数字签名技术与应用课件.ppt

1、数字签名的引入-网络传经l我要接受来自黄裳的九阴真经l安全的要求：l我能确保经文来自黄裳l我能确保经文在因特网上传输l没有别人能够看到经文，因为那是发送给我的，这样就防止了经文被窃l黄裳事后不能否认发送了经文给我发送过程l把九阴真经发给我解决方法l发信息的人用自己的私钥对所发信息进行加密( Encryption ) l接收信息者用发信者的公钥来解密( Decryption ）l可以保证信息的真实性、完整性和不可否认性。问题还没解决l要发的信息可能很长，非对称密码又比较复杂，运算量大 。l私钥通常保存在USB Key或IC卡中，加密运算也是在Key或卡中进行 l加密所用的时间就会很长而导致无法实

2、用l黑客用自己的私钥加密葵花宝典l用它替换掉黄裳给我的经文并发给我l我需要以某种方式来认证该经文的确来自黄裳并且没有被黑客修改或者替换 哈希函数l1.什么是哈希函数 哈希(Hash)函数在中文中有很多译名，有些人根据Hash的英文原意译为“散列函数”或“杂凑函数”，有些人干脆把它音译为“哈希函数”，还有些人根据Hash函数的功能译为“压缩函数”、“消息摘要函数”、“指纹函数”、“单向散列函数”等等。Hash算法是把任意长度的输入数据经过算法压缩，输出一个尺寸小了很多的固定长度的数据，即哈希值。哈希值也称为输入数据的数字指纹(Digital Fingerprint)或消息摘要(Message D

3、igest)等。 Hash函数具备以下的性质：1给定输入数据，很容易计算出它的哈希值； 2反过来，给定哈希值，倒推出输入数据则很难，计算上不可行。这就是哈希函数的单向性，在技术上称为抗原像攻击性；4、给定哈希值，想要找出能够产生同样的哈希值的两个不同的输入数据，(这种情况称为碰撞，Collision)，这很难，计算上不可行，在技术上称为抗碰撞攻击性；5、哈希值不表达任何关于输入数据的信息。哈希函数用于消息验证l密码学中使用的哈希算法都被设计为具有某些特殊的性质：l你无法反向执行哈希算法来恢复出哪怕是一点儿最初的明文。l得到的摘要不会告诉你任何关于最初明文的信息。l创建发现哈希值为某个特定值的明

4、文，这在计算上是不可行的。l这使得攻击者无法在替换文件的同时确保哈希值仍然匹配。解答：哈希函数+数字签名l黄裳用哈希算法生成九阴真经的摘要，用自己的私钥加密摘要l把加密的摘要和九阴真经（明文）发给我l用黄裳的公钥解密摘要，恢复摘要l对收到九阴真经采用相同算法创建一个新摘要l比较两个摘要： 如果摘要匹配，发送者是作者；明文在发送过程中没有被改动。数字签名及验证过程l发信者在发信前使用哈希算法求出待发信息的数字摘要，然后用私钥对这个数字摘要，而不是待发信息本身，进行加密而形成一段信息，这段信息称为数字签名。l发信时将这个数字签名信息附在待发信息后面，一起发送过去。l收信者收到信息后，一方面用发信者

5、的公钥对数字签名解密，得到一个摘要H；另一方面把收到的信息本身用哈希算法求出另一个摘要H，再把H和H相比较，看看两者是否相同。l根据哈希函数的特性，我们可以让简短的摘要来“代表”信息本身，如果两个摘要H和H完全符合，证明信息是完整的；如果不符合，就说明信息被人篡改了。l哈希函数的安全性直接关系到数字签名的安全性，如果哈希函数被攻破，数字签名的有效性就会受到质疑。l目前，已经发明的Hash函数有多种，如Snefru、N-Hash、LOKI、AR、GOST、MD、SHA等。它们在数学上实现的方法各有不同，安全性也各有不同。目前比较常用的Hash函数是MD5和SHA-1。 l但是，任何一种算法都有其

