第五讲数字签名(第7章)新版

1、北京科技大学数理学院北京科技大学数理学院 卫宏儒卫宏儒第五讲第五讲 数字签名数字签名主要内容主要内容散列函数和认证码（散列函数和认证码（MAC）主要以对称密钥）主要以对称密钥算法为基础，具有效率高，易于硬件实现，算法为基础，具有效率高，易于硬件实现，但共享密钥的管理不方便；但共享密钥的管理不方便；公钥密码学获得的最重要的进展之一是数字公钥密码学获得的最重要的进展之一是数字签名，实现了数据的完整性、真实性和抗抵签名，实现了数据的完整性、真实性和抗抵赖性；赖性；本章主要内容：基本概念、散列函数、认本章主要内容：基本概念、散列函数、认RSA、EIGamal和和DSS签名体制、数字签名签名体制、数字签

2、名标准和一些具有特殊用途的数字签名体制。标准和一些具有特殊用途的数字签名体制。一、基于口令的认证一、基于口令的认证1、各种口令形式各种口令形式传统认证方法传统认证方法口令认证面临的威胁口令认证面临的威胁常见的个人令牌常见的个人令牌2 2、认证技术和协议、认证技术和协议通信中防止口令窃取和重放的方法通信中防止口令窃取和重放的方法认证协议认证协议AliceTrentBobAliceBobTrentAliceBob(a) 仲 裁 协 议(b) 裁 决 协 议(c) 自 动 执 行 的 协 议 二、数字签名二、数字签名2 2、数字签名的分类、数字签名的分类（1 1）直接数字签名）直接数字签名 直接数字

3、签名只涉及通信双方。发送方用其私钥直接数字签名只涉及通信双方。发送方用其私钥对消息或消息散列码加密形成数字签名。对消息或消息散列码加密形成数字签名。 弱点：私钥的安全性。弱点：私钥的安全性。（2 2）有仲裁的数字签名）有仲裁的数字签名 有仲裁的数字签名可以解决直接数字签名中发送有仲裁的数字签名可以解决直接数字签名中发送 方的否认。有一下几种方案。方的否认。有一下几种方案。对称加密，仲裁者可以看到消息内容；对称加密，仲裁者可以看到消息内容；对称加密，仲裁者不能看到消息内容；对称加密，仲裁者不能看到消息内容；公钥加密，仲裁者不能看到消息内容；公钥加密，仲裁者不能看到消息内容； 三、认证模型三、认证

4、模型（一）相互认证（一）相互认证 相互认证协议可以使通信双方相互相互认证协议可以使通信双方相互证实对方的身份并交换会话密钥进行通话。证实对方的身份并交换会话密钥进行通话。机密性机密性-密文密文时效性时效性-防止消息重放防止消息重放对付消息重放的方法对付消息重放的方法-时间戳和盘问时间戳和盘问/ /响应响应（二）单向认证（二）单向认证 单向认证用于电子邮件。单向认证用于电子邮件。保证机密性和认证保证机密性和认证认证协议：认证协议： 对称加密法对称加密法 公钥加密法公钥加密法四、消息认证的基本概念四、消息认证的基本概念数据加密主要是防止信息泄露，抵御被动数据加密主要是防止信息泄露，抵御被动攻击；攻

5、击；为防止网络上的主动攻击，一般采用数字为防止网络上的主动攻击，一般采用数字签名技术；例如密钥管理中要求的认证、签名技术；例如密钥管理中要求的认证、签名等方法；签名等方法；消息认证的基本概念、消息验证码（消息认证的基本概念、消息验证码（MACMAC）和相关散列算法。和相关散列算法。1 1、消息认证的基本概念、消息认证的基本概念消息的完整性：是否受到破坏消息的完整性：是否受到破坏消息的真实性；是否来源于主体消息的真实性；是否来源于主体消息认证：鉴别和识别消息认证：鉴别和识别消息认证的目的：消息认证的目的： 保证消息的完整性和真实性保证消息的完整性和真实性对称密码系统能够提供一定程度的消息认对称密

6、码系统能够提供一定程度的消息认证。证。消息认证的基本概念（续）消息认证的基本概念（续）消息认证的目的：消息认证的目的： 保证消息的完整性和真实性保证消息的完整性和真实性 两个目的两个目的 （1 1）验证信息的发送者是真正的，而不是冒）验证信息的发送者是真正的，而不是冒充的。充的。 （2 2）验证信息的完整性，即验证信息在传送）验证信息的完整性，即验证信息在传送或存储过程中未被串改、重放或延迟等。或存储过程中未被串改、重放或延迟等。消息认证的基本概念（续）消息认证的方式：消息认证的方式： （1 1）明文和密文都发给对方（）明文和密文都发给对方（对称密钥对称密钥）；）； （2 2）发送者用他的私钥

