【2017年整理】物联网安全之浅析数字签名.pptVIP

物联网安全 之浅析数字签名 汇报人：李向阳 学 号导 师：李 数字签名 有些场合，如政府发布电子公文，不需要确保数据的机密性，但要求有如下保证： 1.身份认证和鉴别：对信息传输的双方进行身份认证和鉴别，需要某种机制来证明双方的真实身份。 2. 数据完整性：数据在传输的过程中没有被篡改。 3.不可否认性：信息的发送方必须对自己的操作承担责任，不可否认。 数字签名基本原理 签名过程： 1.使用某种散列算法，对要发送的数据进行处理，生成数据摘要信息； 2.采用公钥密码算法，用私钥加密数据摘要信息； 签名体制： 1.发送方的签名部分，对消息M签名，记作S=sig(K,M),签字算法使用的密钥是秘密的，即是签字者的私钥。 2.接收方的认证部分，签名S的验证可以记 作 ： Ver(M,S,K)→｛真，假｝ 一个签名方案由签署算法与验证算法两部分构成。可用五元关系组（P，A，K，S，Y）表示，其中，P是由一切可能消息（messages）所构成的有限集合；A是一切可能的签名的有限集合；K为有限密钥空间，一些可能密钥的有限集合；任意k∈K，有签署算法Sigk ∈S，Sigk:P→A，对任意x ∈P,有s=Sigk(x),那么s ∈S为消息x的签名，将 （x,s）发送到签名验证者。对于密钥集合K，有对应的验证算法Verk ∈y,满足： Verk: PXA→｛真，假｝ 签名者收到（x,s）后，计算Verk(x,y),若y=Sigk(x),则Verk(x,y)=真；若y≠Sigk(x), Verk(x,y)=假。 其中： ①任意是k∈K，函数Sigk和verk都为多项式时间函数。 ②Verk为公开的函数，而Sigk为秘密函数。 ③如果坏人要伪造B对x的签名，在计算机上是不可能的。即给定x,仅有B能计算出签名y,使得Verk(x,y)=真。 ④一个签名方案不能是无条件安全的，有足够的时间第三方总能伪造B的签名。 数字签名展示： 鲍勃有两把钥匙一把是公钥一把是私钥。 鲍勃给苏珊回信，决定采用数字签名。他写完后先用Hash函数，生成信件的摘要（digest） 哈希（HASH） Hash 定义：一般翻译做“散列”，也有直接音译为“哈希”的，就是把任意长度的输入，通过散列算法，变换成固定长度的输出，该输出就是散列值。这种转换是一种压缩映射，也就是，散列值的空间通常远小于输入的空间，不同的输入可能会散列成相同的输出，所以不可能从散列值来唯一的确定输入值。简单的说就是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。 算法特点： 1.定长输出 2.单向性：对任意给定的码h, 寻求x使得H(x)=h在计算上是不可行的 3.弱抗攻击性：任意给定分组x, 寻求不等于x的y, 使得H(y)= H(x)在计算上不可行 4.强抗攻击性：寻求对任何的(x,y)对使得H(x)=H(y)在计算上不可行 常见Hash算法： SHA-1算法描述： 可以对长度不超过 比特的消息进行计算，输入以512位数据块为单位处理，产生160比特的消息摘要作为输出。 预处理： 在进行计算之前，消息x必须先进行填充，直到其大小为512位的倍数。为了便于内部处理，填充后的消息必须分组；同时，初始值H0也需要设置为一个预定义的常量。 填充：假设有一个长度为l位的消息x。为了使整个消息的大小为512位的整数倍，将一个1、k个0和l的二进制表示的64位追加到消息后面。最后，所需要零的个数k可以表示为： k≡512-64-1-l=448-(l+1)mod 512 例:给定一个由三个8位ASCⅡ字符组成的消息“abc”,其总长度l=24 我们将一个“1”和k=423个0追加到消息后面，其中k可以使用一下方法确定： k≡448-（l+1）=448-25=423 mod 512 最后，将包含长度l=2410=110002的二进制的64位追加到最后。 一个160位的缓冲区用来存放第一轮迭代需要的初始哈希值。这五个32位的单词是固定的，他们对应的十