1、 數(shù)字簽名二三一身份認(rèn)證 消息認(rèn)證一第四章第四章 數(shù)字簽名和認(rèn)證技術(shù)數(shù)字簽名和認(rèn)證技術(shù)消息認(rèn)證的缺點(diǎn)：消息認(rèn)證的缺點(diǎn)： 可用以保護(hù)雙方之間的數(shù)據(jù)交換不被第三方侵犯，可用以保護(hù)雙方之間的數(shù)據(jù)交換不被第三方侵犯，但它并不保證雙方自身的相互欺騙。但它并不保證雙方自身的相互欺騙。用戶A用戶B用戶C篡改、冒充假定假定A發(fā)送一個(gè)認(rèn)證的信息給發(fā)送一個(gè)認(rèn)證的信息給B，雙方之間的爭(zhēng)議，雙方之間的爭(zhēng)議可能有多種形式：可能有多種形式：A可以否認(rèn)發(fā)過(guò)該消息，可以否認(rèn)發(fā)過(guò)該消息，B無(wú)法證明無(wú)法證明A確實(shí)發(fā)了該消息。確實(shí)發(fā)了該消息。B偽造一個(gè)不同的消息，但聲稱(chēng)是從偽造一個(gè)不同的消息，但聲稱(chēng)是從A收到的。收到的。用戶A用戶

2、B例如：對(duì)合同書(shū)的抵賴(lài)；股票交易指令虧損后抵賴(lài)?yán)纾簩?duì)合同書(shū)的抵賴(lài)；股票交易指令虧損后抵賴(lài)SIGA用戶A用戶B無(wú)法偽造無(wú)法偽造SIGA無(wú)法抵賴(lài)無(wú)法抵賴(lài)SIGA 簽名者簽名者時(shí)間時(shí)間簽名有效簽名有效源文件被修改后，簽源文件被修改后，簽名無(wú)效名無(wú)效必須能夠驗(yàn)證作者及其簽名的日期時(shí)間；必須能夠驗(yàn)證作者及其簽名的日期時(shí)間；必須能夠認(rèn)證簽名時(shí)刻的內(nèi)容；必須能夠認(rèn)證簽名時(shí)刻的內(nèi)容；簽名必須能夠由第三方驗(yàn)證，以解決爭(zhēng)議；簽名必須能夠由第三方驗(yàn)證，以解決爭(zhēng)議；因此，數(shù)字簽名功能包含了認(rèn)證的功能；因此，數(shù)字簽名功能包含了認(rèn)證的功能；WHY?簽名必須是依賴(lài)于被簽名信息的一個(gè)比特模式，簽名必須是依賴(lài)于被簽名信息的一

3、個(gè)比特模式，簽名必須使用某些對(duì)發(fā)送者是唯一的信息，以防偽造與否認(rèn)；簽名必須使用某些對(duì)發(fā)送者是唯一的信息，以防偽造與否認(rèn)；必須相對(duì)容易識(shí)別和驗(yàn)證該數(shù)字簽名；必須相對(duì)容易識(shí)別和驗(yàn)證該數(shù)字簽名；對(duì)一個(gè)已有的數(shù)字簽名構(gòu)造新的消息，對(duì)一個(gè)給定消息偽造對(duì)一個(gè)已有的數(shù)字簽名構(gòu)造新的消息，對(duì)一個(gè)給定消息偽造一個(gè)數(shù)字簽名在計(jì)算上都是不可行的一個(gè)數(shù)字簽名在計(jì)算上都是不可行的在存儲(chǔ)器中保存一個(gè)數(shù)字簽名副本是現(xiàn)實(shí)可行的。在存儲(chǔ)器中保存一個(gè)數(shù)字簽名副本是現(xiàn)實(shí)可行的。以方式分以方式分 直接數(shù)字簽名直接數(shù)字簽名direct digital signature 仲裁數(shù)字簽名仲裁數(shù)字簽名arbitrated digital s

