信息网络安全防护技术(第七讲)20091205.pdfVIP

2009‐12‐28 数字签名的基本概念 信息网络安全防护技术 RSA签名体制 Rabin签名体制 ElGamal签名体制 Schnorr签名体制 授课教师：刘建伟/毛剑 2009-12-05 DSS签名体制 离散对数签名体制 其它签名体制简介 消息认证码的基本用途 杂凑算法/加密/签名结合应用方案 信息网络安全防护技术‐讲义 2009‐12‐28 1 信息网络安全防护技术‐讲义 2009‐12‐28 2 类似于手书签名， 消息认证 数字签名也应满足以下要求： ? 当收发者之间没有利害冲突时，这对于防止第三者的破 坏已经足够了。 ? 收方能够确认或证实发方的签名，但不能伪 ? 收方能够验证消息发送者身份是否被篡改； 造，简记为R 条件。 造，简记为R1‐条件。 收方能够验证所发消息内容是否被篡改。 ? 收方能够验证所发消息内容是否被篡改。 ? 发方发出签名的消息给收方后，就不能再否 认他所签发的消息，简记为S‐条件。 数字签名 ? 收方对已收到的签名消息不能否认，即有收 报认证，简记为R2‐条件。 ? 当收发双方存在利害冲突时，单纯用消息认证技术就无 法解决他们之间的纠纷。必须采用数字签名技术。 ? 第三者可以确认收发双方之间的消息传送， ? 数字签名能确定消息来源的真实性 但不能伪造这一过程，简记为T‐条件。 ? 数字签名能保证实体身份的真实性 ? 数字签名是不可否认的。 公钥加密 按照消息是否被压缩分类 ? A 采用B 的公开密钥对信息加密，A 将密文发给B ； ? 对整体消息进行签名； ? B 用自己的私钥对收到的密文解密，恢复出明文。 ? 对压缩的消息进行签名。 数字签名 按照消息/签名的对应关系划分 ? A 采用自己的私钥对消息m签名，A 将m和签名发给B ； ? 确定性（deterministic）数字签名 ：消息与签名一一对 ? B 收到A 的签名后，采用A 的公钥来验证签名的有效性； 应，对同一消息的签名永不变化，如RSA和Rabin 算法； ? 一个签名的消息很可能在多年之后才验证其真实性； ? 随机化（randomized）或概率式数字签名 ： ? 数字签名可能需要多次验证； 对同一消息 ? 对数字签名的安全性和防伪造要求很高； 的签名是变化的。因此，此类签名取决于算法中的随机参 ? 要求签名速度比验证速度更快。 数的取值，如ElGamal算法。 1 2009‐12‐28 一个签名体制可由量 M,?S,?K,?V 来表示 由两部分构成 安全性约定 ? M 是明文空间 ? S 是签名的集合 ? 签名算法 ? 签名算法或签名 ? K 是密钥空间 （（siignatture 密钥是秘密的密钥是秘密的， ?? VV 是验证函数的值域是验证函数的值域，由真由真、伪组成伪组成。 algorithm） 只有签名人掌握； 对于每一个k ∈K ，m?∈M ? 验证算法 ? 验证算法应当公 ? 签名算法：s? ?Sig m ?∈S k （verification 开，以便于他人 ? 验证算法：Ver s,?m ?∈ 真，伪 k algorithm） 进行验证。 签名体制的安全性在于： ? 从m和s难于推出签名者的私钥k ； ? 很难伪造另外一个消息m’ ，使Ver s,?m’ ?∈ 真 ?。 k 体制参数 ? 令n p ×p ，p 和p 是大素数； 讨论 1 2 1 2 ? 令m,?s ∈Zn （整数域） ? 显然，由于只有签名者知道私钥d ，根据RSA体制知，其 ? 选e ，并计算出d ，使ed≡1?modφ n 他人不可能伪造签名； p p ? 将n,?e公开（公钥）,?将p 、p 和d必威体育官网网址（私钥）。 1 2 1 2 ? 易于证实 m,?s 是否是合法的 消息m,?签名s 对，只要计 ? 易于证实 m ?s 是否是合法的 消息m ?签名s 对 只要计 算 m?≡se mod?n?即可。 签名过程 d 安全性 ? 对m ∈Z ，定义签名：s? ?Sig m ? m mod?n n k ? RSA体制的安全性依赖于n p ×p 分解的困难性。 1 2 验证过程 ? 给定m,?s ，验证：Ver s,?m ? 真m?≡se mod?n k 体制参数 体制参数 ? p ：一个大素数，可使Zp 中求解离散对数为困难问题； ? 令N p ×q ，p和q 是大素数； ? g ：是群ZP* 的一个生成元或本原元素； ? 令m,?s ∈QR ∩QR ，QR为二次剩余集 ? M ：消息空间，为ZP* ； p q ? 选p,?q 为秘密钥 ? S ：签名空间，为ZP‐1 ； ? N