03 数字签名技术与应用.ppt

1、数字签名技术及应用,数字签名的原理 数字签名技术 数字签名的应用 数字签名的立法,数字签名的产生,政治、军事、外交等领域的文件、命令和条约，商业中的契约，以及个人之间的书信等，传统上都采用手书签名或印章，以便在法律上能认证、核准和生效。随着计算机通信网的发展，人们希望通过电子设备实现快速、远距离的交易，数字（或电子）签名法便应运而生，并开始用于商业通信系统，如电子邮递、电子转账和办公自动化等系统中。,数字签名的引入-网络传经,黄蓉要接受来自郭靖的九阴真经 安全的要求： 能确保经文来自郭靖 能确保经文在因特网上传输 没有别人能够看到经文，因为那是发送给黄蓉的，这样就防止了经文被窃 郭靖事后不能否

2、认发送了经文给黄蓉,发送过程,把九阴真经发给黄蓉,数字签名的要求,类似于手写签名，数字鉴名也应满足以下要求： (1)收方能够确认或证实发方的签名，但不能伪造。 (2)发方发出签名的消息送收方后，就不能再否认他所签发的消息： (3)收方对已收到的签名消息不能否认，即有收到认证。 (4)第三者可以确认收发双方之间的消息传送，但不能伪造这一过程。,解决方法,发信息的人用自己的私钥对所发信息进行加密( Encryption ) 接收信息者用发信者的公钥来解密( Decryption ） 可以保证信息的真实性、完整性和不可否认性。,但是问题还没完全解决,要发的信息可能很长，非对称密码又比较复杂，运算量大

3、 。 私钥通常保存在USB Key或IC卡中，加密运算也是在Key或卡中进行 加密所用的时间就会很长而导致无法实用 黑客用自己的私钥加密葵花宝典 用它替换掉郭靖给黄蓉的经文并发给黄蓉 黄蓉需要以某种方式来认证该经文的确来自郭靖并且没有被黑客修改或者替换,数字签名的分类,数字签名有两种 (1)一种是对整个消息的签名 (2)一种是对压缩消息的签名 它们都是附加在被签名消息之后或某一特定位置上的一段签名图样。,数字签名的分类,若按明、密文的对应关系划分，每一种又可分为两个子类 (1)一类是确定性数字签名。其明文与密文一一对应，它对一特定消息的签名不变化(使用签名者的密钥签名)，如RSA、ElGama

4、l等签名。 （2）另一类是随机化的或概率式数字签名。它对同一消息的签名是随机变化的，取决于签名算法中的随机参数和取值。,数字签名的使用模式,智慧卡 像信用卡的磁卡，存储有用户的数字签名信息 密码式 用户自己设定密码，由特定的设备写入计算机 生物测定 以使用者的身体特征为基础，用特殊的设备对使用者的指纹、面部、视网膜或眼球进行数字识别，从而确定对象是否与原使用者相同。,介绍两种应用于数字签名的算法,RSA数字签名算法 DSA数字签名算法,数字签名技术的原理,数字签字系统试图保证以下两点：(1)文件内容没有被改动；(2)文件出自签字人之手或经过签字人批准(即签字没有被改动)。 1.数字签字系统是公

5、开密钥加密技术与报文分解函数(MDF)相结合的产物。报文分解函数是能把信息集合提炼为一个数字串的单向不可逆数学函数。首先，用报文分解函数把要签署的文件内容提炼为一个很长的数字，称为报文分解函数的值。签字人用公开密钥加密系统中的秘密钥匙来加密这个报文分解函数值，生成所谓的“数字签字”。该过程表示如下图所示。,RSA签名,安全参数：令n=qp，p和q是大素数，选e并计算出d，使 ，公开n和e，将p、q和d保密。则所有的RSA参数为 。 数字签名：对消息M属于Z，定义 对M的签名： 签名验证：对给定的M，S可按下式验证：设 ，如果M=M，则签名为真，否则，不接受签名。,RSA签名,RSA是是完整的加

6、密系统，它支持公钥/私钥对的生成、加密以及数字签名。 Carol为了机密消息以发送给Bob，Bob首先生成一个密钥对，并和Carol共享公钥。 公钥由两个数字组成：模数n和公共指数e。私钥也由两个数字组成：相同的模数n和私有指数d。 通过随机选择两个大的质数p和q，并把他们一起相乘，就可以创建模数。,RSA签名,所选择的指数e必须与（p-1）和(q-1)互质（也就是说，e与（p-1）和(q-1)这个数必须不具有相同的因数。 质数d必须满足等式d*emod(p-1)(q-1)=1。 然后，如果Carol的明文是M，那么，他就能够通过计算C=Me mod n把它加密成密文C。 Bob通过计算M=C

