1、提綱數(shù)字簽名的基本概念數(shù)字簽名的產(chǎn)生方式數(shù)字簽名的執(zhí)行方式數(shù)字簽名標(biāo)準(zhǔn)1234 提綱數(shù)字簽名的基本概念1 引例 引例 傳統(tǒng)簽名與數(shù)字簽名v傳統(tǒng)簽名的基本特點(diǎn)能與被簽的文件在物理上不可分割簽名者不能否認(rèn)自己的簽名容易被驗(yàn)證簽名不能被偽造v數(shù)字簽名是傳統(tǒng)簽名的數(shù)字化能與所簽文件“綁定”簽名者不能否認(rèn)自己的簽名容易被自動(dòng)驗(yàn)證簽名不能被偽造 傳統(tǒng)簽名與數(shù)字簽名v傳統(tǒng)簽名的基本特點(diǎn)能與被簽的文件在物理數(shù)字簽名的要求簽名必須依賴(lài)于被簽名信息,且必須123使用對(duì)于發(fā)送者是唯一的信息，以防止雙方的偽造與否認(rèn)；必須相對(duì)容易生成該數(shù)字簽名,且相對(duì)容易識(shí)別和驗(yàn)證該數(shù)字簽名；偽造該數(shù)字簽名在計(jì)算復(fù)雜性意義上是不可行的

2、，且在存儲(chǔ)器中保存一個(gè)數(shù)字簽名副本是現(xiàn)實(shí)可行的 數(shù)字簽名的要求1使用對(duì)于發(fā)送者是唯一的信息，以防數(shù)字簽名提綱數(shù)字簽名的基本概念數(shù)字簽名的產(chǎn)生方式數(shù)字簽名的執(zhí)行方式數(shù)字簽名標(biāo)準(zhǔn)1234 提綱數(shù)字簽名的基本概念1 數(shù)字簽名產(chǎn)生方式由簽名算法產(chǎn)生數(shù)字簽名由加密算法產(chǎn)生數(shù)字簽名 數(shù)字簽名由簽名算由加密算發(fā)送方A接收方B由加密算法產(chǎn)生數(shù)字簽名 單鑰加密 A和B共享密鑰K 向B保證收到的消息確實(shí)來(lái)自A B恢復(fù)M后，可相信M未被篡改，否則B得到的是無(wú)意義的比特序列 發(fā)送方A接收方B由加密算法產(chǎn)生數(shù)字簽名 A和B共享密鑰由加密算法產(chǎn)生數(shù)字簽名發(fā)送方A接收方 A公開(kāi)其公鑰PKA,保密其私鑰SKA; 向任意接收方

3、保證收到的消息確實(shí)來(lái)自A,因?yàn)橹挥蠥才能用SKA加密;由于任何人都可使用A的公開(kāi)鑰解密密文，所以這種方案不提供保密性 由加密算法產(chǎn)生數(shù)字簽名發(fā)送方A接收方 A公開(kāi)其公鑰PKA由加密算法產(chǎn)生數(shù)字簽名 公鑰加密發(fā)送方A接收方B A/B公開(kāi)其公鑰PKA/PKB,保密其私鑰SKA/ SKB; 向B保證收到的消息確實(shí)來(lái)自A,因?yàn)橹挥蠥才能用SKA加密;用B的公開(kāi)鑰PKB再一次加密,使得該方案具有保密性. 由加密算法產(chǎn)生數(shù)字簽名發(fā)送方A接收方B A/B公開(kāi)其公散列函數(shù)v 散列函數(shù)H 是一個(gè)公開(kāi)的函數(shù)，它將任意長(zhǎng)度的報(bào)文M變換為固定長(zhǎng)度的散列碼h 。v hH (M) M：變長(zhǎng)報(bào)文，H(M)：定長(zhǎng)的散列值v

4、散列函數(shù)是一種算法，算法的輸出內(nèi)容稱(chēng)為散列碼或者報(bào)文摘要。v 報(bào)文摘要要唯一地對(duì)應(yīng)原始報(bào)文，如果原始報(bào)文改變并且再次通過(guò)散列函數(shù)，它將生成不同的報(bào)文摘要，因此散列函數(shù)能用來(lái)檢測(cè)報(bào)文的完整性，保證報(bào)文從建立開(kāi)始到收到為止沒(méi)有被改變和破壞。 散列函數(shù)v 散列函數(shù)H 是一個(gè)公開(kāi)的函數(shù)，它將任意長(zhǎng)度的報(bào)文壓縮函數(shù)散列函數(shù)數(shù)字指紋The same!數(shù)據(jù)鑒別碼哈希函數(shù) 壓縮函數(shù)散列函數(shù)數(shù)字指紋The same!數(shù)據(jù)數(shù)字簽名過(guò)程 數(shù)字簽名過(guò)程 數(shù)字簽名產(chǎn)生方式由簽名算法產(chǎn)生數(shù)字簽名由加密算法產(chǎn)生數(shù)字簽名 數(shù)字簽名由簽名算由加密算由簽名算法產(chǎn)生數(shù)字簽名 由簽名算法產(chǎn)生數(shù)字簽名 由簽名算法產(chǎn)生數(shù)字簽名 由簽名算

