密码学sec-chap09.10.ppt

《密码学sec-chap09.10.ppt》由会员分享，可在线阅读，更多相关《密码学sec-chap09.10.ppt（65页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第9、10讲讲 认证与数字签名认证与数字签名认证与认证系统认证与认证系统认证(Authentication)是防止主动攻击的重要技术,对开发系统安全性有重要作用.认证的主要目的n实体认证(发送者非冒充)n消息认证(验证信息的完整性)1/2/20232认证与数字签名认证与数字签名认证与认证系统认证与认证系统(Cont.)网络环境中的攻击(认证的需求)n1.泄密n2.传输分析n3.伪装(假报文)n4.内容修改(插入,删除,调换和修改)n5.顺序修改(报文序号的修改)n6.计时修改(报文延迟或回放)n7.发送方否认(否认发送过某报文)n8.接收方否认(否认收到过某报文)1,2加密,36报文认证,7

2、,8数字签名 1/2/20233认证与数字签名认证与数字签名 保密和认证同时是信息系统安全的两个方面，但它 们是两个不同属性的问题，认证不能自动提供保密性，而保密性也不能自然提供认证功能。一个纯认认证系统证系统的模型如下图所示：窜扰者信宿信源认证编码器认证译码器信道信道安全信道密钥源 1/2/20234认证与数字签名认证与数字签名认证与认证系统认证与认证系统三类产生认证符的函数n报文加密以整个报文的密文为认证码;n报文认证码(MAC)以一个报文的公共函数和用于产生一个定长值的密钥作为认证符;n散列函数一个将任意长度的报文映射为定长的散列值的公共函数,以散列值作为认证符;1/2/20235认证与

3、数字签名认证与数字签名报文加密提供认证报文加密提供认证常规加密下图的通信双方，用户A为发信方，用户B为接收方。用户B接收到信息后，通过解密来判决信息是否来自A，信息是否是完整的，有无窜扰。信源信源信宿信宿MEEk(M)DMA方方B方方kkDk(Ek(M)常规加密：具有机密性，可认证常规加密：具有机密性，可认证 1/2/20236认证与数字签名认证与数字签名A-B:E(K,M)提供保密(仅A和B共享密钥K)提供一定程度的认证n仅来自An传输中不会被更改n需要某种结构或冗余不提供签名n接收者可以伪造报文n发送者可以否认报文常规常规(对称对称)加密与认证的关系加密与认证的关系 1/2/20237认证

4、与数字签名认证与数字签名报文加密提供认证报文加密提供认证(Cont.)公开密钥加密n发送方用自己的私钥加密报文,接收方用发送方的公钥解密(与对称密钥加密原理相同,需要某种特定报文结构).该方案不提供加密.n发送方先用自己的密钥加密以提供认证,然后使用接收方公钥加密提供保密性.缺点是效率不高.1/2/20238认证与数字签名认证与数字签名A-B:E(KUb,M)n提供保密(仅B能解密)n不提供认证公开密钥加密与认证的关系公开密钥加密与认证的关系KUb(B方的方的公钥公钥)MEEKUb(M)DMA方方B方方KRb(1)公钥加密：具有机密性公钥加密：具有机密性 1/2/20239认证与数字签名认证与

5、数字签名A-B:E(KRa,M)n提供认证和签名(仅有A可加密,需要某种结构和冗余,任何一方均能验证签名)MEE KRa(M)DMA方方B方方KRaKUb(2)公钥加密：认证和签名公钥加密：认证和签名 1/2/202310认证与数字签名认证与数字签名A-B:E(KUb,E(KRa,M)n可提供保密n可提供认证和签名MEEkRa(M)EEKUb(EkRa(M)A方方KRaKUbDEkRa(M)DMB方方KRbKUa(3)公钥加密：机密性，可认证和签名公钥加密：机密性，可认证和签名 1/2/202311认证与数字签名认证与数字签名报文认证码报文认证码(MAC)(MAC)认证码(MAC,也称密码检验

