课件-第09次课数字签名

建群网培主要内容ﻫ

数字签名的基本概念ﻫ

数字签名与数据加密的区别ﻫ

数据签名的基本模型ﻫ

利用公钥

实现数据签名ﻫ

签名通信协议的问题ﻫ

利用Hash函数辅助数据签名：我能过软考1.数字签名的基本概念签名是证明当事者的

和数据真实性的一种信息。签名可以用不同的形式来表示：签名的形式:手签、

、手印电子文件应采用电子形式的签名，即数字签名Digital

Signature数字签名主要建立在

的安全性基础上。完善的签名应满足以下三个条件⑴签名者事后不能抵赖自己的签名⑵任何其他人不能

签名⑶如果当事的双方关于签名的真伪发生争执，能够在公正的仲裁者面前通过验证签名来确认其真伪。3：我能过软考性和不可否签名是对文档的一种

，签名与文档具有一一对应关系（精确性）签名应基于签名者的唯一性特征（如私钥），从而确定签名的不可认性（唯一性）签名应该具有时间特征，防止签名的重复使用（时效性）手写签名是模拟的，因人而异。数字签名比手写签名有更强的不可否认和可认证性。1.数字签名的基本概念-数字签名应具有的性质4：我能过软考数字签名的加

与数据加

过程都可以使用公钥算法，但实现过程正好相反，使用的密钥对也不同。数字签名使用发送方的密钥对，发送方利用自己的私钥进行加密（签名），接收方用发送方的公开密钥进行

（验证）。数字签名是一对多的关系，任何人都可以查找发送方公开密钥，以验证数字签名的正确性的真实性数字签名大多采用非对称密钥加密算法，它能保证发送信息的完整性、和不可否认行。数据加密采用了对称密钥和非对称密钥加密算法，能够保证发送信息的

性。2.数字签名与数据加密的区别5：我能过软考发送方数字签名加密‘加’密接收方验证使用发送方的私钥‘使用发送方的公钥使用接收方的公钥使用接收方的私钥数据加密数据2.数字签名与数据加密的区别6：我能过软考一个数字签名体制包括两个方面的处理：施加签名验证签名施加签名:设施加签名的算法为SIG，产生签名的密钥为K，被签名的数据为M，产生的签名信息为S，则有：S=SIG（M，K）验证签名：设验证签名的算法为VER，用VER对签名S进行验证，可鉴别S的真假。即：真，当S=SIG（M，Kpr）VER（S，Kpu）=假，当S≠SIG（M，Kpr）3.数字签名的基本模型7：我能过软考签名函数必须满足以下条件，否则文件内容及签名被篡改或冒充均无法发现：1）当M’≠M时，有SIG（M’，K）≠SIG（M，K）条件1）要求签名S至少和被签名的数据M一样长，当M较长时，应用很不方便，此时可以考虑对M进行分组，但可能产生碰撞；Hash可以很好处理此问题将条件1）改为：虽然当M’≠M时，存在S=S’，但对于给定的M或S，要找出相应的M’在计算上是不可能的。（强碰撞）2）

签名S只能由签名者产生，否则别人便可

，于是签名者也就可以抵赖3）收信者可以验证签名S的真伪。这使得当签名S为假时，收信者不致上当4）签名者也应有办法鉴别收信者所出示的签名者签名是否是自己的签名，这就给签名者以自卫的能力自卫的能力。3.数字签名的基本模型8：我能过软考一般方法对于一个公钥

，如果满足：E(D(M，Kd),Ke)=M,则可确保数据的真实性凡是能够确保数据的真实性的公开密钥都可用来实现数字签名，例如RSA

、ELGamal

、椭圆曲线

ECC、我国的SM2等都可以实现数字签名现数字签名。局（NIST）发布了数字签名标准，简称DSS（Digital

Signature1991年，Standard

）DSS采用了SHA散列算法，给出了一种新的数字钱名方法，即数字签名算法DSA4.

利用公钥

实现数字签名9：我能过软考A

B签名通信协议：1

A用自己的私钥KdA对数据M进行签名SA=D(M，

KdA)3

如果需要

，则A查到B的公钥KeB

，并用KeB对SA再加密，得到密文C2

如果不需要

，则A直接将

SA发给用户B

4

A把C发送B，并将SA

或C留底4.利用公钥实现数据签名A验证签名BMMSS……KdAKeAKdKdBA验证签名BMMSS加密(E)(D)C信道KeBKeA10：我能过软考M=“帮我买100股

