数字签名 信息系统安全理论与技术(第2版)课件
合集下载
《数字签名技术应用》PPT课件
由于商情的千变万化,交易一旦达成是不能被否认的。否则必 然会损害一方的利益。再如订购黄金,订货时金价较低,但收到订单 后,金价上涨了,如果供货方能否认收到订单的实际时间,甚至否认 收到订单的事实,则订货方就会蒙受损失。因此电子交易通信过程的 各个环节都必须是不可否认的。 5)信息传递的不可重放性
如在日常生活中,A向B借了钱,同时写了一张借条给B;当A还 钱的时候,肯定要向B索回他写的借条撕毁,不然,恐怕他会再次挟 借条要求A再次还钱。在数字签名中,如果采用了对签名报文添加流 水号、时戳等技术,可以防止重放攻击。
21
7.2.3 数字签名算法
1)签名过程
对于给定的k,消息m的签名定义如下: sig(m,k)=(y,s)
其中 y = (gk mod p)mod q s = (k-1(MD5(m)+ay)mod q
杂凑函数MD5用于把可变长度的消息m转变为一个160比特的消 息摘要,然后再用数字签名方案对它进行签名。
3)安全性分析
由于DSA是基于有限域上离散对数问题,出于短期安全性考虑要 求域Zp的素数p的长度至少为1024比特,而考虑到长期安全性则要求 其长度至少为2048比特。
23
7.2.3 数字签名算法
签名算法
Rivest、shamir和Adleman于1978年提出了RSA数字签名和公钥算 法,这是第一个较完善的公开密钥算法,它既能用于加密也能用于数 字签名,而认证过程相当于保密过程的逆过程。
(1)H能够应用到大小不一的数据上; (2)H对任何输入报文数据生成固定长度的输出; (3)对于任意给定的x,H(x)的计算相对简单; (4)对于任意给定的h,要发现满足H(x)=h的x在计算上是不可行的; (5)要发现满足H(x)=H(y)的(x,y)对在计算上是不可行的。 由于消息摘要函数比对称加密算法的速度还快,因此有着广泛 的应用。消息摘要函数是数字签名和消息识别码(MAC)的基础。
如在日常生活中,A向B借了钱,同时写了一张借条给B;当A还 钱的时候,肯定要向B索回他写的借条撕毁,不然,恐怕他会再次挟 借条要求A再次还钱。在数字签名中,如果采用了对签名报文添加流 水号、时戳等技术,可以防止重放攻击。
21
7.2.3 数字签名算法
1)签名过程
对于给定的k,消息m的签名定义如下: sig(m,k)=(y,s)
其中 y = (gk mod p)mod q s = (k-1(MD5(m)+ay)mod q
杂凑函数MD5用于把可变长度的消息m转变为一个160比特的消 息摘要,然后再用数字签名方案对它进行签名。
3)安全性分析
由于DSA是基于有限域上离散对数问题,出于短期安全性考虑要 求域Zp的素数p的长度至少为1024比特,而考虑到长期安全性则要求 其长度至少为2048比特。
23
7.2.3 数字签名算法
签名算法
Rivest、shamir和Adleman于1978年提出了RSA数字签名和公钥算 法,这是第一个较完善的公开密钥算法,它既能用于加密也能用于数 字签名,而认证过程相当于保密过程的逆过程。
(1)H能够应用到大小不一的数据上; (2)H对任何输入报文数据生成固定长度的输出; (3)对于任意给定的x,H(x)的计算相对简单; (4)对于任意给定的h,要发现满足H(x)=h的x在计算上是不可行的; (5)要发现满足H(x)=H(y)的(x,y)对在计算上是不可行的。 由于消息摘要函数比对称加密算法的速度还快,因此有着广泛 的应用。消息摘要函数是数字签名和消息识别码(MAC)的基础。
密码学--数字签名讲义PPT课件(26张)
基于仲裁的数字签名方案三 ——公钥加密,A不能阅读消息
实来自X。
数字签名生成后,可对整个报文和签名 进行进一步加密以增强数据通信的保密性。
加密可以是基于公开密钥方式,也可以 是基于对称密钥方式。
报文及签名可以保存在存储介质中,以 备解决争端时使用。
在这种情况下,第三方必须掌握解密密 钥才能查看报文和签名。
对直接数字签名的讨论
直接数字签名方案在安全性上存在一个 共同的弱点:方案的安全性依赖于发送方X 私有密钥的安全性。 ▪ 发送方可以声称自己的私ห้องสมุดไป่ตู้密钥丢失或 被盗用,而否认其发送过某个报文。 ▪ 若对私有密钥引入额外的管理控制,将 限制给签名方案的适用范围。
