数字签名6课件.ppt

1、在人们的工作和生活中，许多事物的处理在人们的工作和生活中，许多事物的处理需要当事者需要当事者签名签名。签名签名起到确认、核准、生效和负责任等多起到确认、核准、生效和负责任等多种作用。种作用。签名签名是证明当事者的身份和数据真实性的是证明当事者的身份和数据真实性的一种信息。一种信息。签名签名可以用不同的形式来表示。可以用不同的形式来表示。在传统的以书面文件为基础的事物处理在传统的以书面文件为基础的事物处理中，采用书面签名的形式：中，采用书面签名的形式：手签、印章、手印等手签、印章、手印等书面签名得到司法部门的支持。书面签名得到司法部门的支持。在以计算机文件为基础的现代事物处理在以计算机文件为基础

2、的现代事物处理中，应采用电子形式的签名，即数字签名中，应采用电子形式的签名，即数字签名（Digital Signature）。）。数字签名已得到一些国家的法律支持。数字签名已得到一些国家的法律支持。一种完善的签名应满足以下三个条件：一种完善的签名应满足以下三个条件：签名者事后不能抵赖自己的签名；签名者事后不能抵赖自己的签名；任何其他人不能伪造签名；任何其他人不能伪造签名；如果当事的双方关于签名的真伪发生争如果当事的双方关于签名的真伪发生争执，能够在公正的仲裁者面前通过验证签执，能够在公正的仲裁者面前通过验证签名来确认其真伪。名来确认其真伪。数字签名基于密码技术，其形式多种多样：数字签名基于密码

3、技术，其形式多种多样：通用签名、仲裁签名、不可否认签名、盲签名、群通用签名、仲裁签名、不可否认签名、盲签名、群签名、门限签名等。签名、门限签名等。1994年月美国政府正式颁布了美国数字签名标准年月美国政府正式颁布了美国数字签名标准DSS（Digital Signature Standard）。）。1 9 9 5 年 我 国 也 制 定 了 自 己 的 数 字 签 名 标 准年 我 国 也 制 定 了 自 己 的 数 字 签 名 标 准（GB158511995）。）。2004年我国颁布年我国颁布中华人民共和国电子签名法中华人民共和国电子签名法。在现实生活中用公章、签名等来实现的抗否认，在网上可以

4、借助数字证书的数字签名来实现。如将来的地税局的网上银行，网上审批都可以通过数字签名来保证身份的认证，实现网上业务的防伪造和防抵赖。发送方发送方A A接收方接收方B BA A将加密的消息发送给将加密的消息发送给B B 网网 络络用 发 送 方用 发 送 方 A A的公匙解密的公匙解密用 发 送 方用 发 送 方 A A的私匙解密的私匙解密lI.文件发送者即签名者不能否认所发送信文件发送者即签名者不能否认所发送信息的签名；息的签名；II.文件接收者能够验证发送者所发送信息文件接收者能够验证发送者所发送信息签名的真实性；签名的真实性；III.采用数字签名技术，只要保证签名方私采用数字签名技术，只要保

5、证签名方私钥信息的秘密性，就能够保证任何其他人钥信息的秘密性，就能够保证任何其他人都无法对签名进行伪造；都无法对签名进行伪造；IV.因为任何更改都可以导致签名的无效，因为任何更改都可以导致签名的无效，所以不能对发送者的原始信息进行任何更所以不能对发送者的原始信息进行任何更改。改。l数字签名：数字签名是指使用密码算法对数字签名：数字签名是指使用密码算法对待发的数据（报文、票证等）进行加密处待发的数据（报文、票证等）进行加密处理，生成一段信息，附在原文上一起发出，理，生成一段信息，附在原文上一起发出，这段信息类似现实中的签名或印章，接收这段信息类似现实中的签名或印章，接收方对其进行验证，判断原文的

6、真伪。其目方对其进行验证，判断原文的真伪。其目的是为了提供数据完整性保护和抗否认功的是为了提供数据完整性保护和抗否认功能。能。一个数字签名体制包括两个方面的处理：一个数字签名体制包括两个方面的处理：施加签名施加签名和和验证签名验证签名。设施加签名的算法为设施加签名的算法为SIG，产生签名的密，产生签名的密钥为钥为K，被签名的数据为，被签名的数据为M，产生的签名，产生的签名信息为信息为S，则有，则有 SIG(M，K)S。设验证签名的算法为设验证签名的算法为 VER，用，用VER对签对签名名S进行验证，可鉴别进行验证，可鉴别 S的真假。即的真假。即 真真，当，当SSIG(M，K)；假假，当，当SS

