2025/8/181數(shù)字簽名2025/8/182本章主要內(nèi)容1、消息認(rèn)證2、數(shù)字簽名的基本概念3、RSA數(shù)字簽名方案2025/8/1833信息竊取信息傳遞信息冒充信息篡改信息抵賴加密技術(shù)（DES，AES，RSA）完整性技術(shù)：SHA，MD5認(rèn)證技術(shù)：MAC,數(shù)字簽名數(shù)字簽名密碼技術(shù)2025/8/184消息認(rèn)證其作用是保護(hù)通信雙方以防第三方的攻擊，然而卻不能保護(hù)通信雙方中的一方防止另一方的欺騙或偽造。通信雙方之間也可能有多種形式的欺騙，例如通信雙方A和B（設(shè)A為發(fā)方，B為收方）使用消息認(rèn)證碼的基本方式通信，則可能發(fā)生以下欺騙：

消息認(rèn)證碼的缺陷消息認(rèn)證碼容易遭受什么攻擊2025/8/185①B偽造一個(gè)消息并使用與A共享的密鑰產(chǎn)生該消息的認(rèn)證碼，然后聲稱該消息來自于A。②由于B有可能偽造A發(fā)來的消息，所以A就可以對自己發(fā)過的消息予以否認(rèn)。這兩種欺騙在實(shí)際的網(wǎng)絡(luò)安全應(yīng)用中都有可能發(fā)生，例如在電子資金傳輸中，收方增加收到的資金數(shù)，并聲稱這一數(shù)目來自發(fā)方。又如用戶通過電子郵件向其證券經(jīng)紀(jì)人發(fā)送對某筆業(yè)務(wù)的指令，以后這筆業(yè)務(wù)賠錢了，用戶就可否認(rèn)曾發(fā)送過相應(yīng)的指令。消息認(rèn)證碼缺陷實(shí)例2025/8/186

基于非對稱密碼體制和對稱密碼體制都可以產(chǎn)生數(shù)字簽名。不過，基于對稱密碼體制的數(shù)字簽名一般都要求有可信任的第三方，在發(fā)生糾紛的時(shí)候作為仲裁者。所以，在研究中多以非對稱密碼體制為基礎(chǔ)提出數(shù)字簽名方案

數(shù)字簽名的產(chǎn)生方式例如政府要發(fā)布電子公文m并放于公共媒介如網(wǎng)絡(luò)之上,那么其他人如何確定這個(gè)消息就是政府發(fā)布的原信息而沒有被其他人更改過呢？也就是如何確定消息的完整性呢？2025/8/1872025/8/188因此在收發(fā)雙方未建立起完全的信任關(guān)系且存在利害沖突的情況下，單純的消息認(rèn)證就顯得不夠。數(shù)字簽名技術(shù)則可有效解決這一問題。類似于手書簽名，數(shù)字簽名應(yīng)具有以下性質(zhì)：①能夠驗(yàn)證簽名產(chǎn)生者的身份，以及產(chǎn)生簽名的日期和時(shí)間。②能用于證實(shí)被簽消息的內(nèi)容。③數(shù)字簽名可由第三方驗(yàn)證，從而能夠解決通信雙方的爭議。數(shù)字簽名應(yīng)滿足的要求2025/8/189由此可見，數(shù)字簽名具有認(rèn)證功能。為實(shí)現(xiàn)上述3條性質(zhì)，數(shù)字簽名應(yīng)滿足以下要求：①簽名的產(chǎn)生必須使用發(fā)方獨(dú)有的一些信息以防偽造和否認(rèn)。②簽名的產(chǎn)生應(yīng)較為容易。③簽名的識別和驗(yàn)證應(yīng)較為容易。④對已知的數(shù)字簽名構(gòu)造一新的消息或?qū)σ阎南?gòu)造一假冒的數(shù)字簽名在計(jì)算上都是不可行的。數(shù)字簽名應(yīng)滿足的要求2025/8/181010由公鑰密碼體制算法產(chǎn)生數(shù)字簽名A向B發(fā)送消息，用A的私鑰簽名B收到密文后，用A的公鑰驗(yàn)證PlainText簽名算法驗(yàn)證算法簽名ABA的私鑰A的公鑰PlainTextPlainTextPlainText數(shù)字簽名分類按數(shù)字簽名的所依賴的理論基礎(chǔ)分，主要可以分為：（1）基于大數(shù)分解難題的數(shù)字簽名（2）基于離散對數(shù)難題的數(shù)字簽名（3）基于橢圓曲線離散對數(shù)的數(shù)字簽名2025/8/1811數(shù)字簽名分類從數(shù)字簽名的用途分，可以把數(shù)字簽名分為普通的數(shù)字簽名和特殊用途的數(shù)字簽名。普通的數(shù)字簽名往往可以和身份認(rèn)證相互轉(zhuǎn)換，特殊用途的數(shù)字簽名，如盲簽名、代理簽名、群簽名、門限簽名和前向安全的數(shù)字簽名等，多是在某些特殊的場合下使用。盲簽名通常用于需要匿名的小額電子現(xiàn)金的支付和匿名選舉，代理簽名可以用于委托別人在自己無法簽名的時(shí)候（如外出開會不方便使用網(wǎng)絡(luò)等）代替簽名等2025/8/18122025/8/18132025/8/1814下面以RSA簽名體制為例說明數(shù)字簽名的產(chǎn)生過程。（1）參數(shù)產(chǎn)生①選擇兩個(gè)滿足需要的大素?cái)?shù)p和q，計(jì)算n=p×q,φ(n)=(p-1)×(q-1)，其中φ(n)是n的歐拉函數(shù)值。

