1、2020/8/14,1,Ch5-消息認(rèn)證與數(shù)字簽名,信息安全原理與技術(shù),郭亞軍 宋建華 李莉 清華大學(xué)出版社,2020/8/14,2,Ch5-消息認(rèn)證與數(shù)字簽名,第5章 消息認(rèn)證與數(shù)字簽名,主要知識(shí)點(diǎn)： - 認(rèn)證 - 認(rèn)證碼 - 散列函數(shù) - MD5 - SHA-512 - 數(shù)字簽名,2020/8/14,3,Ch5-消息認(rèn)證與數(shù)字簽名,認(rèn)證,認(rèn)證則是防止主動(dòng)攻擊的重要技術(shù)，可以防止如下一些攻擊 ： 偽裝：攻擊者生成一個(gè)消息并聲稱這條消息是來自某合法實(shí)體，或者攻擊者冒充消息接收方向消息發(fā)送方發(fā)送的關(guān)于收到或未收到消息的欺詐應(yīng)答。 內(nèi)容修改：對(duì)消息內(nèi)容的修改，包括插入、刪除、轉(zhuǎn)換和修改。 順序修改

2、：對(duì)通信雙方消息順序的修改，包括插入、刪除和重新排序。 計(jì)時(shí)修改：對(duì)消息的延遲和重放。在面向連接的應(yīng)用中，攻擊者可能延遲或重放以前某合法會(huì)話中的消息序列，也可能會(huì)延遲或重放是消息序列中的某一條消息。,2020/8/14,4,Ch5-消息認(rèn)證與數(shù)字簽名,認(rèn)證的目的,第一，驗(yàn)證消息的發(fā)送者是合法的，不是冒充的，這稱為實(shí)體認(rèn)證，包括對(duì)信源、信宿等的認(rèn)證和識(shí)別； 第二，驗(yàn)證信息本身的完整性，這稱為消息認(rèn)證，驗(yàn)證數(shù)據(jù)在傳送或存儲(chǔ)過程中沒有被篡改、重放或延遲等。,2020/8/14,5,Ch5-消息認(rèn)證與數(shù)字簽名,認(rèn)證的目的,可提供認(rèn)證功能的認(rèn)證碼的函數(shù)可分為三類： 加密函數(shù)：使用消息發(fā)送方和消息接收方共

3、享的密鑰對(duì)整個(gè)消息進(jìn)行加密，則整個(gè)消息的密文作為認(rèn)證符。 消息認(rèn)證碼：它是消息和密鑰的函數(shù)，產(chǎn)生定長度值，該值作為消息的認(rèn)證符。 散列函數(shù)：它是將任意長的消息映射為定長的hash值的函數(shù)，以該hash值作為認(rèn)證符。,2020/8/14,6,Ch5-消息認(rèn)證與數(shù)字簽名,基本的認(rèn)證系統(tǒng)模型,2020/8/14,7,Ch5-消息認(rèn)證與數(shù)字簽名,消息認(rèn)證碼,消息認(rèn)證碼，簡稱MAC (Message Authentication Code)，是一種使用密鑰的認(rèn)證技術(shù)，它利用密鑰來生成一個(gè)固定長度的短數(shù)據(jù)塊，并將該數(shù)據(jù)塊附加在消息之后。 在這種方法中假定通信雙方A和B共享密鑰K。若A向B發(fā)送消息M時(shí)，則A

4、使用消息M和密鑰K，計(jì)算MACC(K,M),2020/8/14,8,Ch5-消息認(rèn)證與數(shù)字簽名,消息認(rèn)證碼的使用,2020/8/14,9,Ch5-消息認(rèn)證與數(shù)字簽名,消息認(rèn)證碼的使用（續(xù)）,2020/8/14,10,Ch5-消息認(rèn)證與數(shù)字簽名,MAC的安全要求,MAC中使用了密鑰，這點(diǎn)和對(duì)稱密鑰加密一樣，如果密鑰泄漏了或者被攻擊了，則MAC的安全性則無法保證。 在基于算法的加密函數(shù)中，攻擊者可以嘗試所有可能的密鑰以進(jìn)行窮舉攻擊，一般對(duì)k位的密鑰，窮舉攻擊需要2(k-1)步。,2020/8/14,11,Ch5-消息認(rèn)證與數(shù)字簽名,對(duì)MAC的攻擊,第一輪 給定M1, MAC1CK(M1) 對(duì)所有2