以防伪造和否认。 ▪ 产生数字签名比较容易。 ▪ 识别和验证签名比较容易。
数字签名的设计目标(2)
▪ 伪造数字签名在计算上是不可行的。 • 无论是从给定的数字签名伪造消息, • 还是从给定的消息伪造数字签名, • 在计算上都是不可行的。
▪ 保存数字签名的拷贝是可行的。
目前,已经有多种数字签名的 解决方案和数字签名计算函数。按 照其技术特点,这些方案可分为两 类:
我们或许愿意在计算机上做这 种事情,但还存在一些问题。
▪ 计算机文件易于复制,即使某人的 签名难以伪造(例如,手写签名的 图形),但是从一个文件到另一个 文件剪裁和粘贴有效的签名都是很 容易的。这种签名没有什么意义。
▪ 文件在签名后也易于修改,并且不 会留下任何修改的痕迹。
但我们还是要解决 计算机签名的问题——数 字签名。
▪ X和Y对A是高度信任的
• X确信A不会泄漏密钥Kax,因此不会产生伪造的 签名;
• Y也确信A发来的报文M是经过验证的、确实来 自X;
信息网络安全-7-第7章 数字签名(研究生)
对整体消息进行签名;
对压缩的消息进行签名。
按照消息/签名的对应关系划分
确定性( deterministic )数字签名:消息与签名一一对应, 对同一消息的签名永不变化,如RSA和Rabin算法;
随机化(randomized)或概率式数字签名:对同一消息的签 名是变化的。因此,此类签名取决于算法中的随机参数的取 值,如ElGamal算法。
DSS签名算法的实现速度
DSA
密钥生成 预计算 14s 14s
RSA
Off card N/A
证明: v=[(gu1yu2) mod p] mod q =[g H(m)wyrw mod p] mod q =[g H(m)wgxrw mod p] mod q =[g[H(m)+xr]w mod p ] mod q 而: [H(m)+xr]w = [H(m)+xr]s-1=k mod q 所以:v=gk mod q= r
计算:w’=gsy-r mod p
计算:H(w’||m)
验证H(w’||m)=r ?即 Very{(r, s), m}=真
Schnorr签名体制的安全性
Schnorr与ElGamal的区别
在 ElGamal体制中, g为Zp的本原元素;在 Schnorr体制中, g为Zp*中的子集Zq*的本原元,它不是Zp* 的本原元。 Schnorr的签名长度要比ElGamal短,由|q|及|H(m)|决定。 w=gk mod p可以预先计算,签名只需1次乘法和1次加法, 所以签名速度非常快,适用于智能卡应用。
对于课件中出现的缺点和错误,欢迎读者提 出宝贵意见,以便及时修订。
课件制作人:刘建伟 2016年10月25日
第7章 数字签名
对压缩的消息进行签名。
按照消息/签名的对应关系划分
确定性( deterministic )数字签名:消息与签名一一对应, 对同一消息的签名永不变化,如RSA和Rabin算法;
随机化(randomized)或概率式数字签名:对同一消息的签 名是变化的。因此,此类签名取决于算法中的随机参数的取 值,如ElGamal算法。
DSS签名算法的实现速度
DSA
密钥生成 预计算 14s 14s
RSA
Off card N/A
证明: v=[(gu1yu2) mod p] mod q =[g H(m)wyrw mod p] mod q =[g H(m)wgxrw mod p] mod q =[g[H(m)+xr]w mod p ] mod q 而: [H(m)+xr]w = [H(m)+xr]s-1=k mod q 所以:v=gk mod q= r
计算:w’=gsy-r mod p
计算:H(w’||m)
验证H(w’||m)=r ?即 Very{(r, s), m}=真
Schnorr签名体制的安全性
Schnorr与ElGamal的区别
在 ElGamal体制中, g为Zp的本原元素;在 Schnorr体制中, g为Zp*中的子集Zq*的本原元,它不是Zp* 的本原元。 Schnorr的签名长度要比ElGamal短,由|q|及|H(m)|决定。 w=gk mod p可以预先计算,签名只需1次乘法和1次加法, 所以签名速度非常快,适用于智能卡应用。
对于课件中出现的缺点和错误,欢迎读者提 出宝贵意见,以便及时修订。
课件制作人:刘建伟 2016年10月25日
第7章 数字签名
《数字签名》PPT课件