②選一個(gè)整數(shù)e,滿足1<e<φ(n)，且gcd(φ(n),e)=1。通過d×e≡1modφ(n)，計(jì)算出d。③以{e,n}為公開密鑰，{d,n}為秘密密鑰。RSA數(shù)字簽名2025/8/1815（2）簽名過程假設(shè)簽名者為Bob，則只有Bob知道秘密密鑰{d,n}。設(shè)需要簽名的消息為m，則簽名者Bob通過如下計(jì)算對m簽名：s≡mdmodn（m,s）為對消息m的簽名。Bob在公共媒體上宣稱他發(fā)布了消息m，同時(shí)把對m的簽名s置于消息后用于公眾驗(yàn)證簽名。（3）驗(yàn)證過程。公眾在看到消息m和對其簽名s后，利用Bob的公開驗(yàn)證密鑰{e,n}對消息進(jìn)行驗(yàn)證。公眾計(jì)算：m≡semodn是否成立，若成立，則Bob的簽名有效。公眾認(rèn)為消息m的確是Bob所發(fā)布，且消息內(nèi)容沒有被篡改。也就是說，公眾可以容易鑒別發(fā)布人發(fā)布的消息的完整性。2025/8/1816RSA簽名算法缺陷假設(shè)攻擊者Eve想得到簽名者對消息M的簽名，則攻擊者Eve可以構(gòu)造消息M1和M2，使M=M1*M2。然后把消息M1和M2分別發(fā)送給簽名者Bob進(jìn)行簽名。（1）設(shè)Bob對消息M1的簽名為S1，即S1≡M1dmodn；（2）設(shè)Bob對消息M2的簽名為S2，即S2≡M2dmodn；在得到Bob的兩次對消息的簽名后，則攻擊者Eve很容易構(gòu)造消息M的簽名S，S=Md=（M1*M2)dmodn≡S2*S1。雖然說在已知M的情況下，M1、M2往往只是一個(gè)數(shù)值，一般來說是沒有意義的。但進(jìn)行簽名的往往是一臺機(jī)器，不會對消息有無意義進(jìn)行鑒別，故導(dǎo)致了算法的不安全2025/8/1817實(shí)際應(yīng)用時(shí)，數(shù)字簽名是對消息摘要簽名產(chǎn)生，而不是直接對消息簽名產(chǎn)生對上述RSA簽名算法的改進(jìn)（1）簽名過程設(shè)需要簽名的消息為m，簽名者Bob通過如下計(jì)算完成簽名：s≡H(m)dmodn（m,s）為對消息m的簽名。（2）驗(yàn)證過程在收到消息m和簽名s后，驗(yàn)證H(m)≡semodn是否成立。若成立，則簽名有效。2025/8/18182025/8/1819對上述RSA簽名算法的改進(jìn)消息Hash函數(shù)消息摘要發(fā)方A相等？收方B加密算法私鑰A簽名消息加密的消息摘要簽名消息Hash函數(shù)消息摘要解密算法公鑰A簽名有效y簽名無效n2025/8/1820數(shù)字簽名標(biāo)準(zhǔn)DSS(DigitalSignatureStandard)是由美國NIST公布的聯(lián)邦信息處理標(biāo)準(zhǔn)FIPSPUB186，其中采用了上一章介紹的SHA和一新的簽名技術(shù)，稱為DSA(DigitalSignatureAlgorithm)。DSS最初于1991年公布，在考慮了公眾對其安全性的反饋意見后，于1993年公布了其修改版。數(shù)字簽名標(biāo)準(zhǔn)DSS2025/8/1821公鑰密碼體制，公鑰可以公開，采用公鑰密碼體制的數(shù)字簽名，可以用公鑰驗(yàn)證消息的真實(shí)性和來源，公鑰怎么公布出去？數(shù)字證書是什么

數(shù)字證書就是標(biāo)志網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù)，用來在網(wǎng)絡(luò)通訊中識別通訊各方的身份，即要在Internet上解決“我是誰”的問題，就如同現(xiàn)實(shí)中我們每一個(gè)人都要擁有一張證明個(gè)人身份的身份證或駕駛執(zhí)照一樣，以表明我們的身份或某種資格。數(shù)字證書是CA最基本的組件數(shù)字證書被發(fā)行給實(shí)體，擔(dān)保實(shí)體的網(wǎng)絡(luò)應(yīng)用身份一張數(shù)字證書通過一個(gè)公鑰和與之對應(yīng)的私鑰來證明身份的唯一性主體Alice的證書公鑰私鑰數(shù)字證書結(jié)構(gòu)證書主體身份信息主體的公鑰CA名稱其他信息CA簽名駕駛證駕駛員身份信息執(zhí)照種類（駕駛能力）公安局名稱其他信息公安局蓋章數(shù)字證書的內(nèi)容版本號：用來區(qū)分X.509的不同版本。序列號：由CA給予每一個(gè)證書的分配惟一的數(shù)字型編號。認(rèn)證機(jī)構(gòu)標(biāo)識：頒發(fā)該證書的機(jī)構(gòu)惟一的CA的X.500名字。主體標(biāo)識：證書持有者的名稱。主體公鑰信息：和該主體私鑰相對應(yīng)的公鑰。證書有效期：證書有效時(shí)間包括兩個(gè)日期：證書開始有效期和證書失效期。密鑰