7、加密，接收者用发送者的）发送者用他的私钥加密，接收者用发送者的公钥解密；（公钥解密；（接收者不能做到对消息的鉴别，注接收者不能做到对消息的鉴别，注意与公钥密码通信的区别意与公钥密码通信的区别） （3 3）发送者用自己的私钥加密，再用接收者的公）发送者用自己的私钥加密，再用接收者的公钥加密，接收者用自己的私钥解密，再用发送者钥加密，接收者用自己的私钥解密，再用发送者的公钥解密。（的公钥解密。（既做到加密又实现了认证，但加既做到加密又实现了认证，但加解密复杂，通信流量大解密复杂，通信流量大）消息认证的基本概念（续）消息摘要：消息摘要：通信中若只要求验证消息的完整性，通信中若只要求验证消息的完整性，

8、可对消息施用一个单向散列映射：将任意长的消可对消息施用一个单向散列映射：将任意长的消息作为息作为M M输入，产生一个定长码输入，产生一个定长码H H（M M），称为消），称为消息摘要。息摘要。消息认证模型：消息认证模型：（1 1）利用消息摘要验证消息的）利用消息摘要验证消息的完整性完整性；（2 2）将消息摘要与对称密码方法相结合）将消息摘要与对称密码方法相结合 （完整性、完整性、真实性都能保证真实性都能保证）；）；（3 3）将消息摘要与公钥密码方法相结合；）将消息摘要与公钥密码方法相结合； （完整完整性、真实性都能保证性、真实性都能保证）；）；消息认证的基本概念（续）消息认证模型：消息认证模型

9、： 对：（对：（2 2）将消息摘要与对称密码方法相）将消息摘要与对称密码方法相结合（结合（完整性、真实性都能保证完整性、真实性都能保证）的方法改进）的方法改进后，即可减少一次为消息认证而进行的加、解后，即可减少一次为消息认证而进行的加、解密过程。不过在计算消息摘要时要用到通信双密过程。不过在计算消息摘要时要用到通信双方共享的秘密值，这样也能实现消息认证。方共享的秘密值，这样也能实现消息认证。 上述消息认证的上述消息认证的5 5种模型是将消息保密和种模型是将消息保密和认证过程分开进行的，这为各种应用提供了灵认证过程分开进行的，这为各种应用提供了灵活性。优点如下：活性。优点如下： 应用层应用层 认

10、证；传输层认证；传输层 加密加密 机密性或认证各有侧重。机密性或认证各有侧重。2、散列函数散列函数（续）散列函数（续）散列函数（续）散列函数（续）（1 1）、几个定义）、几个定义 （2 2）、散列函数的基本要求）、散列函数的基本要求安全的杂凑函数安全的杂凑函数(hash function)(hash function)： 输入长度是任意的。输入长度是任意的。 输出长度是固定的，至少取输出长度是固定的，至少取128128比特长，以抵抗生比特长，以抵抗生日攻击。日攻击。 给定一个杂凑值（即摘要），求其逆是很难的，即给定一个杂凑值（即摘要），求其逆是很难的，即h(x) =xh(x) =x很难。很难。

11、 对每一个给定的输入，计算输出即杂凑值是很容易对每一个给定的输入，计算输出即杂凑值是很容易的。的。 给定杂凑函数的描述，找到两个不同的输入消息杂给定杂凑函数的描述，找到两个不同的输入消息杂凑到同一个值是计算上不可行的，即若凑到同一个值是计算上不可行的，即若x x1 1xx2 2, ,则则h(xh(x1 1) ) h(xh(x2 2).).（3 3）、杂凑函数的攻击方法）、杂凑函数的攻击方法 杂凑函数的安全性取决于其抗各种攻击的能力，对手杂凑函数的安全性取决于其抗各种攻击的能力，对手的目标是找到两个不同的消息将其映射成同一杂凑值，一的目标是找到两个不同的消息将其映射成同一杂凑值，一般假定对手知道

12、杂凑算法。对于杂凑函数有下列几种基本般假定对手知道杂凑算法。对于杂凑函数有下列几种基本的攻击方法：的攻击方法：（1 1）穷举攻击）穷举攻击 （2 2）“生日问题生日问题”攻击攻击(Birthday Attack) (Birthday Attack) （3 3）中间相遇攻击法（）中间相遇攻击法（Meet-in-the middle AttackMeet-in-the middle Attack）（4 4）广义中间相遇攻击法）广义中间相遇攻击法(Generalized Meet-in the (Generalized Meet-in the middle Attack) middle Attack