5、k個(gè)密鑰判斷MACiCKi(M1) 匹配數(shù)2(k-n) 。 第二輪 給定M2, MAC2CK(M2) 對(duì)循環(huán)1中找到的2(k-n)個(gè)密鑰判斷MACiCKi (M2) 匹配數(shù)2(k-2n) 。 攻擊者可以按此方法不斷對(duì)密鑰進(jìn)行測(cè)試，直到將匹配數(shù)縮寫到足夠小的范圍。平均來講，若k=an,則需a次循環(huán),2020/8/14,12,Ch5-消息認(rèn)證與數(shù)字簽名,針對(duì)MAC算法的攻擊,攻擊者針對(duì)下面的MAC算法，則不需要使用窮舉攻擊即可獲得密鑰信息。 設(shè)消息M(X1|X2|Xm)，即由64位分組Xi聯(lián)結(jié)而成。定義 (M)X1X2 Xm Ck(M)=EK(M) 攻擊者可以用任何期望的Y1至Ym-1替代X1至X

6、m-1，用Ym替代Xm來進(jìn)行攻擊，其中Ym如下計(jì)算的： YmY1Y2Ym-1(M) 攻擊者可以將Y1至Ym-1與原來的MAC連結(jié)成一個(gè)新的消息M，接收方收到(M, Ck(M)時(shí)，由于(M)= Y1 Y2 Ym =(M)，因此Ck(M)=EK(M)，接受者會(huì)認(rèn)為該消息是真實(shí)。用這種辦法，攻擊者可以隨意插入任意的長為64(m-1)位的消息。,2020/8/14,13,Ch5-消息認(rèn)證與數(shù)字簽名,MAC的性質(zhì),一個(gè)安全的MAC函數(shù)應(yīng)具有下列性質(zhì)： 若攻擊者知道M和Ck(M)，則他構(gòu)造滿足Ck(M)= Ck(M)的消息M在計(jì)算上是不可行的。 Ck(M)應(yīng)是均勻分布的，即對(duì)任何隨機(jī)選擇的消息M和M, C

7、k(M)=Ck(M)的概率是2-n,其中n是MAC的位數(shù)。 設(shè)M是M 的某個(gè)已知的變換，即M=f(M)，則Ck(M)= Ck(M)的概率為2-n。,2020/8/14,14,Ch5-消息認(rèn)證與數(shù)字簽名,基于DES的消息認(rèn)證碼,2020/8/14,15,Ch5-消息認(rèn)證與數(shù)字簽名,Hash函數(shù),Hash函數(shù)(也稱散列函數(shù)或雜湊函數(shù))是將任意長的輸入消息作為輸入生成一個(gè)固定長的輸出串的函數(shù)，即h=H(M)。這個(gè)輸出串h稱為該消息的散列值（或消息摘要，或雜湊值）。,2020/8/14,16,Ch5-消息認(rèn)證與數(shù)字簽名,安全的Hash函數(shù)的要求,H可以應(yīng)用于任意長度的數(shù)據(jù)塊，產(chǎn)生固定長度的散列值； 對(duì)

8、每一個(gè)給定的輸入m，計(jì)算H(m)是很容易的； 給定Hash函數(shù)的描述，對(duì)于給定的散列值h，找到滿足H(m) = h的m在計(jì)算上是不可行的； 給定Hash函數(shù)的描述，對(duì)于給定的消息m1，找到滿足m2m1且H(m2)=H(m1)的m2在計(jì)算上是不可行的； 找到任何滿足H(m1)=H(m2)且m1 m2的消息對(duì)(m1, m2)在計(jì)算上是不可行的。,2020/8/14,17,Ch5-消息認(rèn)證與數(shù)字簽名,安全的Hash函數(shù)的要求,H可以應(yīng)用于任意長度的數(shù)據(jù)塊，產(chǎn)生固定長度的散列值； 對(duì)每一個(gè)給定的輸入m，計(jì)算H(m)是很容易的； 給定Hash函數(shù)的描述，對(duì)于給定的散列值h，找到滿足H(m) = h的m在

