第15讲 认证理论与技术—数字签名(续1)
合集下载
数字签名与身份认证
盲签名的过程: (1)Alice将文件M乘一个随机数得M’,这个随机数通常称为盲因子,Alice将盲消息M’送给Bob; (2)Bob在M’上签名后,将其签名Sig(M’)送回Alice; (3)Alice通过除去盲因子,可从Bob关于M’的签名Sig(M’)中得到Bob关于原始文件M的签名Sig(M)。
根据用户拥有什么来判断,Something the user possesses (拥有) 身份证、护照、门钥匙、磁卡钥匙等
根据用户是什么来判断, Something the user is (or How he behaves) (特征) 指纹、声音、视网膜、签名、DNA等
身份认证的主要方法
基于口令的身份认证 基于智能卡的身份认证 基于生物特征的身份认证 签名识别法 指纹识别技术 语音识别系统 视网膜图像识别系统 还有其他一些不常见的方法:唇印、脚印、头盖骨的轮廓、人体骨骼对物理刺激的反应
一次性口令的安全原理 使用一次性口令序列 n次 第一个口令——使用单向函数n次 p(1)=f(f(f(f(s)))) 第二个口令——使用单向函数n-1次 p(2)=f(f(f(s))) 依次类推
一次性口令系统实例
1991年,贝尔通信研究中心(Bellcore)首次研制出了基于一次性口令思想的身份认证系统S/KEY。 FreeBSD操作系统下的一次性口令系统——OPIE(One-time Passwords In Everything)
数字签名体制
常规数字签名体制 (1)RSA签名 (2)DSS签名 (3)ECDSA签名 特殊数字签名体制 (4)不可否认签名 (5)失败-终止签名 (6)盲签名 (7)批量签名 (8)群签名 (9)代理签名 (10)多重签名
RSA签名原理
根据用户拥有什么来判断,Something the user possesses (拥有) 身份证、护照、门钥匙、磁卡钥匙等
根据用户是什么来判断, Something the user is (or How he behaves) (特征) 指纹、声音、视网膜、签名、DNA等
身份认证的主要方法
基于口令的身份认证 基于智能卡的身份认证 基于生物特征的身份认证 签名识别法 指纹识别技术 语音识别系统 视网膜图像识别系统 还有其他一些不常见的方法:唇印、脚印、头盖骨的轮廓、人体骨骼对物理刺激的反应
一次性口令的安全原理 使用一次性口令序列 n次 第一个口令——使用单向函数n次 p(1)=f(f(f(f(s)))) 第二个口令——使用单向函数n-1次 p(2)=f(f(f(s))) 依次类推
一次性口令系统实例
1991年,贝尔通信研究中心(Bellcore)首次研制出了基于一次性口令思想的身份认证系统S/KEY。 FreeBSD操作系统下的一次性口令系统——OPIE(One-time Passwords In Everything)
数字签名体制
常规数字签名体制 (1)RSA签名 (2)DSS签名 (3)ECDSA签名 特殊数字签名体制 (4)不可否认签名 (5)失败-终止签名 (6)盲签名 (7)批量签名 (8)群签名 (9)代理签名 (10)多重签名
RSA签名原理
《数字签名技术应用》PPT课件
由于商情的千变万化,交易一旦达成是不能被否认的。否则必 然会损害一方的利益。再如订购黄金,订货时金价较低,但收到订单 后,金价上涨了,如果供货方能否认收到订单的实际时间,甚至否认 收到订单的事实,则订货方就会蒙受损失。因此电子交易通信过程的 各个环节都必须是不可否认的。 5)信息传递的不可重放性
如在日常生活中,A向B借了钱,同时写了一张借条给B;当A还 钱的时候,肯定要向B索回他写的借条撕毁,不然,恐怕他会再次挟 借条要求A再次还钱。在数字签名中,如果采用了对签名报文添加流 水号、时戳等技术,可以防止重放攻击。
21
7.2.3 数字签名算法
1)签名过程
对于给定的k,消息m的签名定义如下: sig(m,k)=(y,s)
其中 y = (gk mod p)mod q s = (k-1(MD5(m)+ay)mod q
杂凑函数MD5用于把可变长度的消息m转变为一个160比特的消 息摘要,然后再用数字签名方案对它进行签名。
3)安全性分析
由于DSA是基于有限域上离散对数问题,出于短期安全性考虑要 求域Zp的素数p的长度至少为1024比特,而考虑到长期安全性则要求 其长度至少为2048比特。
23
7.2.3 数字签名算法
签名算法
Rivest、shamir和Adleman于1978年提出了RSA数字签名和公钥算 法,这是第一个较完善的公开密钥算法,它既能用于加密也能用于数 字签名,而认证过程相当于保密过程的逆过程。
(1)H能够应用到大小不一的数据上; (2)H对任何输入报文数据生成固定长度的输出; (3)对于任意给定的x,H(x)的计算相对简单; (4)对于任意给定的h,要发现满足H(x)=h的x在计算上是不可行的; (5)要发现满足H(x)=H(y)的(x,y)对在计算上是不可行的。 由于消息摘要函数比对称加密算法的速度还快,因此有着广泛 的应用。消息摘要函数是数字签名和消息识别码(MAC)的基础。
如在日常生活中,A向B借了钱,同时写了一张借条给B;当A还 钱的时候,肯定要向B索回他写的借条撕毁,不然,恐怕他会再次挟 借条要求A再次还钱。在数字签名中,如果采用了对签名报文添加流 水号、时戳等技术,可以防止重放攻击。
21
7.2.3 数字签名算法
1)签名过程
对于给定的k,消息m的签名定义如下: sig(m,k)=(y,s)
其中 y = (gk mod p)mod q s = (k-1(MD5(m)+ay)mod q
杂凑函数MD5用于把可变长度的消息m转变为一个160比特的消 息摘要,然后再用数字签名方案对它进行签名。
3)安全性分析
由于DSA是基于有限域上离散对数问题,出于短期安全性考虑要 求域Zp的素数p的长度至少为1024比特,而考虑到长期安全性则要求 其长度至少为2048比特。
23
7.2.3 数字签名算法
签名算法
Rivest、shamir和Adleman于1978年提出了RSA数字签名和公钥算 法,这是第一个较完善的公开密钥算法,它既能用于加密也能用于数 字签名,而认证过程相当于保密过程的逆过程。
(1)H能够应用到大小不一的数据上; (2)H对任何输入报文数据生成固定长度的输出; (3)对于任意给定的x,H(x)的计算相对简单; (4)对于任意给定的h,要发现满足H(x)=h的x在计算上是不可行的; (5)要发现满足H(x)=H(y)的(x,y)对在计算上是不可行的。 由于消息摘要函数比对称加密算法的速度还快,因此有着广泛 的应用。消息摘要函数是数字签名和消息识别码(MAC)的基础。
《认证与数字签名》课件
应用
数字签名广泛应用于电子商务、金融、政务和文 娱等领域,是数字时代的基础技术。
数字证书的使用
数字证书是什么?