6、和)n对选定报文,使用一个密钥,产生一个短小的定长数据分组,称认证码,并将它附加在报文中,提供认证功能.(MAC=Ck(M),其中M是可变长的报文,K是共享密钥,Ck(M)是定长的认证码.)应用认证码,如果只有收发方知道密钥,同时收到的MAC与计算得出的MAC匹配:n确认报文未被更改;n确信报文来自所谓的发送者;n如果报文包含序号,可确信该序号的正确性;1/2/202312认证与数字签名认证与数字签名报文认证码的基本用法1nA-B:M|Ck(M)提供认证,因仅A和B共享K;CMMCk(M)KCK比较比较源点源点终点终点报文认证码报文认证码(MAC)(MAC)1/2/202313认证与数字签名认

7、证与数字签名报文认证码的基本用法2nA-B:Ek2(M|Ck1(M)提供认证,因仅A和B共享K1;提供保密,因仅A和B共享K2;CMEk2(M|Ck1(M)K1CK1比较比较源点源点终点终点EK2DK2Ck1(M)报文认证码报文认证码(MAC)(MAC)1/2/202314认证与数字签名认证与数字签名报文认证码的基本用法3nA-B:Ek2(M)|Ck1(Ek2(M)提供认证,因仅A和B共享K1;提供保密,因仅A和B共享K2;报文认证码报文认证码(MAC)(MAC)CMCk1(Ek2(M)K1CK2比较比较源点源点终点终点EK2DK1Ek2(M)M 1/2/202315认证与数字签名认证与数字签

8、名为什么使用报文认证(而不是用常规加密)n适用于报文广播(并不需要每个点都有密钥);n报文加密解密的工作量比较大;n某些应用不关心报文的保密而只关心报文的真实性;n认证函数与保密函数的分离能提供结构上的灵活性(认证与保密可在网络协议的不同层次进行).n认证码可延长报文的保护期限,同时能处理报文内容(使用加密,当报文解密后,保护就失效了).报文认证码报文认证码(MAC)(MAC)1/2/202316认证与数字签名认证与数字签名注意n认证函数类似加密函数,但它是不可逆的,这个性质使其比加密函数更难破解;n认证函数并不提供数字签名;报文认证码报文认证码(MAC)(MAC)1/2/202317认证与数

9、字签名认证与数字签名MAC函数应有如下性质(攻击者没有K):n有M和Ck(M),试图生成M,使得Ck(M)=Ck(M),这在计算上不可行;nCk(M)应能均匀分布;对于随机选取的报文M和M,Ck(M)=Ck(M)的概率为2-n其中n 为 MAC的比特长度;(抗选择明文攻击)n报文M为M的某种已知代换,即M=f(M),则Ck(M)=Ck(M)的概率为2-n.报文认证码报文认证码(MAC)(MAC)1/2/202318认证与数字签名认证与数字签名基于DES的报文鉴别码描述如下:被鉴别报文分成连续的64bit分组:M1,M2,Mn(必要时用0填充).使用DES算法E,密钥K,数据鉴别码计算如下:C1

10、=Ek(M1)C2=Ek(M2C1)Cn=Ek(Mn Cn-1)报文认证码报文认证码(MAC)(MAC)1/2/202319认证与数字签名认证与数字签名散列函数n散列函数是将任意长度的报文映射成一个较短的定长输出报文的函数.n如下形式:h=H(M),M是变长的报文,h是定长的散列值.n散列函数的目的是为文件、报文或其它的分组数据产生“数字指纹”（缩微图）.散列函数 1/2/202320认证与数字签名认证与数字签名 1/2/202321认证与数字签名认证与数字签名使用散列码提供报文鉴别的方式n(a)A-B:Ek(M|H(M)w提供保密提供保密(仅仅A和和B共享共享K)w提供鉴别提供鉴别(加密保护