9、計(jì)算上是不可行的； 給定Hash函數(shù)的描述，對(duì)于給定的消息m1，找到滿足m2m1且H(m2)=H(m1)的m2在計(jì)算上是不可行的； 找到任何滿足H(m1)=H(m2)且m1 m2的消息對(duì)(m1, m2)在計(jì)算上是不可行的。,2020/8/14,18,Ch5-消息認(rèn)證與數(shù)字簽名,Hash的一般結(jié)構(gòu),2020/8/14,19,Ch5-消息認(rèn)證與數(shù)字簽名,2020/8/14,20,Ch5-消息認(rèn)證與數(shù)字簽名,Hash函數(shù)的安全要求,1單向性：對(duì)任何給定的散列碼h，找到滿足H(x)h的x在計(jì)算上是不可行的。 2抗弱碰撞性：對(duì)任何給定的消息x，找到滿足yx且H(x)=H(y)的y在計(jì)算上是不可行的。 3

10、抗強(qiáng)碰撞性：找到任何滿足H(x)=H(y)的偶對(duì)(x,y)在計(jì)算上是不可行的。,2020/8/14,21,Ch5-消息認(rèn)證與數(shù)字簽名,生日攻擊（Birthday Attack）,如果攻擊者希望偽造消息M的簽名來欺騙接收者，則他需要找到滿足H(M)=H(M)的M來替代M。對(duì)于生成64位散列值的散列函數(shù)，平均需要嘗試263次以找到M。但是建立在生日悖論上的生日攻擊法，則會(huì)更有效。 對(duì)于上述問題換種說法：假設(shè)一個(gè)函數(shù)有n個(gè)函數(shù)值，且已知一個(gè)函數(shù)值H(x)。任選k個(gè)任意數(shù)作為函數(shù)的輸入值，則k必須為多大才能保證至少找到一個(gè)輸入值y且H(x)=H(y)的概率大于0.5?,2020/8/14,22,Ch5

11、-消息認(rèn)證與數(shù)字簽名,生日悖論,我們可以如下描述這類問題：k為多大時(shí)，在k個(gè)人中至少找到兩個(gè)人的生日相同的概率大于0.5？不考慮二月二十九日并且假定每個(gè)生日出現(xiàn)的概率相同。,2020/8/14,23,Ch5-消息認(rèn)證與數(shù)字簽名,首先k個(gè)人的生日排列的總數(shù)目是365k。這樣，k個(gè)人有不同生日的排列數(shù)為： 因此，k個(gè)人有不同生日的概率為不重復(fù)的排列數(shù)除以總數(shù)目，得到： 則，k個(gè)人中，至少找到兩個(gè)人同日出生的概率是：,2020/8/14,24,Ch5-消息認(rèn)證與數(shù)字簽名,Yuval的生日攻擊,(1) 合法的簽名方對(duì)于其認(rèn)為合法的消息愿意使用自己的私鑰對(duì)該消息生成的m位的散列值進(jìn)行數(shù)字簽名。 (2)

12、攻擊者為了偽造一份有(1)中的簽名者簽名的消息，首先產(chǎn)生一份簽名方將會(huì)同意簽名的消息，再產(chǎn)生出該消息的2m/2種不同的變化，且每一種變化表達(dá)相同的意義（如：在文字中加入空格、換行字符）。然后，攻擊者再偽造一條具有不同意義的新的消息，并產(chǎn)生出該偽造消息的2m/2種變化。,2020/8/14,25,Ch5-消息認(rèn)證與數(shù)字簽名,Yuval的生日攻擊（續(xù)）,(3) 攻擊者在上述兩個(gè)消息集合中找出可以產(chǎn)生相同散列值的一對(duì)消息。根據(jù)“生日悖論”理論，能找到這樣一對(duì)消息的概率是非常大的。如果找不到這樣的消息，攻擊者再產(chǎn)生一條有效的消息和偽造的消息，并增加每組中的明文數(shù)目，直至成功為止。 (4) 攻擊者用第一