数字证书是一种数字身份凭证,类似于护照和驾照,用于证明数字身份和数字权利。
使用场景
数字证书广泛应用于数字收据、电子签名、VPN等场景,以确保数字身份和数字数据的安全 性和合法性。
数字签名的安全性问题
建立数字身份和信任是数字时代的基础, 只有确保数字内容的安全性和可信度,才 能加速数字经济的发展。
认证的原理和方法
原理
认证的基本原理是通过比较认证的信息或特征, 确认数字身份的真实性。
方法
• 密码口令认证 • 生物特征认证 • 多因素认证 • 信任链认证
数字签名的原理和应用
原理
数字签名通过Hash算法和非对称密钥技术,保证 数字内容的完整性和不可抵赖性。
认证与数字签名
认证与数字签名对于保障数字世界的安全性和合法性至关重要。本课程将深 入介绍相关概念、原理和实践技能,帮助你更好地理解和保护数字身份和数 据。
认证与数字签名概述
1 认证与数字签名是什么?
2 为什么认证与数字签名重要?
认证是确认数字身份的真实性,数字签名 是利用Hash算法和非对称密钥技术保证 数字内容的完整性和不可抵赖性。
1
安全风险
数字签名可能受到密码学攻击、山寨证书、中间人攻击等安全风险威胁,并带来 不可预测的经济、法律和社会风险。
2
增强安全性
采用更高强度的密码学算法和密钥管理方案、建立数字身份的管理和溯源机制、 提高数字安全意识和技能等方法可以增强数字签名的安全性。
数字签名技术的未来发展
当前技术趋势 未来发展
更多基于区块链、AI、云计算等技术的数字签 名应用出现,数字身份和数字信任建设迎来新 时代。
《数字签名》PPT课件
– 改进的方式例如可以要求被签名的信息包含一个时间戳(日 期与时间),并要求将已暴露的密钥报告给一个授权中心
▪ X的某些私有密钥确实在时间T被窃取,敌方可以伪造X的签
名及早于或等于时间T的时间戳
精选PPT
12
仲裁数字签名
精选PPT
13
仲裁数字签名
▪ 引入仲裁者
– 所有从发送方X到接收方Y的签名消息首先送到仲裁者A – A将消息及其签名进行一系列测试,以检查其来源和内容 – A将消息加上日期并与已被仲裁者验证通过的指示一起发给Y
精选PPBT ob (B)
15
仲裁数字签名-单密钥加密方式1
数字签名
精选PPT
16
仲裁数字签名-单密钥加密方式1
精选PPT
17
仲裁数字签名-单密钥加密方式2
精选PPT
18
仲裁数字签名-双密钥加密方式
精选PPT
19
仲裁数字签名-双密钥加密方式
精选PPT
20
数字签名标准DSS
美国国家标准与技术局(NIST)在1991年 提出了一个联邦数字签名标准,NIST称之 为数字签名标准(DSS)。DSS提供了一种 核查电子传输数据及发送者身份的一种方 式。
– DSS/DSA
▪ 不可否认的数字签名算法 ▪ 群签名算法 ▪ 盲签名算法
精选PPT
23
▪ 仲裁者在这一类签名模式中扮演敏感和关键的角色
– 所有的参与者必须极大地相信这一仲裁机制工作正常
精选PPT
14
仲裁数字签名
Trent (T)
对称密码+明文传送
Alice (A)
Bob (B)
Trent (T)
对称密码+密文传送
▪ X的某些私有密钥确实在时间T被窃取,敌方可以伪造X的签
名及早于或等于时间T的时间戳
精选PPT
12
仲裁数字签名
精选PPT
13
仲裁数字签名
▪ 引入仲裁者
– 所有从发送方X到接收方Y的签名消息首先送到仲裁者A – A将消息及其签名进行一系列测试,以检查其来源和内容 – A将消息加上日期并与已被仲裁者验证通过的指示一起发给Y
精选PPBT ob (B)
15
仲裁数字签名-单密钥加密方式1
数字签名
精选PPT
16
仲裁数字签名-单密钥加密方式1
精选PPT
17
仲裁数字签名-单密钥加密方式2
精选PPT
18
仲裁数字签名-双密钥加密方式
精选PPT
19
仲裁数字签名-双密钥加密方式
精选PPT
20
数字签名标准DSS
美国国家标准与技术局(NIST)在1991年 提出了一个联邦数字签名标准,NIST称之 为数字签名标准(DSS)。DSS提供了一种 核查电子传输数据及发送者身份的一种方 式。
– DSS/DSA
▪ 不可否认的数字签名算法 ▪ 群签名算法 ▪ 盲签名算法
精选PPT
23
▪ 仲裁者在这一类签名模式中扮演敏感和关键的角色
– 所有的参与者必须极大地相信这一仲裁机制工作正常
精选PPT
14
仲裁数字签名
Trent (T)
对称密码+明文传送
Alice (A)
Bob (B)
Trent (T)
对称密码+密文传送
《数字签名技术》PPT课件
3.2.1 RSA数字签名系统
RSA算法中数字签名技术实际上是通过一个哈 希函数来实现的。数字签名的特点是它代表了 文件的特征,文件如果发生改变,数字签名的 值也将发生变化。不同的文件将得到不同的数 字签名。
用RSA或其它公开密钥密码算法的最大方便是 没有密钥分配问题。因为公开密钥加密使用两 个不同的密钥,其中有一个是公开的,另一个 是保密的。公开密钥可以保存在系统目录内、 未加密的电子邮件信息中、 黄页(商业 ) 上或公告牌里,网上的任何用户都可获得公开 密钥。
一个Hash函数满足: ①H可以作用于一个任意长度的数据块; ②H产生一个固定长度的输出; ③H(x)对任意给定的x计算相对容易,无论是软件还是硬
件实现; ④对任意给定码h,找到x满足H(x)=h具有计算不可行性; ⑤对任意给定的数据块x,找到满足H(y)=H(x)的y x具