11、加密保护 H(M)n(b)A-B:M|Ek(H(M)w提供鉴别提供鉴别(加密保护加密保护 H(M)n(c)A-B:M|EKRa(H(M)w提供鉴别和数字签名提供鉴别和数字签名(加密保护加密保护 H(M),且仅且仅A能能生成生成EKRa(H(M)散列函数 1/2/202322认证与数字签名认证与数字签名使用散列码提供报文鉴别的方式(续.)n(d)A-B:Ek(M|EKRa(H(M)w提供鉴别和数字签名提供鉴别和数字签名w提供保密提供保密(仅仅A和和B共享共享K)n(e)A-B:M|H(M|S)w提供鉴别提供鉴别(S是通信双方共享的一个秘密值是通信双方共享的一个秘密值,仅仅A和和B共享共享S)n(

12、f)A-B:Ek(M|H(M|S)w提供鉴别提供鉴别(仅仅A和和B共享共享S)w提供保密提供保密(仅仅A和和B共享共享K)散列函数 1/2/202323认证与数字签名认证与数字签名散列函数的需求nH能用于任何大小的数据分组;nH产生定长输出;n对任意给定的x,H(x)要相对易于计算,使得软硬件实现都实际可行;n对任意给定的码h,寻求x使得H(x)=h在计算上是不可行的(单向性);n任意给定分组x,寻求不等于x的y,使得H(y)=H(x)在计算上不可行(弱抗攻击性);n寻求对任何的(x,y)对使得H(x)=H(y)在计算上不可行(强抗攻击性);散列函数 1/2/202324认证与数字签名认证与数

13、字签名散列函数算法简单的算法（在模式匹配中有用）安全的散列算法nMD5nSHA1 1/2/202325认证与数字签名认证与数字签名简单的散列函数（异或方式）每个分组按比特异或:Ci=bi1bi2.bim其中,Ci是第i个比特的散列码,1in;m是输入的n比特分组数;bij是第j分组的第i比特;(简单的奇偶校验)针对应用中的可预测数据格式,提出如下改进方案:散列函数 1/2/202326认证与数字签名认证与数字签名简单的散列函数的改进方案n先将n比特的散列值设置为0;n按如下方式依次处理数据分组:w将当前的散列值循环左移一位将当前的散列值循环左移一位.w将数据分组与散列值异或形成新的散列值将数据

14、分组与散列值异或形成新的散列值.这将起到输入数据完全随机化的效果,并且将输入中的数据格式掩盖掉.散列函数 1/2/202327认证与数字签名认证与数字签名乘积方式输入字符序列：b1,b2,b3,bn Y=b12+b22+bm2 mod K散列函数 1/2/202328认证与数字签名认证与数字签名bY0nIV=CV0fbY1nfbYL-1nCVL-1fCV1nnIV =初始值初始值CV=链接值链接值Yi =第第i 个输入数据块个输入数据块f =压缩算法压缩算法n =散列码的长度散列码的长度b =输入块的长度输入块的长度安全散列算法的一般结构安全散列算法的一般结构CVLCV0=IV=initial

15、 n-bit valueCVi=f(CVi-1,Yi-1)(1 i L)H(M)=CVL 1/2/202329认证与数字签名认证与数字签名MD5 算法逻辑算法逻辑输入：任意长度的消息输出：128位消息摘要处理：以512位输入数据块为单位MD5(RFC 1321)developed by Ron Rivest(“R”of the RSA)at MIT in 90s.1/2/202330认证与数字签名认证与数字签名报文报文K bitsL 512 bits=N 32bits报文长度报文长度(K mod 264)填充填充(1 to 512 bits)1000Y0512 bitsY1512 bitsYq

16、512 bitsYL-1512 bitsHMD5IV128HMD5CV1128HMD5CVq128HMD5CVL-1128512512512512128-bit 摘要摘要MD5产生报文摘要的过程产生报文摘要的过程 1/2/202331认证与数字签名认证与数字签名MD5算法描述算法描述步骤步骤1 1：添加填充位：添加填充位(一个一个1 1 和若干个和若干个0)0)。在消息。在消息的最后添加适当的填充位使得数据位的长度满足的最后添加适当的填充位使得数据位的长度满足length length 448 mod 512 448 mod 512。步骤步骤2 2：添加长度。原始消息长度（二进制位的个：添加长