– 改进的方式例如可以要求被签名的信息包含一个时间戳(日 期与时间),并要求将已暴露的密钥报告给一个授权中心
▪ X的某些私有密钥确实在时间T被窃取,敌方可以伪造X的签
名及早于或等于时间T的时间戳
精选PPT
12
仲裁数字签名
精选PPT
13
仲裁数字签名
▪ 引入仲裁者
– 所有从发送方X到接收方Y的签名消息首先送到仲裁者A – A将消息及其签名进行一系列测试,以检查其来源和内容 – A将消息加上日期并与已被仲裁者验证通过的指示一起发给Y
精选PPBT ob (B)
15
仲裁数字签名-单密钥加密方式1
数字签名
精选PPT
16
仲裁数字签名-单密钥加密方式1
精选PPT
17
仲裁数字签名-单密钥加密方式2
精选PPT
18
仲裁数字签名-双密钥加密方式
精选PPT
19
仲裁数字签名-双密钥加密方式
精选PPT
20
数字签名标准DSS
美国国家标准与技术局(NIST)在1991年 提出了一个联邦数字签名标准,NIST称之 为数字签名标准(DSS)。DSS提供了一种 核查电子传输数据及发送者身份的一种方 式。
– DSS/DSA
▪ 不可否认的数字签名算法 ▪ 群签名算法 ▪ 盲签名算法
精选PPT
23
▪ 仲裁者在这一类签名模式中扮演敏感和关键的角色
– 所有的参与者必须极大地相信这一仲裁机制工作正常
精选PPT
14
仲裁数字签名
Trent (T)
对称密码+明文传送
Alice (A)
Bob (B)
Trent (T)
对称密码+密文传送
▪ X的某些私有密钥确实在时间T被窃取,敌方可以伪造X的签
名及早于或等于时间T的时间戳
精选PPT
12
仲裁数字签名
精选PPT
13
仲裁数字签名
▪ 引入仲裁者
– 所有从发送方X到接收方Y的签名消息首先送到仲裁者A – A将消息及其签名进行一系列测试,以检查其来源和内容 – A将消息加上日期并与已被仲裁者验证通过的指示一起发给Y
精选PPBT ob (B)
15
仲裁数字签名-单密钥加密方式1
数字签名
精选PPT
16
仲裁数字签名-单密钥加密方式1
精选PPT
17
仲裁数字签名-单密钥加密方式2
精选PPT
18
仲裁数字签名-双密钥加密方式
精选PPT
19
仲裁数字签名-双密钥加密方式
精选PPT
20
数字签名标准DSS
美国国家标准与技术局(NIST)在1991年 提出了一个联邦数字签名标准,NIST称之 为数字签名标准(DSS)。DSS提供了一种 核查电子传输数据及发送者身份的一种方 式。
– DSS/DSA
▪ 不可否认的数字签名算法 ▪ 群签名算法 ▪ 盲签名算法
精选PPT
23
▪ 仲裁者在这一类签名模式中扮演敏感和关键的角色
– 所有的参与者必须极大地相信这一仲裁机制工作正常
精选PPT
14
仲裁数字签名
Trent (T)
对称密码+明文传送
Alice (A)
Bob (B)
Trent (T)
对称密码+密文传送
《数字签名技术》PPT课件
3.2.1 RSA数字签名系统
RSA算法中数字签名技术实际上是通过一个哈 希函数来实现的。数字签名的特点是它代表了 文件的特征,文件如果发生改变,数字签名的 值也将发生变化。不同的文件将得到不同的数 字签名。
用RSA或其它公开密钥密码算法的最大方便是 没有密钥分配问题。因为公开密钥加密使用两 个不同的密钥,其中有一个是公开的,另一个 是保密的。公开密钥可以保存在系统目录内、 未加密的电子邮件信息中、 黄页(商业 ) 上或公告牌里,网上的任何用户都可获得公开 密钥。
一个Hash函数满足: ①H可以作用于一个任意长度的数据块; ②H产生一个固定长度的输出; ③H(x)对任意给定的x计算相对容易,无论是软件还是硬
件实现; ④对任意给定码h,找到x满足H(x)=h具有计算不可行性; ⑤对任意给定的数据块x,找到满足H(y)=H(x)的y x具
有计算不可行性; ⑥找到任意数据对(x,y),满足H(x) = H(y)是计算不可行的。
3.1.4 数字签名的作用
能证明:
– 信息是由签名者发送的(认证性) – 信息自签发后到收到为止未曾做过任何修改(完整性) – 发送者不能否认其发送过信息及信息的内容(不可否认
性)
可防止 – 发送者或接收者伪造 – 第三方冒充 – 接收方篡改
3.2.1 RSA数字签名系统 3.2.2 Hash签名 3.2.3 美国数字签名标准(DSA) 3.2.4 椭圆曲线数字签名算法(ECDSA)
