密码学--数字签名讲义.pptx

《密码学--数字签名讲义.pptx》由会员分享，可在线阅读，更多相关《密码学--数字签名讲义.pptx（24页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、密密 码码 学学南京农业大学信息学院南京农业大学信息学院主讲：赵力主讲：赵力签名为什么如此引人注目呢？签名为什么如此引人注目呢？签名是签名是可信可信的；的；签名签名不可伪造不可伪造；签名签名不可重用不可重用；签名的文件签名的文件不可改变不可改变；签名签名不可抵赖不可抵赖。而现实生活中，关于签名的这些而现实生活中，关于签名的这些陈述没有一个是完全真实的。陈述没有一个是完全真实的。现实生活中，签名能够被伪造，现实生活中，签名能够被伪造，签名能够从一篇文章盗用移到另一签名能够从一篇文章盗用移到另一篇文章中，文件在签名后能够被改篇文章中，文件在签名后能够被改变。然而，我们之所以愿意与这些变。然而，我们

2、之所以愿意与这些问题纠缠在一起，是因为欺骗是困问题纠缠在一起，是因为欺骗是困难的，并且还要冒被发现的危险。难的，并且还要冒被发现的危险。我们或许愿意在计算机上做这我们或许愿意在计算机上做这种事情，但还存在一些问题。种事情，但还存在一些问题。计算机文件易于复制计算机文件易于复制，即使某人的，即使某人的签名难以伪造（例如，手写签名的签名难以伪造（例如，手写签名的图形），但是从一个文件到另一个图形），但是从一个文件到另一个文件剪裁和粘贴有效的签名都是很文件剪裁和粘贴有效的签名都是很容易的。这种签名没有什么意义。容易的。这种签名没有什么意义。文件在签名后也易于修改文件在签名后也易于修改，并且不，并且不

3、会留下任何修改的痕迹。会留下任何修改的痕迹。但我们还是要解决但我们还是要解决计算机签名的问题计算机签名的问题数数字签名字签名。第十讲第十讲 数字签名数字签名基于基于共享密钥共享密钥的报文鉴别技术用于保护通的报文鉴别技术用于保护通信双方，使其免受来自第三方的攻击。但却信双方，使其免受来自第三方的攻击。但却无法防止通信双方之间的互相攻击，也不能无法防止通信双方之间的互相攻击，也不能有效防止通信双方的欺骗和抵赖行为。有效防止通信双方的欺骗和抵赖行为。现代经济生活中，大量的交易可能通过网现代经济生活中，大量的交易可能通过网络进行，因此，除报文鉴别技术以外，迫切络进行，因此，除报文鉴别技术以外，迫切需要

4、一种技术手段来防止通信中的抵赖和欺需要一种技术手段来防止通信中的抵赖和欺骗行为。骗行为。数字签名的基本特性：数字签名的基本特性：数字签名是对现实生活中笔迹签名的模拟。数字签名是对现实生活中笔迹签名的模拟。它应该具有：它应该具有：必须能够用来证实必须能够用来证实签名者签名者和签名的和签名的时间时间；必须能够对必须能够对消息的内容消息的内容进行鉴别；进行鉴别；签名应具有法律效力，必须能够被第三方签名应具有法律效力，必须能够被第三方仲裁仲裁，以解决争端。，以解决争端。由此，归纳出数字签名的设计目标：由此，归纳出数字签名的设计目标：数字签名的设计目标（数字签名的设计目标（1）签名必须是签名必须是与消息

5、相关与消息相关的二进制位串。的二进制位串。签名必须使用签名必须使用发送方某些独有的消息发送方某些独有的消息，以防伪造和否认。以防伪造和否认。产生数字签名比较容易。产生数字签名比较容易。识别和验证签名比较容易。识别和验证签名比较容易。数字签名的设计目标（数字签名的设计目标（2）伪造数字签名在计算上是不可行的。伪造数字签名在计算上是不可行的。无论是从给定的数字签名伪造消息，无论是从给定的数字签名伪造消息，还是从给定的消息伪造数字签名，还是从给定的消息伪造数字签名，在计算上都是不可行的。在计算上都是不可行的。保存数字签名的拷贝是可行的。保存数字签名的拷贝是可行的。目前，已经有多种数字签名的目前，已经