17、度。原始消息长度（二进制位的个数），用数），用6464位表示。如果长度超过位表示。如果长度超过2 26464位，则仅取最位，则仅取最低低6464位，即位，即mod 2mod 26464。到此为止，我们已经得到一个到此为止，我们已经得到一个512512位的整倍数长度位的整倍数长度的新的消息。可以的新的消息。可以表示为表示为L L个个512512位的数据块：位的数据块：Y Y0 0,Y,Y1 1,Y,YL-1L-1。其长度其长度为为L L 512bits512bits。令令N=N=L L 16,16,则长度则长度为为N N个个3232位的字。令位的字。令M0N-1M0N-1表示以字为单位的消表示以

18、字为单位的消息表示。息表示。1/2/202332认证与数字签名认证与数字签名MD5算法描述算法描述(Cont.)步骤3：初始化MD缓冲区。一个128位MD缓冲区用以保存中间和最终散列函数的结果。它可以表示为4个32位的寄存器(A,B,C,D)。寄存器初始化为以下的16进制值。A=67452301B=EFCDAB89C=98BADCFED=10325476 1/2/202333认证与数字签名认证与数字签名MD5算法描述算法描述(Cont.)上述值的存储方式为：Word A:01 23 45 67Word B:89 AB CD EFWord C:FE DC BA 98Word D:76 54 32

19、 10 1/2/202334认证与数字签名认证与数字签名MD5算法描述算法描述(Cont.)步骤4：处理消息块（512位=16个32位字）。一个压缩函数是本算法的核心(HMD5)。它包括4轮处理。四轮处理具有相似的结构,但每次使用不同的基本逻辑函数，记为F,G,H,I。每一轮以当前的512位数据块(Yq)和128位缓冲值ABCD作为输入，并修改缓冲值的内容。每次使用64元素表T164中的四分之一.1/2/202335认证与数字签名认证与数字签名T T表，由表，由sin sin 函数构造而成。函数构造而成。T T的第的第i i个元素表示为个元素表示为TiTi，其值等于其值等于 2 23232 a

20、bs(sin(i),abs(sin(i),其中其中i i是弧度。由于是弧度。由于abs(sin(iabs(sin(i)是一个是一个0 0到到1 1之间的数，之间的数，T T的每一个元素是的每一个元素是一个可以表示成一个可以表示成3232位的整数。位的整数。T T表提供了随机化的表提供了随机化的3232位模板，位模板，消除了在输入数据中的任何规律性的特征消除了在输入数据中的任何规律性的特征。T1 =D76AA478T2 =E8C7B756T3 =242070DBT4 =C1BDCEEET16 =49b40821T49 =F4292244T50 =432AFF97T51 =AB9423A7T52

21、=FC93A039T64 =EB86D391 1/2/202336认证与数字签名认证与数字签名步骤步骤5 5：输出结果。所有：输出结果。所有L L个个512512位数据块处理完毕后，最位数据块处理完毕后，最后的结果就是后的结果就是128128位消息摘要。位消息摘要。CV0=IVCV0=IV CV CVq+1 q+1=SUMSUM3232(CV(CVq q,RF,RFI IYYq q,RF,RFH HYYq q,RF,RFG GYYq q,RF,RFF FYYq q,CV,CVq q)MD=CV MD=CVL L 其中：其中：IV =ABCDIV =ABCD的初始值（见步骤的初始值（见步骤3 3

22、）Y Yq q =消息的第消息的第q q个个512512位数据块位数据块 L =L =消息中数据块数；消息中数据块数；CVqCVq =链接变量，用于第链接变量，用于第q q个数据块的处理个数据块的处理 RFxRFx =使用基本逻辑函数使用基本逻辑函数x x的一轮功能函数。的一轮功能函数。MD =MD =最终消息摘要结果最终消息摘要结果 SUMSUM3232=分别按分别按3232位字计算的模位字计算的模2 23232加法结果。加法结果。MD5算法描述算法描述(Cont.)1/2/202337认证与数字签名认证与数字签名F,T116,Xi16 stepsG,T1732,X2i16 stepsH,T