(1) A取一文件并以一随机值乘之,称此随机值为盲因 子
(2) A将此盲文件发送给B; (3) B对盲文件签名; (4) A以盲因子除之,得到B对原文件的签名
Chaum将盲变换看做是信封,盲文件是对文件 加个信封,而去掉盲因子的过程是打开信封 的过程。文件在信封中时无人可读,而在盲 文件上签名相当于在复写纸信封上签名,从 而得到了对起文件(信封内容)的签名。
数字签名技术 ppt课件
6.3.2安全认证技术
1、数字摘要 2、数字签名 3、数字信封和数字时间戳 4、数字证书 5、认证中心CA
1
1、数字摘要
采用单向散列函数Hash的方法对文件 中若干重要元素进行某种变换运算得 到的固定长度的摘要码。
2
2、数字签名
也称为电子签名,是指利用电子信息加密技术 实现在网络传送信息报文时,附加一小段只有 信息发送者才能产生而别人无法伪造的特殊个 人数据标记,代表发送者个人身份,起到传统 书面文件上手写签名或印章的作用,表示确认、 负责、经手和真实作用等。
1. SSL协议提供的服务 2. SSL协议的工作流程 SSL会话通过客户与服务器之间的“握手”建立连接,
SSL协议握手流程由两个阶段组成:服务器认证和客 户端认证。 (1)服务器认证阶段。 (2)用户认证阶段。
16
数字时间戳:DTS –是由专门机构提供网络安全服务项 目,提供电子文件发表时间的安全保护。因特网上的 “数字时间戳”是一个经过加密后形成的凭证文档。包 括三部分:
1)需要时间戳的文件摘要
2)收到文件的日期和时间
3)DTS的数字签名
DTS保护的不是报文上书面签署的日期和时间,而是
DTS收到摘要时的日期和时间。
3)遵循的标准和格式分:X.509 公钥证书、PKI证 书、PGP证书等。
11
5. 认证中心CA
1、概念:具有权威性和公正性的机构,CA认 证机构,是一个实体,可以是个人、群体、部 门、公司或其他实体。是证书的签发机关,是 公钥基础设施PKI体系中的核心环节。
2、认证中心的结构
1)RS接收用户证书申请的证书受理者
6
双重数字签名应用:
在我们用信用卡购物时,我们作为持卡人 向商户提出订购信息的同时,也给银行付款信 息,以便授权银行付款,但我们不希望商户知 道自己的账号的有关信息,也不希望开户行知 道具体的消费内容,只需按金额贷记或借记账 即可。这其实就是双重数字签名,它把需要寄 出两个相关信息给接收者,接收者只能打开一 个,而另一个只需转送,不能打开看其内容。 这有效的保护了消费者的隐私和商家的商业机 密。
1、数字摘要 2、数字签名 3、数字信封和数字时间戳 4、数字证书 5、认证中心CA
1
1、数字摘要
采用单向散列函数Hash的方法对文件 中若干重要元素进行某种变换运算得 到的固定长度的摘要码。
2
2、数字签名
也称为电子签名,是指利用电子信息加密技术 实现在网络传送信息报文时,附加一小段只有 信息发送者才能产生而别人无法伪造的特殊个 人数据标记,代表发送者个人身份,起到传统 书面文件上手写签名或印章的作用,表示确认、 负责、经手和真实作用等。
1. SSL协议提供的服务 2. SSL协议的工作流程 SSL会话通过客户与服务器之间的“握手”建立连接,
SSL协议握手流程由两个阶段组成:服务器认证和客 户端认证。 (1)服务器认证阶段。 (2)用户认证阶段。
16
数字时间戳:DTS –是由专门机构提供网络安全服务项 目,提供电子文件发表时间的安全保护。因特网上的 “数字时间戳”是一个经过加密后形成的凭证文档。包 括三部分:
1)需要时间戳的文件摘要
2)收到文件的日期和时间
3)DTS的数字签名
DTS保护的不是报文上书面签署的日期和时间,而是
DTS收到摘要时的日期和时间。
3)遵循的标准和格式分:X.509 公钥证书、PKI证 书、PGP证书等。
11
5. 认证中心CA
1、概念:具有权威性和公正性的机构,CA认 证机构,是一个实体,可以是个人、群体、部 门、公司或其他实体。是证书的签发机关,是 公钥基础设施PKI体系中的核心环节。
2、认证中心的结构
1)RS接收用户证书申请的证书受理者
6
双重数字签名应用:
在我们用信用卡购物时,我们作为持卡人 向商户提出订购信息的同时,也给银行付款信 息,以便授权银行付款,但我们不希望商户知 道自己的账号的有关信息,也不希望开户行知 道具体的消费内容,只需按金额贷记或借记账 即可。这其实就是双重数字签名,它把需要寄 出两个相关信息给接收者,接收者只能打开一 个,而另一个只需转送,不能打开看其内容。 这有效的保护了消费者的隐私和商家的商业机 密。