4、ignature以安全性分以安全性分 無(wú)條件安全的數(shù)字簽名無(wú)條件安全的數(shù)字簽名 計(jì)算上安全的數(shù)字簽名計(jì)算上安全的數(shù)字簽名以可簽名次數(shù)分以可簽名次數(shù)分 一次性的數(shù)字簽名一次性的數(shù)字簽名 多次性的數(shù)字簽名多次性的數(shù)字簽名安全性依賴(lài)于發(fā)送方的保密密鑰；安全性依賴(lài)于發(fā)送方的保密密鑰；聲稱(chēng)丟失密鑰聲稱(chēng)丟失密鑰抵賴(lài)抵賴(lài)改進(jìn)改進(jìn): 加時(shí)間戳加時(shí)間戳 A的某些私有密鑰確實(shí)在時(shí)間的某些私有密鑰確實(shí)在時(shí)間T被竊取，敵方可以偽造被竊取，敵方可以偽造A的的簽名及早于或等于時(shí)間簽名及早于或等于時(shí)間T的時(shí)間戳。的時(shí)間戳。引入仲裁者引入仲裁者 所有從發(fā)送方所有從發(fā)送方A到接收方到接收方B的簽名消息首先送到仲裁者的簽名消息首

5、先送到仲裁者S，S將消息將消息及其簽名進(jìn)行一系列測(cè)試，以檢查其來(lái)源和內(nèi)容，然后將消息加上及其簽名進(jìn)行一系列測(cè)試，以檢查其來(lái)源和內(nèi)容，然后將消息加上日期并與已被仲裁者驗(yàn)證通過(guò)的指示一起發(fā)給日期并與已被仲裁者驗(yàn)證通過(guò)的指示一起發(fā)給B。用戶A用戶B仲裁者S仲裁者在這一類(lèi)簽名模式中扮演敏感和關(guān)鍵的角仲裁者在這一類(lèi)簽名模式中扮演敏感和關(guān)鍵的角色。色。所有的參與者必須極大地相信這一仲裁機(jī)制工作所有的參與者必須極大地相信這一仲裁機(jī)制工作正常。（正常。（trusted system）仲裁者S （1）XA: mEkXAIDXH(m) (2) AY: EkIDXmEkXAIDXH(m)T X發(fā)方發(fā)方 Y收方收方

6、A仲裁者仲裁者 m消息消息 XY：m X給給Y發(fā)送明文發(fā)送明文 H(m)哈希函數(shù)值哈希函數(shù)值 E單鑰加密算法單鑰加密算法 kXAX與與A共享的密鑰共享的密鑰 kAYA與與Y共享的密鑰共享的密鑰 T時(shí)間戳?xí)r間戳 IDXX的身份的身份 (1) X相信相信A不會(huì)泄漏不會(huì)泄漏kXA，并且不會(huì)偽造，并且不會(huì)偽造X的簽名。的簽名。 (2) Y相信相信A只有在對(duì)只有在對(duì)EkAYIDXmEkXAIDXH(m)T中的雜湊值及中的雜湊值及X的的簽名驗(yàn)證無(wú)誤后才將之發(fā)給簽名驗(yàn)證無(wú)誤后才將之發(fā)給Y。 (3) X, Y都相信都相信A可公正地解決爭(zhēng)議?？晒亟鉀Q爭(zhēng)議。 （1）XA： IDX EkXYm kXYX、Y共享

7、的密鑰共享的密鑰 (2)AY： EkAYIDXEkXYmEkXAIDXH(EkXYm)T (1) XA： IDXESkXIDXEPkYSkXm (2) AY： ESkAIDXEPkYESkXmT SkA是是A的私鑰，的私鑰， SkX是是X的私鑰，的私鑰， PkY是是Y的公鑰。的公鑰。 在協(xié)議執(zhí)行以前，各方都不必有共享的信息，從而在協(xié)議執(zhí)行以前，各方都不必有共享的信息，從而 可防止共謀?？煞乐构仓\。 只要仲裁者的私鑰不被泄露，只要仲裁者的私鑰不被泄露， 任何人包括發(fā)方就不任何人包括發(fā)方就不 能發(fā)送重放的消息。能發(fā)送重放的消息。 對(duì)任何第三方（包括對(duì)任何第三方（包括A A）來(lái)說(shuō)，）來(lái)說(shuō)， X X發(fā)