有计算不可行性; ⑥找到任意数据对(x,y),满足H(x) = H(y)是计算不可行的。
3.1.4 数字签名的作用
能证明:
– 信息是由签名者发送的(认证性) – 信息自签发后到收到为止未曾做过任何修改(完整性) – 发送者不能否认其发送过信息及信息的内容(不可否认
性)
可防止 – 发送者或接收者伪造 – 第三方冒充 – 接收方篡改
3.2.1 RSA数字签名系统 3.2.2 Hash签名 3.2.3 美国数字签名标准(DSA) 3.2.4 椭圆曲线数字签名算法(ECDSA)
(1) A取一文件并以一随机值乘之,称此随机值为盲因 子
(2) A将此盲文件发送给B; (3) B对盲文件签名; (4) A以盲因子除之,得到B对原文件的签名
Chaum将盲变换看做是信封,盲文件是对文件 加个信封,而去掉盲因子的过程是打开信封 的过程。文件在信封中时无人可读,而在盲 文件上签名相当于在复写纸信封上签名,从 而得到了对起文件(信封内容)的签名。
应用密码学 第7章 认证理论与技术—数字签名(1)
数字签名方案里面都会使用消息摘要算法.
•小结:数字签名应具有的性质:
(1)收方能确认或证实发方的签字,但不能伪造; (2)发方发出签名后的消息,就不能否认所签消息; (3)收方对已收到的消息不能否认; (4)第三者可以确认收发双方之间的消息传送,但不能伪造这一过程; (5)必须能够验证签名者及其签名的日期时间; (6)必须能够认证被签名消息的内容; (7)签名必须能够由第三方验证,以解决争议。
17
(3)验证过程。 公众在看到消息m和对其签名s后,利用Bob的公开验证密钥{e, n}对 消息进行验证。 公众计算:m≡se mod n是否成立,若成立,则Bob的签名有效。 公众认为消息m的确是Bob所发布,且消息内容没有被篡改。 也就是说,公众可以容易鉴别发布人发布的消息的完整性。
2020/3/26
于是人们就想,能不能对已经协商好的电子文档进行和手写签名一样的电 子签名呢?并且这个电子签名和要求手写签名具有相同的法律效力,同时也是 安全的,也即不能被伪造。这样,一方签名后,可以通过电子邮件发送给另一 方,效率高而且花费小。
数字签名的概念由Diffie和Hellman于1976年提出,目的是通过签名者对电子 文件进行电子签名,使签名者无法否认自己的签名,同时别人也不能伪造,实现 与手写签名相同的功能,具有与手写签名相同的法律效力。
由于数字签名技术在现在和未来社会里对政府、企事业、一般团体和个人的 重要影响,世界各国都加强了对它的研究。
• 1994年美国政府正式颁发了美国数字签名标准DSS(Digital Signature Standard),美国于2000年6月30日正式签署的《电子签名法案》,明确承认了 电子签名、电子合同和电子记录的法律效力,被认为是网络时代的重大立法。 • 2000年-2001年,爱尔兰、德国、日本、波兰等国政府也先后通过各自的电 子签名法案。
•小结:数字签名应具有的性质:
(1)收方能确认或证实发方的签字,但不能伪造; (2)发方发出签名后的消息,就不能否认所签消息; (3)收方对已收到的消息不能否认; (4)第三者可以确认收发双方之间的消息传送,但不能伪造这一过程; (5)必须能够验证签名者及其签名的日期时间; (6)必须能够认证被签名消息的内容; (7)签名必须能够由第三方验证,以解决争议。
17
(3)验证过程。 公众在看到消息m和对其签名s后,利用Bob的公开验证密钥{e, n}对 消息进行验证。 公众计算:m≡se mod n是否成立,若成立,则Bob的签名有效。 公众认为消息m的确是Bob所发布,且消息内容没有被篡改。 也就是说,公众可以容易鉴别发布人发布的消息的完整性。
2020/3/26
于是人们就想,能不能对已经协商好的电子文档进行和手写签名一样的电 子签名呢?并且这个电子签名和要求手写签名具有相同的法律效力,同时也是 安全的,也即不能被伪造。这样,一方签名后,可以通过电子邮件发送给另一 方,效率高而且花费小。
数字签名的概念由Diffie和Hellman于1976年提出,目的是通过签名者对电子 文件进行电子签名,使签名者无法否认自己的签名,同时别人也不能伪造,实现 与手写签名相同的功能,具有与手写签名相同的法律效力。
由于数字签名技术在现在和未来社会里对政府、企事业、一般团体和个人的 重要影响,世界各国都加强了对它的研究。
• 1994年美国政府正式颁发了美国数字签名标准DSS(Digital Signature Standard),美国于2000年6月30日正式签署的《电子签名法案》,明确承认了 电子签名、电子合同和电子记录的法律效力,被认为是网络时代的重大立法。 • 2000年-2001年,爱尔兰、德国、日本、波兰等国政府也先后通过各自的电 子签名法案。
《数字签名算法》课件
电子政务
用于确保政府机构和公共服务的可信度和可靠性。
信息安全
用于保护计算机网络和数据安全。
数字签名算法在商业中的应用
数字签名算法可用于保护在线交易的安全性,验证商家和消费者的身份,并 确保交易信息的完整性。
数字签名算法在电子合同中的 应用
数字签名算法使电子合同具有法律效力,确保合同的真实性和完整性。
1 保证信息完整性
2 身份验证
数字签名算法可以确保信息在传输过程中 没有被篡改或修改。
签名可以验证发送者的身份,确保接收者 可以信任发送者。
数字签名算法的分类
对称加密签名算法