网络安全与数字签名技术2
引言Internet是世界上最大的国际计算机互联网络,与此同时,它也是拥有技术专长的个别人严重肇事的目标。
各类入侵者,包括雇员、“黑客”、恐怖组织、以政治和军事情报为目标的外国政府、从事工业间谍活动的国内外企业等,给计算机和电信系统造成极大威胁。
他们千方百计地“闯入”技术网络系统,窃取各种情报,刺探个人隐私,用以进行各种诈骗活动。
每当开通一个新Internet出入口、LAN或分布式用户服务器系统时,便冒着为入侵者打开一道方便之门的危险。
计算机窃密己成为当今世界高技术犯罪的主要形式。
据美国信息周刊/Ernst& Young信息安全调查公司的最新统计,在199,年,美国每五个公司中就有一个遭到入侵,使有关方面蒙受无法估量的损失。
美国新闻界把数据失窃戏谑地称为“数字珍珠港”或“数字切尔诺贝利”。
联邦司法部门的官员估计,每年美国的联机窃贼从计算机网络盗窃数据的价值在一百亿美元以上。
最大限度地减少网络攻击的频次和影响并非不可能,但也并非易事。
在行为上,保护数据的决心离不开安全管理部门的安全认可和有力支持:在技术上,必须满足若干通信安全目标,主要包括:(1) 必须防止非法泄漏发送的信息;(2) 必须检测得出对发送信息的非法窜改或销毁;(3) 必须防止所有的业务量分析攻击;(4) 必须检测得出所有的服务抵赖攻击和假关联初始化攻击(Spurious association initiation attack).满足前三个目标唯一有效的办法是加密。
事实上,数据加密是所有通信安全依赖的基本技术。
第一章信息网的安全问题一、网络的安全威胁1.1网络的威胁通常可以分为内部威胁及外部威胁两大类.1.11信息网络的外部威胁常见的有以下几种:闲游用户的好奇闯入:由于好奇心理的驱使,闲游用户可能有意无意地闯入了系统的内部网络,他们可能通过有关渠道得到了内部网络合法用户的帐号及密码,也可能是由于网关的配置不合理让他们无意中闯入内部的网络.在他们获得了访问之后,他们可能会在内部网络的各目录中到处乱闯,以寻找感兴趣的文件或信息,而威胁合法用户的正常运行及数据资源的安全和网络系统的安全.他们可能有意无意地修改了关键的系统文件、删除了关键的信息数据,引起了数据的丢失,修改了某些数据的内容等.信息间谍的恶意闯入:信息间谍常常受雇于某一机构,专门从事信息的窃取工作,具有高超的网络技能,他们通过不正当的手段进人你的企业内部网.他们可能对你的企业网怀有极大的兴趣,或是专门来毁坏你的企业信息网,使你的信息网处于瘫痪,从而为竞争者燕得获胜的机会.这些人可能通过入侵你网络上的一台计算机或使用信息包取样器来访问你公司的信息、通过信息包取样器可以捕促任何经由Telnet发送的数据,并通过捕捉Telnet。
《数字签名技术》PPT课件
用到的知识:
1.模n的二次剩余集 2.模n的平方根 3.剩余类的集合 4.合数 5.勒让德符号 6.雅可比符号
RSA签名方案中p和q是不同的素数
,从而(n)=(p-1)(q-1)是偶数。 而e必须满足gcd(e, )=1,所以e是
奇数。
2021/4/26
30/47
➢Rabin公钥签名方案的密钥生成
1.计算m~ Rm
2.计算m~ mod n的一个平方根s
3.A对m的签名是s
为验证A的签名s且恢复消息m,B执行如下操作:
1.获得A的可信公钥n
2.计算m~ s2 mod n 3.验证m~ M R ;否则,拒绝接受签名
4.恢复m R1m~
2021/4/26
32/47
➢Rabin公钥签名方案举例
1995年我国也制定了自己的数字签名标准 (GB15851-1995)
2004年我国颁发《中华人民共和国电子签名法》
2021/4/26
7/47
➢数字签名的原理
2021/4/26
8/47
➢数字签名的功能
1.机密性 2.完整性 3.身份验证 4.防伪造 5.防抵赖 6.防重放攻击
2021/4/26
1)选择合适的冗余函数R对Rabin签名方案的安全性极为重 要。
2)对Rabin方案而言,设消息m是比特串,则R可以将它赋值 为二元表示是该消息的整数。然而,却不能保证那个整数是 模n的二次剩余,这可能导致无法计算平方根。所以人们试图 尝试用确定性方法。
2021/4/26
13/47
➢数字签名方案的分类
