网络信息安全内容整理.课件.ppt

1、2022-6-21网络信息安全网络信息安全Chapter 1 Introduction2022-6-22/411.3 安全攻击l对任何机构的信息资源进行破坏的行为即安全攻击l信息安全就是要检测和防范这种攻击行为l通常threat和attack指的是同样的事情l安全攻击的行为范围很广l通常有两大类安全攻击l被动攻击：对传输进行窃听和监测，通信和信息不受影响，用户感觉不到攻击存在，攻击通常是窃听或流量分析，判断通信性质l主动攻击：攻击者破坏通信过程，拦截、修改、伪造、丢弃信息、拒绝服务或假冒合法用户2022-6-23/41Passive Attack-release of contents 被动攻

2、击之消息内容的泄漏2022-6-24/41Passive Attacktraffic analysis被动攻击之流量分析2022-6-25/41Active AttackMasquerade主动攻击之伪装2022-6-26/41Active AttackReplay主动攻击之重放2022-6-27/41Active AttackModification of messages 主动攻击之消息修改2022-6-28/41Active AttackDenial of Service主动攻击之拒绝服务2022-6-29/72网络信息安全Chapter 2 Classical Encryption T

3、echniques2022-6-210/72l理论安全，或无条件安全Theoretical Secure (or Perfect Secure) 攻击者无论截获多少密文，都无法得到足够的信息来唯一地决定明文。Shannon用理论证明：欲达理论安全，加密密钥长度必须大于等于明文长度，密钥只用一次，用完即丢，即一次一密，One-time Pad，不实用。l实际安全，或计算上安全Practical Secure (or Computationally Secure) 如果攻击者拥有无限资源，任何密码系统都是可以被破译的；但是，在有限的资源范围内，攻击者都不能通过系统的分析方法来破解系统，则称这个系统

4、是计算上安全的或破译这个系统是计算上不可行(Computationally Infeasible)。 理论安全和实际安全2022-6-211/72l对称密码体制(Symmetric System, One-key System, Secret-key System) 加密密钥和解密密钥相同，或者一个密钥可以从另一个导出，能加密就能解密，加密能力和解密能力是结合在一起的，开放性差。l非对称密码体制(Asymmetric System, Two-key System, Public-key System) 加密密钥和解密密钥不相同，从一个密钥导出另一个密钥是计算上不可行的，加密能力和解密能力是分开

5、的，开放性好。对称密码体制和非对称密码体制2022-6-212/72l序列密码l如果密文不仅与最初给定的算法和密钥有关，同时也与明文位置有关(是所处位置的函数)，则称为序列密码体制。加密以明文比特为单位，以伪随机序列与明文序列模2加后，作为密文序列。l分组密码l如果经过加密所得到的密文仅与给定的密码算法和密钥有关，与被处理的明文数据在整个明文中的位置无关，则称为分组密码体制。通常以大于等于64位的数据块为单位，加密得相同长度的密文。序列密码体制和分组密码体制2022-6-213/72l确定型密码体制和概率密码体制l确定型：当明文和密钥确定后，密文也就唯一地确定了。l概率型：当明文和密钥确定后，

6、密文通过客观随机因素从一个密文集合中产生，密文形式不确定，称为概率型密码体制。l单向函数型密码体制和双向变换型密码体制l单向函数型密码体制适用于不需要解密的场合，容易将明文加密成密文，如哈希函数；l双向变换型密码体制可以进行可逆的加密、解密变换。其他加密体制2022-6-214/72l现代密码学的基本原则l设计加密系统时，总是假定密码算法是可以公开的，需要保密的是密钥。一个密码系统的安全性不在算法的保密，而在于密钥，即Kerckhoff原则。l对加密系统的要求 l系统应该是实际上安全的(practical secure)，截获密文或已知明文密文对时，要决定密钥或任意明文在计算上是不可行的。l加