使用相同的密钥进行签名和验证。
非对称加密签名算法
使用不同的密钥进行签名和验证,包括公钥密码学算法。
哈希函数签名算法
使用哈希函数生成和验证签名。
数字签名算法在电子票据中的 应用
数字签名算法可用于确保电子票据的真实性和不可篡改性,并方便票据的传 输和验证。
数字签名算法在电子政务中的 应用
数字签名算法可用于保证政府机构的文件和数据的真实性和完整性,增强公 共服务的可靠性。
数字签名算法在数字证书中的应用
数字签名算法可用于生成和验证数字证书,以确保证书的真实性和可信度。
公钥密码学与数字签名算法的 关系
公钥密码学是一种使用公钥和私钥来加密和解密信息的加密技术,数字签名 算法是公钥密码学的一个重要应用。
数字签名算法的基本原理
数字签名算法基于数学和加密技术,通过生成和验证数字签名来确保信息的完整性和身份验证。
数字签名算法常用的算法
RSA数字签名算法
基于大数分解和欧拉定理的非 对称加密算法。
《数字签名算法》PPT课 件
数字签名算法是一种通过对数字信息进行加密和验证的方法,用于确保信息 的完整性和身份验证。本课件将介绍数字签名算法的定义、作用、分类以及 其在不同领域的应用。
04数字签名与认证技术1
网络安全理论
计算机学院 网络工程系 曹子建 bosscao@
第四章 数字签名与认证技术
数字签名的基本概念 认证与身份验证技术
数字签名的定义
数字签名(Digital Signature):指发送者根据消息产生 摘要,并对摘要用自身的签名私钥进行加密。消息和用 自身签名私钥加密的数字摘要组合成数字签名。 数字签名技术是实现电子交易安全的核心技术之一。 数字签名能够实现电子文档的辨认和验证。 数字签名是传统文件手写签名的模拟,能够实现用户对 电子形式存放消息的认证。
数字签名体制
直接方式的数字签名 具有仲裁方式的数字签名
数字证书简介
数字证书是由认证机构颁发的、包含了公开密 钥持有者信息以及公开密钥的文件,证书上还 有认证机构的数字签名。
数字证书系统通过认证机构为公-私密钥对的 持有者发放和管理数字证书。
数字证书的类型
个人数字证书 服务器证书 软件证书
Java密钥和证书管理工具KeyTool
Keytool生成密钥库
命令: keytool -genkey -keystore mykeystore1 自动生成别名为mykey的根实体。
为其他用户生成密钥对
命令: keytool -genkey -alias mytest –keystore mykeystore1
数字签名的作用
验证消息发送方的身份
验证消息内容的完整性
数字签名解决的问题
防抵赖:发送者事后不承认发送报文并签名; 防假冒:攻击者冒充发送者向收方发送文件; 防篡改:收方对收到的文件进行篡改; 防伪造:收方伪造对报文的签名。
数字签名对安全、防伪的要求比加密更高。数字签名的过程源自用散列函数进行的RSA数字签名
计算机学院 网络工程系 曹子建 bosscao@
第四章 数字签名与认证技术
数字签名的基本概念 认证与身份验证技术
数字签名的定义
数字签名(Digital Signature):指发送者根据消息产生 摘要,并对摘要用自身的签名私钥进行加密。消息和用 自身签名私钥加密的数字摘要组合成数字签名。 数字签名技术是实现电子交易安全的核心技术之一。 数字签名能够实现电子文档的辨认和验证。 数字签名是传统文件手写签名的模拟,能够实现用户对 电子形式存放消息的认证。
数字签名体制
直接方式的数字签名 具有仲裁方式的数字签名
数字证书简介
数字证书是由认证机构颁发的、包含了公开密 钥持有者信息以及公开密钥的文件,证书上还 有认证机构的数字签名。
数字证书系统通过认证机构为公-私密钥对的 持有者发放和管理数字证书。
数字证书的类型
个人数字证书 服务器证书 软件证书
Java密钥和证书管理工具KeyTool
Keytool生成密钥库
命令: keytool -genkey -keystore mykeystore1 自动生成别名为mykey的根实体。
为其他用户生成密钥对
命令: keytool -genkey -alias mytest –keystore mykeystore1
数字签名的作用
验证消息发送方的身份
验证消息内容的完整性
数字签名解决的问题
防抵赖:发送者事后不承认发送报文并签名; 防假冒:攻击者冒充发送者向收方发送文件; 防篡改:收方对收到的文件进行篡改; 防伪造:收方伪造对报文的签名。
数字签名对安全、防伪的要求比加密更高。数字签名的过程源自用散列函数进行的RSA数字签名
第四章 数字签名与认证技术(1)
08:14:45
4.1
数字签名的概念与原理
数字签名的概念
数字签名的原理
08:14:45
数字签名的原理 原理 数字签名就是用私有密钥进行加密,而 认证就是利用公开密钥进行正确的解密。数 字签名的原理如图所示
08:14:45
数字签名的原理
它是一个概率多项式时间算法, 一个基于公钥密码学的数字签名方案被定义为 由系统或者签名者执行,该算法 以系统安全参数1k为输入,输出 一个算法三元组(Gen, Sig, 它是一个概率多项式时间算法, Ver),方案中共有两方 密钥对(Pk, 。 参与:签名者Signer与验证者VerifierSk),其中Pk称为 由签名者执行,该算法以签名秘密 签名者公开密钥,Sk为签名者秘 密钥Sk,待签名消息m∈{0,1}k为输 密钥;即Gen(1k)→(Pk, Sk)。 入,输出一个串s。此时称s为签名 所做的 密钥生成算法Gen 者以签名秘密密钥(Sk对消息sm。 签名,即Sig Sk,m)→ 它是一个确定性算法,由验证者执 行,该算法以签名公开密钥Pk,签名 签名生成算法Sig 消息对(m, s)为输入,输出0或1,即 Ver(Pk,m,s)→{0,1},如果 s∈Sig(m),则输出1说明签名有效; 签名验证算法Ver 反之输出0,则说明签名无效