”结果：

，A想否认签名S，进而否认该笔交易AB如果使用对称算法进行签名，即发送发和接收方共享密钥KMS=D（M，K）那么：B能没法证实A曾经下过订单，因为A和B都知道签名用的密钥。5.签名通信协议的问题11：我能过软考M=“帮我买100股

”结果：

，A想否认签名S，进而否认该笔交易AB如果使用公钥算法进行签名，即发送方使用自己的私钥KdAMS=D（M，KdA）那么：B能否认证实A曾经下过订单呢？B可以用A的公钥去验证A的签名。5.签名通信协议的问题12：我能过软考M=“我爱你….”AB先签名再加密：使用公钥算法进行签名，即发送方使用自己的私钥KdA

，再用接收方的公钥KeB

进行加密E(D（M，KdA），

KeB

）CE(D（M，KdA），

KeC

）C认为是A说：“我爱你….”5.签名通信协议的问题典型的重播

，可以加入时间戳13：我能过软考M=“我爱你….”AB先加密再签名：使用接收方的公钥eBK

进行加密，再用公钥算法进行签名，即发送方使用自己的私钥KdACD

(

E（M，

KeB

），

KdA

）D(E（M，

KeB

）,KdC

）C截获D(E（M，KeB

），

KdA

）,并阻断该签名到Bob的传输。5.签名通信协议的问题14：我能过软考1)验证签名的过程就是恢复明文的过程，而B事先并不知道明文M，否则就用不着通信了，那么B怎样判定恢复出的M是否正确呢2)怎样 B或A用A以前发给B的签名数据，或用A发给其他人的签名数据来冒充当前A发给B的签名数据呢?3)仅仅靠签名本身并不能解决这些问题。5.签名通信协议的问题15：我能过软考1)因为只有A才拥有KdA

，而且由公开的KeA

在计算上不能求出

的因此，签名的操作只有A才能进行，任何其他人都不能

。所以KdA或

，而SA就是A对M的签名。对此，A不能抵赖，任何人不能密钥KdA。就相当与A的。2）事后如果A或B关于签名的真伪发生争执，则他们应向公正的仲裁者出示留底的签名数据，由仲裁者当众验证签名，解决纠纷。签名通信协议安全分析16：我能过软考发送方A接收方B6.利用Hash函数辅助数字签名发送方A：用A的私钥对Hash(M)进行签名接收方B：用A的公钥验证签名，得到Hash(M)17：我能过软考1.数字签名的基本概念2.数字签名与数据加密的区别3.数据签名的基本模型4.

利用公钥 实现数据签名5.签名通信协议的问题6.利用Hash函数辅助数据签名小结18建群网培主要内容0102ﻫ利用RSA实现数字签名ﻫ对RSA数字签名的：我能过软考对于RSA

:D(E(M))=(Me)d=Med=(Md)e=E(D(M))

mod

n

,所以RSA可同时确保数据的 性和真实性。因此利用RSA 可以同时实现数字签名和数据加密。1.利用RSA实现数字签名21：我能过软考1）签名算法设M为明文，KeA=<e,n>是A的公开钥,φ(n)=（p-1）(q-1)

, ed=1mod

φ(n)KdA=<d,p,q,φ(n)>是A的

的私钥，则A对M的签名过程是：SA=D(M，KdA)=（Md）mod

nSA便是A对M的签名。2)验证验证签名的过程：E（

SA

，

KeA

）=（Md）e

mod

n

=M1.

利用RSA

实现数字签名22：我能过软考1）一般设e和n是用户A的公开密钥，所以任何人都可以获得并使用e和n。者可随意选择一个数Y，并用A的公钥计算X=（Y）e

mod

n因为Y=(X)d

mod

n

，于是可以用Y A的签名。因为Y是A对X的一个有效签名注意：这样的X往往无正确语义。因此，这种 在实际上有效性不大2.对RSA数字签名的23：我能过软考2）利用已有的签名进行

：者选择随机数据M3，且M3=M=M1M2mod

n

。者设法让A对M1和M2签名：S1=（M1）d

mod

n,S2=（M2）d

mod

n,于是可以由S1和S2计算出A对对M3的签名。因为(S1S2)=（M1)d(M2)dmod

n=（M3）d

mod

n=S3对策：A不对数据M签名，而是对HASH(M)签名，此时：S1=HASH(M1)d

mod

n

，S2=HASH(M2)d

mod

n而，

HASH(M1)d

HASH(M2)d

≠（HASH(M1M2)）d

mod

n所以：S3≠S≠S1S2于是不能由于S1和S2计算出A对M3的签名。2.对RSA数字签名的24：我能过软考3）

签名获得明文：者截获C，C=（M）e

mod

n。者选择小的随机数r，计算：x=

re

mod

ny=xC

mod