数字签名 信息系统安全理论与技术(第2版)课件

仲裁数字签名通过仲裁的数字签名
仲裁是双方都高度信任的第三方。 需仲裁的数字签名即可以使用对称密码
算法，也可以使用公开密钥加密算法。 Hale Waihona Puke Baidu在这些方案中，当发生争执时，需要由
仲裁验证签名。
仲裁数字签名
▪ 引入仲裁者
– 所有从发送方X到接收方Y的签名消息首先送到仲裁者A – A将消息及其签名进行一系列测试，以检查其来源和内容 – A将消息加上日期并与已被仲裁者验证通过的指示一起发给 Y
非否认服务请求； 证据生成； 证据传输、存储与提取； 证据校验； 争议仲裁
Zhou、Gollman 非否认协议
A 发送方 B接受方
TTP
T可信第三方(TTP,trusted third party)
Sx( )表示用x的私钥签名;
c=Ek(m);L运行标签;
A
B
f表明消息的意图
A－>B:Sa(fEOO||B||L||c) EOO:evidence of origin of C B－>A:Sb(fEOR||A||L||c) EOR:evidence of receipt of C A－>T:Sa(fSUB||B||L||k) SUB:evidence of submission of C B<－>T:St(fCON||A||B||L||k) A<－>T:St(fCON||A||B||L||k)
签名后的文件可能被B重复使 用
如签名后的文件是一张支票
如何防止电子现金（支票）重复使 用
直接数字签名
只涉及通信双方 假定接受方知道发送方Kpu
直接数字签名
直接数字签名
直接数字签名的缺点
▪ 验证模式依赖于发送方的保密密钥
引入双方都信 任的第三方
仲裁 – 发送方要抵赖发送某一消息时，可能会声称其私有密钥丢失或被 窃，从而他人伪造了他的签名
数字签名 Digital Signature
认证文件或书信真伪的传统做法亲笔签 名或盖章。签名起到认证，核准，生效 的作用。电子商务、政务要求对电子文 档进行辨认和验证，因而产生数字签名。
数字签名的概念数字签名过程
假设A要发送一个电子文件给B。 系统初始化：选择签名所需的算法、参
数。 产生签名：A用其私钥加密文件并发送
– 通常需要采用与私有密钥安全性相关的行政管理控制手段来制止 或至少是削弱这种情况，但威胁在某种程度上依然存在
– 改进的方式例如可以要求被签名的信息包含一个时间戳（日期与 时间），并要求将已暴露的密钥报告给一个授权中心
▪ X的某些私有密钥确实在时间T被窃取，敌方可以伪造X的签名及
早于或等于时间T的时间戳
NIST 数字签名算法DSA
Digital Signature Algorithm 数字签名标准DSS
DSA
全 局 公 开 密 钥 分 量 p:素 数 ， 其 中 2L-1p2L,512L1024， 且 L为 64的 倍 数 q:(p1)的 素 因 子 ， 其 中 2159p2160， 即 比 特 长 度 为 160 g:h(p1)modp,其 中 1h(p1)， 以 便 h(p1)/qmodp1
CON:evidence of confirmation of issued by TTP
A<－>T: ftp get A fetches message from T using “ftp get”
operation
双重签名
实现三方通信时的身份认证和信息完整性、防抵赖的保护。
网上购物(支付)：客户和商家之间要完成在线支 付，在客户（甲） 、商家（乙）和银行（丙）之 间将面临以下问题：
给B。 签名验证：B用A的公钥解开A送来的文
件。
数字签名的特点 可验证、防伪造 防抵赖、防假冒
签名是可信的：因为B是用A的防公篡钥改解开加密文件的， 这说明原文件只能被A的私钥加密而只有A才知道自 己的私钥。
签名是无法被伪造的：因为只有A知道自己的私钥。 因此只有A能用自己的私钥加密一个文件。
▪ 仲裁者在这一类签名模式中扮演敏感和关键的角色
– 所有的参与者必须极大地相信这一仲裁机制工作正常
仲裁数字签名－单密钥加密方式1
数字签名
仲裁数字签名－单密钥加密方式
仲裁数字签名－单密钥加密方式2
仲裁数字签名－双密钥加密方式
仲裁数字签名－双密钥加密方式
接收方的不可否认性
接收者对收到的消息也必须承担一定的责任
甲向乙发送订单和甲的付款信息；乙收到订单后， 要同丙交互，以实现资金转帐
但甲不愿让乙看到自己的帐户信息 也不愿让丙看到订购信息。 此时甲使用双重签名技术对两种信息作数字签名，
来完成以上功能。
双重数字签名的实现步骤如下：
甲对发给乙的信息M1生成摘要A1； 甲对发给丙的信息M2生成摘要A2； 甲把A1和A2合起来生成摘要A3，并用私
钥签名A3，Sig（A3）； 甲把M1、A2和Sig（A3）发给乙； 甲把M2、A1和Sig（A3）发给丙；
乙接收信息后，对M1生成信息摘要A1’，把A1’和 收到的A2合在一起，并生成新的信息摘要，同时 使用甲的公钥对A3的签名进行验证，以确认信息 发送者的身份和信息是否被修改过；
丙接收信息后，对M2生成信息摘要A2’，把A2’和 收到的A1合在一起，并生成新的信息摘要，同时 使用甲的公钥对A3的签名进行验证，以确认信息 发送者的身份和信息是否被修改过。
用 户 私 有 密 钥 x随 机 或 伪 随 机 整 数 ， 其 中 0xq
用户公开密钥 y =gx modp
用 户 每 个 报 文 的 密 数 k=随 机 或 伪 随 机 整 数 ,其 中 0kq
DSA
签名 r (g k mod p) mod q s [k 1(H ( M ) xr)]mod q 签名 =(r, s)
签名是无法重复使用的：签名在这里就是一个加密 过程，自己无法重复使用。
文件被签名以后是无法被篡改的：因为加密后的文 件被改动后是无法被A的公钥解开的。
签名具有不可否认性：因为除A以外无人能用A的私 钥加密一个文件。
签名体制是由签名算法、验证算法构成
EK1
DK2
将原文件通过Hash函数得到较短的输出H，然后对H签名
验证 w ( s ') 1 m o d q u1 [ H ( M ') w ] m o d q u 2 ( r ') w m o d q v [( g u1 y u2 ) m o d p ] m o d q TEST : v r '