数字签名与信息隐藏.pptVIP

收方对已收到的签名消息不能否认，即有收报认证，简记作R2-条件。收方能够确认或证实发方的签名，但不能伪造，简记为R1-条件（unforgeablity）。发方发出签名的消息给收方后，就不能再否认他所签发的消息，简记为S-条件(non-repudiation)。第三者可以确认收发双方之间的消息传送，但不能伪造这一过程，简记作T-条件。数字签名应满足的要求数字签名**能与被签的文件在物理上不可分割签名者不能否认自己的签名签名不能被伪造容易被验证传统签名的基本特点:能与所签文件“绑定”签名者不能否认自己的签名签名不能被伪造容易被验证数字签名是传统签名的数字化,基本要求:数字签名体制（显著的概率）集合，K是密钥空间，V是证实函数的值域，由真、伪组成。一个签名体制可由量(M,S,K,V)其中M是明文空间，S是签名的签名密钥是秘密的，只有签名人掌握；签名算法：对每一M?M和k?K，易于计算对M的签名S=Sigk(M)?S验证算法应当公开，已知M，S易于证实S是否为M的签名，以便于他人进行验证。验证算法：Verk(S,M)?{真，伪}={0，1}问题**公钥的管理，公钥与身份的对应关系签名的有效性，私钥丢失？数字证书**数字签名用来保证信息传输过程中信息的完整和提供信息发送者的身份的确认。数字证书采用公开密钥体制（例如RSA）。每个用户设定一仅为本人所知的私有密钥，用它进行解密和签名；同时设定一公开密钥，为一组用户所共享，用于加密和验证签名。0102采用数字证书，能够确认以下两点：数字证书的作用**保证信息是由签名者自己签名发送的，签名者不能否认或难以否认。01保证信息自签发后到收到为止未曾做过任何修改，签发的信息是真实信息。02课程内容**数字签名原理鉴别协议数字签名算法信息隐藏数字水印报文鉴别往往必须解决如下的问题：鉴别协议**报文是由确认的发送方产生的。报文的内容是没有被修改过的。报文是按传送时的相同顺序收到的。报文传送给确定的对方。鉴别方法**一种方法是发送方用自己的私钥对报文签名，签名足以使任何人相信报文是可信的。另一种方法常规加密算法也提供了鉴别。但有两个问题，一是不容易进行常规密钥的分发，二是接收方没有办法使第三方相信该报文就是从发送方送来的，而不是接收方自己伪造的。因此，一个完善的鉴别协议往往考虑到四方面的鉴别。报文源报文宿报文内容报文时间性Needham—Schroeder协议030201Needham—Schroeder协议--利用常规加密方法进行双向鉴别采用了常规加密体制和密钥分配中心KDC技术。尽管这个协议本身存在一定的安全漏洞，但是后来发展的很多鉴别协议都是在NSNeedham—Schroeder协议的基础上扩展而成的。这个主密钥已通过其他安全的渠道传送完成。在该协议中，网络中通信的各方与密钥分配中心KDC共享一个主密钥并通过主密钥来保护这些密钥的分发。密钥分配中心KDC为通信的双方产生短期通信所需的会话密钥协议步骤**（1）A?KDC:（IDa，IDb，Ra）通信方A将由自己的名字IDa，通信方B的名字IDb和随机数Ra组成的报文传给KDC。（2）KDC?A:EKa(Ra,IDb,Ks,EKb(Ks,IDa))。KDC产生一随机会话密钥Ks。他用与通信方B共享的秘密密钥Kb对随机会话密钥Ks和通信方A名字组成的报文加密。然后用他和通信方A共享的秘密密钥Ka对通信方A的随机值、通信方B的名字、会话密钥Ks和已加密的报文进行加密，最后将加密的报文传送给通信方A。（3）A?B:EKb(Ks,IDa)。通信方A将报文解密并提取Ks。他确认Ra与他在第(1)步中发送给KDC的一样。然后他将KDC用通信方B的密钥Kb加密的报文发送给通信方B。B?A:EKs(Rb)通信方B对报文解密并提取会话密钥Ks，然后产生另一随机数Rb。他使用会话密钥Ks加密它并将它发送给通信方A。A?B:EKs(Rb-1)通信方A用会话密钥Ks将报文解密，产生Rb-1并用会话密钥Ks对它加密，然后将报文发回给通信方B。通信方B用会话密钥Ks对信息解密，并验证它是Rb-1NS协议的问题**尽管Needham—Schroeder协议已经考虑了重放攻击，但是设计一个完美的没有漏洞的鉴别协议往往是很困难的。考虑一下这种情况：如果一个对手已经获得了一个旧的会话密钥，那么在第(3)步中就可冒充通信方A