13、組中找到的明文提供給簽名方要求簽名，這樣，這個(gè)簽名就可以被用來偽造第二組中找到的明文的數(shù)字簽名。這樣，即使攻擊者不知道簽名私鑰也能偽造簽名。,2020/8/14,26,Ch5-消息認(rèn)證與數(shù)字簽名,中間相遇攻擊法（Meet in the Middle Attack）,(1) 根據(jù)已知數(shù)字簽名的明文，先產(chǎn)生散列函數(shù)值h。 (2) 再根據(jù)意圖偽造簽名的明文，將其分成每個(gè)64位長的明文分組：Q1, Q2, QN-2。Hash函數(shù)的壓縮算法為：hi=EQihi-1，1iN-2。 (3) 任意產(chǎn)生232個(gè)不同的X，對(duì)每個(gè)X計(jì)算EXhN-2。同樣的，任意產(chǎn)生232個(gè)不同的Y，對(duì)每個(gè)Y計(jì)算DYG，D是相對(duì)應(yīng)E

14、的解密函數(shù)。,2020/8/14,27,Ch5-消息認(rèn)證與數(shù)字簽名,中間相遇攻擊法（Meet in the Middle Attack）-續(xù),(4) 根據(jù)“生日悖論”，有很大的概率可以找到一堆X及Y滿足EXhN-2= DYG。 (5) 如果找到了這樣的X和Y，攻擊者重新構(gòu)造一個(gè)明文：Q1, Q2, , QN-2, X, Y。這個(gè)新的明文的散列值也為h，因此攻擊者可以使用已知的數(shù)字簽名為這個(gè)構(gòu)造的明文偽造新的明文的簽名。,2020/8/14,28,Ch5-消息認(rèn)證與數(shù)字簽名,MD5,MD5（Message-DigestAlgorithm5）是由RonaldL.Rivest（RSA算法中的“R”）

15、這90年代初開發(fā)出來的，經(jīng)MD2、MD3和MD4發(fā)展而來。它比MD4復(fù)雜，但設(shè)計(jì)思想類似，同樣生成一個(gè)128位的信息散列值。其中，MD2是為8位機(jī)器做過設(shè)計(jì)優(yōu)化的，而MD4和MD5卻是面向32位的計(jì)算機(jī)。 2004年8月，在美國召開的國際密碼學(xué)會(huì)議（Crypto2004）上，王小云教授給出破解MD5、HAVAL-128、 MD4和RIPEMD算法的報(bào)告。給出了一個(gè)非常高效的尋找碰撞的方法，可以在數(shù)個(gè)小時(shí)內(nèi)找到MD5的碰撞。,2020/8/14,29,Ch5-消息認(rèn)證與數(shù)字簽名,MD5算法步驟,1）填充消息：任意長度的消息首先需要進(jìn)行填充處理，使得填充后的消息總長度與448模512同余（即填充后

16、的消息長度448 mod 512）。填充的方法是在消息后面添加一位“1”，后續(xù)都是“0”。 2）添加原始消息長度：在填充后的消息后面再添加一個(gè)64位的二進(jìn)制整數(shù)表示填充前原始消息的長度。這時(shí)經(jīng)過處理后的消息長度正好是512位的倍數(shù)。 3）初始值（IV）的初始化：MD5中有四個(gè)32位緩沖區(qū)，用（A, B, C, D）表示，用來存儲(chǔ)散列計(jì)算的中間結(jié)果和最終結(jié)果，緩沖區(qū)中的值被稱為鏈接變量。首先將其分別初始化為為：A=0 x01234567，B=0 x89abcdef，C=0 xfedcba98，D=0 x76543210。,2020/8/14,30,Ch5-消息認(rèn)證與數(shù)字簽名,MD5算法步驟-續(xù),