13、) （5 5）改正分组攻击（）改正分组攻击（Correcting Block AttackCorrecting Block Attack）（6 6）利用算法弱点攻击）利用算法弱点攻击(Attacks Depending on Algorithm (Attacks Depending on Algorithm Weaknesses) Weaknesses) （7 7）差分分析方法）差分分析方法(Differential Crytanalysis)(Differential Crytanalysis) 生日攻击生日攻击（4）、流行的安全杂凑算法 MD5-输出长度是输出长度是128比特比特 SHA1

14、-输出长度是输出长度是160比特比特 Snefru Snefru 算法算法 N-HashN-Hash算法算法 MD4MD4算法算法 MD5MD5算法算法 MD2MD2算法算法 MD3MD3算法算法 安全杂凑算法安全杂凑算法SHA PIPE-MDSHA PIPE-MD算法算法 HAVALHAVAL算法算法 GOSTGOST杂凑算法杂凑算法 1）MD5 A B C D M MD D5 5主主循循环环 消息分组 第 一轮 第 二轮 第 三 轮 第四轮 M D5的的 一一 个个 执执 行行 过过 程程 a b c d 非线性函数 移位 2）安全散列算法SHA 美国美国NIST和和NSA设计的一种标准设

15、计的一种标准算算 法法SHA（Secure Hash Algorithm）,用于数字签字标准算法用于数字签字标准算法DSS（ Digital Signature Standard）,也可用于其它也可用于其它需要用需要用Hash算法的情况。算法的情况。SHA具有较具有较高的安全性。高的安全性。 算法描述算法描述： 消息经填充成消息经填充成512bit的整数倍。填的整数倍。填充先加充先加“1”后跟许多后跟许多“0”，且最后，且最后64比比特表示填充前是消息长度。以五个特表示填充前是消息长度。以五个32比特比特变量（变量（A，B，C，D，E）作为初始值）作为初始值（以（以16进制表示）进制表示）A=

16、67452301，B=EFCDAB89，C=98BADCFE，D=10325476，E=C3D2E1F0。 各 轮 的 基 本 运 算 如 下 表 轮 f BCDt( , , ) 019 t 2039 t 4059 t 6079 t () ()B CB D B C D () () ()B CB DC D B C D Wt Kt SHA 基基本本运运算算框框图图 A B C D E + + + + ft A B C D E CLSs CLS30 w0w2w8w13 w63w65w71w79 。 。 。 。 。 。 。 。 。 SHA处处理理一一个个输输入入组组时时产产生生的的80个个32比比特特

17、字字 Yq w16 wt w79 XOR XOR XOR w0 w15 w1 五、数字签名标准五、数字签名标准六、数字签名算法六、数字签名算法DSADSA包含数字签名和验证包含数字签名和验证DSA是算法，是算法，DSS是标准是标准标准采用算法，算法是标准的一部分标准采用算法，算法是标准的一部分DSA算法的安全性依赖于有限域上的离算法的安全性依赖于有限域上的离散对数问题。散对数问题。杂凑函数杂凑函数H(m)H(m)用于把可变长度用于把可变长度 的消息的消息m m转变为一个转变为一个160160比特的消息摘要，比特的消息摘要， 然后再用数字签名方案对它进行签名然后再用数字签名方案对它进行签名。DS

18、ADSA素数的产生素数的产生DSADSA的三种变形的三种变形用用DSADSA完成完成RSARSA的加解密（的加解密（理论分析理论分析）用用DSADSA完成完成EIGamalEIGamal的加解密（的加解密（可能性可能性）安全性分析安全性分析随机数产生器及随机数攻击随机数产生器及随机数攻击共享模数的危险共享模数的危险DSA中的潜信道中的潜信道七、其他的签名体制七、其他的签名体制RSARSA签名体制签名体制EIGamalEIGamal签名体制签名体制SchnorrSchnorr签名体制签名体制椭圆曲线数字签名体制椭圆曲线数字签名体制RabinRabin签名体制签名体制GOSTGOST签名体制签名体制OSSOSS签名体制签名体制ESIGNESIGN签名体制签名体制OkamotoOkamoto签名体制签名体制离散对数签名体制离散对数签名体制RSARSA签名体制签名体制ElGamalElGamal签名体制签名体制 签名变体体制ElGamalElGamal签名体制的安全性签名体制的安全性 （1 1） 不知道明文密文对的攻击不知道明文密文对的攻击 （2 2） 已知明文密文对的攻击已知明文密文对的攻击八、有特殊用途的数字签名体制八、有特殊用途