23、3348,X3i16 stepsI,T4964,X4i16 steps+ABCDABCDABCDABCDCVq12832Yq512CVq+1128单个单个 512-bit 分组的分组的MD5 处理过程处理过程+is mod 232 1/2/202338认证与数字签名认证与数字签名ABCDABCD+CLSs+gXkTiFunction g g(b,c,d)1 F(b,c,d)(b c)(b d)2 G(b,c,d)(b d)(c d)3 H(b,c,d)b c d4 I(b,c,d)c(b d)基本基本MD5操作操作(单步单步)1/2/202339认证与数字签名认证与数字签名MD4(1990MD

24、4(1990年年1010月作为月作为RFC1320RFC1320发表发表)by Ron by Ron RivestRivest at MIT(MD5 at MIT(MD5的前身的前身)MD4MD4的设计目标的设计目标安全性：寻找两个具有相同报文摘要的报文计算不可行安全性：寻找两个具有相同报文摘要的报文计算不可行速度：速度：3232位体系结构下计算速度快位体系结构下计算速度快.简明与紧凑：易于编程简明与紧凑：易于编程.有利的小数在前的结构有利的小数在前的结构(Intel 80 xxx,PentiumIntel 80 xxx,Pentium )MD4MD4与与MD5MD5的区别的区别MD4MD4用

25、用3 3轮轮,每轮每轮16 16 步步,MD5,MD5用用4 4轮轮,每轮每轮1616步步.MD4MD4中第一轮没有常量加；中第一轮没有常量加；MD5MD5中中6464步每一步用了一个不步每一步用了一个不同的常量同的常量 TiTi；MD5MD5用了四个基本逻辑函数，每轮一个；用了四个基本逻辑函数，每轮一个；MD4MD4用了三个用了三个.MD5MD5每轮加上前一步的结果；每轮加上前一步的结果；MD4MD4没有没有.1/2/202340认证与数字签名认证与数字签名SHA-1 算法逻辑算法逻辑输入：最大长度为264位的消息；输出：160位消息摘要；处理：输入以512位数据块为单位处理；SHASHA由

26、美国国家标准技术研究所由美国国家标准技术研究所NISTNIST开发，作为联邦信开发，作为联邦信息处理标准息处理标准于于19931993年发表（年发表（FIPS PUB 180FIPS PUB 180），），19951995年修订，作为年修订，作为SHA-1(FIPS PUB 180-1)SHA-1(FIPS PUB 180-1)，SHA-1SHA-1基于基于MD4MD4设计。设计。1/2/202341认证与数字签名认证与数字签名SHA-1 SHA-1 算法描述算法描述步骤步骤1 1：添加填充位：添加填充位(一个一个1 1 和若干个和若干个0)0)。在消息的最后添加适当的填充位使得数据位在消息的

27、最后添加适当的填充位使得数据位的长度满足的长度满足length length 448 mod 512 448 mod 512。步骤步骤2 2：添加长度。一个：添加长度。一个6464位块，表示原始位块，表示原始消息长度，消息长度，6464位无符号整数。位无符号整数。步骤步骤3 3：初始化：初始化MDMD缓冲区。一个缓冲区。一个160160位位MDMD缓缓冲区用以保存中间和最终散列函数的结果。冲区用以保存中间和最终散列函数的结果。它可以表示为它可以表示为5 5个个3232位的寄存器位的寄存器(A,B,C,D,E)(A,B,C,D,E)。1/2/202342认证与数字签名认证与数字签名初始化为：初始