17、4）以512位的分組為單位對(duì)消息進(jìn)行循環(huán)散列計(jì)算：經(jīng)過處理的消息，以512位為單位，分成N個(gè)分組，用Y0，Y1，YN-1。MD5對(duì)每個(gè)分組進(jìn)行散列處理。每一輪的處理會(huì)對(duì)（A，B，C，D）進(jìn)行更新。 5）輸出散列值：所有的N個(gè)分組消息都處理完后，最后一輪得到的四個(gè)緩沖區(qū)的值即為整個(gè)消息的散列值。,2020/8/14,31,Ch5-消息認(rèn)證與數(shù)字簽名,MD5算法步驟-續(xù),2020/8/14,32,Ch5-消息認(rèn)證與數(shù)字簽名,MD5應(yīng)用舉例,利用給出的MD5程序?qū)Α癶ello world!”進(jìn)行處理，計(jì)算它的HASH值。 微軟的系統(tǒng)軟件都有MD5驗(yàn)證，嘗試查找軟件的MD5值。在WINDOWS操作系統(tǒng)

18、中，可以通過開始運(yùn)行sigverif命令，利用數(shù)字簽名查找驗(yàn)證非WINDOWS的系統(tǒng)軟件。,2020/8/14,33,Ch5-消息認(rèn)證與數(shù)字簽名,SHA-512算法步驟,對(duì)消息進(jìn)行填充：對(duì)原始消息進(jìn)行填充使其長度與896模1024同余(即填充后的消息長度896 mod 1024)。即使原始消息已經(jīng)滿足上述長度要求，仍然需要進(jìn)行填充，因此填充位數(shù)在1到1024之間。填充部分由一個(gè)1和后續(xù)的0組成。 添加消息長度信息：在填充后的消息后添加一個(gè)128位的塊，用來說明填充前消息的長度，表示為一個(gè)無符號(hào)整數(shù)(最高有效字節(jié)在前)。至此，產(chǎn)生了一個(gè)長度為1024整數(shù)倍的擴(kuò)展消息。,2020/8/14,34,

19、Ch5-消息認(rèn)證與數(shù)字簽名,SHA-512算法步驟,初始化Hash緩沖區(qū)：Hash函數(shù)計(jì)算的中間結(jié)果和最終結(jié)果保存在512位的緩沖區(qū)中，分別用64比特的寄存器(A,B,C,D,E,F,G,H)表示，并將這些寄存器初始化為下列64位的整數(shù)(十六進(jìn)制值)： A 0 x6A09E667F3BCC908 B 0 x BB67AE8584CAA73B C 0 x 3C6EF372FE94F82B D 0 x A54FF53A5F1D36F1 E=0 x 510E527FADE682D1 F=0 x 9B05688C2B3E6C1F G=0 x 1F83D9ABFB41BD6B H=0 x 5BE0CD1

20、9137E2179,2020/8/14,35,Ch5-消息認(rèn)證與數(shù)字簽名,SHA-512算法步驟-續(xù),以1024位分組（16個(gè)字）為單位處理消息：處理算法的核心是需要進(jìn)行80輪運(yùn)算的模塊。 輸出：所有的N個(gè)1024位分組都處理完以后，最后輸出的即是512位的消息散列值。,2020/8/14,36,Ch5-消息認(rèn)證與數(shù)字簽名,SHA-512算法步驟-續(xù),2020/8/14,37,Ch5-消息認(rèn)證與數(shù)字簽名,SHA-512每一步的核心處理,2020/8/14,38,Ch5-消息認(rèn)證與數(shù)字簽名,HMAC,HMAC的設(shè)計(jì)目標(biāo)包括： 可以直接使用現(xiàn)有的Hash函數(shù)； 不針對(duì)于某一個(gè)Hash函數(shù)，可以根據(jù)

21、需要更換Hash函數(shù)模塊； 可保持Hash函數(shù)的原有性能，不能過分降低其性能； 對(duì)密鑰的使用和處理應(yīng)較簡單； 如果已知嵌入的Hash函數(shù)的強(qiáng)度，則可以知道認(rèn)證機(jī)制抵抗密碼分析的強(qiáng)度。,2020/8/14,39,Ch5-消息認(rèn)證與數(shù)字簽名,HMAC的結(jié)構(gòu),2020/8/14,40,Ch5-消息認(rèn)證與數(shù)字簽名,HMAC的實(shí)現(xiàn)方案,2020/8/14,41,Ch5-消息認(rèn)證與數(shù)字簽名,數(shù)字簽名,數(shù)字簽名也是一種認(rèn)證機(jī)制，它是公鑰密碼學(xué)發(fā)展過程中的一個(gè)重要組成部分，是公鑰密碼算法的典型應(yīng)用。數(shù)字簽名的應(yīng)用過程是，數(shù)據(jù)源發(fā)送方使用自己的私鑰對(duì)數(shù)據(jù)校驗(yàn)和或其他與數(shù)據(jù)內(nèi)容有關(guān)的信息進(jìn)行處理，完成對(duì)數(shù)據(jù)的合法