6、漏洞和局限性。任何一个哈希函数都会存在碰撞即在一些特定情况下，两个不同的文件或信息会指向同一个数字摘要。在一般情况下，类似碰撞只能尽可能地减少，而不能完全避免。从理论上讲，没有攻不破的密码。随着密码科学的发展，也许会找到攻破某一种密码算法的途径。数字签名的产生 政治、军事、外交等领域的文件、命令和条约，商业中的契约，以及个人之间的书信等，传统上都采用手书签名或印章，以便在法律上能认证、核准和生效。随着计算机通信网的发展，人们希望通过电子设备实现快速、远距离的交易，数字（或电子）签名法便应运而生，并开始用于商业通信系统，如电子邮递、电子转账和办公自动化等系统中。 数字签名的要求类似于手书签名，数

7、字鉴名也应满足以下要求：(1)收方能够确认或证实发方的签名，但不能伪造。(2)发方发出签名的消息送收方后，就不能再否认他所签发的消息：(3)收方对已收到的签名消息不能否认，即有收到认证。(4)第三者可以确认收发双方之间的消息传送，但不能伪造这一过程。数字签名与手书签名的区别数字签名与手书签名的区别数字签名与手书签名的区别在于，手书签名是模拟的，且因人而异。数字签名是0和1的数字串，因消息而异。数字签名与消息认证的区别在于，消息认证使收方能验证消息发送者及所发消息内容是否被纂改过。当收发者之间没有利害冲突时，这对于防止第三者的破坏来说是足够了。但当收者和发者之间有利害冲突时，单纯用消息认证技术就

8、无法解决他们之间的纠纷，此时须借助满足前述要求的数字签名技术数字签名的分类数字签名的分类l数字签名有两种 (1)一种是对整个消息的签名 (2)一种是对压缩消息的签名l它们都是附加在被签名消息之后或某一特定位置上的一段签名图样。数字签名的分类数字签名的分类l若按明、密文的对应关系划分，每一种又可分为两个子类 (1)一类是确定性数字签名。其明文与密文一一对应，它对一特定消息的签名不变化(使用签名者的密钥签名)，如RSA、ElGamal等签名。（2）另一类是随机化的或概率式数字签名。它对同一消息的签名是随机变化的，取决于签名算法中的随机参数和取值。 数字签名的使用模式数字签名的使用模式l智慧卡 像信

9、用卡的磁卡，存储有用户的数字签名信息l密码式 用户自己设定密码，由特定的设备写入计算机l生物测定 以使用者的身体特征为基础，用特殊的设备对使用者的指纹、面部、视网膜或眼球进行数字识别，从而确定对象是否与原使用者相同。签名体制l一个签名体制一般含两个组成部分即签名算法和验证算法。l对M的签名可简记l有时为了说明密钥k在签名中的作用，也可以将签名写成l对s的证实简记为Ver(s0)=真，伪=0，1。l签名算法或签名密钥是秘密的，只有签名人掌握。证实算法应当公开，以便于他人进行验证。sMSig)(),(kMSig数字签名与加密的区别数字签名与加密的区别l消息签名与消息加密有所不同，消息加密和解密可能

10、是一次性的，它要求在解密之前是安全的。l而一个签名的消息可能作为一个法律上的文件(如合同等)，很可能在对消息签署多年之后才验证其签名，且可能需要多次验征此签名。l因此，签名的安全性和防伪造的要求会更高，且要求证实速度比签名速度要快些。特别是联机在线时进行实时验证。使用数字签名使用数字签名 随着计算机网络的发展，过去依赖于手书签名的各种业务都可用这种电子化的数字签名代替。它是实现电子贸易，电子支票、电子货币、电子出版及知识产权保护等系统安全的重要保证数字签名已经并将继续对人们如何共享和处理网络上信息以及事务处理产生巨大的影响。 为电子形式为文档附上电子时间标签。使用电子汇款系统的人可以利用电子鉴