带附录的数字签名方案:要求初始消息作为验 证算法的输入
❖ DSA、ElGamal和Schnorr签名方案 ❖ 消息可以是任意长度
《数字签名》课件
数字签名的特点
1 不可伪造
数字签名是唯一的,验证过程可确认签名的 真实性。
2 可靠性高
数字签名基于公钥加密算法,具有较高的安 全性和可靠性。
3 易于验证
对数字签名的验证过程相对简单,接收者只 需使用发送者的公钥进行解密。
4 即时性
数字签名的生成和验证过程很快,几乎是实 时的。
数字签名的分类
1
基于HASH
数字签名可确保数据在传输 过程中不被篡改或损坏。
身份认证
数字签名可以验证数据的发 送者身份。
防止抵赖
数字签名提供证据,防止发 送者在后续阶段抵赖其参与 和承诺。
数字签名的基本原理
数字签名基于公钥加密算法,使用发送者的私钥对数据进行加密,接收者使用发送者的公钥进行解密,以验证 数据的完整性和真实性。
数字签名的生成是基于对数据进行哈希处理。
2
基于非对称加密
数字签名的生成和验证基于公钥/私钥对。
3
基于对称加密
数字签名的生成和验证基于对称加密算法。
数字证书的概念
数字证书是由数字证书颁发机构(CA)签发的包含公钥和身份信息的电子文件,用于验证数字签名的真实性 和可信度。
数字证书的种类
个人数字证书
用于个人身份认证和加密通信。
服务数字证书
用于服务器身份认证和数据传输的加密。
组织数字证书
用于组织身份认证和加密通信。
根书
用于签发其他数字证书的根节点证书。
数字证书的作用
数字证书可以确保通信的安全性、防止伪造、篡改和假冒。
数字证书的颁发机构
数字证书的颁发机构(CA)是负责签发和管理数字证书的权威组织,如Verisign、Digicert等。
课件10-信息安全与技术(第2版)-朱海波-清华大学出版社
第二节电子邮件安全技术
随着Internet的发展,电子邮件(E-mail)已经成为一项 重要的商用和家用资源,越来越多的商家和个人使用 电子邮件作为通信的手段。但随着互联网的普及,人 们对邮件的滥用也日渐增多,一方面,试图利用常规 电子邮件系统销售商品的人开始利用互联网发送E-mail, 经常导致邮件系统的超负荷运行;另一方面,黑客利 用电子邮件发送病毒程序进行攻击。随着E-mail的广泛 应用,其安全性备受人们关注。
一、Web概述
1. Web组成部分
Web最初是以开发一个人类知识库为目标,并为某一项 目的协作者提供相关信息及交流思想的途径。Web的 基本结构是采用开放式的客户端/服务器结构 (Client/Server),它们之间利用通信协议进行信息交 互。
2. Web安全问题 Web的初始目的是提供快捷服务和直接访问,所以早期的Web没
3.基于用户生物特征的身份认证 传统的身份认证技术,不论是基于所知信息的身份认证,
还的是身基份于认所证拥,有始物终品没的有身结份合认人证的,特甚征至,是都二不者同相程结度合地 存为其智够在例次能证不,,卡明足首需丢身。先要失份以需记时的“要住,证用随补件PIN户时办,,名携手使P带续用+IN口智繁很也令能琐不容”卡冗方易方,长便丢式智,。失过能并直和渡卡且到忘到容需生记智易要物; 当能丢出识P卡失示别IN方;能技或式 术紧而得密是到结站成合在功人人的的文应特角用征度,的,身方真份法正认,回证意归问义到题不了才只人迎在本刃技身而术最解上原。的始这进的种步生, 理特征。
信息安全与技术 (第二版)
清华大学出版社
第10章应用层安全技术
应用系统的安全技术是指在应用层面 上解决信息交换的机密性和完整性,防止 在信息交换过程中数据被非法窃听和篡改 的技术。
计算机系统安全课件 第5章 数字签名技术
造这一过程。
返回本节
第5章 数字签名技术
2. 数字签名与手书签名的区别 (1) 手书签名是模拟的,且因人而异。 (2) 数字签名是0和1的数字串,因消息而异。 (3) 消息认证使收方能验证消息发送者及所发消息 内容是否被篡改过。 (4) 数字签名技术可解决收者和发者之间有利害冲 突时的纠纷。
返回本节
为对M的签名。
第5章 数字签名技术
3. 签名验证(与RSA的公密钥恰好相反)
对给定的M,S可按下式验证:
设M’=Se mod n,如果M = M’,则签名为真。 否则,不接受签名。 显然,由于只有签名者知道d,由RSA体制可知, 对是不是消息M 和相应的签名所构成的合法对。
返回本节
其他人不能伪造签名,但容易证实所给任意(M,S)