6、有多种数字签名的解决方案和数字签名计算函数。按解决方案和数字签名计算函数。按照其技术特点，这些方案可分为两照其技术特点，这些方案可分为两类：类：直接数字签名直接数字签名基于仲裁的数字签名基于仲裁的数字签名直接数字签名直接数字签名在技术上仅涉及通信双方，即在技术上仅涉及通信双方，即源点源点X X和和终点终点Y Y。终点终点Y Y需要了解源点需要了解源点X X的公开密钥的公开密钥K KUxUx。发送方发送方X X可以可以使用其私有密钥使用其私有密钥K KRxRx对对整个消息报文整个消息报文进行加密来生成数字签名；进行加密来生成数字签名；消息报文的散列码消息报文的散列码进行加密来形成数字签名进行加密

7、来形成数字签名（更好的方法更好的方法）。）。1 1计算消息计算消息计算消息计算消息MM的散列码：的散列码：的散列码：的散列码：HH(MM)2 2使用使用使用使用X X的私人密钥的私人密钥的私人密钥的私人密钥K KRxRx对对对对HH(MM)进行加密，形成：进行加密，形成：进行加密，形成：进行加密，形成：E EKKRxRx(H(M)(H(M)3 3使用使用使用使用Y Y的公开密钥的公开密钥的公开密钥的公开密钥K KUyUy对对对对MM和和和和E EKKRxRx(H(M)(H(M)进行加进行加进行加进行加密，形成：密，形成：密，形成：密，形成：E EKKUyUy(M|E(M|EKKRxRx(H(M

8、)(H(M)4 4将将将将E EKKUyUy(M|E(M|EKKRxRx(H(M)(H(M)发送给发送给发送给发送给Y Y。直接数字签名举例直接数字签名举例-发送方发送方X接收方接收方Y收到收到EKUy(M|EKRx(H(M)，Y将将1 1使用自己的私人密钥使用自己的私人密钥使用自己的私人密钥使用自己的私人密钥KKRyRy对对对对E EKKUyUy(M|E(M|EKKRxRx(H(M)(H(M)进行解密，得到：进行解密，得到：进行解密，得到：进行解密，得到：MM和和和和E EKKRxRx(H(M)(H(M)2 2使用使用使用使用X X的公钥对的公钥对的公钥对的公钥对E EKKRxRx(H(M)

9、(H(M)进行解密，得到：进行解密，得到：进行解密，得到：进行解密，得到：HH(MM)3 3计算计算计算计算MM的散列码的散列码的散列码的散列码HH(MM)4 4比较比较比较比较HH(MM)与与与与HH(MM)，如果相等，可证实消息确实，如果相等，可证实消息确实，如果相等，可证实消息确实，如果相等，可证实消息确实来自来自来自来自X X。直接数字签名举例直接数字签名举例-接收方接收方Y数字签名生成后，可对整个报文和签名数字签名生成后，可对整个报文和签名进行进一步加密以增强数据通信的保密性。进行进一步加密以增强数据通信的保密性。加密可以是基于公开密钥方式，也可以加密可以是基于公开密钥方式，也可以是

10、基于对称密钥方式。是基于对称密钥方式。报文及签名可以保存在存储介质中，以报文及签名可以保存在存储介质中，以备解决争端时使用。备解决争端时使用。在这种情况下，第三方必须掌握解密密在这种情况下，第三方必须掌握解密密钥才能查看报文和签名钥才能查看报文和签名。对直接数字签名的讨论对直接数字签名的讨论直接数字签名方案在安全性上存在一个直接数字签名方案在安全性上存在一个共同的弱点：共同的弱点：方案的安全性依赖于发送方方案的安全性依赖于发送方X私私有密钥的安全性。有密钥的安全性。发送方可以声称自己的私有密钥丢失或发送方可以声称自己的私有密钥丢失或被盗用，而否认其发送过某个报文。被盗用，而否认其发送过某个报文

