信息安全技术chapter9数字签名和认证协议.ppt

黄黄 杰杰信息安全研究中心信息安全研究中心第九讲 数字签名和认证协议东南大学信息安全学科研究生学位课网络信息安全理论与技术本讲内容本讲内容数字签名与认证协议数字签名简介认证协议N-S Protocol数字签名标准DSS消息认证码的使用方式消息认证码的使用方式为什么需要数字签名？为什么需要数字签名？消息认证用以保护双方之间的数据交换不被第三方侵犯；但它并不保证双方自身的相互欺骗。假定A发送一个认证的信息给B，双方之间的争议可能有多种形式：B伪造一个不同的消息，但声称是从A收到的。A可以否认发过该消息，B无法证明A确实发了该消息。数字签名的要求数字签名的要求传统签名的基本特点:必须能验证签名者、签名日期与时间必须能够认证被签的消息内容签名能够由第三方仲裁，以解决争执数字签名是传统签名的数字化，基本要求:签名必须是与消息相关的二进制位串签名必须使用发送方特有的信息，防伪造或否认签名的产生和识别比较容易伪造数字签名在计算上是不可行的保存数字签名的拷贝是可行的数字签名体制数字签名体制签名算法(Signature Algorithm)Sig(M)=S签名算法或签名密钥K是秘密的，只有发方掌握验证算法(Verification Algorithm)Ver(S)=0，1=真，伪验证算法公开，便于他人进行验证签名体制的安全性在于，从M和其签名S难以推出签名密钥K或伪造一个M使M和S可被证实为真。数字签名的分类数字签名的分类直接数字签名(direct digital signature)只涉及通信双方仲裁数字签名(arbitrated digital signature)直接数字签名方法直接数字签名方法1用发送方的私钥对整条消息进行加密来产生签名.(1)AB:EKRaM提供了鉴别与签名只有A具有KRa进行加密;传输中没有被篡改；需要某些格式信息/冗余度；任何第三方可以用KUa 验证签名(1)AB:EKUb EKRa(M)提供了保密(KUb)、鉴别与签名(KRa)直接数字签名方法直接数字签名方法2用发送方的私钥对消息的hash码进行加密(2)AB:M|EKRaH(M)提供数字签名H(M)受到密码算法的保护,例如MD5或SHA-1;只有A 能够生成EKRaH(M)(2)AB:EKM|EKRaH(M)提供保密性、数字签名。加密和签名的先后顺序？直接数字签名的缺点直接数字签名的缺点验证模式依赖于发送方的保密密钥；发送方要抵赖发送某一消息时，可能会声称其私有密钥丢失或被窃，从而他人伪造了他的签名。通常需要采用与私有密钥安全性相关的行政管理控制手段来制止或至少是削弱这种情况，但威胁在某种程度上依然存在。改进的方式例如可以要求被签名的信息包含一个时间戳（日期与时间），并要求将已暴露的密钥报告给一个授权中心。X的私钥确实在时间T被窃取，敌方可以伪造X的签名及早于或等于时间T的时间戳。仲裁数字签名仲裁数字签名工作原理：通常的做法是所有从发送方X到接收方Y的签名消息首先送到仲裁者A，A将消息及其签名进行一系列测试，以检查其来源和内容，然后将消息加上日期并与已被仲裁者验证通过的指示一起发给Y。仲裁者在这一类签名模式中扮演敏感和关键的角色。所有的参与者必须极大地相信这一仲裁机制工作正常。（trusted system）仲裁数字签名模式仲裁数字签名模式1X与A之间共享密钥Kxa，Y与A之间共享密钥Kay；（1）XA：M|EKxaIDx|H(M)（2）AY：EKayIDx|M|EKxaIDx|H(M)|TX：准备消息M，计算其散列码H(M)，用X的标识符IDx 和散列值构成签名，并将消息及签名经Kxa加密后发送给A；A：解密签名，用H(M)验证消息M，然后将IDx，M，签名，和时间戳一起经Kay加密后发送给Y；Y：解密A发来的信息，并可将M和签名保存起来。Y不能直接读取签名，但可以将消息和签名发给A进行验证。特点：传统加密方式，仲裁者可以看见消息明文。仲裁数字签名模式仲裁数字签名模式2在这种情况下，X与Y之间共享密钥Kxy，（1）XA：IDx|EKxyM|EKxaIDx|H(EKxyM)（2）AY：EKayIDx|EKxyM|EKxaIDx|H(EKxyM)|TX：将标识符IDx,密文EKxyM，以及对IDx和密文消息的散列码用Kxa加密后形成签名发送给A。A：解密签名，用散列码验证消息，这时A只能验证消息的密文而不能读取其内容。然后A将来自X的所有信息加上时间戳并用Kay加密后发送给Y。特点：传统加密方式，仲裁者不可以看见消息明文。（1）和（2）共同存在一个共性问题：A和发送方联手可以否认签名的信息；A和接收方联手可以伪造发送方的签名；仲裁数字签名模式仲裁数字签名模式3特点：公钥加密方式，仲裁者不可以看见消息 （1）XA：IDx|EKRxIDx|EKUy(EKRxM)（2）AY：EKRaIDx|EKUyEKRxM|TX：对消息M双重加密：首先用X的私有密钥KRx，然后用Y的公开密钥KUy。形成一个签名的、保密的消息。然后将该信息以及X的标识符一起用KRx签名后与IDx 一起发送给A。这种内部、双重加密的消息对A以及对除Y以外的其它人都是安全的。A：检查X的公开/私有密钥对是否仍然有效，若是则确认消息。