6-数据签名技术解说.pptVIP

第6讲 数字签名技术 杨 明 紫金学院计算机系 内容 数字签名的概念 散列函数 数字签名技术 数字证书 数字签名的概念 数字签名的要求 以法律可接受的方式验证文档或消息的真实性 数字签名是采用电子形式的签名 特性 无法伪造性：只有签名者能够实际签署该文档 真实性：说明接收者确信文档来自签名者 不可重用性：要求签名只能属于一个文档 不可修改性：文档被签署后不能被修改 不可抵赖性：确保签名者不能在以后申明未签署该文档 数字签名的模型 签名体制 签名算法Sig(m,k) s=Sig(m, k) 验证算法Ver(s) 判断Ver(s)=Sig(m,k)? 满足的条件 当m≠m’?Sig(m,k) ≠Sig(m’,k) 签名s必须使用对签名者来说是唯一的信息，以防伪造和抵赖 不同的人均能验证签名的真假 数字签名的原理 基本方案 Sig(m,SK)=E(m,SK) s=Sig(m,SK) 私钥SK可作为签名者唯一的信息 Ver(s,PK)＝D(s, PK) 判断m=Ver(s, PK)? 通过公钥PK不同的人可验证签名 利用公钥密码实现的数字签名方案满足数字签名的基本特性 传统签名与数字签名 使用RSA对信息进行直接数字签名 对文件直接签名 满足数字签名的要求 签名和验证速度慢 签名的文件可能很大，公开密码加密/解密计算速度慢， 存在被欺骗的隐患 （m1*m2)kmod n=(m1kmod n)*(m2kmod n) Sig(f)=sig(m1)*sig(m2) 数字签名的具体实现 更好的信息签名方法 使用私有密钥对整个信息的散列值进行加密来签名 散列值很短，可加速签名及验证过程 消除签名的安全隐患 散列函数Hash 单向函数f(x) x-f(x)容易 f(x)-x困难 打碎盘子 散列函数 将任意长度的消息压缩固定长度的函数 散列值h=H(m) 数据的“指纹” 散列函数的基本思想 散列函数Hash 要求 能用于任意大小的消息 产生定长的散列值 计算散列值h=H(m)是高效的 单向函数 对于x，寻找y，使得H(y)=H(x)在计算上是不可行的 很难找到替代消息 防止篡改 散列函数的实现方法 数学中的单向函数 离散对数问题 单向、无碰撞；计算量大，速度慢 使用分组密码系统 使用分组密码算法 产生较好的散列值；需要密码 加密和散列采用相同的密码系统存在安全问题 散列函数的实现方法 基于软件的散列算法 经过对变换函数的迭代来实现 简单安全、速度快；不依赖密码系统 主流方式 常用的散列函数 消息摘要MD5 散列值为128bits 使用最广泛的散列算法 目前被山东大学王小云教授破解 能在较短的时间内找到一个碰撞 对于x，能找到y，使得H(x)=H(y) 安全散列算法SHA-1 散列值为160bits 安全性更高 散列函数的基本用法 散列函数的基本用法 直接数字签名 对签名文件的散列值进行签名 信息的散列值很小，计算简单 签名和验证很快 直接数字签名 存在的弱点 方案的有效性依赖于发方私有密钥的安全性 发方可能抵赖 发方声称其私有密钥丢失或被盗用 解决方法 通过第三方作为仲裁者来防止发方或收方的抵赖 数字签名标准 1994年月美国政府正式颁布了美国数字签名标准DSS（Digital Signature Standard）。 1995年我国也制定了自己的数字签名标准（GB15851－1995）。 2004年我国颁布《中华人民共和国电子签名法》 。 数据签名标准DSS 对消息m签名：r=(gk mod p)mod q s=(k-1(SHA-1(m)+xr)mod q r和s就是签名。 数据签名标准DSS 验证签名时：w=s-1 mod q u1=(SHA-1(m)×w) mod q，u2=(rw) mod q v=((gu1 ×yu2)mod p)mod q 如果v=r，则签名有效。 对数字签名的攻击 数字证书 数字证书是经证书授权中心(CA)数字签名的证实用户身份的数字凭证 最简单的数字证书包含一个公开密钥、名称以及证书授权中心的数字签名。 数字证书中还包括密钥的有效时间、发证机关的名称和证书的序列号等信息，证书的格式遵循ITU-T X.509国际标准。 可用于电子邮件、电子商务、群件和电子基金转移等各种用途。 数字证书的使用 认证中心（CA） 承担网上安全电子交易认证服务、签发数字证书并能确认用户身份的服务机构。 小结 数字签名的概念 散列函数 数字签名技术 数字证书 * * 网络信息安全 * * 公钥目录 Bob: RSA 网络 文档 文档 Alice私钥 + 数字签名 验证签名 数字签名 ? Alice的公钥 利用公钥密码实现数字签名 RSA