7、IG(M，K)。签名函数必须满足以下条件，否则文件内签名函数必须满足以下条件，否则文件内容及签名被篡改或冒充均无法发现：容及签名被篡改或冒充均无法发现：当当MM时，有时，有SIG(M，K)SIG(M，K)。条件条件要求签名要求签名S至少和被签名的数据至少和被签名的数据M一样长。一样长。当当M较长时，应用很不方便。较长时，应用很不方便。将条件将条件改为：虽然当改为：虽然当MM时，存在时，存在SS，但对于给定的但对于给定的M或或S，要找出相应的，要找出相应的M在计算在计算上是不可能的。上是不可能的。签名签名 S 只能由签名者产生，否则别人便只能由签名者产生，否则别人便可伪造，于是签名者也就可以抵赖

8、。可伪造，于是签名者也就可以抵赖。收信者可以验证签名收信者可以验证签名S的真伪。这使得当的真伪。这使得当签名签名S为假时收信者不致上当。为假时收信者不致上当。签名者也应有办法鉴别收信者所出示的签名者也应有办法鉴别收信者所出示的签名是否是自己的签名。这就给签名者以签名是否是自己的签名。这就给签名者以自卫的能力。自卫的能力。1 1、一般方法：、一般方法：对于一个公钥密码，如果满足对于一个公钥密码，如果满足E（D（M，K Kd d），），K Ke e）=M，则可确保数据的真实性。则可确保数据的真实性。凡是能够确保数据的真实性的公开密钥密凡是能够确保数据的真实性的公开密钥密码都可用来实现数字签名，例如

9、码都可用来实现数字签名，例如RSA密码、密码、ELGamal密码、密码、椭圆曲线椭圆曲线密码密码ECC等都可等都可以实现数字签名。以实现数字签名。1 1、一般方法：、一般方法：为了实现数字签名，应成立管理机构；为了实现数字签名，应成立管理机构；制定规章制度，制定规章制度，统一技术问题，统一技术问题，用户登记注册，用户登记注册，纠纷的仲裁等。纠纷的仲裁等。1 1、一般方法：、一般方法：签名通信协议：签名通信协议：A B A用自己的解密钥用自己的解密钥 K KdAdA对数据对数据 M进行签名：进行签名：SA A=D（M，K KdAdA）如果不需要保密，则如果不需要保密，则 A直接将直接将 SA A

10、 发送给用户发送给用户B。如果需要保密，则如果需要保密，则A查到查到B的公开的加密钥的公开的加密钥K KeB eB，并用并用 K KeB eB 对对 SA A 再加密，得到密文再加密，得到密文C，C=E（SA A，K KeBeB）最后，最后，A把把 C发送给发送给 B，并将，并将 SA A或或 C留底。留底。B收到后，若是不保密通信，则先查到收到后，若是不保密通信，则先查到A的公的公开加密钥开加密钥K KeA eA，然后用，然后用K KeA eA 对签名进行验证：对签名进行验证：E（SA A，K KeAeA）=E（D（M，K KdAdA），），K KeAeA）=M若是保密通信，则若是保密通信，

11、则B先用自己的保密的解密钥先用自己的保密的解密钥K KdB dB 对对C解密，然后再查到解密，然后再查到A的公开加密钥的公开加密钥K KeA eA，用用K KeA eA 对签名进行验证：对签名进行验证：D（C，K KdBdB）=D（E（SA A，K KeBeB），），K KdBdB）=SA A E（SA A，K KeAeA）=E（D（M，K KdAdA），），K KeAeA）=M如果能够恢复出正确的如果能够恢复出正确的M，则说明，则说明SA A是是A的签名，的签名，否则否则SA A不是不是A的签名。的签名。1 1、一般方法、一般方法：签名通信协议安全分析：签名通信协议安全分析：因为只有因为只有