7、d mod n就可以恢复明文。,RSA签名,第一步Bob选择大的质数p和q，并使他们相乘，从而得到n； 第二步Bob选择一个公共质数e，它与(p-1)(q-1)是互质数； 第三步Bob计算私有质数d=e-1 mod （p-1）（q-1）； 第四步Bob与Carol共享公钥，数字n和e； 第五步Bob使用C=Me mod n把M加密成C，并把C发送给Bob； 第六步Bob使用M=Cd mod n把C解密成M,验证（鉴定）,收件人在收到经数字签字的文件以后，对此数字签字进行鉴定:用签字人的公开钥匙来解开”数字签字”，获得报文分解函数值；重新计算文件的报文分解函数，比较其结果。如果完全相符，文件内容

8、的完整性、正确性和签字的真实性都得到了保障。因为如果文件被改动，或者有人在没有秘密钥匙的情况下冒充签字，都将使数字签字的鉴定过程失败。该流程表示如下图：,MD5,MD表示信息摘要 Message Digest MD5是由Ron Rivest设计的专门用于加密处理的，并被广泛使用的Hash函数,数字签名及验证过程,哈希函数,1.什么是哈希函数 哈希(Hash)函数在中文中有很多译名，有些人根据Hash的英文原意译为“散列函数”或“杂凑函数”，有些人干脆把它音译为“哈希函数”，还有些人根据Hash函数的功能译为“压缩函数”、“消息摘要函数”、“指纹函数”、“单向散列函数”等等。,Hash算法是把任

9、意长度的输入数据经过算法压缩，输出一个尺寸小了很多的固定长度的数据，即哈希值。哈希值也称为输入数据的数字指纹(Digital Fingerprint)或消息摘要(Message Digest)等。 Hash函数具备以下的性质：1给定输入数据，很容易计算出它的哈希值； 2反过来，给定哈希值，倒推出输入数据则很难，计算上不可行。这就是哈希函数的单向性，在技术上称为抗原像攻击性；,4、给定哈希值，想要找出能够产生同样的哈希值的两个不同的输入数据，(这种情况称为碰撞，Collision)，这很难，计算上不可行，在技术上称为抗碰撞攻击性；5、哈希值不表达任何关于输入数据的信息。,哈希函数用于消息验证,密

10、码学中使用的哈希算法都被设计为具有某些特殊的性质： 你无法反向执行哈希算法来恢复出哪怕是一点儿最初的明文。 得到的摘要不会告诉你任何关于最初明文的信息。 创建发现哈希值为某个特定值的明文，这在计算上是不可行的。 这使得攻击者无法在替换文件的同时确保哈希值仍然匹配。,Hash Function,Hash函数: h=H(x), 要求: 可作用于任何尺寸数据且均产生定长输出 H(x)能够快速计算 单向性: 给定h，找到x使h=H(x)在计算上不可行 Weak Collision Resistence(WCR):给定x，找到yx使H(x)=H(y)在计算上不可行 Strong Collision Re

11、sistence(SCR): 找到yx使H(x)=H(y)在计算上不可行,之前未解决的问题,要发的信息可能很长，非对称密码又比较复杂，运算量大 。 私钥通常保存在USB Key或IC卡中，加密运算也是在Key或卡中进行 加密所用的时间就会很长而导致无法实用 黑客用自己的私钥加密葵花宝典 用它替换掉郭靖给黄蓉的经文并发给黄蓉 黄蓉需要以某种方式来认证该经文的确来自郭靖并且没有被黑客修改或者替换,解答：哈希函数+数字签名,郭靖用哈希算法生成九阴真经的摘要，用自己的私钥加密摘要 把加密的摘要和九阴真经（明文）发给黄蓉 用郭靖的公钥解密摘要，恢复摘要 对收到九阴真经采用相同算法创建一个新摘要 比较两个

12、摘要： 如果摘要匹配，发送者是作者；明文在发送过程中没有被改动。,DSA数字签名,1991年8月美国国家标准局(NIST)公布了数字签名标准(Digital Signature Standard, DSS)。 此标准采用的算法称为数字签名算法(Digital Signature Algorithm, DSA)，它作为ElGamal和Schnorr签名算法的变种，其安全性基于离散对数难题；并且采用了Schnorr系统中，g为非本原元的做法，以降低其签名文件的长度。 方案包括初始过程、签名过程和验证过程。,. 初始过程 (1) 系统参数：大素数p, q且q为p-1的因子, 并满足25111 。p,

