1、黃 杰 信息安全研究中心,第九講 數(shù)字簽名和認(rèn)證協(xié)議,東南大學(xué)信息安全學(xué)科研究生學(xué)位課 網(wǎng)絡(luò)信息安全理論與技術(shù),本講內(nèi)容,數(shù)字簽名與認(rèn)證協(xié)議 數(shù)字簽名簡(jiǎn)介 認(rèn)證協(xié)議N-S Protocol 數(shù)字簽名標(biāo)準(zhǔn)DSS,消息認(rèn)證碼的使用方式,為什么需要數(shù)字簽名？,消息認(rèn)證用以保護(hù)雙方之間的數(shù)據(jù)交換不被第三方侵犯；但它并不保證雙方自身的相互欺騙。 假定A發(fā)送一個(gè)認(rèn)證的信息給B，雙方之間的爭(zhēng)議可能有多種形式： B偽造一個(gè)不同的消息，但聲稱是從A收到的。 A可以否認(rèn)發(fā)過該消息，B無法證明A確實(shí)發(fā)了該消息。,數(shù)字簽名的要求,傳統(tǒng)簽名的基本特點(diǎn): 必須能驗(yàn)證簽名者、簽名日期與時(shí)間 必須能夠認(rèn)證被簽的消息內(nèi)容 簽名

2、能夠由第三方仲裁，以解決爭(zhēng)執(zhí) 數(shù)字簽名是傳統(tǒng)簽名的數(shù)字化，基本要求: 簽名必須是與消息相關(guān)的二進(jìn)制位串 簽名必須使用發(fā)送方特有的信息，防偽造或否認(rèn) 簽名的產(chǎn)生和識(shí)別比較容易 偽造數(shù)字簽名在計(jì)算上是不可行的 保存數(shù)字簽名的拷貝是可行的,數(shù)字簽名體制,簽名算法(Signature Algorithm) Sig(M)=S 簽名算法或簽名密鑰K是秘密的，只有發(fā)方掌握 驗(yàn)證算法(Verification Algorithm) Ver(S)=0，1=真，偽 驗(yàn)證算法公開，便于他人進(jìn)行驗(yàn)證 簽名體制的安全性在于，從M和其簽名S難以推出簽名密鑰K或偽造一個(gè)M使M和S可被證實(shí)為真。,數(shù)字簽名的分類,直接數(shù)字簽名

3、(direct digital signature) 只涉及通信雙方 仲裁數(shù)字簽名(arbitrated digital signature),直接數(shù)字簽名方法1,用發(fā)送方的私鑰對(duì)整條消息進(jìn)行加密來產(chǎn)生簽名. (1) AB: EKRaM 提供了鑒別與簽名 只有A具有KRa進(jìn)行加密; 傳輸中沒有被篡改； 需要某些格式信息/冗余度； 任何第三方可以用KUa 驗(yàn)證簽名 (1) AB: EKUb EKRa(M) 提供了保密(KUb)、鑒別與簽名(KRa),直接數(shù)字簽名方法2,用發(fā)送方的私鑰對(duì)消息的hash碼進(jìn)行加密 (2) AB: M|EKRaH(M) 提供數(shù)字簽名 H(M) 受到密碼算法的保護(hù),例如

4、MD5或SHA-1; 只有A 能夠生成EKRaH(M) (2) AB: EKM|EKRaH(M) 提供保密性、數(shù)字簽名。 加密和簽名的先后順序？,直接數(shù)字簽名的缺點(diǎn),驗(yàn)證模式依賴于發(fā)送方的保密密鑰； 發(fā)送方要抵賴發(fā)送某一消息時(shí)，可能會(huì)聲稱其私有密鑰丟失或被竊，從而他人偽造了他的簽名。 通常需要采用與私有密鑰安全性相關(guān)的行政管理控制手段來制止或至少是削弱這種情況，但威脅在某種程度上依然存在。 改進(jìn)的方式例如可以要求被簽名的信息包含一個(gè)時(shí)間戳（日期與時(shí)間），并要求將已暴露的密鑰報(bào)告給一個(gè)授權(quán)中心。 X的私鑰確實(shí)在時(shí)間T被竊取，敵方可以偽造X的簽名及早于或等于時(shí)間T的時(shí)間戳。,仲裁數(shù)字簽名,工作原理

