《应用密码学——数字签名》由会员分享,可在线阅读,更多相关《应用密码学——数字签名(24页珍藏版)》请在金锄头文库上搜索。
1、第8章 数字签名l学习要点:了解数字签名产生的背景了解数字签名的基本要求了解数字签名方案了解数字签名标准DSS数字签名问题lMessage authentication用以保护双方之间的数据交 换不被第三方侵犯;但它并不保证双方自身的相互 欺骗。假定A发送一个认证的信息给B,双方之间 的争议可能有多种形式:B伪造一个不同的消息,但声称是从A收到的。A可以否认发过该消息,B无法证明A确实发了该消息。l例如:EFT中改大金额;股票交易指令亏损后抵赖 。数字签名的目的l对数字对象的合法性、真实性进行标记l提供签名者的承诺 数字签名的特殊性l传统文档的符号一般都具有墨迹等物理特征(可鉴别 性)l相应的
2、手写签名与被签名文档使用共同的物理载体( 不可分割性)l手写签名能够反映签名者的个性特征(独特性 )l电子文档的物理载体表现为电磁信号l所携带的文字符号以二进制编码的逻辑形式存在l可以任意分割、复制而不被察觉l数字信息本身没有个性特征l很容易被伪造和重用,完全达不到签名的目的l传统手写签名的验证具有一定程度的主观性和模糊性数字签名l是手写签名的一种电子模拟用于向接收方或第三方证实消息被信源方签 署, 用于存储的数据或程序的完整性证实l基于两条基本的假设:私钥是安全的 产生数字签名的唯一途径是使用私钥 数字签名应具有的性质l签名是对文档的一种映射,签名与文档具有一一对应关系(精确性)l签名应基于
3、签名者的唯一性特征(如私钥),从而确定签名的不可伪造性和不可否认性(唯一性)l签名应该具有时间特征,防止签名的重复使用(时效性)数字签名的要求 l接收者能够核实发送者对报文的签名l发送者事后不能抵赖对报文的签名l接收者不能伪造对报文的签名l必须能够认证签名时刻的内容l签名必须能够被第三方验证,以解决争议 数字签名的设计要求l签名必须依赖于被签名信息l签名必须使用某些对发送者是唯一的信息l签名必须相对容易生成l必须相对容易识别和验证该签名l伪造该数字签名在计算复杂性意义上具有不可行性l保存一个数字签名副本是可行的数字签名方案描述 l设P是消息的有限集合(明文空间),S是签名的有限集合(签名空间)
4、,K是密钥的有限集合(密钥空间),则:签名算法是一个映射:l l验证算法也是一个映射:l l五元组P,S,K,sig,ver就称为一个签名方案 最基本的数字签名 l基于对称密钥密码算法 本质是基于共享密钥的验证签名算法加密算法: 验证算法解密算法: 或加密算法: l基于公钥密码算法 本质上是公钥密码加密算法的逆应用 两类数字签名函数l直接数字签名l可仲裁数字签名直接数字签名(DDS)(1) AB: EKRaM提供了认证与签名: 只有A具有KRa进行加密 传输中无法被篡改 任何第三方可以用KUa 验证签名(1) AB: EK EKRa(M) 提供了保密(K)、认证与签名(KRa)直接数字签名(2
5、) AB: M|EKRaH(M)提供认证及数字签名H(M) 受到密码算法的保护只有 A 能够生成 EKRaH(M)H(M)有压缩功能(2) AB: EKM|EKRaH(M) 或EK M|EKRaH(M) 提供保密性、认证和数字签名直接数字签名的缺点l验证模式依赖于发送方的私有密钥发送方可能声称其私有密钥丢失或被窃,而抵赖发送过某一消息需采用与私有密钥安全性相关的行政管理控制手段来制止或削弱这种情况,但威胁在某种程度上依然存在lX的某些私有密钥确有可能在时间T被窃取,敌方可以伪造X的签名及早于或等于时间T的时间戳l改进的方式:对被签名的信息添加时间戳(日期与时间)须将已暴露的密钥及时报告给一个授
6、权中心(如CRL)可仲裁数字签名l引入仲裁者通常做法:所有XY的签名消息首先送到仲裁者 A,A将消息及其签名进行一系列测试,以检查其来 源和内容,然后将消息加上时间戳,并与已被验证 通过的签名一起发给Yl仲裁者在这一类签名模式中扮演裁判角 色所有参与者必须绝对相信这一仲裁机制工作正常( trusted system)仲裁数字签名技术:(a) 单密钥加密方式,仲裁者可以看见消息: (1) XA:M|EKxaIDx| H(M) (2) AY:EKayIDx| M | EKxaIDx| H(M) | TX与A之间共享密钥Kxa,Y与A之间共享密钥Kay; X:准备消息M,计算其散列码H(M),用X的