7、密解密算法适用于密钥空间中的所有元素。l系统易于实现，使用方便。l系统的安全性不依赖于对加密体制或加密算法的保密，而依赖于密钥。l系统的使用不应使通信网络的效率过分降低。现代密码学基本原则2022-6-215/72传统密码的简化模型2022-6-216/72传统密码体制的模型Y = Ek(X)X = Dk(Y)2022-6-217/36网络信息安全Chapter 3Block Cipher and Data Encryption Standard2022-6-2Cryptography and Network Security - 218/36第3章 分组密码和数据加密标准l分组密码是一种加密

8、解密算法，将输入明文分组当做一个整体处理，输出一个等长的密文分组。l许多分组密码都采用Feistel结构，这样的结构由许多相同的轮函数组成。每一轮里，对输入数据的一半进行代换，接着用一个置换来交换数据的两个部分，扩展初始的密钥使得每一轮使用不同的子密钥。lDES是应用最为广泛的分组密码，它扩展了经典的Feistel结构。DES的分组和密钥分别是64位和56位的。l差分分析和线性分析是两种重要的密码分析方法。DES对这两种攻击有一定的免疫性。2022-6-2Cryptography and Network Security - 219/36乘积密码的设计思想lClaude Shannon and

9、 Substitution-Permutation Ciphers 1949年，Claude Shannon 引进了substitution-permutation (S-P) networks的思想，即现代的乘积加密器，形成了现代分组加密的基础。S-P Networks 是基于替代和置换这两个基本操作的。l提供了对明文信息处理所做的confusion和diffusion 。lShannon认为，为了对付基于统计分析的密码破译，必须对明文作confusion(混淆)和diffusion(扩散)处理，以减少密文的统计特性，为统计分析制造障碍。ldiffusion 明文统计结构扩散消失到大批密文统

10、计特性中，使明文和密文之间统计关系尽量复杂；lconfusion 混淆，使密文和加密密钥之间的关系尽量复杂。2022-6-2Cryptography and Network Security - 220/362022-6-221/51网络信息安全网络信息安全Chapter 4 Finite Fields2022-6-2现代密码学理论与实践0422/514.1群, 环和域Groups, Rings, and Fieldsl群G, 记作G, , 定义一个二元运算的集合，G中每一个序偶(a, b)通过运算生成G中元素(ab)，满足下列公理：l(A1) 封闭性Closure: 如果a和b都属于G, 则

11、ab也属于G.l(A2) 结合律Associative: 对于G中任意元素a, b, c，都有a(bc)=(ab)c成立l(A3) 单位元Identity element: G中存在一个元素e，对于G中任意元素a，都有ae=ea=a成立l(A4) 逆元Inverse element: 对于G中任意元素a, G中都存在一个元素a，使得aa=aa=e成立2022-6-2现代密码学理论与实践0423/51交换群和循环群l交换群Abelian Group：还满足以下条件的群称为交换群(又称阿贝尔群)l(A5) 交换律Commutative ：对于G中任意的元素a, b，都有ab=ba成立l当群中的运算

12、符是加法时，其单位元是0；a的逆元是-a, 并且减法用以下的规则定义： a b = a + (-b)l循环群Cyclic Groupl如果群中的每一个元素都是一个固定的元素a (a G)的幂ak(k为整数)，则称群G为循环群。元素a生成了群G，或者说a是群G的生成元。2022-6-2现代密码学理论与实践0424/51环 (Rings)l环R, 由R, +, x表示, 是具有加法和乘法两个二元运算的元素的集合，对于环中的所有a, b, c, 都服从以下公理：l(A1-A5), 单位元是0，a的逆是 -a.l(M1), 乘法封闭性, 如果a和b属于R, 则ab也属于Rl(M2), 乘法结合律,对于

