密码学基础课件：第十五讲 数字签名与PKI.ppt

第十五讲 数字签名与PKI 数字签名 PKI 数字签名 数字签字：数字签字在信息安全，包括身份认证、数据完整性、不可否认性以及匿名性等方面有重要应用，特别是在大型网络安全通信中的密钥分配、认证以及电子商务系统中具有重要作用。数字签字是实现认证的重要工具。 身份证明：在一个有竞争和争斗的现实社会中，身份欺诈是不可避免的，因此常常需要证明个人的身份。 传统的身份证明一般靠人工的识别，正逐步由机器代替。在信息化社会中，随着信息业务的扩大，要求验证的对象集合也迅速加大，因而大大增加了身份验证的复杂性和实现的困难性。 数字签字基本概念 随着计算机通信网的发展，数字(或电子)签字法应运而生，并用于商业通信系统，如电子邮递、电子转账和办公自动化等系统。过去依赖于手书签字的各种业务都可用这种电子数字签字代替，它是实现电子贸易、电子支票、电子货币、电子购物、电子出版及知识产权保护等系统安全的重要保证。 数字签字应满足的要求：① 收方能够确认或证实发方的签字，但不能伪造，简记为R1-条件。②发方发出签字的消息给收方后，就不能再否认他所签发的消息，简记为S-条件。③收方对已收到的签字消息不能否认，简记作R2-条件。④ 第三者可以确认收发双方之间的消息传送，但不能伪造这一过程，简记作T-条件。 与手书签字的区别：手书签字是模拟的，且因人而异。数字签字是0和1的数字串，因消息而异。 与消息认证的的区别：消息认证使收方能验证消息发送者及所发消息内容是否被窜改过。当收发者之间没有利害冲突时，这对于防止第三者的破坏来说是足够了。但当收者和发者之间有利害冲突时，就无法解决他们之间的纠纷，此时须借助满足前述要求的数字签字技术。 安全的数字签字实现的条件：发方必须向收方提供足够的非保密信息，以便使其能验证消息的签字;但又不能泄露用于产生签字的机密信息，以防止他人伪造签字。任何一种产生签字的算法或函数都应当提供这两种信息，而且从公开的信息很难推测出用于产生签字的机密信息。此外，还有赖于仔细设计的通信协议。 数字签字的种类：（1）对整体消息的签字，（2）对压缩消息的签字。若按明、密文的对应关系划分，每一种中又可分为两个子类：（a）确定性(Deterministic)数字签字，其明文与密文一一对应，它对一特定消息的签字不变化，如RSA、Rabin等签字；(b) 随机化的(Randomized)或概率式数字签字。 签字体制的组成：一个签字体制可由量(M , S , K , V)其中M 是明文空间， S 是签字的集合， K 是密钥空间， V 是证实函数的值域，由真、伪组成。 (1) 签字算法：对每一M?M和每一k?K，易于计算对M的签字 S=Sigk(M)?S 签字算法或签字密钥是秘密的，只有签字人掌握； (2)验证算法： Verk(S, M)?{真，伪}={0，1} 证实算法应当公开，已知M，S易于证实S是否为M的签字，以便于他人进行验证。 体制的安全性：从M和其签字S难于推出K或伪造一个M’使M’和S可被证实为真。UF-CMA 与消息加密不同点：消息加密和解密可能是一次性的，它要求在解密之前是安全的；而一个签字的消息可能作为一个法律上的文件，如合同等，很可能在对消息签署多年之后才验证其签字，且可能需要多次验证此签字。因此，签字的安全性和防伪造的要求更高些，且要求证实速度比签字速度还要快些，特别是联机在线实时验证。 形式化定义 RSA签字体制 Hash RSA FDHRSA is secure in random oracle model 数字证书