11、。若对私有密钥引入额外的管理控制，将若对私有密钥引入额外的管理控制，将限制给签名方案的适用范围。限制给签名方案的适用范围。解决的方案：解决的方案：引入第三方作为仲裁引入第三方作为仲裁基于仲裁的数字签名基于仲裁的数字签名每个从每个从X发往发往Y的签名的签名报文报文首先被送给仲裁者首先被送给仲裁者A，A检验该报文及其签名的出处和内容，检验该报文及其签名的出处和内容，然后对报文注明日期，并附加一个然后对报文注明日期，并附加一个“仲裁仲裁证实证实”的标记发给的标记发给Y。基于仲裁的数字签名基于仲裁的数字签名仲裁者仲裁者A的引入解决了直接签名方案所面临的的引入解决了直接签名方案所面临的发送者的否认行为带

12、来的难题。发送者的否认行为带来的难题。在这种方案中，仲裁的地位非常关键和敏感，在这种方案中，仲裁的地位非常关键和敏感，它必须是一个所有通信方都能充分信任的仲它必须是一个所有通信方都能充分信任的仲裁机构；也就是说，裁机构；也就是说，仲裁者仲裁者A必须是一个可信必须是一个可信的系统。的系统。基于仲裁的数字签名方案一基于仲裁的数字签名方案一传统加密，传统加密，A能阅读消息能阅读消息Y可以存储报文可以存储报文M及签名。及签名。解决争端解决争端当发生争执时，例如，当发生争执时，例如，X否认他自己的行为时，否认他自己的行为时，Y可向可向A发出报文。发出报文。那么，仲裁那么，仲裁A就可就可用用用用K Kay

13、ay恢复出恢复出恢复出恢复出IDIDx x、MM及签名，及签名，及签名，及签名，用用用用K Kaxax对签名解密并验证其散列码，对签名解密并验证其散列码，对签名解密并验证其散列码，对签名解密并验证其散列码，这样就可断定报文这样就可断定报文这样就可断定报文这样就可断定报文MM是否是是否是是否是是否是X X发送的。发送的。发送的。发送的。方案特点方案特点报文内容报文内容M以明文方式传送给仲裁者以明文方式传送给仲裁者A，有，有可能被窃听。可能被窃听。X和和Y对对A是高度信任的是高度信任的X X确信确信确信确信A A不会泄漏密钥不会泄漏密钥不会泄漏密钥不会泄漏密钥K Kaxax，因此不会产生伪造的，因

14、此不会产生伪造的，因此不会产生伪造的，因此不会产生伪造的签名；签名；签名；签名；Y Y也确信也确信也确信也确信A A发来的报文发来的报文发来的报文发来的报文MM是经过验证的、确实来是经过验证的、确实来是经过验证的、确实来是经过验证的、确实来自自自自X;X;X X、Y Y确信确信确信确信A A能公平地解决争端。能公平地解决争端。能公平地解决争端。能公平地解决争端。基于仲裁的数字签名方案二基于仲裁的数字签名方案二传统加密，传统加密，A不能阅读消息不能阅读消息尽管尽管A无法阅读消息报文无法阅读消息报文M中的内容，但它仍中的内容，但它仍能防止能防止X和和Y中某一方不诚实。中某一方不诚实。但仲裁但仲裁A

15、仍可能与仍可能与X或或Y勾结来否认签名报文，勾结来否认签名报文，或伪造发送方的签名。或伪造发送方的签名。基于仲裁的数字签名方案三基于仲裁的数字签名方案三公钥加密，公钥加密，A不能阅读消息不能阅读消息在通信前，通信各方没有任何共享的信息，在通信前，通信各方没有任何共享的信息，可防止各方相互进行结盟欺骗。可防止各方相互进行结盟欺骗。X发给发给Y的报文内容对其他人都是保密的，包的报文内容对其他人都是保密的，包括括A在内。在内。数字签名的其它应用数字签名的其它应用不可抵赖的数字签名不可抵赖的数字签名代理签名代理签名团体（多重）签名团体（多重）签名盲签名盲签名选举（投票）签名选举（投票）签名数字签名标准数字签名标准