信息安全技术cha的pter9数字签名与认证协议.pptVIP

东南大学信息安全学科研究生学位课 网络信息安全理论与技术 第九讲数字签名和认证协议 黄杰 信息安全研究中心  本讲内容 数字签名与认证协议 数字签名简介 认证协议N- S Protocol 数字签名标准DSS  消息认证码的使用方式 Destination B (a message authentication Ex.IMCE(M) E(Ks M) K C(KI. E(K, M))  为什么需要数字签名? 消息认证用以保护双方之间的数据交换不 被第三方侵犯;但它并不保证双方自身的 相互欺骗。 假定A发送一个认证的信息给B,双方之间 的争议可能有多种形式: B伪造一个不同的消息,但声称是从A收到的。 A可以否认发过该消息,B无法证明A确实发了 该消息。  数字签名的要求 传统签名的基本特点 必须能验证签名者、签名日期与时间 必须能够认证被签的消息内容 签名能够由第三方仲裁,以解决争执 数字签名是传统签名的数字化,基本要求: 签名必须是与消息相关的二进制位串 签名必须使用发送方特有的信息,防伪造或否认 签名的产生和识别比较容易 伪造数字签名在计算上是不可行的 保存数字签名的拷贝是可行的  数字签名体制 签名算法( Signature Algorithm) Sig(M)=s 签名算法或签名密钥K是秘密的,只有发方掌握 验证算法( Verification Algorithm) ver(S)={0,1}={真,伪} 验证算法公开,便于他人进行验证 签名体制的安全性在于,从M和其签名S难以推出 签名密钥K或伪造一个M使M和S可被证实为真  数字签名的分类 直接数字签名 direct digital signature) 只涉及通信双方 仲裁数字签名 arbitrated digital signature  直接数字签名方法1 用发送方的私钥对整条消息进行加密来产生签名. (1)A→B:EkBa[M] 提供了鉴别与签名 只有A具有KPa进行加密; 传输中没有被篡改 需要某些格式信息/元余度 任何第三方可以用KUa验证签名 (1”)A→B:EKUb[EKa(M)] 提供了保密(KUb)、鉴别与签名(K=a  直接数字签名方法2 用发送方的私钥对消息的hash码进行加密 (2)A→B:M|ERaH(M) 提供数字签名 H(M)受到密码算法的保护,例如MD5或SHA-1; 只有A能够生成 EkralH(M) (2)A→B: EKIMIEKRaLH(M)] 提供保密性、数字签名。 加密和签名的先后顺序? KUa Compare  直接数字签名的缺点 验证模式依赖于发送方的保密密钥 发送方要抵赖发送某一消息时,可能会声称其私有密 钥丢失或被窃,从而他人伪造了他的签名。 通常需要采用与私有密钥安全性相关的行政管理控制 手段来制止或至少是削弱这种情况,但威胁在某种程 度上依然存在。 改进的方式例如可以要求被签名的信息包含一个时间 戳(日期与时间),并要求将已暴露的密钥报告给一 个授权中心。 Ⅹ的私钥确实在时间T被窃取,敌方可以伪造Ⅹ的 签名及早于或等于时间T的时间戳。