5、： 通常的做法是所有從發(fā)送方X到接收方Y(jié)的簽名消息首先送到仲裁者A，A將消息及其簽名進(jìn)行一系列測(cè)試，以檢查其來源和內(nèi)容，然后將消息加上日期并與已被仲裁者驗(yàn)證通過的指示一起發(fā)給Y。 仲裁者在這一類簽名模式中扮演敏感和關(guān)鍵的角色。 所有的參與者必須極大地相信這一仲裁機(jī)制工作正常。（trusted system）,仲裁數(shù)字簽名模式1,X與A之間共享密鑰Kxa，Y與A之間共享密鑰Kay； （1）XA：M|EKxaIDx| H(M) （2）AY：EKayIDx| M | EKxaIDx| H(M) | T X：準(zhǔn)備消息M，計(jì)算其散列碼H(M)，用X的標(biāo)識(shí)符IDx 和散列值構(gòu)成簽名，并將消息及簽名經(jīng)Kxa

6、加密后發(fā)送給A； A：解密簽名，用H(M)驗(yàn)證消息M，然后將IDx，M，簽名，和時(shí)間戳一起經(jīng)Kay加密后發(fā)送給Y； Y：解密A發(fā)來的信息，并可將M和簽名保存起來。Y不能直接讀取簽名，但可以將消息和簽名發(fā)給A進(jìn)行驗(yàn)證。 特點(diǎn)：傳統(tǒng)加密方式，仲裁者可以看見消息明文。,仲裁數(shù)字簽名模式2,在這種情況下，X與Y之間共享密鑰Kxy， （1）XA： IDx | EKxyM|EKxaIDx| H(EKxyM) （2）AY：EKayIDx|EKxyM | EKxaIDx| H(EKxyM) | T X：將標(biāo)識(shí)符IDx ,密文EKxyM，以及對(duì)IDx和密文消息的散列碼用Kxa加密后形成簽名發(fā)送給A。 A：解密簽

7、名，用散列碼驗(yàn)證消息，這時(shí)A只能驗(yàn)證消息的密文而不能讀取其內(nèi)容。然后A將來自X的所有信息加上時(shí)間戳并用Kay加密后發(fā)送給Y。 特點(diǎn)：傳統(tǒng)加密方式，仲裁者不可以看見消息明文。 （1）和（2）共同存在一個(gè)共性問題： A和發(fā)送方聯(lián)手可以否認(rèn)簽名的信息； A和接收方聯(lián)手可以偽造發(fā)送方的簽名；,仲裁數(shù)字簽名模式3,特點(diǎn)：公鑰加密方式，仲裁者不可以看見消息 （1）XA： IDx | EKRxIDx | EKUy (EKRxM) （2）AY： EKRaIDx| EKUyEKRxM | T X：對(duì)消息M雙重加密：首先用X的私有密鑰KRx，然后用Y的公開密鑰KUy。形成一個(gè)簽名的、保密的消息。然后將該信息以及X

8、的標(biāo)識(shí)符一起用KRx簽名后與IDx 一起發(fā)送給A。這種內(nèi)部、雙重加密的消息對(duì)A以及對(duì)除Y以外的其它人都是安全的。 A：檢查X的公開/私有密鑰對(duì)是否仍然有效，若是則確認(rèn)消息。并將包含IDx、雙重加密的消息和時(shí)間戳構(gòu)成的消息用KRa簽名后發(fā)送給Y。,模式3的優(yōu)點(diǎn),1、在通信之前各方之間無須共享任何信息，從而避免了聯(lián)手作弊； 2、即使KRx 暴露，只要KRa 未暴露，不會(huì)有錯(cuò)誤標(biāo)定日期的消息被發(fā)送； 3、從X發(fā)送給Y的消息的內(nèi)容對(duì)A和任何其他人是保密的。,認(rèn)證協(xié)議,雙方認(rèn)證(mutual authentication) 最常用的協(xié)議，該協(xié)議使得通信各方互相認(rèn)證鑒別各自的身份，然后交換會(huì)話密鑰。 單向