首先对报文进行填充,填充方法 SHA-1算法使用了160比特 是:先添加一个比特1,然后填充 将一个64比特的填充前的消 SHA-1算法具体的处理步骤 (5×32比特)的缓存来存放 足够多的比特0,使填充后的报文 息的长度分组附加到报文后 中间以及最终结果,这160比 的长度与448模512同余,即为512 面,这个64比特的长度被看 特被分成5个32比特字H0,H1, 的倍数刚好减去64比特 作是一个无符号整数 步骤1: 附加填充比特 H4(SHA-1算法中每 消息开头循环地处理消息序列 H2,H3, 分组,直至消息的结尾。每一 个字32比特) 步骤2: 附加长度值 次循环都以当前处理的512比 特分组和MD缓存H0,H1,H2, 步骤3: 初始化MD缓存 H3,H4作为输入。
数字签名及身份认证课件
12
第3章 数字签名和认证技术
数字签名机制提供了一种鉴别方法, 通常用于银行、 电子贸 易方面等,以解决如下问题:
(1) 伪造:接收者伪造一份文件,声称是对方发送的; (2)抵赖:发送者或接收者事后不承认自己发送或接收过文 件; (3)冒充:网上的某个用户冒充另一个用户发送或接收文件; (4) 篡改:接收者对收到的文件进行局部的篡改。
1)报文加密函数。加密整个报文,以报文的密文作为鉴别。 2)报文鉴别码。依赖公开的函数对报文处理,生成定长的鉴 别标签。 3)散列函数。将任意长度的报文变换为定长的报文摘要,并 加以鉴别。
2
第3章 数字签名和认证技术
3.1.1 报文鉴别概述 鉴别是验证通信对象是原定的发送者而不是冒名顶替者
的技术。既,通信的接收方能够鉴别验证所收到的报文的真伪。 1、报文源的鉴别 接收方使用约定的密钥(由发方决定)对收到的密文进
6
第3章 数字签名和认证技术
(2)询问—应答 用户A向B发出一个一次性随机数作为询问, 如果收到 B 发来的消息(应答)也包含一正确的一次性随机数, A就认为B发来的消息是新的并接收之。
其中时间戳法不能用于面向连接的应用过程,这是由于时间 戳法在实现时有它的困难性。首先是需要在不同的处理器时钟之 间保持同步,那么所用的协议必须是容错的以处理网络错误,并 且是安全的以对付恶意攻击。第二,如果协议中任一方的时钟出 现错误而暂时地失去了同步,则将使敌方攻击成功的可能性增加。 最后还由于网络本身存在着延迟,因此不能期望协议的各方能保 持精确的同步。所以任何基于时间戳的处理过程,协议等都必须 允许同步有一个误差范围。考虑到网络本身的延迟,误差范围应 足够大,考虑到可能存在的攻击,误差范围又应足够小。 31
35
第3章 数字签名和认证技术
数字签名机制提供了一种鉴别方法, 通常用于银行、 电子贸 易方面等,以解决如下问题:
(1) 伪造:接收者伪造一份文件,声称是对方发送的; (2)抵赖:发送者或接收者事后不承认自己发送或接收过文 件; (3)冒充:网上的某个用户冒充另一个用户发送或接收文件; (4) 篡改:接收者对收到的文件进行局部的篡改。
1)报文加密函数。加密整个报文,以报文的密文作为鉴别。 2)报文鉴别码。依赖公开的函数对报文处理,生成定长的鉴 别标签。 3)散列函数。将任意长度的报文变换为定长的报文摘要,并 加以鉴别。
2
第3章 数字签名和认证技术
3.1.1 报文鉴别概述 鉴别是验证通信对象是原定的发送者而不是冒名顶替者
的技术。既,通信的接收方能够鉴别验证所收到的报文的真伪。 1、报文源的鉴别 接收方使用约定的密钥(由发方决定)对收到的密文进
6
第3章 数字签名和认证技术
(2)询问—应答 用户A向B发出一个一次性随机数作为询问, 如果收到 B 发来的消息(应答)也包含一正确的一次性随机数, A就认为B发来的消息是新的并接收之。
其中时间戳法不能用于面向连接的应用过程,这是由于时间 戳法在实现时有它的困难性。首先是需要在不同的处理器时钟之 间保持同步,那么所用的协议必须是容错的以处理网络错误,并 且是安全的以对付恶意攻击。第二,如果协议中任一方的时钟出 现错误而暂时地失去了同步,则将使敌方攻击成功的可能性增加。 最后还由于网络本身存在着延迟,因此不能期望协议的各方能保 持精确的同步。所以任何基于时间戳的处理过程,协议等都必须 允许同步有一个误差范围。考虑到网络本身的延迟,误差范围应 足够大,考虑到可能存在的攻击,误差范围又应足够小。 31
35
《数字签名技术》PPT课件
用到的知识:
1.模n的二次剩余集 2.模n的平方根 3.剩余类的集合 4.合数 5.勒让德符号 6.雅可比符号
RSA签名方案中p和q是不同的素数
,从而(n)=(p-1)(q-1)是偶数。 而e必须满足gcd(e, )=1,所以e是
奇数。
2021/4/26
30/47
➢Rabin公钥签名方案的密钥生成
1.计算m~ Rm
2.计算m~ mod n的一个平方根s
3.A对m的签名是s
为验证A的签名s且恢复消息m,B执行如下操作:
1.获得A的可信公钥n