22、“簽名”，數(shù)據(jù)接收方則利用發(fā)送方的公鑰來驗(yàn)證收到的消息上的“數(shù)字簽名”，以確認(rèn)簽名的合法性。,2020/8/14,42,Ch5-消息認(rèn)證與數(shù)字簽名,數(shù)字簽名,數(shù)字簽名需要滿足以下條件： 簽名的結(jié)果必須是與被簽名的消息相關(guān)的二進(jìn)制位串； 簽名必須使用發(fā)送方某些獨(dú)有的信息（發(fā)送者的私鑰），以防偽造和否認(rèn)； 產(chǎn)生數(shù)字簽名比較容易； 識(shí)別和驗(yàn)證簽名比較容易； 給定數(shù)字簽名和被簽名的消息，偽造數(shù)字簽名在計(jì)算上是不可行的。 保存數(shù)字簽名的拷貝，并由第三方進(jìn)行仲裁是可行的。,2020/8/14,43,Ch5-消息認(rèn)證與數(shù)字簽名,數(shù)字簽名的典型使用,(1) 消息發(fā)送方式與散列函數(shù)對(duì)消息進(jìn)行計(jì)算，得到消息的散列

23、值。 (2) 發(fā)送方使用自己的私鑰對(duì)消息散列值進(jìn)行計(jì)算，得到一個(gè)較短的數(shù)字簽名串。 (3) 這個(gè)數(shù)字簽名將和消息一起發(fā)送給接收方。 (4) 接收方首先從接收到的消息中用同樣的散列函數(shù)計(jì)算出一個(gè)消息摘要，然后使用這個(gè)消息摘要、發(fā)送者的公鑰以及收到的數(shù)字簽名，進(jìn)行數(shù)字簽名合法性的驗(yàn)證。,2020/8/14,44,Ch5-消息認(rèn)證與數(shù)字簽名,Schnorr數(shù)字簽名,系統(tǒng)參數(shù)的選擇 p，q：滿足q|p-1，q2160，q 2512 g：gZp，滿足gq = 1 mod p，g 1 H：散列函數(shù) x：用戶的私鑰，1xq y：用戶的公鑰，y = gx mod p,2020/8/14,45,Ch5-消息認(rèn)證

24、與數(shù)字簽名,Schnorr數(shù)字簽名,簽名 設(shè)要簽名的消息為M，0Mp。簽名者隨機(jī)選擇一整數(shù)k，1kq，并計(jì)算： e = H(r, M) s = k xe mod q (e, s)即為M的簽名。簽名者將M 連同(r, s)一起存放，或發(fā)送給驗(yàn)證者。,2020/8/14,46,Ch5-消息認(rèn)證與數(shù)字簽名,Schnorr數(shù)字簽名,驗(yàn)證 驗(yàn)證者獲得M和(e, s)，需要驗(yàn)證(e, s)是否是M的簽名。 計(jì)算： r = gsre mod p 檢查H(r, M) = e是否正確，若是，則(e,s)為M的合法簽名。,2020/8/14,47,Ch5-消息認(rèn)證與數(shù)字簽名,DSS,DSA的系統(tǒng)參數(shù)選擇如下： p

25、：512的素?cái)?shù)，其中2L-1p2L，512L1024，且L是64的倍數(shù)，即L的位長在512至1024之間并且其增量為64位。 q：160位的素?cái)?shù)且q|p-1。 g：滿足g = h(p-1)/q mod p H：為散列函數(shù) x：用戶的私鑰，0xq y：用戶的公鑰，y = gx mod p p、q、g為系統(tǒng)發(fā)布的公共參數(shù)，與公鑰y公開；私鑰x保密。,2020/8/14,48,Ch5-消息認(rèn)證與數(shù)字簽名,DSS,簽名 設(shè)要簽名的消息為M，0Mp。簽名者隨機(jī)選擇一整數(shù)k，0kq，并計(jì)算： r = (gk mod p) mod q s = k-1 (H(M) + xr) mod q (r, s)即為M的