11、名l数字签名的使用已延伸到保护数据库的应用中4.2RSA签名安全参数：令n=qp，p和q是大素数，选e并计算出d，使 ，公开n和e，将p、q和d保密。则所有的RSA参数为 。数字签名：对消息M属于Z，定义对M的签名：签名验证：对给定的M，S可按下式验证：设 ，如果M=M，则签名为真，否则，不接受签名。 ) 1)(1mod(1qped),(deqpnK nSMemodnMMSigSmod)(d4.2RSA签名lRSA是是完整的加密系统，它支持公钥/私钥对的生成、加密以及数字签名。lCarol为了机密消息以发送给Bob，Bob首先生成一个密钥对，并和Carol共享公钥。l公钥由两个数字组成：模数n

12、和公共指数e。私钥也由两个数字组成：相同的模数n和私有指数d。l通过随机选择两个大的质数p和q，并把他们一起相乘，就可以创建模数。4.2RSA签名l所选择的指数e必须与（p-1）和(q-1)互质（也就是说，e与（p-1）和(q-1)这个数必须不具有相同的因数。l质数d必须满足等式d*emod(p-1)(q-1)=1。l然后，如果Carol的明文是M，那么，他就能够通过计算C=Me mod n把它加密成密文C。lBob通过计算M=Cd mod n就可以恢复明文。 4.2RSA签名l第一步Bob选择大的质数p和q，并使他们相乘，从而得到n；l第二步Bob选择一个公共质数e，它与(p-1)(q-1)

13、是互质数；l第三步Bob计算私有质数d=e-1 mod （p-1）（q-1）；l第四步Bob与Carol共享公钥，数字n和e；l第五步Bob使用C=Me mod n把M加密成C，并把C发送给Bob；l第六步Bob使用M=Cd mod n把C解密成M 4.2RSA签名l这里有一个RSA加密的示例，同样为了简洁起见，在这个例子中使用的数字都很小。lBob选择了质数p=5和q=11，然后把这两个数字相乘，从而得到模数n=55。lBob计算出f(n)=(p-1)*(q-1)=4*10=40lBob选择一个数字e，e与40是互质数。40的质因数是2、2、2、5和1，所以Bob选择的私有指数e=3。 lB

14、ob选择了一个公共指数d=3(-1)mod 40。这个模数反函数实际上是非常困难的，但是对于所用的这些小数字，可以看到27*3mod40=81mod40=1。所以d=27。6.2RSA签名l现在Bob的公钥就是数对(3,55)，其私钥就是数对（27,55）。Bob把自己的公钥发送给Carol。lCarol的消息M=25。它把该消息加密成密文C=25的3次幂mod55=15625mod55=5。Carol把结果发送给Bob。lBob使用M=5的27次幂mod55=7450580596923828125mod55=25对密文进行解密，这就是Carol的原始消息。4.3ElGamal签名签名 l该体

15、制由TElGamal在1985年给出。其修正形式已被美国NIST作为数字签名标准（DSS），它是Rabin体制的一种变型。l此体制专门为签名用而设计，方案的安全性基于求离散对数的困难性。l可以看出，它是一种非确定性的双钥体制，即对同一明文消息，由于随机参数选择的不同而有不同的签名。 4.3ElGamal签名签名1.体制参数lP：一个大素数，可使Zp，中求解离散对数为困难问题；lg：是Zp中乘群Zpn的一个生成元或本原元素；lM消息空间为为Zp*Zp-1；lX：用户密钥，X属于Z，公钥为y=g x mod pl安全参数为：k=(p，g，x，y)，其中p，g，y为公钥，x为秘密钥。 4.3ElGa

16、mal签名签名2签名过程给定消息M，发送端用户进行下述工作 (1)选择秘密随机数 k属于Z； (2)计算压缩值H(M)，并计算 (3)将 =（M，r，s）作为签名，将（M，r，s） pgrkmod) 1mod()(1pkxrMHs),(kMSig6.3ElGamal签名签名3验证过程l收信人收到（M，r，s），先计算H（M），并按下式验证签名 这是因为 ，由上式有 故有l在此方案中，对同一消息M，由于随机数K不同而有不同的签名（M，r，s）。 pgryMHsrmod)(pgggryskrsskrxsrmod)() 1mod()()(pMHskrxpgryMHsrmod)(6.4盲签名及其应用盲签名及其应用l6.6.1盲消息签名 l6.6.2盲参数签名 l6.6.3弱盲签名 l6.4.4强盲签名