2.计算m~ s2 mod n 3.验证m~ M R ;否则,拒绝接受签名
4.恢复m R1m~
2021/4/26
32/47
➢Rabin公钥签名方案举例
1995年我国也制定了自己的数字签名标准 (GB15851-1995)
2004年我国颁发《中华人民共和国电子签名法》
2021/4/26
7/47
➢数字签名的原理
2021/4/26
8/47
➢数字签名的功能
1.机密性 2.完整性 3.身份验证 4.防伪造 5.防抵赖 6.防重放攻击
2021/4/26
1)选择合适的冗余函数R对Rabin签名方案的安全性极为重 要。
2)对Rabin方案而言,设消息m是比特串,则R可以将它赋值 为二元表示是该消息的整数。然而,却不能保证那个整数是 模n的二次剩余,这可能导致无法计算平方根。所以人们试图 尝试用确定性方法。
2021/4/26
13/47
➢数字签名方案的分类
带附录的数字签名方案:要求初始消息作为验 证算法的输入
❖ DSA、ElGamal和Schnorr签名方案 ❖ 消息可以是任意长度
数字的签名跟身份认证技术知识
数字证书的标准
数字证书是一个经证书授权中心数字签名的 包含公钥拥有者信息及公开密钥的文件。最简单的 证书包含一个公开密钥、名称以及证书授权中心的 数字签名。一般情况下证书还包括密钥的有效时间、 发证机关(证书授权中心)的名称、该证书的序列 号等信息,证书的格式遵循ITUT X .509国际标准。
数字证书的使用
2
E1Gamal体制,它是基于求解有限域上的乘法
群的离散对数问题的困难性。
椭圆曲线密码体制是一种基于代数曲线的公钥密 码机制,以其良好的安全性,曲线选取范围广,在同 等长度的密钥下具有比RSA体制更快的加、解密速度及 更高的密码强度而备受青睐。
RSA公钥签名技术
RSA方法的加密和解密算法互为逆变换,所以可 以用于数字签名系统。假定用户的公钥是(nA,eA), 秘密钥是dA,加密和解密变换分别为EA和DA,则A发 送的签名后的消息是:
数字签名技术 带加密的数字签名 RSA公钥签名技术 数字签名的应用
数字签名技术
数字签名技术是公开密钥加密技术和报文 分解函数相结合的产物。与加密不同,数字签 名的目的是为了保证信息的完整性和真实性。 数字签名必须保证以下三点:
1 接受者能够核实发送者对消息的签名。 2 发送者事后不能抵赖对消息的签名。 3 接受者不能伪造对消息的签名。
3. 证书的撤销 4. 证书的鉴别过程 1 单向鉴别。 2 双向鉴别。 3 三向鉴别。 在三向鉴别中,包括一个最后从A到B的报文,它含有一个现时B的签名 备份。这样设计的目的是无须检查时间戳,因为两个现时均由另一端返 回,每一端可以检查返回的现时来探测重放攻击。当没有同步时钟时, 需要使用这种方法。
CA机构应包括两大部门:
一是审核授权部门(Registry Authority,RA), 作为电子商务交易中受信任的第三方,承担公钥体系 中公钥的合法性检验的责任。
第7章 认证理论与技术—数字签名
➢数字签名与消息认证的区别
▪数字签名——第三者可以确认收发双方的消息传送 ▪消息认证——只有收发双方才能确认消息的传送
•数字签名的应用
• 认证 • 数据完整性 • 不可抵赖性 • 大型网络的公钥证书中
2020/5/15
6
7.2 数字签名的原理及分类
在RSA加密算法中,假如用户Bob的参数选取简单写为n=pq,de≡1modφ(n),则{e, n}为公开密钥,{d, n}为秘密密 钥。对于一个秘密密钥{d, n},在满足de≡1modφ(n)的条件下,只有唯一的{e, n}与之对应。如同在介绍RSA加密算法时 所提及的那样,一个用户的公钥会在较长时间内保持不变,故我们可以说,在一定时间内,{e, n}表示了秘密密钥{d, n} 的持有者的身份。
因为Bob是秘密密钥{d, n}的唯一持有者,只有他才能他必须要能破解大数分解问题才行。
2020/5/15
8
7.2.2 数字签名的分类
•当前,数字签名应具有的性质 (1)收方能确认或证实发方的签字,但不能伪造; (2)发方发出签名后的消息,就不能否认所签消息; (3)收方对已收到的消息不能否认; (4)第三者可以确认收发双方之间的消息传送,但不能伪造这一过程; (5)必须能够验证签名者及其签名的日期时间; (6)必须能够认证被签名消息的内容; (7)签名必须能够由第三方验证,以解决争议。
14
(3)验证过程。 公众在看到消息m和对其签名s后,利用Bob的公开验证密钥{e, n}对消息进行 验证。 公众计算:m≡se mod n是否成立,若成立,则Bob的签名有效。 公众认为消息m的确是Bob所发布,且消息内容没有被篡改。 也就是说,公众可以容易鉴别发布人发布的消息的完整性。
2020/5/15
▪数字签名——第三者可以确认收发双方的消息传送 ▪消息认证——只有收发双方才能确认消息的传送
•数字签名的应用
• 认证 • 数据完整性 • 不可抵赖性 • 大型网络的公钥证书中
2020/5/15
6
7.2 数字签名的原理及分类
在RSA加密算法中,假如用户Bob的参数选取简单写为n=pq,de≡1modφ(n),则{e, n}为公开密钥,{d, n}为秘密密 钥。对于一个秘密密钥{d, n},在满足de≡1modφ(n)的条件下,只有唯一的{e, n}与之对应。如同在介绍RSA加密算法时 所提及的那样,一个用户的公钥会在较长时间内保持不变,故我们可以说,在一定时间内,{e, n}表示了秘密密钥{d, n} 的持有者的身份。