13、R中任意a, b, c有a(bc)=(ab)c.l(M3), 乘法分配律, a(b+c)=ab+ac or (a+b)c=ac+bcl(M4), 乘法交换律, ab=ba，交换环 l(M5), 乘法单位元, R中存在元素1使得所有a有 a1=1a.l(M6), 无零因子, 如果R中有a, b且ab=0, 则 a=0 or b=0.满足M4的是交换环；满足M5和M6的交换环是整环2022-6-2现代密码学理论与实践0425/51域 (Fields)l域F, 可以记为F, +, x, 是有加法和乘法的两个二元运算的元素的集合，对于F中的任意元素a, b, c, 满足以下公理：l(A1-M6), F

14、是一个整环l(M7), 乘法逆元, 对于F中的任意元素a(除0以外), F中都存在一个元素a-1, 使得aa-1=(a-1)a=1.l域就是一个集合，在其上进行加减乘除而不脱离该集合, 除法按以下规则定义: a/b=a(b-1).l有理数集合, 实数集合和复数集合都是域；整数集合不是域，因为除了1和-1有乘法逆元，其他元素都无乘法逆元2022-6-2现代密码学理论与实践0426/51 (a1 op a2) mod n =(a1 mod n ) op (a2 mod n) mod n 反身性：a=a mod n 对称性：若a=b mod n，则b=a mod n 传递性: 若a=b mod n

15、且b=c mod n，则a=c mod n 如果 a=b mod n且 c=d mod n，则 a+c=(b+d) mod n a-c=(b-d) mod n ac=(bd) mod n (a+b) mod n = (a mod n + b mod n) mod n (a-b) mod n = (a mod n - b mod n) mod n (ab) mod n = (a mod n b mod n) mod n 模算术运算2022-6-2现代密码学理论与实践0427/51 (a+b) mod n = (a mod n + b mod n) mod n 证明：定义 (a mod n)=ra

16、, (b mod n)=rb于是存在整数j,k使得a=ra+jn,b=rb+kn.那么 (a+b)mod n=(ra+jn+rb+kn) mod n =(ra+rb+(k+j)n)mod n =(ra+rb)modn =(a mod n)+(b mod n)mod n 模算术运算2022-6-2现代密码学理论与实践-0628/58网络信息安全Chapter 6 More on Symmetric Ciphers 2022-6-2现代密码学理论与实践-0629/576.1.1 双重DESl多次加密的最简单形式是进行两次加密，每次使用不同的密钥lC = EK2(EK1(P)lP = DK1(DK2

17、(C)l这种方法的密钥长度是56x2=112位l虽然双重DES对应的映射与单DES对应的映射不同，但是有中途相遇攻击 “meet-in-the-middle”l只要连续使用密码两次，这种攻击总是有效l因为X = EK1(P) = DK2(C)l用所有可能的密钥加密明文P并把结果存储起来l然后用所有可能的密钥解密密文C，寻找匹配的X值l因此复杂度只有O(256)2022-6-2现代密码学理论与实践-0630/57双重DES和三重DESl双重DES (Double DES)给定明文P和加密密钥K1和K2,加密：C=EK2EK1P解密：P=DK1DK2C密钥长度为56x2=112位存在中途相遇攻击问

18、题2022-6-2现代密码学理论与实践-0631/576.2 分组密码的工作模式2022-6-2现代密码学理论与实践-0832网络信息安全Chapter 8 Introduction to Number Theory2022-6-2现代密码学理论与实践-0833/688.2 费马定理和欧拉定理定理定理8.1 费马定理 Fermats Theorem若p是素数, a是正整数且不能被p整除, 则ap-1 mod p=1l证明：证明：l因为a mod p, 2a mod p, ., (p-1)a mod p是1, 2, ., (p-1)的置换形, 所以, (a2a . (p-1)a)(12 . (p