12、A才拥有才拥有K KdA dA，而且由公开的，而且由公开的K KeA eA 在计在计算上不能求出保密的解密钥算上不能求出保密的解密钥K KdA dA。因此签名的操。因此签名的操作只有作只有A才能进行，任何其他人都不能进行。才能进行，任何其他人都不能进行。所以，所以，K KdA dA 就相当于就相当于A的印章或指纹，而的印章或指纹，而SA A 就是就是A对对M的签名。对此的签名。对此A不能抵赖，任何其他人不不能抵赖，任何其他人不能伪造。能伪造。1 1、一般方法：、一般方法：签名通信协议安全分析：签名通信协议安全分析：事后如果事后如果A和和B关于签名的真伪发生争关于签名的真伪发生争执，则他们应向公

13、正的仲裁者出示留底执，则他们应向公正的仲裁者出示留底的签名数据，由仲裁者当众验证签名，的签名数据，由仲裁者当众验证签名，解决纠纷。解决纠纷。1 1、一般方法：、一般方法：签名通信协议的问题：签名通信协议的问题：验证签名的过程就是恢复明文的过程。而验证签名的过程就是恢复明文的过程。而B事事先并不知道明文先并不知道明文M，否则就用不着通信了。那，否则就用不着通信了。那末末B怎样判定恢复出的怎样判定恢复出的M是否正确呢？是否正确呢？怎样阻止怎样阻止B或或A用用A以前发给以前发给B的签名数据，或的签名数据，或用用A发给其他人的签名数据来冒充当前发给其他人的签名数据来冒充当前A发给发给B的签名数据呢？的

14、签名数据呢？仅仅靠签名本身并不能解决这些问题。仅仅靠签名本身并不能解决这些问题。1 1、一般方法：、一般方法：解决问题的一种办法：解决问题的一种办法：合理设计明文的数据格式：合理设计明文的数据格式：M=记记 其中其中 H=。于是，发送方以于是，发送方以 为为最终报文最终报文发给接收方，其中发给接收方，其中H H为明文形式。为明文形式。发方标识 收方标识 报文序号 时间 数据 纠错码1 1、一般方法：、一般方法：解决问题的一种办法：解决问题的一种办法：只要用发送方的公钥验证签名并恢复出正确的只要用发送方的公钥验证签名并恢复出正确的附加信息附加信息H=AT，便可断定明文便可断定明文M M是是否正确

15、。否正确。设附加信息设附加信息 H=A T 的二进制长度的二进制长度为为 l l，则错判概率，则错判概率 p pe e22-l-l 。1 1、一般方法：、一般方法：解决问题的另一种办法：对解决问题的另一种办法：对HASH（M）签名，而不直接对签名，而不直接对M签名。签名。M=S SIG(HASH（M）,KdA)传输格式：传输格式：发方标识 收方标识 报文序号 时间 数据 HASH码2、利用利用RSA密码实现数字签名密码实现数字签名：对于对于RSARSA密码密码 D(E(M)=(Me)d=Med=(Md)e=E(D(M)mod n，所以所以RSARSA可同时确保数据的秘密性和真实性。可同时确保数

16、据的秘密性和真实性。因此因此利用利用RSA密码可以同时实现数字签名密码可以同时实现数字签名和数据加密。和数据加密。2、利用利用RSA密码实现数字签名密码实现数字签名：设设M为明文，为明文，K KeAeA=是是A A的公开钥，的公开钥，K KdA dA=是是A的保密的私钥的保密的私钥,则则A对对M的签名过程是，的签名过程是，SA A=D(M D(M，K KdAdA)=)=（M M d d）mod nmod n SA A 便是便是A A对对M M的签名。的签名。验证签名的过程是，验证签名的过程是，E E（SA A，K KeAeA）=（M M d d）e e mod n=M mod n=M 3 3、

17、对对RSA数字签名的攻击数字签名的攻击一般攻击一般攻击:设设e e和和n n是用户是用户A A的公开密钥，所以任何人都可的公开密钥，所以任何人都可以获得并使用以获得并使用e e和和n n。攻击者可随意选择一个数。攻击者可随意选择一个数据据Y Y，并用，并用A A的公钥计算的公钥计算 X X（Y Y）e e mod n mod n 因为因为 Y Y（X X）d d mod n mod n ，于是可以用，于是可以用Y Y伪造伪造A A的的签名。因为签名。因为Y Y是是A A对对X X的一个有效签名。的一个有效签名。注意：注意：这样的这样的 X X 往往无正确语义！往往无正确语义！3 3、对对RSA