因为Bob是秘密密钥{d, n}的唯一持有者,只有他才能他必须要能破解大数分解问题才行。
2020/5/15
8
7.2.2 数字签名的分类
•当前,数字签名应具有的性质 (1)收方能确认或证实发方的签字,但不能伪造; (2)发方发出签名后的消息,就不能否认所签消息; (3)收方对已收到的消息不能否认; (4)第三者可以确认收发双方之间的消息传送,但不能伪造这一过程; (5)必须能够验证签名者及其签名的日期时间; (6)必须能够认证被签名消息的内容; (7)签名必须能够由第三方验证,以解决争议。
14
(3)验证过程。 公众在看到消息m和对其签名s后,利用Bob的公开验证密钥{e, n}对消息进行 验证。 公众计算:m≡se mod n是否成立,若成立,则Bob的签名有效。 公众认为消息m的确是Bob所发布,且消息内容没有被篡改。 也就是说,公众可以容易鉴别发布人发布的消息的完整性。
2020/5/15
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
d×e≡1modφ(n),计算出d。
③ 以{e, n}为公开密钥,{d, n}为秘密密钥。选择安全的单向 hash函数h(· )。 仍然把Bob作为签名者,则Bob知道秘密密钥{d, n};所有人 都知道公开密钥{e, n}和算法中选择的hash函数h(· ).
2014-2-unt、币种currency、电子现金个数nCoins、时戳
timestamp、接收者身份merchant_Ids与其银行帐户对应、交易描 述description以备将来解决支付者和接收者的可能争议, 支付者的
秘密随机数payer_code也用来解决支付者和接收者的可能争议。
2014-2-13
2014-2-13 6
⑤ 防陷害攻击,包括群管理人在内的任何人都不能以其他
群成员的名义产生合法的群签名; ⑥ 抗联合攻击,即使一些群成员串通在一起也不能产生一 个合法的不能被跟踪的群签名。 在D.Chaum和E.van Heyst提出群数字签名的定义,并给出
了四个实现方案后,由于群签名的实用性,人们对群签名加以了
设需要签名的消息为m,请求签名者Alice随机选择一个整数r作 为盲化因子,然后进行如下计算:α≡re· h(m) mod n,然后发送α给
签名者Bob。
(3)签名过程 Bob在收到α后,计算 t≡αdmod n ,然后把t发送给Alice。 (4)脱盲过程 Alice接收到t后,计算s≡t·r-1mod n. 就得到了消息m 的签名(m, s)。 (5)验证过程 通过如下计算,任何人都可以验证签名的有效性:se≡h(m) mod n是否成立,若成立,则发送方的签名有效。
(2)门限签名:在有n个成员的群体中,至少有t个成员才能代 表群体对文件进行有效的数字签名。 门限签名通过共享密钥方法实现,它将密钥分为n份,只有当将 超过t份的子密钥组合在一起时才能重构出密钥。门限签名在密钥 托管技术中得到了很好的应用, 某人的私钥由政府的n个部门托管 , 当其中超过t个部门决定对其实行监听时,便可重构密钥,实现 监听。 (3)代理签名 1996 年,Mambo、Usuda 和Okamoto提出了代理签名的概念 。代理签名允许密钥持有者授权给第三方, 获得授权的第三方能 够代表签名持有者进行数字签名。 代理签名相当于一个人把自己的印章托付给自己信赖的人,让 他代替自己行使权力。由于代理签名在实际应用中起着重要作用, 所以代理签名一提出便受到关注,被广泛研究。 2014-2-13 5
应 用 密 码 学
张仕斌 万武南 张金全 孙宣东编著
西安电子科技大学出版社 二00九年十二月
2014-2-13 1
第7章 认证理论与技术 —数字签名
2014-2-13
2
知识点:
◇ 数字签名的原理及分类 ◇ RSA及ElGamal数字签名算法
◇ 数字签名标准DSS
◇ 其他数字专用签名方案 ◇ 盲签名方案及其应用
2014-2-13
3
7.5 其他专用数字签名方案
针对实际应用中大量特殊场合的签名需要, 数字签名领域也转向 了针对特殊签名的广泛研究阶段。 (1)盲签名 用户需要让签名者对明文消息文件进行数字签名,而又不希望签 名者知晓明文消息文件的具体内容,这就需要盲数字签名,简称盲签 名(Blind Signature) 。盲签名是一种特殊的数字签名方法,相对于一 般的数字签名而言还应当具有下列2个特性: ① 盲性:所签消息的内容对签名人是盲的,即签名人签名时不能 看见消息的具体内容; ② 不可追踪性:即使在盲签名公开后,签名者仍然不能跟踪消息签名对,即不能把签名和其在签名时的看到的信息联系起来。 盲签名主要用于基于Internet的匿名金融交易,如匿名电子现金支 付系统、匿名电子拍卖系统等应用中。 2014-2-13 4
一个电子现金支付系统通常包括三个参与方:银行,电子现金
支付者,电子现金接收者。
在电子货币支付时,电子现金支付者从银行取出他的电子货币, 然后将电子货币支付给接收者,接收者将收到的电子货币存入银行。 其关系可以用下页图表示,其中箭头方向表示了电子货币的流向。
2014-2-13 16