9、認(rèn)證(one-way authentication) 收發(fā)雙方不需要同時(shí)在線聯(lián)系，例如電子郵件。,雙方認(rèn)證,解決重放攻擊的方法？ 序列號(hào) 時(shí)間戳 挑戰(zhàn)/應(yīng)答 對(duì)稱加密方法 公鑰加密方法,對(duì)稱加密方法,1、A-KDC：IDA|IDB|N1 2、KDC-A：E(Ka,Ks|IDB|N1|E(Kb,Ks|IDA) 3、A-B ：E(Kb,Ks|IDA 4、B-A ：E(Ks,N2) 5、A-B ：E(Ks,f(N2),1、A-KDC：IDA|IDB 2、KDC-A：E(Ka,Ks|IDB|T|E(Kb,Ks|IDA |T) 3、A-B ：E(Kb,Ks|IDA |T 4、B-A ：E(Ks,N1)

10、5、A-B ：E(Ks,f(N1),Needham-Schroeder協(xié)議,改進(jìn)的方法,1、A-B：IDA|Na 2、B-KDC：IDB|Nb|E(Kb,IDA|Na|Tb) 3、KDC-A：E(Ka,IDA|Ns|Ks|Tb)|E(Kb,IDA|Ks|Tb)|Nb 4、A-B：E(Kb,IDA|Ks|Tb)|E(Ks,Nb) 5、A-B：E(Kb,IDA|Ks|Tb)，Na 6、B-A：Nb，E(Ks,Na) 7、A-B：E(Ks,Nb),公鑰加密方法,1、A AS：IDA|IDB 2、AS A：E(PRas,IDA |PUa| T )| E(PRas, IDB |PUb | T ) 3、A

11、 B： E(PRas,IDA|PUa| T )| E(PRas,IDB | PUb | T | E(PUb, E(PRa, Ks|T),2、AS A：E(PRas,IDB |PUb ) 3、A B： E(PUb,IDA |NA ) 4、B AS: IDA|IDB|E(PUAS ,NA ) 5、AS B：E(PRas,IDA |PUa ) |E(PUb,E(PRas, NA|Ks|IDB ) 6、B A： E(PUa,E(PRas, NA|Ks|IDB )| NB) 7、A B：E（Ks,NB）,5、AS B：E(PRas,IDA |PUa ) |E(PUb,E(PRas, NA|Ks |IDA

12、 |IDB ) 6、B A： E(PUa,E(PRas, NA|Ks |IDA |IDB )| NB),單 向 認(rèn) 證,郵件服務(wù)器,案 例,From:用戶A To：?jiǎn)T工B，C，D,用戶A,方案1,方案2,單向認(rèn)證,對(duì)稱加密方法 1、A-KDC： IDA|IDB |N1 2、KDC-A：E(Ka,Ks|IDB|N1|E(Kb,Ks|IDA) 3、A-B： E(Kb,Ks|IDA)|E(Ks,M) 公鑰加密方法 A B： E(PUb,Ks)|E(Ks,M) （保密） A B： M|E(PRa,H(M) （真實(shí)性） A B： E(PUb,M|E(PRa,H(M) 保密和真實(shí),數(shù)字簽名標(biāo)準(zhǔn)DSS,1991年，美國國家技術(shù)與標(biāo)準(zhǔn)研究所發(fā)布的聯(lián)邦信息處理標(biāo)準(zhǔn)FIPS 186，稱為DSS。使用新的數(shù)字簽名算法，即DSA(數(shù)字簽名算法)。 2000年發(fā)布了該標(biāo)準(zhǔn)的擴(kuò)充版，即FIPS 186-2。該最新版還包括基于RSA和橢圓曲線密碼的數(shù)字簽名。 DSS僅提供數(shù)字簽名功能，不能用于加密或密鑰分配。,RSA 與DSS的比較,DSS簽名函數(shù),輸入： 明文