和传播。
返回本节
第5章 数字签名技术
4. NSA的发展NSA保持它的垄断地位的源自力并已延伸到出口和商业政策。
1995年美国政府和NSA一起支持Clipper Chip的
新型加密芯片并在芯片里留了一个“后门”。
国会在通过1987年《计算机安全条例》和民用
领域保密技术革新限制时,希望限制NSA对机密
领域的扩张。
的过程。
返回本章首页
第5章 数字签名技术
5.1.1 数字签名与手书签名的区别
1. 数字签名的要求:
(1)收方能够确认或证实发方的签名,但不能伪造。
(2)发方发出签名的消息送收方后,就不能再否认他所签
发的消息。
(3)收方对已收到的签名消息不能否认,即有收到认证。
(4)第三者可以确认收发双方之间的消息传送,但不能伪
返回本节
第5章 数字签名技术
3. NSA的背景
返回本节
第5章 数字签名技术
2. 数字签名与手书签名的区别 (1) 手书签名是模拟的,且因人而异。 (2) 数字签名是0和1的数字串,因消息而异。 (3) 消息认证使收方能验证消息发送者及所发消息 内容是否被篡改过。 (4) 数字签名技术可解决收者和发者之间有利害冲 突时的纠纷。
返回本节
为对M的签名。
第5章 数字签名技术
3. 签名验证(与RSA的公密钥恰好相反)
对给定的M,S可按下式验证:
设M’=Se mod n,如果M = M’,则签名为真。 否则,不接受签名。 显然,由于只有签名者知道d,由RSA体制可知, 对是不是消息M 和相应的签名所构成的合法对。
返回本节
其他人不能伪造签名,但容易证实所给任意(M,S)
和传播。
返回本节
第5章 数字签名技术
4. NSA的发展NSA保持它的垄断地位的源自力并已延伸到出口和商业政策。
1995年美国政府和NSA一起支持Clipper Chip的
新型加密芯片并在芯片里留了一个“后门”。
国会在通过1987年《计算机安全条例》和民用
领域保密技术革新限制时,希望限制NSA对机密
领域的扩张。
的过程。
返回本章首页
第5章 数字签名技术
5.1.1 数字签名与手书签名的区别
1. 数字签名的要求:
(1)收方能够确认或证实发方的签名,但不能伪造。
(2)发方发出签名的消息送收方后,就不能再否认他所签
发的消息。
(3)收方对已收到的签名消息不能否认,即有收到认证。
(4)第三者可以确认收发双方之间的消息传送,但不能伪
返回本节
第5章 数字签名技术
3. NSA的背景
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
– 通常需要采用与私有密钥安全性相关的行政管理控制手段来制止 或至少是削弱这种情况,但威胁在某种程度上依然存在
– 改进的方式例如可以要求被签名的信息包含一个时间戳(日期与 时间),并要求将已暴露的密钥报告给一个授权中心
▪ X的某些私有密钥确实在时间T被窃取,敌方可以伪造X的签名及
早于或等于时间T的时间戳
CON:evidence of confirmation of issued by TTP
A<->T: ftp get A fetches message from T using “ftp get”
operation
双重签名
实现三方通信时的身份认证和信息完整性、防抵赖的保护。
网上购物(支付):客户和商家之间要完成在线支 付,在客户(甲) 、商家(乙)和银行(丙)之 间将面临以下问题:
仲裁数字签名通过仲裁的数字签名
仲裁是双方都高度信任的第三方。 需仲裁的数字签名即可以使用对称密码
算法,也可以使用公开密钥加密算法。 在这些方案中,当发生争执时,需要由
仲裁验证签名。
仲裁数字签名
▪ 引入仲裁者
– 所有从发送方X到接收方Y的签名消息首先送到仲裁者A – A将消息及其签名进行一系列测试,以检查其来源和内容 – A将消息加上日期并与已被仲裁者验证通过的指示一起发给 Y
甲向乙发送订单和甲的付款信息;乙收到订单后, 要同丙交互,以实现资金转帐
但甲不愿让乙看到自己的帐户信息 也不愿让丙看到订购信息。 此时甲使用双重签名技术对两种信息作数字签名,
来完成以上功能。
双重数字签名的实现步骤如下:
甲对发给乙的信息M1生成摘要A1; 甲对发给丙的信息M2生成摘要A2; 甲把A1和A2合起来生成摘要A3,并用私
签名后的文件可能被B重复使 用
如签名后的文件是一张支票
如何防止电子现金(支票)重复使 用