28、化为：A=67452301A=67452301B=EFCDAB89B=EFCDAB89C=98BADCFEC=98BADCFED=10325476D=10325476E=C3D2E1F0E=C3D2E1F0前四个与前四个与MD5MD5相同，但存储为相同，但存储为大数在前的形式大数在前的形式.步骤步骤4 4：以：以512512位数据块为单位处理消息。四轮，位数据块为单位处理消息。四轮，每轮每轮2020步。步。四个基本逻辑函数：四个基本逻辑函数：f f1 1,f,f2 2,f,f3 3,f,f4 4步骤步骤5 5：输出。全部：输出。全部L L个个512512位数据块处理完毕后，位数据块处理完毕后，

29、输出输出160160位消息摘要。位消息摘要。1/2/202343认证与数字签名认证与数字签名CV0=IVCVq+1=SUM32(CVq,ABCDEq)MD=CVL其中：IV =ABCDE的初始值；ABCDEq对第q轮消息数据块处理最后一轮所得的结果；L =数据块的个数 SUM32 =对每一个输入对的字求加模232 MD =最后的消息摘要值。1/2/202344认证与数字签名认证与数字签名ABCDABCD+ftEES5WtKtS30基本基本SHA操作操作(单步单步)1/2/202345认证与数字签名认证与数字签名f1,K,W01920 stepsf2,K,W203920 stepsf3,K,W4

30、05920 stepsf4,K,W607920 steps+ABCEAEAEAECVq16032Yq512CVq+1160SHA-1 Processing ofa single 512-bit block+is mod 232DBCDBCDBCD+1/2/202346认证与数字签名认证与数字签名MD4、MD5、SHA比较 1/2/202347认证与数字签名认证与数字签名针对散列函数的攻击野蛮攻击生日攻击：一个班有k个学生，其中至少两个出生日期相同的概率大于0.5。求kn指纹：人类要经过人类要经过50位数字的世纪才可能出现绝对重位数字的世纪才可能出现绝对重复的指纹复的指纹 nDNA指纹：随机查两

31、个人的DNA图谱，其完全相同的概率仅为三千亿分之一。1/2/202348认证与数字签名认证与数字签名散列函数的用途：n检查下载软件的完整性。Md5checksum.exen减少存储空间w数字现金数字现金n存储密码wUnix的的passwd和和shadow文件文件wWEB方式的认证方式的认证散列函数用途 1/2/202349认证与数字签名认证与数字签名数字签名数字签名是认证的重要工具为什么需要数字签名：n报文认证用以保护双方之间的数据交换不被第三方侵犯；但它并不保证双方自身的相互欺骗。假定A发送一个认证的信息给B，双方之间的争议可能有多种形式：wB伪造一个不同的消息，但声称是从伪造一个不同的消息

32、，但声称是从A收到的。收到的。wA可以否认发过该消息，可以否认发过该消息，B无法证明无法证明A确实发了该确实发了该消息消息 1/2/202350认证与数字签名认证与数字签名数字签名应满足的要求收方能确认或证实发方的签字，但不能伪造；发方发出签名后的消息，就不能否认所签消息；第三者可以确认收发双方之间的消息传送，但不能伪造这一过程 1/2/202351认证与数字签名认证与数字签名数字签名的设计要求签名必须是依赖于被签名信息的比特模式；签名必须使用某些对发送者是唯一的信息，以防止双方的伪造与否认；必须相对容易生成该数字签名；必须相对容易识别和验证该数字签名；伪造该数字签名在计算复杂性意义上具有不可

33、行性，既包括对一个已有的数字签名构造新的消息，也包括对一个给定消息伪造一个数字签名；在存储器中保存一个数字签名备份是现实可行的。1/2/202352认证与数字签名认证与数字签名两类数字签名函数直接数字签名n仅涉及通信双方n有效性依赖发方密钥的安全性仲裁数字签名n使用第三方认证 1/2/202353认证与数字签名认证与数字签名直接数字签名(1)AB:DKRaM提供了认证与签名：只有只有A具有具有KRa进行加密进行加密;传输中无法被篡改；传输中无法被篡改；需要某些格式信息需要某些格式信息/冗余度；冗余度；任何第三方可以用任何第三方可以用KUa 验证签名验证签名MEEKRa(M)DMA方方B方方KR