18、数字签名的攻击数字签名的攻击利用已有的签名进行攻击利用已有的签名进行攻击:攻击者选择随机数据攻击者选择随机数据 M M3 3，且，且M M3 3=M=M1 1M M2 2 mod n mod n 。攻击者设法让攻击者设法让A A对对M M1 1和和M M2 2签名：签名：S S1 1（M M1 1）d d mod n mod n ，S S2 2（M M2 2）d d mod n mod n 于是可以由于是可以由S S1 1和和S S2 2计算出计算出A A对对M M3 3的签名。因为的签名。因为(S(S1 1S S2 2)=(M)=(M1 1)d d(M(M2 2)d d mod n=mod

19、n=（M M3 3）d d mod n=S mod n=S3 3 对策：对策：A A不对数据不对数据M M签名，而是对签名，而是对HASH(M)HASH(M)签名。签名。3 3、对对RSA数字签名的攻击数字签名的攻击利用已有的签名进行攻击利用已有的签名进行攻击:此时：此时：S S1 1HASH(MHASH(M1 1)d d mod n mod n ，S S2 2HASH(MHASH(M2 2)d d mod n mod n而，而，HASH(MHASH(M1 1)d d HASH(M HASH(M2 2)d dHASH(MHASH(M1 1M M2 2)d d mod n mod n 所以：所以

20、：S S3 3SS1 1S S2 2 于是不能由于是不能由S S1 1和和S S2 2计算出计算出A A对对M M3 3的签名。的签名。3 3、对对RSA数字签名的攻击数字签名的攻击攻击签名获得明文攻击签名获得明文:攻击者截获攻击者截获C C，C C（M M）e e mod n mod n 。攻击者选择小的随机数攻击者选择小的随机数r r，计算：，计算：x=rx=re e mod n mod n y=xC mod ny=xC mod n ，t=rt=r-1-1 mod n mod n 攻击者让攻击者让A A对对y y签名，于是攻击者又获得：签名，于是攻击者又获得：S=y S=yd d mod

21、n mod n 攻击者计算攻击者计算tS=rtS=r-1-1y yd d=r=r-1-1x xd dC Cd d=C=Cd d=M mod n=M mod n 对策：对策：A A不对数据不对数据M M签名，而是对签名，而是对HASH(M)HASH(M)签名。签名。4 4、RSA数字签名的应用数字签名的应用：PGP 数据数据M M经经MD5MD5处理处理 利用利用RSARSA对对HASH(M)HASH(M)签名签名,得到得到 S S 使用使用ZIPZIP对对压缩压缩 再用再用IDEAIDEA对压缩数据加密：对压缩数据加密：IDEA(ZIP(M,S)IDEA(ZIP(M,S)用用RSARSA对对I

22、DEAIDEA的密钥加密：的密钥加密：RSA(k)RSA(k)形成数据：形成数据：将数据转换成将数据转换成ASCIIASCII码。码。Pretty Good Privacy，是一，是一个基于个基于RSA公公匙加密体系的匙加密体系的邮件加密软件。邮件加密软件。在普通数字签名中，签名者总是先知道在普通数字签名中，签名者总是先知道数据的内容后才实施签名，这是通常的数据的内容后才实施签名，这是通常的办公事务所需要的。但有时却需要某个办公事务所需要的。但有时却需要某个人对某数据签名，而又不能让他知道数人对某数据签名，而又不能让他知道数据的内容。称这种签名为据的内容。称这种签名为盲签名盲签名（Blind

23、Signature）。在）。在无记名投票无记名投票选举和选举和数字数字货币货币系统中往往需要这种盲签名，系统中往往需要这种盲签名，盲签名在电子商务和电子政务系统中有盲签名在电子商务和电子政务系统中有着广泛的应用前景。着广泛的应用前景。盲签名与普通签名相比有两个显著的特点：盲签名与普通签名相比有两个显著的特点：签名者不知道所签署的数据内容；签名者不知道所签署的数据内容；在签名被接收者泄露后，签名者不能追在签名被接收者泄露后，签名者不能追踪签名。即：踪签名。即：如果把签名的数据给签名者如果把签名的数据给签名者看，他确信是自己的签名，但他无法知道看，他确信是自己的签名，但他无法知道什么时候对什么样的