7、标识符IDx 和散列值构成签名,并将消息及签名经Kxa加密后发送给A; A:解密签名,用H(M)验证消息M,然后将IDx,M,签名,和时间戳一起经Kay加密后发送给Y; Y:解密A发来的信息,并可将M和签名保存起来。解决纠纷: Y:向A发送 EKayIDx| M | EKxaIDx| H(M) A:用Kay恢复IDx,M,和签名( EKxaIDx| H(M)),然后用Kxa解密 签名并验证散列码。注意:在这种模式下Y不能直接验证X的签名,Y认为A的消息 已认证,只因为它来自A。因此,双方都需要高度相信A: X必须信任A没有暴露Kxa,并且没有自己生成签名 EKxaIDx| H(M) Y必须信任
8、A验证了散列值正确并且签名确实是X产生 的情况下才发送的 EKayIDx| M | EKxaIDx| H(M) | T 双方都必须信任A处理争议是公正的。 只要A遵循上述要求,则X相信没有人可以伪造其签名;Y 相信X不能否认其签名。上述情况还隐含着A可以看到X给Y的所有信息,因而所 有的窃听者也能看到。(b) 单密钥加密方式,仲裁者不可以看见消息: (1) XA: IDx | EKxyM|EKxaIDx| H(EKxyM) (2) AY:EKayIDx|EKxyM | EKxaIDx| H(EKxyM) | T在这种情况下,X与Y之间共享密钥Kxy, X:将标识符IDx ,密文 EKxyM,以
9、及对IDx和密文消息的散列码用Kxa加密后形成签名发送给A。 A:解密签名,用散列码验证消息,这时A只能验证消息的密文而不能读取其内容。然后A将来自X的所有信息加上时间戳并用Kay加密后发送给Y。(a)和(b)共同存在一个共性问题: A和发送方联手可以否认签名的信息; A和接收方联手可以伪造发送方的签名;(c) 双密钥加密方式,仲裁者不可以看见消息: (1) XA: IDx | EKRxIDx | EKUy (EKRxM) (2) AY: EKRaIDx| EKUyEKRxM | TX:对消息M双重加密:首先用X的私有密钥KRx,然后用Y的公开密钥KUy。形成一个签名的、保密的消息。然后将该信
10、息以及X的标识符一起用KRx签名后与IDx 一起发送给A。这种内部、双重加密的消息对A以及对除Y以外的其它人都是安全的。 A:检查X的公开/私有密钥对是否仍然有效,是,则认证消息。并将包含IDx、双重加密的消息和时间戳构成的 消息用KRa签名后发送给Y。本模式比上述两个模式具有以下好处: 1、在通信之前各方之间无须共享任何信息,从而避免了联手作弊; 2、即使KRx 暴露,只要KRa 未暴露,不会有错误标定日期的消息被发送; 3、从X发送给Y的消息的内容对A和任何其他人是保密的。8-2 数字签名标准(DSS)公布于1994年5月19日的联邦记录上,并于1994年12月1日采纳为标准DSS。DSS
11、为 EIGamal签名方案的改进。DSS的主要参数:(1)全局公开密钥分量,可以为用户公用p:素数,要求2L-11(2)用户私有密钥x:随机或伪随机整数,要求0xq(3)用户公开密钥y:=gx mod p(4)k: 随机或伪随机整数,要求0kq DSS的签名与验证签名与验证l签名过程:l用户随机选取k,计算:lr=(gk mod p) mod qls=k-1(M+xr)mod q(r,s)即为消息M的数字签名l验证过程:l接收者收到M,r,s后,首 先验证0rq, 0sq,如 果通过则计算:lw=(s)-1 mod q lu1=Mw mod qlu2=rw mod qlv=(gu1yu2) m
12、od p mod q如果v=r,则确认签名正确 l假设取q=101,p=78*101+1=7879,h=3, 所以g=378(mod7879) = 170l假设x=75,那么ygx(mod7879)=4567l现在, 假设Bob想签名一个消息m=1234,且他选择了随机值k=50,可算得k-1(mod101)=99,签名算出: r=(17050mod7879)mod101 =2518(mod101)=94s=(1234+75*94)99(mod101)=97签名为(94,97)DSS例子签名w=97-1(mod101)=25 u1=1234*25(mod101)=45u2=94*25(mod101)=27v=17045*456727(mod7879)(mod101)=2518(mod101)=94v=r,该签名是有效的DSS例子验证