5、法產(chǎn)生數(shù)字簽名 數(shù)字簽名的性質(zhì)1能夠驗(yàn)證簽名產(chǎn)生者的身份，以及產(chǎn)生簽名的日期和2能夠認(rèn)證簽名時(shí)刻的消息內(nèi)容。3簽名能由第三方驗(yàn)證，從而能夠解決通信雙方的爭(zhēng)議。時(shí)間。 數(shù)字簽名的性質(zhì)123時(shí)間。提綱數(shù)字簽名的基本概念數(shù)字簽名的產(chǎn)生方式數(shù)字簽名的執(zhí)行方式數(shù)字簽名標(biāo)準(zhǔn)1234 提綱數(shù)字簽名的基本概念1 數(shù)字簽名執(zhí)行方式仲裁數(shù)字簽名直接數(shù)字簽名 數(shù)字簽名仲裁數(shù)字直接數(shù)字直接數(shù)字簽名v 只有通信雙方參與，并假定雙方有共享的秘密鑰或接收一方知道發(fā)方的公開(kāi)鑰。v E.g. 直接數(shù)字簽名v 只有通信雙方參與，并假定雙方有共享的秘密鑰或直接數(shù)字簽名v 缺點(diǎn):方案的有效性依賴(lài)于發(fā)送方的保密密鑰 發(fā)送方要抵賴(lài)發(fā)送某

6、一消息時(shí)，可能會(huì)聲稱(chēng)其私有密鑰丟失或被竊，從而他人偽造了他的簽名。 通常需要采用與私有密鑰安全性相關(guān)的行政管理控制手段來(lái)制止或至少是削弱這種情況，但威脅在某種程度上依然存在。 改進(jìn)的方式，例如可以要求被簽名的信息包含一個(gè)時(shí)間戳（日期與時(shí)間），并要求將已暴露的密鑰報(bào)告給一個(gè)授權(quán)中心。 X的某些私有密鑰確實(shí)在時(shí)間T被竊取，敵方可以偽造X的簽名及早于或等于時(shí)間T的時(shí)間戳。 直接數(shù)字簽名v 缺點(diǎn):方案的有效性依賴(lài)于發(fā)送方的保密密鑰 數(shù)字簽名執(zhí)行方式仲裁數(shù)字簽名直接數(shù)字簽名 數(shù)字簽名仲裁數(shù)字直接數(shù)字仲裁數(shù)字簽名v引入仲裁者 所有從發(fā)送方X到接收方Y(jié) 的簽名消息首先送到仲裁者A; A 將消息及其簽名進(jìn)行一

7、系列測(cè)試，以檢查其來(lái)源和內(nèi)容; A 將消息加上日期并與已被仲裁者驗(yàn)證通過(guò)的知識(shí)一起發(fā)給Y.v仲裁者在這一類(lèi)簽名模式中扮演敏感和關(guān)鍵的角色v所有的參與者必須極大地相信這一仲裁機(jī)制工作正常。 仲裁數(shù)字簽名v引入仲裁者 所有從發(fā)送方X到接收方Y(jié) 的簽仲裁數(shù)字簽名單密鑰加密方式1:(1) XA：MEKXAIDXH(M)(2) AY：EKAYIDXMEKXAIDXH(M)TX與A共享密鑰KXA; Y與A共享密鑰KAY;v X: 準(zhǔn)備消息M,計(jì)算其散列值, 以EKXAIDXH(M)作為自己對(duì)M的簽名, 將M及簽名發(fā)往A;v A: 解密簽名, 用H(M)驗(yàn)證消息M, 將IDX, M, 簽名和時(shí)間戳T一起加密