支付者,电子现金接收者。在电子货币支付时,电子现金支付者从 设银行的签名公钥为e, 支付公钥PK bank , 秘密钥为d, 模为n, 采 银行取出他的电子货币,然后将电子货币支付给接收者,接收者将 用安全单向函数为 h( . ). h ( . ) 的使用使伪造电子现金的变得不可行 收到的电子货币存入银行。 银行的公开信息是{e, n, h(.)}, 支付公钥PK bank ; 秘密信息是{d, p, q, n=p*q}, p, q 是安全素数,使得分解大整数 n是困难的。 系统假设用户Alice已经在银行里存了一笔钱在账户NA上以备提
2014-2-13 12
7.6.2 基于离散对数难题的盲签名
基于离散对数难题的盲签名出现的时间相对比较晚。 1994 年, J.Camenisch 在 DSA 和 Nyberg-Rueppel 方案的基 础上,各提出了一个盲签名方案。
后来,随着研究进展,出现了强盲签名和弱盲签名的分化
,再后来出现了跟其他签名结合的签名方案,如盲代理签名,
一般来说,盲签名的协议有如下几个步骤:初始化过程,盲化
过程,签名过程,脱盲过程,验证过程。
2014-2-13
9
7.6.1 基于整数分解难题的盲签名
1.RSA盲数字签名描述
(1)参数选择 ① 选择两个满足需要的大素数p和q,计算n=p×q,φ(n)= (p1)×(q-1),其中φ(n)是n的欧拉函数值。 ② 选 一 个 整 数 e, 满 足 1<e<φ(n) , 且 gcd(φ(n),e)=1 。 通 过
- 补充(选讲):
1、不可否认签名方案
1989年Chaum和Antwerpen提出了不可否认签名方案。其 实质是在没有签名者合作时不可能验证签名,从而可防止复制 或散布签名消息。显然,这一签名方案的目的是阻止签名文件
的随便复制、任意散布。这在电子出版物的知识产权保护方面
具有相当的应用前景。
(1)不可否认签名的基本原理
更加广泛的研究。提出了分级多群签名、群盲签名、多群签名、 满足门限性质的群签名、前向安全的群签名等。
2014-2-13
7
(5)前向安全的数字签名方案
普通数字签名具有如下局限性:若签名者的密钥被泄漏,那么 这个签名者所有的签名(过去的和将来的)都有可能泄漏,前向安全 的数字签名方案主要思想是当前密钥的泄露并不影响以前时间段签 名的安全性。 在提出以上这些签名之后,研究者们根据不同的需要,又给出 了一些综合以上性质的签名,如前向安全的群签名、盲代理签名、 代理门限签名、代理多重签名、公平盲签名等。
2014-2-13 11
•
下面来体会一下这个签名方案为什么叫做盲签名方案。
签名者看到的信息是 α,根据 α, e, n,签名者显然不能计算出 h(m) 来,因为还有一个变量 r(盲化因子),即所签消息的内容对 签名人是盲的,即签名人Bob签名时不能看见消息的具体内容; 在Alice得到Bob的签名后,Bob即使看到了自己的签名(m, s), 仍 然不能把它与签名时的 α联系起来,即盲签名的第二个性质,不可 追踪性。
(4)群签名
允许一个群体中的成员以整个群体的名义进行数字签名, 并且 验证者能够确认签名者的身份。
一个好的群签名方案应满足以下的安全性要求:
① 匿名性,给定一个群签名后,对除了唯一的群管理人之外的 任何人来说,确定签名人的身份在计算上是不可行的; ② 不关联性,在不打开签名的情况下,确定两个不同的签名是 否为同一个群成员所做在计算上是困难的; ③ 防伪造性,只有群成员才能产生有效的群签名; ④ 可跟踪性,群管理人在必要时可以打开一个签名以确定出签 名人的身份,而且签名人不能阻止一个合法签名的打开;
盲签名技术除了实现匿名电子现金支付外,还可以用于匿名电 子选举,匿名电子拍卖等等方面。 前面我们介绍的RSA盲签名和Schnorr盲签名在实际使用时,对 于某些利用这种渠道进行洗钱等非法活动的行为无法进行追踪,从
而提出了在授权的情况下,银行和监督部门可以揭开盲签名,实现
对电子现金的追踪,这就是公平盲签名。关于公平盲签名方案的内 容,请查阅相关文献。
(2)电子现金接收者验证payment_inf,发送payment给银行
; (3)银行验证{nCoins,merchant_Ids }PKbank确信Coins没有 重复花费,把nCoins列入已花费的 coins, 给merchant_Ids账户上加 2014-2-13 20 上一定金额,否则支付失败。
2014-2-13
8
7.6 盲签名方案
1983年,Chaum提出了盲签名概念,在此基础上提出了一个盲 签名方案,并指出盲签名应该满足如下两个性质: (1)盲性,所签消息的内容对签名人是盲的,即签名人签名时不 能看见消息的具体内容;
(2)不可追踪性,即使在盲签名公开后,签名者仍然不能跟踪
消息-签名对,即不能把签名和其在签名时的看到的信息联系起来 。
2014-2-13
15
7.6.3 盲签名的应用
著名密码学家David Chaum 1982 年首次提出了利用盲签字实现
电子现金的方法,DigiCash 是Divid Chaum 发起的提供电子支付系 统的专业公司,eCashTM是DigiCash开发的用软件实现的第一个完 全匿名的在线电子现金系统, 它的基本算法是RSA 盲签名算法。 1995 年Mark Twain 银行就开始发行Internet 网上电子现金。
3.支付协议
用户支付Coin时, 不能让接收者看到Coin. eCashTM 为了保证这 点, 银行使用了一个用来完成支付的公钥PK bank , 用户支付时用PK
bank对Coin加密,
保证了只有电子现金拥有者在申请后和银行在电