网络安全原理与技术(第二版) 作者 冯登国 徐静 chapter2e.pptVIP

RSA签名方案 （1）参数设置 ---秘密选取两个大参数 ---计算n=pq,φ(n)=(p-1)(q-1) ---随机选取正整数 1eφ(n),满足 gcd(φ(n),e)=1, e为公开密钥 ---计算d,满足d= e-1 mod φ(n), d为私有密钥 RSA签名方案分析 速度慢 信息量大 Sig(x1x2) = sig(x1) sig(x2) 任何人可以通过计算：x=ye mod n, 来伪造对‘随机’消息x的签名y. 有特殊用途的数字签名 不可否认签名 群签名 盲签名 不可否认签名 是由Chaum和van Antwerpen在1989年提出的，其中最主要的特征是没有签名者的合作，签名就不能得到验证。从而防止了由她签署的电子文档资料没有经过她的同意而被复制和分发的可能性。 版权保护 如果要阻止她否认，一个不可否认签名与一个否认协议（第三方）结合，证明签名的真假。 由三部分组成：签名算法、验证协议、否认协议。 群签名 群中各个成员以群的名义匿名地签发消息.具备下列三个特性 ① 只有群内成员能为消息签名 ② 接收者能验证签名是来自于该群的合法签名 ③ 接收者不能确认签名者是群内的哪一个人 ④ 需要时,可借助于群成员或者可信机构找到签名者 群数字签名方案由三个算法组成：签名算法、验证算法和识别算法 电子投票 盲签名 盲签名要求:消息内容对签名者不可见； 签名被接收者泄漏后,签名者无法追踪签名 应用: 在某些需要参加者的匿名性的密码协议中，如电子现金,电子选举 盲签名过程: 消息→盲变换→签名→接收者→逆盲变换 密钥产生 手工/自动化 选择密钥方式不当会影响安全性 ----使密钥空间减小 ----差的方式易受字典攻击 攻击者并不按照数字顺序去试所有可能 的密钥，首先尝试可能的密钥，例如英文单词、名字等 密钥分配与密钥协商 密钥分配协议：系统内的一个成员选择密钥，然后将它们安全地传给其他成员。 密钥协商协议：系统两个或多个成员在公开信道上联合建立秘密密钥。两个成员的秘密协商也称为密钥交换。 有些协议既是密钥分配协议，又是密钥协商协议。 假若一个主动攻击者能用密钥加密密钥替代一个会话密钥。一个密码器件能被期望有一个模块，该模块使用会话密钥解密密文而将解密结果返回器件外部。若攻击者能使器件相信密钥加密密钥实际上是一会话密钥，那他能用器件解密由密钥加密密钥保护的密钥值。 对称密钥的使用控制技术 密钥标签（Tag） 密钥标签是一个位向量或结构性区域，与密钥加密绑定在一起。 控制向量 当一个会话密钥从KDC传递给用户时，和它一起传递的还有一个明文形式的控制向量。会话密钥只能通过使用用户和KDC共享的主密钥和控制向量来恢复。 使用控制向量的好处 对控制向量的长度没有限制，可以使我们对密钥的使用施加任意复杂的控制。 在所有操作阶段控制向量都是以明文存在的。 密钥备份/恢复 使用秘密共享协议 使用智能卡暂存 * 2.5 数字签名技术 在线教务辅导网： 教材其余课件及动画素材请查阅在线教务辅导网 QQ:349134187 或者直接输入下面地址： RSA签名方案 （2）签名算法 对于消息m∈Zn, 签名为: S=Sig(m)=md mod n （3）验证算法 验证者计算：m′= Se mod n，并判断m′和m 是否相等 消息 消息 附件 解密 消息 附件 加密 所期望 的消息 如果二者 一样，则 签名通过 验证 发送者 接收者 公钥 私钥 传输的消息 图 基本的数字签名方案 Hash函数的无碰撞性保证了签名的有效性 消息 Hash函数 摘要 附件 加密 消息 附件 解密 消息 Hash函数 实际要的摘要 所期望 的摘要 如果二者 一样，则 通过签名 验证 传输的消息 图 使用Hash函数的数字签名方案 发送者 接受者 私钥 2.6 密钥管理简介