8、后發(fā)往Y;v Y: 解密A發(fā)來(lái)的消息M,并可將M和簽名保存起來(lái)。v A可以看到X給Y的所有信息 仲裁數(shù)字簽名單密鑰加密方式1:(1) XA：MEKXA仲裁數(shù)字簽名解決糾紛:Y: 向A發(fā)送EKAYIDXMEKXAIDXH(M)A: 用KAY解密后，再用KXA對(duì)EKXAIDXH(M)解密，并對(duì)H(M)加以驗(yàn)證，從而驗(yàn)證X的簽名。v Y不能直接驗(yàn)證X的簽名，但Y認(rèn)為消息來(lái)自于A ，因而是可信的。所以A必須取得X和Y的高度信任： X相信A不會(huì)泄露KXA，并且不會(huì)偽造X的簽名; Y相信A只有在對(duì)EKAYIDXMEKXAIDXH(M)T中的雜湊值及X的簽名驗(yàn)證無(wú)誤后才將之發(fā)給Y; X，Y都相信A可公正地解

9、決爭(zhēng)議。v 如果A已取得各方的信任，則X就能相信沒(méi)有人能偽造自己的簽名，Y就可相信X不能對(duì)自己的簽名予以否認(rèn)。 仲裁數(shù)字簽名解決糾紛:Y: 向A發(fā)送EKAYIDXME仲裁數(shù)字簽名單鑰加密方式2:(1) XA: IDXEKXYMEKXAIDXH(EKXYM)(2) AY: EKAYIDXEKXYMEKXAIDXH(EKXYM)TKXY是X，Y共享的密鑰;v X: 以EKXAIDXH(EKXYM)作為對(duì)M的簽名，與由KXY加密的消息M一起發(fā)給A;v A: 對(duì)EKXAIDXH(EKXYM)解密后通過(guò)驗(yàn)證雜湊值以驗(yàn)證X的簽名，但始終未能讀取明文M, 然后對(duì)X發(fā)來(lái)的消息加一時(shí)戳，再用KAY加密后發(fā)往Y;

10、v Y: 解密A發(fā)來(lái)的消息M,并可將M和簽名保存起來(lái)。 仲裁數(shù)字簽名單鑰加密方式2:(1) XA: IDXEKX仲裁數(shù)字簽名v存在問(wèn)題: 仲裁者可和發(fā)方共謀以否認(rèn)發(fā)方曾發(fā)過(guò)的消息; 仲裁者也可和收方共謀以偽造發(fā)方的簽名. 仲裁數(shù)字簽名v存在問(wèn)題: 仲裁者可和發(fā)方共謀以否認(rèn)發(fā)方曾發(fā)仲裁數(shù)字簽名雙鑰加密方式:vXA：IDXESKXIDXEPKYESKXM。vAY：ESKAIDXEPKYESKXMTSKX和SKA是X和A的私鑰, PKY是Y的公鑰.v X: 對(duì)消息M雙重加密:首先用X的私鑰SKX, 再用Y的公鑰PKY, 形成一個(gè)簽名的保密的消息. 然后發(fā)送給A;v A: 收到X發(fā)來(lái)的內(nèi)容后，用X的公

11、開(kāi)鑰可對(duì)ESKXIDXEPKYESKXM解密，并將解密得到的IDX與收到的IDX加以比較，從而可確信這一消息是來(lái)自于X的. A將X的身份IDX和X對(duì)M的簽名加上一時(shí)戳后，再用自己的秘密鑰加密發(fā)往Y. 仲裁數(shù)字簽名雙鑰加密方式:vXA：IDXESKXIDX仲裁數(shù)字簽名雙鑰加密方式優(yōu)點(diǎn):123在協(xié)議執(zhí)行以前，各方都不必有共享的信息，從而可防止共謀。只要仲裁者的秘密鑰不被泄露，任何人包括發(fā)方就不能發(fā)送重放的消息。對(duì)任何第三方（包括A）來(lái)說(shuō)，X發(fā)往Y的消息都是保密的 仲裁數(shù)字簽名1在協(xié)議執(zhí)行以前，各方都不必 提綱數(shù)字簽名的基本概念數(shù)字簽名的產(chǎn)生方式數(shù)字簽名的執(zhí)行方式數(shù)字簽名標(biāo)準(zhǔn)1234 提綱數(shù)字簽名的基本概念1 DSS概述vDSS (Digital Signature Standard)v1991年，由NIST公布v1993年，公布修改版v美國(guó)聯(lián)邦信息處理標(biāo)準(zhǔn)FIPS PUB 186v采用數(shù)字簽名算法DSA ，其簽名長(zhǎng)度320bitv只能用于數(shù)字簽名，不能用于加密v/fipspubs/fip186.htm DSS概述vDSS (Digital Signature SDSS簽名與RSA簽名比較 DSS簽名與RSA簽名比較 數(shù)學(xué)困難問(wèn)題v大素?cái)?shù)分解問(wèn)題 N=pqv離散對(duì)數(shù)問(wèn)題 y=gx mod p (p是素?cái)?shù)) 已