34、aKUa 1/2/202354认证与数字签名认证与数字签名直接数字签名(2)AB:Ek(M|EKRa(H(M)提供认证及数字签名，保密 -H(M)受到密码算法的保护；-只有 A 能够生成 EKRaH(M)HM源点源点终点终点MKUaEKM|EKRa H(M)|KRaED比较(d)HDEKK 1/2/202355认证与数字签名认证与数字签名仲裁数字签名(不讲)引入仲裁者。n通常的做法是所有从发送方X到接收方Y的签名消息首先送到仲裁者A，A将消息及其签名进行一系列测试，以检查其来源和内容，然后将消息加上日期并与已被仲裁者验证通过的指示一起发给Y。仲裁者在这一类签名模式中扮演敏感和关键的角色。n所有

35、的参与者必须极大地相信这一仲裁机制工作正常。（trusted system）(尽量少使用可信任第3方的概念。)1/2/202356认证与数字签名认证与数字签名RSA签名方案1.密钥的生成（同加密系统）公钥KU=e,n;私钥KR=d,n。2.签名过程(用d,n)明文：Mn 签名：S=Md(mod n).3.验证过程(用e,n)给定M，S，Ver（M，S）为真，当且仅当，M=Se（mod n)1/2/202357认证与数字签名认证与数字签名实用的RSA签名方案1.密钥的生成（同加密系统）公钥KU=e,n;私钥KR=d,n。H为一安全散列函数。2.签名过程(用d,n)文件：Messagen 计算M=

36、H(Message)签名：S=Md(mod n).3.验证过程(用e,n)给定Message，S，Ver（M，S）为真，当且仅当，H(Message)=Se（mod n)1/2/202358认证与数字签名认证与数字签名数字签名标准DSS（Digital Signature Standard)签名标准是1991年8月由美国NIST公布，1994年5月19日的正式公布，并于1994年12月1日采纳为美国联邦信息处理标准。DSS为EIGamal和Schnorr签名方案的改进，其使用的算法记为DSA（Digital Signature Algorithm)。此算法由D.W.Kravitz设计。DSS使

37、用了SHA，安全性是基于求离散对数的困难性。DSSSHA+DSARSA签名标准=MD5(SHA)+RSA 1/2/202359认证与数字签名认证与数字签名DSA算法描述全局公钥（p，q，g）KUGnp为5121024bit的大素数，nq是（p1）的素因子，为160比特的素数，ng=h(p-1)/q mod p,且1h1，g的阶为q。用户私钥x：x为0 xq内的随机数用户公钥y：y=gx mod p (KUa)1/2/202360认证与数字签名认证与数字签名用户每个消息用的秘密随机数k：0kq;签名过程：对报文M，签名为（r，s）nr=(gk mod p)mod qns=(k-1(H(M)+xr

38、)mod q验证：nw s-1 mod q na=(H(M)w)mod q b=rw mod qnv=(ga yb)mod p)mod qVer（M，r，s）真 if v=r 1/2/202361认证与数字签名认证与数字签名HMMs|KRaSigVer比较HrKUGKUG&KUakDSS方案HMMKUaEKRa H(M)|KRaED比较RSA方案H 1/2/202362认证与数字签名认证与数字签名盲签名nChaum在1983年提出。n需要某人对文件签名，但又不想签名者知道文件内容，称为盲签名。n适应于电子选举、数字货币协议中。n零知识证明群签名n群签名是群体密码学中的课题，1991由Chaum和van Heyst提出。n特点：1 只有群体成员才能代表群体签名；2 可用公钥验证签名，但不知是谁签的名；3 争议发生时可由群体成员或可信第三方确认签名者。（如发签证）其他有用的签名方案：1/2/202363认证与数字签名认证与数字签名小结小结散列函数nSHA1和MD5算法n安全性和生日攻击数字签名n数字签名算法，RSA，DSSn为什么要使用散列算法 1/2/202364认证与数字签名认证与数字签名 1/2/202365认证与数字签名认证与数字签名