Zp－1； x：用户秘密钥x?Zp*； y?gx mod p K=(p, g, x, y)：其中p，g，y为公钥，x为秘密钥。 (2) 签名过程：给定消息M，发送者进行下述工作。 (a) 选择秘密随机数k?Zp*； (b) 计算： H(M), r=gk mod p，s=(H(M)－xr)k-1 mod (p－1) (c) 将Sigk(M, k) =S=(r||s)作为签名，将M，(r||s)送给对方。 (3) 验证过程：接收者先计算H(M)，并按下式验证 Verk(H(M), r, s)=真 ? yrrs?gH(M) mod p 数字签名的安全性 安全性定义：存在（existential）/ 广义（universal）伪造。必须注意的是，我们不考虑伪造消息的无意义性。 攻击类型： 1.直接攻击（ Forge from scratch ） 2.选择消息攻击（CMA） 3.自适应选择消息攻击（ Adaptive CMA ） 安全模型：Random Oracle Model；Standard Model 特殊性质的签名体制 普通的数字签名具有广义可验证性，即任何人都可验证某个签名是否是对某个消息的签名。然而在某些情形下，特别是为了保护签名者或接收者的隐私时，并不希望让所有人都能验证签名--消息对。这就是数字签名体制中广义可验证性和隐私性之间的矛盾。 一些特殊的性质使得数字签名在不同的情形下有更多的应用。 可控制验证的签名 不可否认签名 指定确认者签名 指定验证者签名 广义指定验证者签名 广义指定验证者签名证明 限制验证者签名 变色龙签名 匿名性的签名 盲签名（完全盲签名、部分盲签名、限制性盲签名、限制性部分盲签名、公平盲签名） 群签名 群盲签名 环签名 其它性质的签名 消息恢复签名 防失败签名 基于群体的签名：门限签名、多签名 传递签名 短签名 在线-脱线签名 聚合签名 可验证加密的签名 代理签名 前向（后向）安全的签名 …… Please refer to .sg/staff/guilin/bible.htm * * * * * * 这个协议的最终结果