直接数字签名
只涉及通信双方 假定接受方知道发送方Kpu
直接数字签名
直接数字签名
直接数字签名的缺点
▪ 验证模式依赖于发送方的保密密钥
引入双方都信 任的第三方
仲裁 – 发送方要抵赖发送某一消息时,可能会声称其私有密钥丢失或被 窃,从而他人伪造了他的签名
非否认服务请求; 证据生成; 证据传输、存储与提取; 证据校验; 争议仲裁
Zhou、Gollman 非否认协议
A 发送方 B接受方
TTP
T可信第三方(TTP,trusted thiห้องสมุดไป่ตู้d party)
Sx( )表示用x的私钥签名;
c=Ek(m);L运行标签;
A
B
f表明消息的意图
A->B:Sa(fEOO||B||L||c) EOO:evidence of origin of C B->A:Sb(fEOR||A||L||c) EOR:evidence of receipt of C A->T:Sa(fSUB||B||L||k) SUB:evidence of submission of C B<->T:St(fCON||A||B||L||k) A<->T:St(fCON||A||B||L||k)
数字签名 Digital Signature
认证文件或书信真伪的传统做法亲笔签 名或盖章。签名起到认证,核准,生效 的作用。电子商务、政务要求对电子文 档进行辨认和验证,因而产生数字签名。
数字签名的概念数字签名过程
假设A要发送一个电子文件给B。 系统初始化:选择签名所需的算法、参
数。 产生签名:A用其私钥加密文件并发送
NIST 数字签名算法DSA
Digital Signature Algorithm 数字签名标准DSS
DSA
全 局 公 开 密 钥 分 量 p:素 数 , 其 中 2L-1p2L,512L1024, 且 L为 64的 倍 数 q:(p1)的 素 因 子 , 其 中 2159p2160, 即 比 特 长 度 为 160 g:h(p1)modp,其 中 1h(p1), 以 便 h(p1)/qmodp1
用 户 私 有 密 钥 x随 机 或 伪 随 机 整 数 , 其 中 0xq
用户公开密钥 y =gx modp
用 户 每 个 报 文 的 密 数 k=随 机 或 伪 随 机 整 数 ,其 中 0kq
DSA
签名 r (g k mod p) mod q s [k 1(H ( M ) xr)]mod q 签名 =(r, s)
签名是无法重复使用的:签名在这里就是一个加密 过程,自己无法重复使用。
文件被签名以后是无法被篡改的:因为加密后的文 件被改动后是无法被A的公钥解开的。
签名具有不可否认性:因为除A以外无人能用A的私 钥加密一个文件。
签名体制是由签名算法、验证算法构成
EK1
DK2
将原文件通过Hash函数得到较短的输出H,然后对H签名
钥签名A3,Sig(A3); 甲把M1、A2和Sig(A3)发给乙; 甲把M2、A1和Sig(A3)发给丙;
乙接收信息后,对M1生成信息摘要A1’,把A1’和 收到的A2合在一起,并生成新的信息摘要,同时 使用甲的公钥对A3的签名进行验证,以确认信息 发送者的身份和信息是否被修改过;
丙接收信息后,对M2生成信息摘要A2’,把A2’和 收到的A1合在一起,并生成新的信息摘要,同时 使用甲的公钥对A3的签名进行验证,以确认信息 发送者的身份和信息是否被修改过。
给B。 签名验证:B用A的公钥解开A送来的文
件。
数字签名的特点 可验证、防伪造 防抵赖、防假冒
签名是可信的:因为B是用A的防公篡钥改解开加密文件的, 这说明原文件只能被A的私钥加密而只有A才知道自 己的私钥。
签名是无法被伪造的:因为只有A知道自己的私钥。 因此只有A能用自己的私钥加密一个文件。
验证 w ( s ') 1 m o d q u1 [ H ( M ') w ] m o d q u 2 ( r ') w m o d q v [( g u1 y u2 ) m o d p ] m o d q TEST : v r '
▪ 仲裁者在这一类签名模式中扮演敏感和关键的角色
– 所有的参与者必须极大地相信这一仲裁机制工作正常
仲裁数字签名-单密钥加密方式1
数字签名
仲裁数字签名-单密钥加密方式
仲裁数字签名-单密钥加密方式2
仲裁数字签名-双密钥加密方式
仲裁数字签名-双密钥加密方式
接收方的不可否认性
接收者对收到的消息也必须承担一定的责任