2012 第13章 数字签名.pptVIP

第13章 数字签名与身份证明 本章要点 RSA数字签名 ELGamal数字签名 Schnorr数字签名 DSA数字签名 ECDSA签字标准 身份证明 通行字认证 询问-应答认证 零知识证明 13.1 数字签名(Digital Signatures) 对称密码的认证不提供不可否认性 数字签名提供: 验证签名的作者, 时间 认证消息的内容 由第三方验证以解决纠纷 兼具认证功能 数字签名 必须依赖于被签消息 必须使用发方独有的信息 以阻止双方的否认与伪造 产生容易 易于识别和验证 计算上不可伪造 给定签名, 伪造消息 给定消息, 伪造签名 数字签名可实际存储 RSA数字签名 给定n = pq，p和q是大素数，ed modφ(n) = 1，公开密钥为(n，e)，秘密密钥为(p，q，d) 加密：m ∈[0, n-1]，gcd(m, n) = 1, 则c = me mod n 解密：m = cd mod n = (me mod n )d mod n = med mod n = m 签名：s = md mod n 验证：m = se mod n = (md mod n )e mod n = med mod n = m ELGamal数字签名 系统参数: 大素数 ，是 的本原元。 公钥： 私钥： 签名过程：选择 。对消息 计算 验证： Schnorr签名 DSS签字标准 DSS(Digital Signature Standard) DSA签字标准 ECDSA签字标准 散列(Hash)函数 散列(Hash)函数 MD5 输入任意长 输出为128位 SHA 1输入小于264bits 输出160bits 多对一变换 算法 分组迭代 没有密钥 无需可逆 功能 短摘要替代原消息 要求 单向性 无碰撞性 生日攻击 要求散列值长度128bits 13.2 认证协议 一般概念 询问-应答认证 零知识证明 一般概念 传统的身份证明： 一般是通过检验“物”的有效性来确认持该物的的身份 验证知道什么，如口令等 验证拥有什么，如通行证、智能卡徽章、工作证、信用卡、驾驶执照、身份证、护照等，卡上含有个人照片(易于换成指纹、视网膜图样、牙齿的X适用的射像等) 验证生物特征，如指纹、声音 验证下意识动作的结果，如签名 身份认证往往是许多应用系统中安全保护的第一道设防，它的失败可能导致整个系统的失败。 认证协议(Authentication Protocols) 使通信双方相互确认对方的身份, 交换会话密钥(Key agreement) 单向或多向 关键议题 机密性 – 保护会话密钥 及时性 – 阻止重放攻击 已公开的协议常会发现缺陷, 需要修改 重放攻击 一个有效的被签署的消息被复制, 随后送出 简单重放 可检测重放 禁止-重放 逆向重放 对抗措施 序列号(不现实) 时间戳(需要时钟同步) 询问/应答(challenge/response )(用唯一的nonce) 使用对称加密 用两级密钥 需要可信密钥分发中心Key Distribution Center (KDC) 每个参与方都有自己的与KDC共享的主密钥 KDC为连接的双方生成会话密钥 session keys 主密钥用来分发会话密钥 使用对称密码的询问/应答协议 (2)中的rA作为询问用来阻止选择文本攻击 使用带密钥的单向函数询问/应答协议 基于共享密钥的认证 反射攻击 基于共享密钥的认证 Authentication using HMACs. Challenge-response Authentication Modified Needham-Schroeder PK protocol for identification. Challenge-response Authentication Needham-Schroeder Protocol 原始的第三方密钥分发协议 KDC分发会话密钥 Protocol overview is: 1. A→KDC: IDA || IDB || N1 2. KDC→A: EKa[Ks || IDB || N1 || EKb[Ks||IDA] ] 3. A→B: EKb[Ks||IDA] 4. B→A: EKs[N2] 5. A→B: EKs[f(N2)] Needham-Schroeder Protocol的缺陷 如果一个旧的会话密钥泄