并将包含IDx、双重加密的消息和时间戳构成的消息用KRa签名后发送给Y。模式模式3的优点的优点1、在通信之前各方之间无须共享任何信息，从而避免了联手作弊；2、即使KRx 暴露，只要KRa 未暴露，不会有错误标定日期的消息被发送；3、从X发送给Y的消息的内容对A和任何其他人是保密的。认证协议认证协议双方认证(mutual authentication)最常用的协议，该协议使得通信各方互相认证鉴别各自的身份，然后交换会话密钥。单向认证(one-way authentication)收发双方不需要同时在线联系，例如电子邮件。双方认证双方认证解决重放攻击的方法？解决重放攻击的方法？序列号序列号时间戳时间戳挑战挑战/应答应答对称加密方法公钥加密方法对称加密方法对称加密方法1 1、A-KDCA-KDC：IDIDA A|ID|IDB B|N|N1 12 2、KDC-AKDC-A：E(KE(Ka a,K,Ks s|ID|IDB B|N|N1 1|E(K|E(Kb b,K,Ks s|ID|IDA A)3 3、A-B A-B ：E(KE(Kb b,K,Ks s|ID|IDA A 4 4、B-A B-A ：E(KE(Ks s,N,N2 2)5 5、A-B A-B ：E(KE(Ks s,f(N,f(N2 2)1 1、A-KDCA-KDC：IDIDA A|ID|IDB B2 2、KDC-AKDC-A：E(KE(Ka a,K,Ks s|ID|IDB B|T T|E(K|E(Kb b,K,Ks s|ID|IDA A|T|T)3 3、A-B A-B ：E(KE(Kb b,K,Ks s|ID|IDA A|T|T 4 4、B-A B-A ：E(KE(Ks s,N,N1 1)5 5、A-B A-B ：E(KE(Ks s,f(N,f(N1 1)Needham-Schroeder协议改进的方法改进的方法1 1、A-BA-B：IDIDA A|N|Na a2 2、B-KDCB-KDC：IDIDB B|N|Nb b|E(K|E(Kb b,ID,IDA A|N|Na a|T Tb b)3 3、KDC-AKDC-A：E(KE(Ka a,ID,IDA A|N|Ns s|K|Ks s|T Tb b)|E(K)|E(Kb b,ID,IDA A|K|Ks s|T Tb b)|N)|Nb b4 4、A-BA-B：E(KE(Kb b,ID,IDA A|K|Ks s|T Tb b)|E(K)|E(Ks s,N,Nb b)5 5、A-BA-B：E(KE(Kb b,ID,IDA A|K|Ks s|T Tb b)，N Na a6 6、B-AB-A：N Nb b，E(KE(Ks s,N,Na a)7 7、A-BA-B：E(KE(Ks s,N,Nb b)公钥加密方法公钥加密方法1、A AS：IDA|IDB2、AS A：E(PRas,IDA|PUa|T )|E(PRas,IDB|PUb|T)3、A B：E(PRas,IDA|PUa|T)|E(PRas,IDB|PUb|T|E(PUb,E(PRa,Ks|T)2、AS A：E(PRas,IDB|PUb)3、A B：E(PUb,IDA|NA)4、B AS:IDA|IDB|E(PUAS,NA)5、AS B：E(PRas,IDA|PUa )|E(PUb,E(PRas,NA|Ks|IDB)6、B A：E(PUa,E(PRas,NA|Ks|IDB)|NB)7、A B：E（Ks,NB）5、AS B：E(PRas,IDA|PUa )|E(PUb,E(PRas,NA|Ks|IDA|IDB)6、B A：E(PUa,E(PRas,NA|Ks|IDA|IDB)|NB)单单 向向 认认 证证邮件服务器邮件服务器案案 例例From:用户用户ATo：员工：员工B，C，D用户用户A方案方案1方案方案2单向认证单向认证对称加密方法1、A-KDC：IDA|IDB|N12、KDC-A：E(Ka,Ks|IDB|N1|E(Kb,Ks|IDA)3、A-B：E(Kb,Ks|IDA)|E(Ks,M)公钥加密方法A B：E(PUb,Ks)|E(Ks,M)（保密）A B：M|E(PRa,H(M)（真实性）A B：E(PUb,M|E(PRa,H(M)保密和真实 数字签名标准数字签名标准DSS1991年，美国国家技术与标准研究所发布的联邦信息处理标准FIPS 186，称为DSS。使用新的数字签名算法，即DSA(数字签名算法)。2000年发布了该标准的扩充版，即FIPS 186-2。该最新版还包括基于RSA和椭圆曲线密码的数字签名。DSS仅提供数字签名功能，不能用于加密或密钥分配。RSA 与与DSS的比较的比较DSS签名函数签名函数输入：明文的hash函数为签名而产生的随机数k控制参数：发送方的私钥KRa一组公共参数KUG，称为全局公钥输出：包含两部分s和rDSA的全局公钥的全局公钥发送方的密钥生成发送方的密钥生成签名、验证算法签名、验证算法M：要签名的消息H(M)：使用SHA-1求得的M的hash码M,r,s：接收的M,r,sDSS签名和验证签名和验证DSS算法的讨论算法的讨论算法的安全性依赖于离散对数求解的困难性算法正确性的证明Thank You！