新编密码学 课件 第8章 数字签名与身份认证.pptx

8.1数字签名原理

8.2RSA数字签名

8.3ElGamal数字签名

8.4数字签名标准(DSS)

8.5SM2数字签名算法

8.6身份认证;8.1数字签名原理;8.1.1数字签名的基本概念

第6章讨论的Hash函数和消息认证码能够帮助合法通信的双方不受来自系统外部的第三方攻击和破坏,但却无法防止系统内通信双方之间的互相抵赖和欺骗。当Alice和Bob进行通信并使用消息认证码提供数据完整性保护,一方面,Alice确实向Bob发送消息并附加了用双方共享密钥生成的消息认证码,但随后Alice否认曾经发送这条消息,因为Bob完全有能力生成同样的消息与消息认证码;另一方面,Bob也有能力伪造一个消息与消息认证码,并声称此消息来自Alice。如果通信的过程没有第三方参与的话,这样的局面是难以仲裁的。因此,安全的通信仅有消息完整性认证是不够的,还需要有能够防止通信双方相互作弊的安全机制,数字签名技术正好能够满足这一需求。;在人们的日常生活中,为了表达事件的真实性并使文件核准、生效,常常需要当事人在相关的纸质文件上手书签字或盖上表示自己身份的印章。在数字化和网络化的今天,大量社会活动正在逐步实现电子化和无纸化,活动参与者主要是在计算机与网络上执行活动过程的,因而传统的手书签名和印章已经不能满足新形势下的需求。在这种背景下,以公钥密码理论为支撑的数字签名技术应运而生。

数字签名是对以数字形式存储的消息进行某种处理,产生一种类似于传统手书签名功效的信息处理过程。它通常将某个算法作用于需要签名的消息,生成一种带有操作者身份信息的编码。通常,将执行数字签名的实体称为签名者,所使用的算法称为签名算法,签名操作生成的编码称为签名者对该消息的数字签名。消息连同其数字签名能够在网络上传输,可以通过一个验证算法来验证签名的真伪,以及识别相应的签名者。;类似于手书签名,数字签名至少应该满足3个基本要求:

(1)签名者任何时候都无法否认自己曾经签发的数字签名。

(2)收信者能够验证和确认收到的数字签名,但任何人都无法伪造别人的数字签名。

(3)当各方对数字签名的真伪产生争议时,通过仲裁机构(可信的第三方)进行裁决。

数字签名与手书???名也存在许多差异,大体上可以概括为:

(1)手书签名与被签文件在物理上是一个整体,不可分离。数字签名与被签名的消息是可以互相分离的位串,因此需要通过某种方法将数字签名与对应的被签消息绑定在一起。

(2)在验证签名时,手书签名通过物理比对,即将需要验证的手书签名与一个已经被证实的手书签名副本进行比较,来判断其真伪。验证手书签名的操作也需要一定的技巧,甚至需要经过专门训练的人员和机构(如公安部门的笔迹鉴定中心)来执行。而数字签名却能够通过一个严密的验证算法被准确地验证,并且任何人都可以借助这个公开的验证算法来验证一个数字签名的真伪。安全的数字签名方案还能够杜绝伪造数字签名的可能性。;(3)手书签名是手写的,会因人而异,它的复制品很容易与原件区分开来,从而容易确认复制品是无效的。数字签名的拷贝与其原件是完全相同的二进制位串,或者是两个相同的数值,不能区分哪一个是原件,哪一个是复制品,因此我们必须采取有效的措施来防止一个带有数字签名的消息被重复使用。

数字签名必须能够实现与手书签名同等的甚至更强的功能。为达到这个目的,签名者必须向验证者提供足够多的非保密信息,以便验证者能够确认签名者的数字签名;但签名者又不能泄露任何用于产生数字签名的机密信息,以防止别人伪造他的数字签名。因此,签名算法必须能够提供签名者用于签名的机密信息与验证者用于验证签名的公开信息,但二者的交叉不能太多,联系也不能太直观。从公开的验证信息不能轻易地推测出用于产生数字签名的机密信息,这是对签名算法的基本要求之一。;一个数字签名体制一般包含两个组成部分,即签名算法(SignatureAlgorithm)和验证算法。签名算法用于对消息产生数字签名,它通常受一个签名密钥的控制,签名算法或者签名密钥是保密的,由签名者掌握。验证算法用于对消息的数字签名进行验证,根据签名是否有效来验证算法能够给出该签名为“真”或者“假”的结论。验证算法通常也受一个验证密钥的控制,但验证算法和验证密钥应当是公开的,以便需要验证签名的人能够方便地验证。

数字签名体制是一个满足下列条件的五元组(M,S,K,SIG,VER),其中:

(1)M代表消息空间,它是某个字母表中所有串的集合。

(2)S代表签名空间,它是所有可能的数字签名构成的集合。

(3)K代表密钥空间,它是所有可能的签名密钥和验证密钥对(sk,vk)构成的集合。

(4)SIG是签名算法,VER是验证算法。对于任意一个密钥对(sk,vk)∈K,每一个消息m∈M和签名s∈S,签名变换SIG:M×K|sk→