13、q,g 作为系统参数，供所有用户使用，在系统内公开。 (2) 用户私钥：用户选取一个私钥x，1x q，保密。 (3) 用户公钥：用户的公钥y，y= gx modp，公开。,2. 签名过程 对待签消息m，设 0mp。签名过程如下： (1) 生成一随机整数 k, k Zp* ； (2) 计算 r=(gkmodp)modq； (3) 计算 s=k-1(h(m)+xr)modq。 则(r,s)为签名人对m的签名。 3. 验证过程 (1) 首先检查r和s是否属于0,q，若不是，则 (r,s)不是签名； (2) 计算t= s-1modq , r=(gh(m)tmodqyrtmodq modp)modq ；

14、 (3) 比较r=r 是否成立？若成立，则(r,s) 为合法签名。 则(r,s) 为签名人对m的签名,签名体制,一个签名体制一般含两个组成部分即签名算法和验证算法。 对M的签名可简记 有时为了说明密钥k在签名中的作用，也可以将签名写成 对s的证实简记为Ver(s0)=真，伪=0，1。 签名算法或签名密钥是秘密的，只有签名人掌握。证实算法应当公开，以便于他人进行验证。,发信者在发信前使用哈希算法求出待发信息的数字摘要，然后用私钥对这个数字摘要，而不是待发信息本身，进行加密而形成一段信息，这段信息称为数字签名。 发信时将这个数字签名信息附在待发信息后面，一起发送过去。 收信者收到信息后，一方面用发

15、信者的公钥对数字签名解密，得到一个摘要H；另一方面把收到的信息本身用哈希算法求出另一个摘要H，再把H和H相比较，看看两者是否相同。,根据哈希函数的特性，我们可以让简短的摘要来“代表”信息本身，如果两个摘要H和H完全符合，证明信息是完整的；如果不符合，就说明信息被人篡改了。 哈希函数的安全性直接关系到数字签名的安全性，如果哈希函数被攻破，数字签名的有效性就会受到质疑。,目前，已经发明的Hash函数有多种，如Snefru、N-Hash、LOKI、AR、GOST、MD、SHA等。它们在数学上实现的方法各有不同，安全性也各有不同。目前比较常用的Hash函数是MD5和SHA-1。,但是，任何一种算法都有

16、其漏洞和局限性。任何一个哈希函数都会存在碰撞即在一些特定情况下，两个不同的文件或信息会指向同一个数字摘要。在一般情况下，类似碰撞只能尽可能地减少，而不能完全避免。从理论上讲，没有攻不破的密码。随着密码科学的发展，也许会找到攻破某一种密码算法的途径。,数字签名与加密的区别,消息签名与消息加密有所不同，消息加密和解密可能是一次性的，它要求在解密之前是安全的。 而一个签名的消息可能作为一个法律上的文件(如合同等)，很可能在对消息签署多年之后才验证其签名，且可能需要多次验征此签名。 因此，签名的安全性和防伪造的要求会更高，且要求证实速度比签名速度要快些。特别是联机在线时进行实时验证。,加密软件PGP,

17、Pretty Good Privacy 一种在信息安全传输领域首选的加密软件，其技术特性是采用了非对称的“公钥”和“私钥”加密体系。由于美国对信息加密产品有严格的法律约束，特别是对向美国、加拿大之外国家散播该类信息，以及出售、发布该类软件约束更为严格。因此而限制了PGP的一些发展和普及，现在该软件的主要使用对象为情报机构、政府机构、信息安全工作者（例如较有水平的安全专家和有一定资历的黑客），PGP最初的设计主要是用于邮件加密，如今已经发展到了可以加密整个硬盘、分区、文件、文件夹、集成进邮件软件进行邮件加密，甚至可以对ICQ的聊天信息实时加密！你和对方只要安装了PGP，就可利用其ICQ加密组件在

18、你和对方聊天的同时，加密或解密，和正常使用没有什么差别，最大程度的保证了你和对方的聊天信息不被窃取或监视。（当然，PGP无法防止你身后有人偷看：D）,1.PGP原理,PGP是基于RAS算法：“大质数不可能因数分解假设”的公用密钥体系。简单的说就是两个很大的质数，一个公开给世人，另一个不告诉给任何人，前者称为“公用密钥”，后者称为“私有密钥”。 这两个密钥相互补充，就是说公用密钥的密文可以用私用密钥来解密，反之亦然。,2.公用密钥的传送,对PGP来说，公用密钥本来就是公开的，不存在有没有放偷窃的问题，但公用密钥在发布中仍然存在安全性的问题，其中最大的漏洞就是公用密钥被篡改。,对于非常分散的用户，PGP赞成使用私人方式的转介方式，因为这样更能反映出人们自然地社会交往，而且人们也能自由的选择信任的人来介绍。每个公用密钥至少有一个用户名（USER ID），应尽量用自己的全名，最好加上本人的E.mail地址。,在使用公用密钥是必须遵循的一条规则是：在使