密码学导论第八章·数字签名与认证.pptVIP

例：p=17, α=3, xA=2, xB=5, m=11, k=5, 签名并验证 签名：r = αk mod p = 35 mod 17 = 5, 11 = (2×5 + 5s) mod 16 = (10 + 5s) mod 16 5s mod 16 = 1, s = 13. 所以，签名为(5, 13)。 验证：αm mod p = 311 mod 17 = 16×9×3 mod 17 = 7 YArrs mod p = (32)5×513 mod 17 = 7 验证通过 四、基于ECC的数字签名 共享GF(p)上的椭圆曲线E(a,b)，基点G及其阶n；私钥d；公钥Q=dG 签名： 任选k, 0kn 计算kG=(x1,y1), r=x1，若r=0则返回第一步重选k 计算k-1 mod n 计算s=k-1(m+dr) mod n 若s=0，则返回第一步重选k 则m的签名为(r,s) 验证： 检查是否0r,sn 计算w=s-1 mod n 计算t1=mw mod n, t2=rw mod n 计算t1G+t2Q=(x0,y0), v=x0 mod n 若v=r，则签名被认可 证明： t1G+t2Q=mwG+rwQ=w(mG+rQ)=s-1(mG+drG)=s-1(m+dr)G =[k-1(m+dr)]-1(m+dr)G=kG 因此x坐标相等 五、盲签名 盲签名方案是发送者A和签名者B之间的协议 基本思想： A发送给B一段消息，B对它签名并送回给A。 由这个签名，A能够计算B关于A预先所选消息m的签名。 但B既不知道消息m，也不知道消息m的签名。 目的： 防止B看到消息和签名 盲签名的应用实例： 用户A进行电子购物时，需要银行B的签名。但A不希望银行知道他的购物喜好，此时即可使用盲签名。 Chaum盲签名协议 Chaum盲签名协议 B的RSA公钥是(n,e)，私钥是d。 A随机选取k，0 ≤ k ≤ n-1, gcd(n,k)=1 （盲化）A计算m=mke mod n，并发送给B （签名）B计算s=(m)d mod n，并发送给A （去盲）A计算s=k-1s mod n，它就是B对m的签名 其它签名方案介绍 失败－停止数字签名方案 允许实体A证明“声称是A的签名”实际上是伪造的签名 方法：展示该签名机制所基于的假设已受到威胁 门限签名方案 由N个用户中的至少t个人合作进行签名 不可否认签名方案 只有签名者参与，才能进行签名验证方案 隐私、版权保护 群体数字签名方案 群体中任何一个成员都可以代表群组签名，验证时不能确定具体签名人，可信第三方可以确认签名人 * * 由于莫须有的原因，Bob不愿意让Alice看到他走入哪一侧，但允许Alice看到他从哪一侧出来 * 带盐的口令加密存储方案 … … … A 盐值 h(口令A) … … … 口令表 口令A 用户A h() = Y N 接收 拒绝 PIN和通行密钥 个人识别码PIN 属于固定口令 通常很短（例如4～8位十进制数） 为防止穷举，一般辅助以程序限制。例如只准连续三次错误 两阶段认证和通行密钥 用户很难记住好的密钥。为此，有两种方案： 方案一：用PIN向标记验证用户，而标记包含向系统认证的其他独立信息 方案二：使用单向杂凑函数将口令映射为密码意义上的密钥，即通行密钥 注意：此时口令应当足够复杂，以挫败口令穷举攻击 一次口令 每个口令只用一次，以防止重放攻击 一次口令的共享列表 共享口令序列或口令集 顺序更新一次口令 只共享一个口令，每次通信更新口令 基于单向函数的一次口令序列 Lamport一次口令方案：wi=H(wi-1)=Hi-1(w1) 三、挑战－响应身份认证(强认证) 主要思想：声称者通过向验证者展示已知与该实体相关联的秘密知识来“证明”他的身份，但在协议中并没有展示秘密本身 通过对时变挑战做出响应来完成 时变参数：临时交互号nonce 随机数：提供唯一性、及时性，不可预测性；生成麻烦 序列号（或版本号或计数值）：提供唯一性；需要记忆 时间戳：提供唯一性、及时性，及实现有时间限制的访问特权以及检测强迫延时；时间需要“松散的同步” “芝麻开门”的咒语——零知识认证 B 基于对称密码的挑战－响应 单向认证： A→B: EK(tA) 或 A←B: rB A→B: EK(rB) 相互认证： A←B: rB A→B: EK(rA,rB) A←B: EK(rA) 基于公钥密码的挑战－响应 基于公钥解密 单向认证 A←B: h(r), EPUA(r) h是散列函数 A→B: r 相互认证 A→B: EPUB(rA) A←B: