2010-《数字签名与认证技术》讲义-4-7 章
2010-《数字签名与认证技术》讲义-8-10章
第八章 MDC (1)( 2学时)【讲授内容】1. Hash 函数的安全性 2. Hash 函数的构造8.1 Hash 函数的安全性MDC 的安全性首先以MDC 在数字签名中的应用为例,说明原象性阻止性、第二原象阻止性和碰撞阻止性这三种性质的必要性。
在使用MDC 的数字签名中,如果签名者 A 要对消息 x 签名,MDC 需要具有第二原象阻止性。
否则攻击者 C 可以选择'x ,使得)()'(x h x h = ,并宣称 A 是对'x 的签名,这就形成了伪造签名;当攻击者 C 能够自己选择消息让 A 签名时,MDC 需要具有碰撞阻止性,因为此时 C 可以任选一对碰撞消息),'(x x ,这比选择第二原象要容易得多。
之后让 A 对 x 签名,而 C 却宣称是 A 对'x 的签名,这样也能形成伪造签名;原象阻止性的情况稍复杂,我们以RSA 签名为例说明。
在RSA 签名中,签名者 A 用私钥 d 签名,验证者用 A 的公钥(e, n )验证。
对消息 x 进行MDC 之后,A 作签名n x h y d mod ))((=。
此时要求MDC 具有原象阻止性,否则攻击者 C 能够伪造签名:随机选择一个y’,计算n y z e mod )'(=,反向计算)'(x h z =,求出 x’,然后声称 y’ 是 A 对 x’ 的签名,此时签名能够成功伪造:'mod ))'((mod )(mod ))'((y n y n z n x h d e d d ===其次说明原象性阻止性、第二原象阻止性和碰撞阻止性这些性质之间的关系。
(1)定理:碰撞阻止性包含第二原象阻止性。
证明:假设h 是碰撞阻止的,如果h 不是第二原象阻止的,则对于确定的x ,可以找到'x ,满足)()'(x h x h =,这样)',(x x 就产生碰撞,与假设矛盾。
第4章 数字签名与认证技 《电子商务安全》PPT课件
RSA签名 ElGamal签名
其他签名 认证技术 数字信封 数字时间戳 数字证书 数字签名的应用前景 本章小结
第4章 数字签名与认证技术
4.2 数字签名 4.2.1 数字签名概述 数字签名的实现过程 根据上述特征可得知数字签名实现的基本过程。假 设A要发送一个电子文件给B,A、B双方只需要经 过下面三个环节即可。
5. 输入x可以为任意长度,输出数据串 长度固定。
6. 抗冲突性(抗碰撞性)
电子商务安全
报文检验码与hash函数 报文验证码 hash函数 SHA-1算法 数字签名
数字签名概述 数字签名的分类
数字签名方案
RSA签名 ElGamal签名
其他签名 认证技术 数字信封 数字时间戳 数字证书 数字签名的应用前景 本章小结
根据对消息进行签名的内容不同,数 字签名可分为两种:一种是对整个消 息的签名,也就是对整个消息进行密 码变换生成消息的密文信息;另一种 是前面所描述的对报文的摘要进行签 名,也就是对消息摘要进行密码变换 生成摘要的密文信息,然后将其作为 签名附在报文之后。
电子商务安全
报文检验码与hash函数 报文验证码 hash函数 SHA-1算法 数字签名
数字签名方案
RSA签名 ElGamal签名
其他签名 认证技术 数字信封 数字时间戳 数字证书 数字签名的应用前景 本章小结
第4章 数字签名与认证技术
4.4 认证技术
4.4.1 数字信封
(1)A用其私钥加密文件,这便是签名过程; (2)A将加密的文件送到B; (3)B用A的公钥解开A送来的文件。
电子商务安全
报文检验码与hash函数 报文验证码 hash函数 SHA-1算法 数字签名
数字签名概述 数字签名的分类
数字签名与认证技术
可编辑ppt
3
哈希函数必须具有的特性
单向性:给定M和H,求h=H(M)容易,但反过 来给定h,寻找一个M’使H(M’)=h在计算上是不 可行的;
可编辑ppt
Y
24
需要仲裁的数字签名
(1)对称加密,仲裁能看到消息 解决纠纷: B:向Y发送EKYB[IDA|| M || EKAY[IDA|| H(M)]] Y:用KYB恢复IDA,M,和签名EKAY[IDA|| H(M)],然后
2004年8月美国加州召开的国际密码学会议,王 小云做了破译MD5等算法的报告,产生了很大的 影响。
MD5设计者说到:“这些结果无疑给人非常深刻 的印象,她应当得到我最热烈的祝贺,虽然我不 希望看到MD5这样倒下,但人必须尊重真理”
可编辑ppt
12
哈希函数 数字签名 消息鉴别 身份认证 身份认证实例-Kerberos 数据保护工具
可编辑ppt
13
数字签名的引入
如何应对以下的攻击方式
发送方不承认自己发送过某一报文 接收方自己伪造一份报文,并声称它来自发送方 某个用户冒充另一个用户接收或发送报文 接收方对收到的消息进行修改
数字签名可以解决以上争端源自可编辑ppt14数字签名概念
数字签名就是利用一套规则对数据进行计算的 结果,用此结果能确认签名者的身份和数据的 完整性
第5章 数字签名与认证技术
可编辑ppt
1
目录
哈希函数 数字签名 消息鉴别 身份认证 身份认证实例-Kerberos 数据保护工具
可编辑ppt
数字签名及身份认证课件
第3章 数字签名和认证技术
数字签名机制提供了一种鉴别方法, 通常用于银行、 电子贸 易方面等,以解决如下问题:
(1) 伪造:接收者伪造一份文件,声称是对方发送的; (2)抵赖:发送者或接收者事后不承认自己发送或接收过文 件; (3)冒充:网上的某个用户冒充另一个用户发送或接收文件; (4) 篡改:接收者对收到的文件进行局部的篡改。
1)报文加密函数。加密整个报文,以报文的密文作为鉴别。 2)报文鉴别码。依赖公开的函数对报文处理,生成定长的鉴 别标签。 3)散列函数。将任意长度的报文变换为定长的报文摘要,并 加以鉴别。
2
第3章 数字签名和认证技术
3.1.1 报文鉴别概述 鉴别是验证通信对象是原定的发送者而不是冒名顶替者
的技术。既,通信的接收方能够鉴别验证所收到的报文的真伪。 1、报文源的鉴别 接收方使用约定的密钥(由发方决定)对收到的密文进
6
第3章 数字签名和认证技术
(2)询问—应答 用户A向B发出一个一次性随机数作为询问, 如果收到 B 发来的消息(应答)也包含一正确的一次性随机数, A就认为B发来的消息是新的并接收之。
其中时间戳法不能用于面向连接的应用过程,这是由于时间 戳法在实现时有它的困难性。首先是需要在不同的处理器时钟之 间保持同步,那么所用的协议必须是容错的以处理网络错误,并 且是安全的以对付恶意攻击。第二,如果协议中任一方的时钟出 现错误而暂时地失去了同步,则将使敌方攻击成功的可能性增加。 最后还由于网络本身存在着延迟,因此不能期望协议的各方能保 持精确的同步。所以任何基于时间戳的处理过程,协议等都必须 允许同步有一个误差范围。考虑到网络本身的延迟,误差范围应 足够大,考虑到可能存在的攻击,误差范围又应足够小。 31
35
数字签名与身份认证
消息摘要
消息摘要由单向散列函数对一个消息作用 而生成。
消息摘要有固定的长度。
不同的消息其摘要不同,相同的消息其摘 要相同,因此摘要成为消息的“指纹”。
基本过程:
Alice对消息摘要签名
文件P
单
向
散 消息
散列签名
列 摘要 DA DA (H(P))
函 H(P)
数
H
文件P
Bob验证签名
EA 消息摘要H(P)
盲签名的过程:
(1)Alice将文件M乘一个随机数得M’,这个随机数通常称 为盲因子,Alice将盲消息M’送给Bob;
(2)Bob在M’上签名后,将其签名Sig(M’)送回Alice;
(3)Alice通过除去盲因子,可从Bob关于M’的签名Sig( M’)中得到Bob关于原始文件M的签名Sig(M)。
➢利用申请的数字证书在windows live mail中发送 数字签名信件
➢利用他人的数字证书在windows live mail中发 送加密信件
查看数字签名邮件
4.2 身份认证技术
4.2.1 身份认证的概念 4.2.2 身份认证的主要方法 4.2.3 身份认证的协议
➢身份认证概念
身份认证(身份识别):证实客户的真 实身份与其所声称的身份是否相符的过 程。它是通信和数据系统正确识别通信 用户或终端的个人身份的重要途径。
➢多重签名
多重签名是面对团体而使用的,即一个文 件需要多个人进行签署。
假设A和B都需要对文件进行签名: 一是A和B各对文件副本签名 二是先由A对文件签名,B再对A的签名结果 进行签名
数字时间戳(digital time-stamp)用于证明消息的收 发时间。因此需要一个可信任的第三方-时间戳权威 TSA(time stamp authority),来提供可信赖的且不可 抵赖的时间戳服务。
网络安全讲义 4章(数字签名和认证协议)
第 13 章数字签名和认证协议(一)回顾与总结●消息鉴别(Message Authentication):是一个证实收到的消息来自可信的源点且未被篡改的过程。
●散列函数(Hash Functions):一个散列函数以一个变长的报文作为输入,并产生一个定长的散列码,有时也称报文摘要,作为输出。
●数字签名(Digital Signature)是一种防止源点或终点抵赖的鉴别技术。
(二)讨论议题●数字签名(Digital Signature)●认证协议(Authentication Protocol)(三)数字签名●消息鉴别用以保护双方之间的数据交换不被第三方侵犯;但它并不保证双方自身的相互欺骗。
假定A发送一个认证的信息给B,双方之间的争议可能有多种形式:– B伪造一个不同的消息,但声称是从A收到的。
– A可以否认发过该消息,B无法证明A确实发了该消息。
●例如:EFT系统(Electronic Funds Transfer system,电子支付或电子资金转账系统)中改大金额;股票交易指令亏损后抵赖。
●传统签名的基本特点:①能与被签的文件在物理上不可分割②签名者不能否认自己的签名③签名不能被伪造④容易被验证●数字签名是传统签名的数字化,基本要求:①能与所签文件“绑定”②签名者不能否认自己的签名③签名不能被伪造④容易被自动验证13.1数字签名13. 1. 1 对数字签名的要求(一) 数字签名应具有的性质●必须能够验证作者及其签名的日期时间;●必须能够认证签名时刻的内容;●签名必须能够由第三方验证,以解决争议;因此,数字签名功能包含了鉴别的功能(二) 数字签名的设计要求●签名必须是依赖于被签名信息的一个位串模式;●签名必须使用某些对发送者是唯一的信息,以防止双方的伪造与否认;●必须相对容易生成该数字签名;●必须相对容易识别和验证该数字签名;●伪造该数字签名在计算复杂性意义上具有不可行性,既包括对一个已有的数字签名构造新的消息,也包括对一个给定消息伪造一个数字签名;●在存储器中保存一个数字签名副本是现实可行的。
第四讲 数字签名与认证技术.概要
4.1.1 数字签名原理
所谓数字签名就是通过某种密码运算生成一系 列符号及代码组成电子密码进行签名,来代替书写 签名或印章,对于这种电子式的签名还可进行技术 验证,其验证的准确度是一般手工签名和图章的验 证无法比拟的。 数字签名是目前电子商务、电子政务中应用最 普遍、技术最成熟、可操作性最强的一种电子签名 方法。它采用了规范化的程序和科学化的方法,用 于鉴定签名人的身份以及对一项电子数据内容的认 可。它还能验证出文件的原文在传输过程中有无变 动,确保传输电子文件的完整性、真实性和不可抵 赖性。
2019/1/27 计算机网络安全 3
4.1.1 数字签名原理
联合国贸发会的《电子签名示范法》中对电 子签名做如下定义:“指在数据电文中以电子形 式所含、所附或在逻辑上与数据电文有联系的数 据,它可用于鉴别与数据电文相关的签名人和表 明签名人认可数据电文所含信息”; 在欧盟的《电子签名共同框架指令》中就规 定:“以电子形式所附或在逻辑上与其他电子数 据相关的数据,作为一种判别的方法”称电子签 名。
2019/1/27 计算机网络安全 6
4.1.2 数字签名的种类
2. 生物识别技术 利用人体生物特征进行身份认证的一种技术。 生物特征是一个人与他人不同的唯一表征,它是 可以测量、自动识别和验证的。生物识别系统对 生物特征进行取样,提取其唯一的特征进行数字 化处理,转换成数字代码,并进一步将这些代码 组成特征模板存于数据库中。人们同识别系统交 互进行身份认证时,识别系统获取其特征并与数 据库中的特征模板进行比对,以确定是否匹配, 从而决定确认或否认此人。
2019/1/27 计算机网络安全 7
4.1.2 数字签名的种类
生物识别技术主要有以下几种。 1) 指纹识别技术 可以将一份纸质公文或数据电文按手印签名或放 于IC 卡中签名。但这种签名需要有大容量的数据 库支持,适用于本地面对面的处理,不适宜网上 传输。 2) 视网膜识别技术 使用困难,不适用于直接数字签名和网络传输。 3) 声音识别技术 这种技术精确度较差,使用困难,不适用于直接 数字签名和网络传输。
第7章 数字签名与认证
解释
单向性的解释: 或许已经知道了许多对(x*, y*),满足y*=H(x*); 或许一个新的y确实存在一个x满足y=H(x); 然而实际找到这样的x却很困难,在计算上行不通。 无碰撞性的解释: 或许已经知道了许多对(x*, y*),满足y*=H(x*); 或许确实存在(x1,x2)满足: x1≠x2,H(x1)= H(x2); 然而实际找到这样的(x1,x2)却很困难,在计算上行不通。
3、数字签名的基本概念
数字签名应具有以下特性: (1)不可伪造性 除了签名者外,任何人都不能伪造签名者的 合法签名。 (2)认证性 接收者相信这份签名来自签名者。 (3)不可重复使用性 一个消息的签名不能用于其他消息。 (4)不可修改性 一个消息在签名后不能被修改。 (5)不可否认性 签名者事后不能否认自己的签名。
④ 从签名方程:ak (b+cx)mod q中解出s,其 中方程的系数a、b、c有多种选择,下表给出 了一部分可能的选择。 对消息m的签名为(r, s)。
5、离散对数签名方案
(1)参数与密钥生成
p:大素数。 q:p 1或p 1的大素因子。 q * g Z g 1mod p g: R p ,且
x:用户A的私钥,1<x<q。 y:用户A的公钥,y g x mod p。
(2)签名 对于消息m,A执行以下步骤:
① 计算的m的Hash值h(m)。 ② 随机选择整数k,1<k<q。 ③ 计算r gk mod p。
,
n大,
s Sig k (m) h(m) mod n
d
① 任何人都可以伪造某签名者对于随机消息m 的签名s: 先选取s,再用该签名者的公钥(e,n)计算
第四章数字签名
r=f2(k, p, q, g)=(gk mod p) mod q
p q g
f2f 2 k
r x g
f1 m H
s
(a)
DSA的验证过程框图
w=f3(s′, q)=(s′) -1mod q;
v=f4(y, q, g, H(m′), w, r′)
=[(g(H(m′)w)
m′ s′ r′
mod qyr′w mod q)
签名者 签名有效 时间
源文件被修改后,签 名无效
数字签名应具有的性质
必须能够验证作者及其签名的日期时间;
必须能够认证签名时刻的内容; 签名必须能够由第三方验证,以解决争议; 因此,数字签名功能包含了认证的功能; WHY?
数字签名的设计要求
依赖性 唯一性 可验性 抗伪性 可用性
签名必须是依赖于被签名信息的一个比特模式,
(4) 用户为待签消息选取的秘密数k是满足0<k<q的随机数 或伪随机数。
(5) 签名过程。 用户对消息m的签名为(r, s), 其中 r=(gk mod p) mod q s=[k-1(H(m)+xr)] mod q H(m)是由SHA求出的杂凑值。
(6) 验证过程。 设接收方收到的消息为m′, 签名为(r′,s′)。 计算
签名方案2
(1)X→A: IDX‖ EkXY[m]‖ EkXA[IDX‖H(EkXY[m])] (2)A→Y:
EkAY[IDX‖EkXY[m]‖EkXA[IDX‖H(EkXY[m])]‖T]
kXY——X、Y共享的密钥
签名方案2存在的问题
仲裁者有可能和发方共谋以否认发方曾发
过的消息,也可以和收方共谋以伪造发方的签 名。
签名必须使用某些对发送者是唯一的信息,以防伪造与否认;
网络安全基础教程第4章 数字签名技术
(5)签名是不可抵赖的,签名者事后不能否认自己的签名
(可以由第三方或仲裁方来确认双方的信息,以作出仲裁); (6)签名的产生、识别和证实必须相对简单; (7)签名必须与签名的信息相关,当签名后的数据发生改变 时,该签名将成为无效的签名。
2017/7/24
6
4.2.2 数字签名的基本原理和特性
1.数字签名的原理
4.3.2 数字签名的产生方式
数字签名可以使用加密算法(传统密码算法和公钥密码算法)或 特定的签名算法来产生。
2017/7/24
11
1.由加密算法产生数字签名 利用加密算法产生数字签名是指将消息或消息的摘要加密后的 密文作为对该消息的数字签名,其用法又因是单钥(传统)密码算 法还是公钥密码算法而有所不同。 (1)由单钥密码算法(传统密码算法)产生数字签名 在下图中,发送方A根据单钥加密算法以与接收方B共享的密钥K对消 息M加密后的密文作为对M的数字签名发往B。该系统能向B保证所收到的 消息的确来自A,因为只有A知道密钥K。再者B恢复出M后,可相信M未被 篡改,因为攻击者不知道K就不知道如何通过修改密文而修改明文。
2017/7/24
13
2.由签名算法产生数字签名
4.3.3 数字签名的分类
1.直接方式的数字签名 直接方式是指数字签名的执行过程只有通信双方参与,并假定 双方有共享的秘密密钥或接收方知道发送方的公开密钥。 直接方式的数字签名有一个公共弱点,即方案的有效性取决于 发送方秘密密钥的安全性。
码技术和公钥密码技术)及特定的签名算法均可以获得数字签名.
2017/7/24
4
4.2 数字签名的基本原理
4.2.1 数字签名应满足的要求
为了保证数字签名的效果,数字签名必须满足以下要求: 效性;
第四章 数字签名与认证技术
06:20:20
哈希函数的性质
定义 哈希(Hash)函数是一个输入为任意长的二元
串,输出为固定长度的二元串的函数。一般用
H(·)表示哈希函数,若输出是长度为l的二元串,
哈希函数表示为:
H(·):{0,1}*→{0,1}l
06:20:20
定义
哈希函数H(·):{0,1}*→{0,1}l称为具有抗
第二原像性(Second Preimage Resistant),
是指任意给定M∈{0,1}*及其信息摘要H(M),求 出M′∈{0,1}*且M′≠M,使得H(M′)=H(M)是
困难的。
06:20:20
哈希函数的性质
定义
哈希函数H(·):{0,1}*→{0,1}l称为具有抗
06:20:20
4.2 消息认证与哈希函数
哈希函数的性质 哈希函数的结构 安全哈希函数(SHA) 消息认证
06:20:20
安全哈希函数(SHA) 安全哈希函数(SHA)
由美国国家标准和技术协会 (NIST)提出的,于1993年作为 美国联邦消息处理标准(FIPS PUB 180)公布。1995年NIST发 布了它的修订版(FIPS 180-1), 通常称为SHA-1
第4章 数字签名与认证技术
06:20:20
第四章 数字签名与认证技术
在网络环境下,数字签名与认证技术是信 息完整性和不可否认性的重要保障,是公钥密 码体制的重要应用。信息的发送方可以对电子 文档生成数字签名,信息的接收方则在收到文 档及其数字签名后,可以验证数字签名的真实 性。身份认证则是基于数字签名技术为网络世 界中实体的身份提供可验证性。
第4章数字签名与CA认证技术课件全文编辑修改
网络信息安全
二、数字签名的应用原理
(1)发送方利用数字摘要技术,使用单向Hash函数对信息报文M进行数学变换,得到信息报文的数字摘要A; (2)发送方使用公开密钥加密算法,利用自己的私人密钥对数字摘要A进行加密(签名),得到一个特殊的字符串,称为数字标记(这个特殊的数字标记就是发送者加在信息报文上的数字签名): (3)发送方把产生的数字签名附在信息报文之后,一同通过因特网发给接收方:
网络信息安全
不可否认签名(二)
不可否认协议可以证实以下两点: a)签名者可以证实接收者所提供的假签名确实是假的; b)接收者提供的真签名不可能(极小的成功概率)被签名者证实是假的
网络信息安全
盲签名(一)
需要某个人对某数据签名,而又不能让他知道数据的内容,我们称这种签名为盲签名(Blind Signature)。在无记名投票选举和数字化货币系统中往往需要这种盲签名。
网络信息安全
二、数字签名的安全性
(1)数字签名利用密码技术进行,是一组其他任何人无法伪造的数字串,通过数字签名可以达到与传统签名同样的效果,并且比真实的签名更具有不可伪造性。(2)数字签名的特点是它代表了文件的特征,文件如果发生改变,数字签名的值也将发生变化,并没有第二个人可以做出同样的签名。(3)数字签名技术的实质在于对特定数据单元的签名,而不是加密整个文件。因此,数字签名在提供数据完整性的同时,也可以保证数据的真实性。完整性保证传输的数据没有被修改,而真实性则保证文件确实是由合法者产生,而不是由其他人假冒,(4)当该签名得到检验之后,能够在任何时候向第三方即仲裁人提供签名人的身份的证明。
网络信息安全
盲签名(二)
盲签名与普通签名相比有两个显著的特点: ①签名者不知道所签名的数据内容; ②在签名被接收者泄露后,签名者不能追踪签名。
计算机网络安全技术-第4章数字签名与CA认证技术
数字签名与CA认证技术的比较与选择
数字签名和CA认证技术在实现 数据完整性和身份认证方面具
有不同的优势和适用场景。
CA认证适用于大规模的安全需 求场景,如企业网络、电子商 务等,可以提供全面的身份认 证和通信安全保障。
数字签名适用于较小规模的安 全需求场景,如电子邮件、软 件发布等,可以提供端到端的
详细描述
RSA数字签名算法基于数论中的一些基本原理,如大数因子分解和模幂运算。该算法使用一对密钥,一个公钥用 于加密和验证签名,另一个私钥用于解密和生成签名。私钥用于对消息进行签名,生成一个数字签名,公钥用于 验证该签名的有效性。
DSA数字签名算法
总结词
DSA数字签名算法是一种基于离散对数问题的数字签名算法,它使用一对密钥, 一个用于签名,另一个用于验证。
CA认证的定义
CA认证(Certificate Authority Authentication)是一种基于公钥基 础设施(PKI)的网络安全认证机制, 用于验证网络通信双方的身份真实性 和可信度。
CA认证通过颁发数字证书,对网络通 信中的用户或设备进行身份识别,确 保只有授权的用户或设备才能访问特 定的网络资源或服务。
详细描述
ECDSA数字签名算法基于椭圆曲线密码学,使用一对密钥进行签名和验证。私钥用于生成数字签名, 公钥用于验证签名的有效性。ECDSA数字签名算法具有较高的安全性和效率,被广泛应用于金融、电 子商务等领域。
04 CA认证技术的实现方式
证书颁发流程
用户向CA机构提出证书申请
01
用户需要在CA机构处注册账号,并提交必要的信息以进行身份
CA认证的原理
证书颁发
CA作为第三方信任机构,负责颁发数字证书,其中包含公钥、证书持有者的身份信息以 及CA的签名等。
第四讲 数字签名与认证技术
4.1.2 数字签名的种类
2. 生物识别技术 利用人体生物特征进行身份认证的一种技术。 生物特征是一个人与他人不同的唯一表征,它是 可以测量、自动识别和验证的。生物识别系统对 生物特征进行取样,提取其唯一的特征进行数字 化处理,转换成数字代码,并进一步将这些代码 组成特征模板存于数据库中。人们同识别系统交 互进行身份认证时,识别系统获取其特征并与数 据库中的特征模板进行比对,以确定是否匹配, 从而决定确认或否认此人。
2014-6-9
计算机网络安全
22
4.2.2 数据完整性鉴别
目前对于动态传输的信息,许多协议确保信 息完整性的方法是收错重传、丢弃后续包的办法, 但黑客的攻击可以改变信息包内部的内容,所以 应采取有效的措施来进行完整性控制。 (1) 报文鉴别:将报文名字段(或域)使用一定的 操作组成一个约束值,称为该报文的完整性检测 向量 ICV 。然后将它与数据封装在一起进行加密, 传输过程中由于侵入者不能对报文解密,所以也 就不能同时修改数据并计算新的 ICV ,这样,收 方收到数据后解密并计算ICV,若与明文中的ICV 不同,则认为此报文无效。
2014-6-9 计算机网络安全 23
4.2.2 数据完整性鉴别
(2) 校验和:计算出该文件的校验和值并与上次计 算出的值比较。若相等,则说明文件没有改变;若 不等,则说明文件可能被未察觉的行为改变了。 (3) 加密校验和:将文件分成小块,对每一块计算 CRC校验值,然后再将这些CRC值加起来作为校验和。 这种机制运算量大,并且昂贵,只适用于那些完整 性要求极高的情况。 (4) 消息完整性编码MIC(Message Integrity Code): 使用简单单向散列函数计算消息的摘要,连同信息 发送给收方,收方重新计算摘要,并进行比较验证 信息在传输过程中的完整性。
第七章认证理论与技术数字签字.pptx
(7—2—1)
第七讲:数字签字与身份证明
二、几种常用的数字签字
(5) 标准化:ISO/IEC 9796和ANSI X9.30-199X已将RSA作为 建议数字签字标准算法。PKCS #1是一种采用杂凑算法(如 MD2或MD5等)和RSA相结合的公钥密码标准。
2. ElGamal签字体制。 由T.ElGamal在1985年给出,是Rabin 体制的一种变型。
身份证明:在一个有竞争和争斗的现实社会中,身份欺诈 是不可避免的,因此常常需要证明个人的身份。 传统的 身份证明一般靠人工的识别,正逐步由机器代替。在信
第七讲:数字签字与身份证明
一、数字签字基本概念
数字签字应满足的要求:
① 收方能够确认或证实发方的签字,但不能伪造,简记为R1-条件。 ②发方发出签字的消息给收方后,就不能再否认他所签发的消息,
第七讲:数字签字与身份证明
二、几种常用的数字签字
(5) 应用:其修正形式已被美国NIST作 为数字签字标准DSS。此体制专门设计 作为签字用。ANSI X9.30-199X已将 ElGamal签字体制作为签字标准算法。
第七讲:数字签字与身份证明
二、几种常用的数字签字
3. Schnorr签字体制。C. Schnorr于1989年提出。 (1) 体制参数
简记为S-条件。 ③收方对已收到的签字消息不能否认,即有收报认证,简记作R2-
条件。 ④ 第三者可以确认收发双方之间的消息传送,但不能伪造这一过
第七讲:数字签字与身份证明
一、数字签字基本概念
与手书签字的区别:手书签字是模拟的,且因人而异。数 字签字是0和1的数字串,因消息而异。 与消息认证的的区别:消息认证使收方能验证消息发送者 及所发消息内容是否被窜改过。当收者和发者之间有利害 冲突时,就无法解决他们之间的纠纷,此时须借助满足前 述要求的数字签字技术。 安全的数字签字实现的条件:发方必须向收方提供足够的 非保密信息,以便使其能验证消息的签字;但又不能泄露
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第四章 短签名和基于身份的签名( 2 学时)【讲授内容】1. 双线性对2. 短签名3. 基于身份的签名4.1 双线性对(pairing )为什么能够签名长度短?就是利用了双线性对的原因。
(现在是一种趋势。
)假设21,G G 是两个群,阶数都是素数q 。
1G 为加法群,2G 为乘法群。
P 是1G 的任一生成元,aP 就是a 个P 相加。
假设离散对数问题在21,G G 都是困难的。
满足以下条件的映射211:G G G e →⨯叫做双线性映射(bilinear map )(1) 双线性性:*∈∈=qab Z b a and G Q P all for Q P e bQ aP e ,,,),(),(1 (2) 非退化性:如果P 是1G 的生成元,则),(P P e 是2G 的生成元,也即1),(≠P P e(3) 可计算性:容易计算1,),,(G Q P all for Q P e ∈。
Bilinear map 也叫做Pairing 。
椭圆曲线上或超椭圆曲线上的Weil 对和Tate 对可作为pairing 使用。
(椭圆曲线上加群的离散对数问题,可构造数字签名。
)而基于椭圆曲线上的加法群的离散对数问题建立的方案,具有长度短,安全性高的优点。
现在再结合双线性对的特性,可使方案具有长度短和证明简便的结合的优点。
计算DH (CDH )问题:给出一个随机生成元g 和随机元素G h h ∈21,,计算))(log (log 21h h g g g ,也即如果y x g h g h ==21,,计算输出xy g 。
如果这是困难的,就说CDH 假设在G 成立。
对应于加法群:1G 上的DDH (Decisional Diffie-Hellman )问题:给出*∈qZ c b a cP bP aP P ,,),,,,(,判断ab c =。
这一问题可以在多项式时间解决(验证),(),(cP P e bP aP e =)。
习惯写法:),(),(),,,(B A e Q P e B Q P A V DDH =→1G 上CDH (Computational Diffie-Hellman )问题:给出*∈q Z b a bP aP P ,),,,(,计算abP 。
Gap Diffie-Hellman group (GDH ):计算DDH 容易,计算CDH 困难。
Pairing 的原象域domain 就是GDH 群的例子。
),,(21e G G 上Bilinear Diffie-Hellman (BDH )问题:给出*∈qZ c b a cP bP aP P ,,),,,,(,计算abc P P e ),(。
4.2 短签名(short signature )一些场合需要短签名,例如移动通信的认证、电子机票、软件序列号。
BLS 短签名:(D. Boneh ,Lynn ,Shacham 在2001年提出),假设GDH 成立。
(1)密钥生成:不同的是21,G G 都是乘法群,>=<g G 1,211:G G G e →⨯是双线性映射。
1}*1,0{:G H →,*∈qZ x 是私钥,q g y x mod =是公钥。
(2)签名过程:对于*}1,0{∈m ,计算x m H )(=σ(3)验证过程:对于),(σm ,验证))(,(),(m H y e g e =σ,若成立则接收。
正确性:))(,())(,())(,())(,(),(m H y e m H g e m H g e m H g e g e x x x =====σ短到何长度?160bit 。
ZSS 短签名(Zhang ,Safavi -Naini ,Susilo ,2004)(比BLS 签名有效。
)假设(k +1)指数问题是困难的。
(给出*∈q k Z y P y P y yP P ),,,,,(2 ,计算P y k 1+)(1)密钥生成:),,,,,(21H P e q G G 是公共参数。
*→qZ H )*1,0(:,*∈q Z x 是签名者的私钥,xP P pub =是其公钥。
(2)签名过程:对于*}1,0{∈m ,计算P x m H S +=)(1(3)验证过程:对于),(S m ,验证),(),)((P P e S P P m H e pub =+,若成立则接收。
正确性:),())(1),)(((),)((P P e P xm H x m H P e S P P m H e pub =++=+4.3 基于身份的签名(identity-based signature )公钥的分发、认证和管理是一件繁琐的事。
为此Shamir 提出基于身份的概念,就是公钥为个人的身份。
这一概念在D. Boneh 提出基于双线性对的方案之后,得到了广泛实现。
Paterson 的基于身份的签名(2002):假设:扩展的ElGamal 签名是安全的。
(1)密钥生成:),,,,,,,,(32121H H H P P e q G G pub 是公开参数。
其中sP P pub =(TTP 的公钥),s 是随机选择的,称为主密钥。
211:G G G e →⨯是双线性映射。
用户的公钥)(1ID H Q ID =,私钥是ID ID sQ D =。
(2)签名过程:为了对*}1,0{∈m 签名,随机选择*q Z k ∈,计算))()((,321ID D R H P m H k S kP R +==-签名为(R ,S )。
(3)验证过程:验证者验证:)()(32),(),(),(R H ID pub m H Q P e P P e S R e =正确性: )()(323232132),(),())(,())(,())()(,())()((,(),(R H ID m H ID ID ID Q sP e P P e D R H P e P m H P e D R H P m H P e D R H P m H k kP e S R e ==+=+=-但是由于基于身份的签名(或加密)中,用户的私钥也在TTP 的掌握之中(即所谓密钥托管escrow ),这是有隐患的,因此现在又出现了无证书(certificationless )的签名和加密技术。
无证书技术中的私钥是用户和TTP 合作完成的,TTP 不会知道最终的用户私钥。
【课后练习】1.基于身份的概念,可以扩展到其它类型的签名,试分析基于身份的加密方案。
2.无证书的签名的公私钥对是如何形成的?3.基于双线性对的方案的实用性如何?【参考资料】1.双线性对的特点是证明简便,因此它的应用很广泛。
存在基于双线性对的各种签名和系统,例如以后所讲的基于双线性对的盲签名、群签名、代理签名等,其应用领域都有深入研究和进展。
双线性对的选取和计算速度问题是实用中应考虑的,目前双线性对的计算速度提高很快。
2.基于身份的概念,可以扩展到其它类型的签名,还有基于身份的加密等。
可参见印度学者R.Dutta, et.al. Pairing-based cryptography:a survey,(eprint-2004),概括比较全面。
第五章 盲签名和群签名( 2 学时)【讲授内容】1. 盲签名和电子现金2. 群签名和环签名、电子投票5.1 盲签名(blind signature )和电子现金(e -Cash )为了完成一些特殊的目的,需要增加安全功能,这是就是附加功能的签名。
首先是能不能附加,其次是如何附加的?例如最开始进行这方面努力的是盲签名。
现在网上交易多用信用卡,但缺少匿名性,任何交易都是实名的。
所以人们需要匿名性。
盲签名就是可以实现某种匿名性的签名。
盲签名(blind signature ):和基本签名不同,盲签名是两个参与者:发送者A 和签名者B 的协议。
a 、发送者A 首先将消息m 进行盲变换,再将变盲的消息m ’送给签名者B ;b 、签名者B 对盲消息m ’进行签名S ’,送给发送者A ;c 、发送者A 对签名S ’进行脱盲变换,得到对原来消息m 的签名S 。
A 可以得到原来消息m 的签名。
而签名结束后,B 既不知道消息m ,也不知道m 对应的签名。
盲签名就像将消息放在一个信封里,送给签名者签名,签名者在信封上用复写纸签名,之后将信纸取出,得到签名。
f 为盲化函数,g 为脱盲函数,满足((()))()B B g S f m S m = 盲签名的目的是防止签名者了解签名的真正消息及对应的签名,可用于许有某种匿名性的地方,例如电子现金和选举等。
在电子现金方案中,电子现金就是银行所做的盲签名,此时银行并不了解用户取走的实际钱币(签名)内容,保证了消费者进行消费时的匿名性。
典型盲签名方案:RSA 盲签名:假设RSA 的公私钥对为d e n ),,(。
(1)blinding : A 选择一个随机数k ,1),gcd(,10=-≤≤k n n k ,计算n mk m e mod *=,将其送给B ;(2)signing : B 计算n m s d mod *)(*=,将其送给A ;(3)unblinding :A 计算n s k s mod *1-=,s 就是B 关于m 的签名。
当然,还有其它类型的盲签名。
电子现金方案(e-Cash ):要求:(1)电子信息容易复制,因此需要防止重复花费;(2)防止伪造;(3)防止暴露匿名性;金额大小的问题?固定每次只能取100元,或者每种金额采用不同的公钥。
(现在有可分的);或者采用cut-choose 策略(game ,博弈论方式):用户盲化100个20元的消息,交给银行;银行任选99个,让用户脱盲;用户将99个脱盲的结果交给银行检查;银行检查无误后,说明用户99%是可信的。
(你切蛋糕,我选择哪块)防止重复花费,可以利用在线系统on-line 查询,每次交易商家询问银行,电子现金是否是重复的。
也可以采用以下off-line 系统。
其中为了防止重复花费,用户需要使用随机数RIS (random identity string ),用以确定电子现金的一次性。
简单的电子现金方案(离线的)(D. Chaum, A. Fiat, and M. Naor. Untraceable electronic cash. CRYPTO’88):(1)取款协议a . 用户准备100个20元的单据,形式如下:)',,',,',,4527#,20'(,,2,2,1,1,K i K i i i i i i y y y y y y i yuan m I M =其中)(,,j i j i x H y =,)'(',,j i j i x H y =,其中',,,j i j i x x 是随机选择的,满足j i all name user x x j i j i ,',,∀=⊕b . 用户盲化i M 为'i M ,送给银行;c . 银行随机选择99个,让用户脱盲;d . 用户脱盲的同时,提供相应的',,,j i j i x x ;e .银行检查是否是20元面值、)(,,j i j i x H y =、)'(',,j i j i x H y =、name user x x j i j i =⊕',,;f . 成立后,银行对剩下的一个盲化消息进行签名;g . 用户脱盲后得到M ,s 。