26、簽名。簽名者將M 連同(r, s)一起存放，或發(fā)送給驗(yàn)證者。,2020/8/14,49,Ch5-消息認(rèn)證與數(shù)字簽名,DSS,驗(yàn)證 驗(yàn)證者獲得M和(r, s)，需要驗(yàn)證(r, s)是否是M的簽名。 首先檢查r和s是否屬于0, q，若不是，則(r, s)不是簽名值。 否則，計(jì)算： w = s-1 mod q u1 = (H(M)w) mod q u2 = rw mod q v = (gu1yu2 ) mod p) mod q 如果v = r，則所獲得的(r, s)是M的合法簽名。,2020/8/14,50,Ch5-消息認(rèn)證與數(shù)字簽名,仲裁數(shù)字簽名,仲裁簽名中除了通信雙方外，還有一個(gè)仲裁方 發(fā)送方A

27、發(fā)送給B的每條簽名的消息都先發(fā)送給仲裁者T，T對(duì)消息及其簽名進(jìn)行檢查以驗(yàn)證消息源及其內(nèi)容，檢查無誤后給消息加上日期再發(fā)送給B，同時(shí)指明該消息已通過仲裁者的檢驗(yàn)。 仲裁數(shù)字簽名實(shí)際上涉及到多余一步的處理，仲裁者的加入使得對(duì)于消息的驗(yàn)證具有了實(shí)時(shí)性。,2020/8/14,51,Ch5-消息認(rèn)證與數(shù)字簽名,仲裁數(shù)字簽名,(1) AT：M | EKATIDA | H(M) (2) TB：EKTBIDA | M | EKATIDA | H(M) | T (1) AT：IDA | EPRAIDA | EPUB(EPRAM) (2) TB：EPRTIDA | EPUBEPRAM | T,2020/8/14,

28、52,Ch5-消息認(rèn)證與數(shù)字簽名,盲簽名,盲簽名是Chaum在1982年首次提出的，并利用盲簽名技術(shù)提出了第一個(gè)電子現(xiàn)金方案。盲簽名因?yàn)榫哂忻ば赃@一特點(diǎn)，可以有效的保護(hù)所簽名的消息的具體內(nèi)容，所以在電子商務(wù)等領(lǐng)域有著廣泛的應(yīng)用。 盲簽名允許消息發(fā)送者先將消息盲化，而后讓簽名者對(duì)盲化的消息進(jìn)行簽名，最后消息擁有者對(duì)簽名除去盲因子，得到簽名者關(guān)于原消息的簽名。,2020/8/14,53,Ch5-消息認(rèn)證與數(shù)字簽名,盲簽名的性質(zhì),它除了滿足一般的數(shù)字簽名條件外，還必須滿足下面的兩條性質(zhì)： 1. 簽名者不知道其所簽名的消息的具體內(nèi)容。 2. 簽名消息不可追蹤，即當(dāng)簽名消息被公布后，簽名者無法知道這是他哪次的簽署的。,2020/8/14,54,Ch5-消息認(rèn)證與數(shù)字簽名,盲簽名的步驟,A期望獲得對(duì)消息m的簽名，B對(duì)消息m的盲簽名的實(shí)現(xiàn)描述如下： 盲化：A對(duì)于消息進(jìn)行處理，使用盲因子合成新的消息M并發(fā)生給B； 簽名：B對(duì)消息M簽名后，將簽名 ( M, sign(M) ) 返回給給A； 去盲：A去掉盲因子，從對(duì)M的簽名中得到B對(duì)m的簽名。,2020/8/14,55,Ch5-消息認(rèn)證與數(shù)字簽名,好的盲簽名的性質(zhì),不可偽造性：除了簽名者本人外，任何人都不能以他的名義生成有效的盲簽名。 不可抵賴性：簽名者一旦簽署了某個(gè)消息，他無法否認(rèn)自己