关于数字签名的安全性浅析.pdfVIP

关于数字签名的安全性浅析

摘要）数据中以对数据是否被改动作最后的证明和核实。hash函数（也称杂凑

函数或杂凑算法）就是把任意长的输入消息串变化成固定长的输出串的一种函数。

这个输出串称为该消息的杂凑值（消息摘要）。从输入串能很容易计算其杂凑值

（消息摘要），但要产生一个字符串使其杂凑值（消息摘要）等于某一个特殊的

值却是很困难的。不同的报文所产生的杂凑值（消息摘要）必不相同，即在计算

上不可能找到两个不同的输入报文杂凑到同一个杂凑值（消息摘要），一个报文

的杂凑值（消息摘要）是惟一的，它类似于人类的“指纹”。当输入任何少于264

字节的报文到hash算法中时，它会产生128位（MD5）或160位（SHA-1）的消

息摘要，DSS签名将这一消息摘要输入到数字签名算法中以产生或核实对这段报

文的签名。保密性可通过对整个报文和签名进行更进一步的加密来实现。在操作

时先执行签名函数，然后才是外部的保密函数。例如在RSA方法中，要签名的报

文作为一个散列函数的输入，产生一个定长的信息摘要。使用发方的私有密码对

这个信息摘要进行加密就形成数字签名。然后，将报文和数字签名发送出去。收

方收到报文后根据报文产生的一个信息摘要，同时使用发方的公开密钥对签名进

行解密。如果进行计算得出的信息摘要与解密后的数字签名匹配，那么数字签名

就是有效的。当前国际上广泛采用的数字签名的hash函数算法是MD5和SHA-1。

两大算法是目前国际电子商务领域的关键技术，其中SHA-1是美国政府目前正在

使用的计算机密码系统。

MD5杂凑算法以由长度限制在264比特以内的报文作为输入，产生一个128

位的杂凑值（消息摘要）作为输出。MD5算法具有这样的性质：杂凑值（消息摘

要）中每一位均是输入中每一位的函数。输入是按512位的分组进行处理的，对

一个512位分组进行4轮运算，各轮逻辑函数不同，每轮由对缓存的16步操作

组成。算法中的四次循环处理中的每一轮使用原始逻辑函数中的一个。每个原始

逻辑函数有3个32位的字输入和1个32位字输出。这种原始函数的复杂重复使

产生的结果混合十分理想。随机选取的两个报文，即使它们有相似的规律性，也

很难产生相同的杂凑值（消息摘要）。MD5使用哈希函数（hashfunctions）算法，

可以把各式各样的信息内容混杂起来，产生理论上应是独一无二的杂凑值（消息

摘要）。原始信息内容稍有改变，即使仅更动一个字母，再使用一次演算法产生

的杂凑值（消息摘要）也会截然不同。安全应用程序的防护机制是建筑在的杂凑

值（消息摘要）唯一性上。若能复制杂凑值（消息摘要），就可供使用者下载和

执行。如果能找到Hash函数的“碰撞”，就意味着两个不同文件可以产生相同的杂

凑值（消息摘要），这样就可以伪造签名。多年来，许多密码分析者或破译者利

用多种攻击方法企图破译MD5没有取得成功。因此，MD5曾是使用最为普遍的

安全杂凑算法。MD5MD5广泛应用于金融、证卷等电子商务领域。目前国内大多

数电子签名技术使用的都是MD5。

2004年8月根据王小云教授独创的“模差分”算法，可以用一般性能的计算机

在两个小时内就找到MD5的“碰撞”答案。MD5已被中国密码学专家“攻陷”了。

MD5被王小云教授破译的消息在国际密码学界引起强烈震动。

安全散列算法（SHA-1）是由美国国家论坛标准与技术研究所（NTST）为美国

政府及商业界制定的加密算法，它可由长度限制在264比特以内的报文输入产生

一个160位杂凑值（消息摘要），比MD5的128位杂凑值（消息摘要）更长、

更安全。SHA-1由美国标准与技术研究院（NIST）认证，并由NIST将其收录到联

邦信息处理标准（FIPS）中，作为散列数据的标准，而且是唯一获准用于美国政

府“数字签名标准”的签名演算法，于1994年便为美国政府采纳，目前是美国政府

广泛应用的计算机密码系统。许多加密专家认为SHS所指定的安全hash算法

（SHA）是当前可以得到的最强劲的散列算法。“SHA-1”嵌入诸如加密软件（PGP）

和安全插座层协议（SSL）等使用广泛的程序中。SHA-1是流行的用于创建数字签

名的单向散列算法。

2005年2月中旬，王小云教授又宣