24、盲数据施加签名而得什么时候对什么样的盲数据施加签名而得到此签名数据。到此签名数据。接收者首先将待签数据进行盲变换，把变接收者首先将待签数据进行盲变换，把变换后的盲数据发给签名者。换后的盲数据发给签名者。经签名者签名后再发给接收者。经签名者签名后再发给接收者。接收者对签名再作去盲变换，得出的便是接收者对签名再作去盲变换，得出的便是签名者对原数据的盲签名。签名者对原数据的盲签名。这样便满足了条件这样便满足了条件。要满足条件。要满足条件，必，必须使签名者事后看到盲签名时不能与盲数须使签名者事后看到盲签名时不能与盲数据联系起来，这通常是依靠某种协议来实据联系起来，这通常是依靠某种协议来实现的。现的。盲

25、签名原理图：盲签名原理图：盲变换签名去盲变换1、RSA盲签名盲签名 A B A对消息对消息M进行盲化处理：他随机选择盲化整进行盲化处理：他随机选择盲化整数数 k,1kM，并计算，并计算 TM(k)e e mod n。A把把T发给发给B。B对对T签名：签名：T d d =(Mk e e)d d mod n =(M)d d k mod n 1、RSA盲签名盲签名 B把他对把他对T的签名发给的签名发给A。A通过计算得到通过计算得到B对对M的签名。的签名。ST d d /k/k mod n Md d mod n 正确性证明：正确性证明：因为因为T d d =(Mk e e)d d=Md d k mod

26、 n，所以，所以T d d/k=Md d mod n，而这恰好是，而这恰好是B对消息对消息M的签名。的签名。盲签名在某种程度上保护了参与者的利益，盲签名在某种程度上保护了参与者的利益，但不幸的是盲签名的匿名性可能被犯罪份但不幸的是盲签名的匿名性可能被犯罪份子所滥用。为了阻止这种滥用，人们又引子所滥用。为了阻止这种滥用，人们又引入了入了公平盲签名公平盲签名的概念。公平盲签名比盲的概念。公平盲签名比盲签名增加了一个特性，即建立一个签名增加了一个特性，即建立一个可信中可信中心心，通过可信中心的，通过可信中心的授权授权，签名者，签名者可追踪可追踪签名。签名。2 2、双联签名双联签名 双联签名是实现盲签

27、名的一种变通方法。双联签名是实现盲签名的一种变通方法。它利用协议和密码它利用协议和密码将消息与人关联将消息与人关联起来而起来而并不需要知道消息的内容。从而实现并不需要知道消息的内容。从而实现盲签盲签名。名。双联签名采用单向双联签名采用单向HASH函数和数字签名函数和数字签名技术相结合技术相结合，实现盲签名的两个特性。，实现盲签名的两个特性。消息M1HASHHASH消息M2签名 接收者接收者B和和C都可用发信者都可用发信者A的公开钥验证双的公开钥验证双联签名联签名SA A。，获得。，获得H（M1 1）和）和 H（M2 2）。）。B只能阅读只能阅读M1 1，计算，计算H（M1 1），通过），通过H

28、（M1 1）验证验证M1 1 是否正确。而对消息是否正确。而对消息M2 2 却一无所知，却一无所知，但通过验证签名但通过验证签名SA A 可以相信消息可以相信消息M2 2 的存在。的存在。同样，同样，C也只能阅读也只能阅读M2 2，计算，计算H（M2 2），通），通过过H（M2 2）验证）验证M2 2 是否正确。而对消息是否正确。而对消息M1 1 却一无所知，但通过验证签名却一无所知，但通过验证签名SA A 可以相信消可以相信消息息M1 1 的存在。的存在。41写在最后写在最后成功的基础在于好的学习习惯成功的基础在于好的学习习惯The foundation of success lies in good habits谢谢大家荣幸这一路，与你同行ItS An Honor To Walk With You All The Way讲师：XXXXXX XX年XX月XX日