8、往發(fā)往Y Y的消息都是的消息都是 保密的。保密的。 k kP Pk kG GS Sk kA A比比較較P Pk kG G b b) )m mH HS Si ig g| | |m ms sr rH HV Ve er rP Pk kA A（1 1） 全局公鑰。全局公鑰。 p p: :滿足滿足 2 2L L-1-1 p p22L L 的大素?cái)?shù)，其中的大素?cái)?shù)，其中512512L L1024, 1024, 且且L L是是6464的倍數(shù)的倍數(shù); ; q q: p: p-1-1的素因子，滿足的素因子，滿足2 2159159 q q 22160160, , 即即q q長(zhǎng)為長(zhǎng)為160 bit160 bit。 g

9、 g: g=h: g=h( (p p-1)/-1)/q q modmod p p, , 其中其中h h是滿足是滿足11h h 1 1 的任一整數(shù)。的任一整數(shù)。 （2） 用戶秘密用戶秘密 x是滿足是滿足0 xq的隨機(jī)數(shù)或偽隨機(jī)數(shù)。的隨機(jī)數(shù)或偽隨機(jī)數(shù)。 （3） 用戶的公鑰用戶的公鑰 y=gx mod p。 （4） 用戶為待簽消息選取的秘密數(shù)用戶為待簽消息選取的秘密數(shù)k是滿足是滿足0kq的隨機(jī)數(shù)的隨機(jī)數(shù)或偽隨機(jī)數(shù)?；騻坞S機(jī)數(shù)。 （5） 簽名過(guò)程。簽名過(guò)程。 用戶對(duì)消息用戶對(duì)消息m的簽名為（的簽名為（r, s）, 其中其中 r=(gk mod p) mod q s=k-1(H(m)+xr) mod q

10、 H(m)是由是由SHA求出的雜湊值。求出的雜湊值。 （6） 驗(yàn)證過(guò)程。驗(yàn)證過(guò)程。 設(shè)接收方收到的消息為設(shè)接收方收到的消息為m, 簽名為簽名為(r,s）。）。計(jì)算計(jì)算 qpygvqwruqwmHuqswuumodmod)(modmod) (mod) (21211 檢查檢查v是不是等于是不是等于r, 若相等，則認(rèn)為簽名有效。若相等，則認(rèn)為簽名有效。 Why？m2fkp q gxgrs(a)Hf2f1s=f1H(m), k, x, r, q=k-1(H(m)+xr)mod qr=f2(k, p, q, g)=(gk mod p) mod q比較yqv（ b)H m s rf3f4q gw=f3(s

11、, q)=(s) -1mod q;v=f4(y, q, g, H(m）, w, r) =(g(H(m)w) mod qyrw mod q) mod pmod q RSA RSA既可以用來(lái)加密數(shù)據(jù)既可以用來(lái)加密數(shù)據(jù), ,也可以用于身份認(rèn)證；而也可以用于身份認(rèn)證；而DSADSA只用于簽名。只用于簽名。 RSARSA算法在安全性與速度方面要優(yōu)于算法在安全性與速度方面要優(yōu)于DSADSA。 RSARSA算法的兩個(gè)參數(shù)算法的兩個(gè)參數(shù)p p、q q是需要保密的，而是需要保密的，而DSADSA的全局的全局公鑰公鑰p p、q q、g g可以公開(kāi)?？梢怨_(kāi)。 用戶A用戶BH(m)mmSkAkABCPkB 數(shù)字時(shí)間戳服務(wù)（數(shù)字時(shí)間戳服務(wù)（DTS，Digital Time-stamp Ser vice）是