19、-1) (mod p) (p-1)! mod p. l但是, a2a.(p-1)a=(p-1)!ap-1, 因此(p-1)!ap-1(p-1)! mod p, 两边去掉(p-1)!, 即得ap-1mod p = 1.l例如：a=7, p=19, ap-1mod p=718 mod 19=? 72=4911 mod 19 74=1217 mod 19 78=4911 mod 19 716=1217 mod 19 ap-1=718=716x727x111 mod 192022-6-2现代密码学理论与实践-0834/688.2 费马定理和欧拉定理用a乘以集合中所有元素并对p取模，则得到集合X=a m

20、od p,2a mod p, (p-1)a mod p。因为p不能整除a，所以X的元素都不等于0，而且各元素互不相等。假设ja ka(mod p),其中1jkp-1,因为a和p互素，所以两边可以把a消去，则推出j k(mod p)，而这是不可能的。因此X的p-1个元素都是正整数且互不相等。所以说X和1,2,p-1构成相同，只是元素顺序不同。35（1）计算计算610 mod 11若p是素数, a是正整数且不能被p整除, 则ap-1 mod p=1解法：我们可得610 mod 11 = 1。这是p = 11 时，可以使用费马小定理的第一个版本直接计算得到。费马小定理（范例）36（2）计算）计算31

21、2 mod 11apa mod p, p是素数解法：此处指数（12）和模数（11）是不同的。费马小定理（范例）2022-6-2现代密码学理论与实践-0837/68欧拉函数(n)的证明定理定理8.2 p和q是素数, n=p*q, (n)= (p)(q)=(p-1)(q-1)显然，对于素数显然，对于素数p，(p)= p-1证明证明：考虑余数集合0, 1, , (pq-1)中不与n互素的余数集合是p, 2p, , (q-1)p, q, 2q, , (p-1)q和0, 所以(n)= pq-(q-1)+(p-1)+1=pq-(p+q)+1= (p-1)(q-1)=(p)(q)38欧拉定理l对任意互质的a

22、和n有：( )1(mod )nan( ) 1(mod )naan39（1）若 n 是素数，根据 和费马小定理，則上式成立； 若p是素数, a是正整数且不能被p整除, 则ap-1 mod p=1（2）所有小于 n ，且与 n 互质的正整数的集合欧拉定理（证明）( )(1)nn12( ) ,nRx xx( )1(mod )nan40欧拉定理（证明）l即每一个元素都有gcd(xi,n)=1。用a与R中的每个元素模n相乘：lS是R的一个排列，因为(1) a与n互素，且xi与n互素，所以axi必与n互素，这样S中所有元素均小于n且与n互素。(2) S中没有重复元素，所以集合S是集合R的一个置换。12(

23、)(mod ),(mod ),(mod )nSaxnaxnaxn41欧拉定理（证明）( )( )11( )( )11( )( )( )11( )(mod ) (mod ) (mod ) 1(mod )nniiiinniiiinnniiiinaxnxaxxnaxxnan2022-6-2现代密码学理论与实践-0842/688.4 Chinese Remainder Theorem l中国余数定理CRT说明某一范围内的整数可通过它对两两互素的整数取模所得的余数来重构lZ10(0,1,9)中的10个整数可通过它们对2和5(10的素因子)取模所得的两个余数来重构. 假设数x的余数r2=0 且r5=3,

24、即x mod 2=0, x mod 5=3, 则x是Z10中的偶数且被5除余3, 唯一解x=8.l一种CRT的表示形式令M= mi, 其中mi两两互素, 1=i, j=k, ij, gcd(mi, mj)=1将Zm中的任一整数对应一个k元组, 该k元组的元素均在Zmi中, 对应关系为A(a1,a2,ak), 其中AZm, 对1=i=k, aiZmi, 且ai = A mod mik1i2022-6-2现代密码学理论与实践-0843/688.4 Chinese Remainder Theorem 断言一对任何A，0AM，有唯一的k元组(a1,a2,ak)与之对应，其中0aimi，并且对任何这样的

25、k元组(a1,a2,ak)，ZM中有唯一的A与之对应。 11112222modmodmodmod modmodkkkkaAmAamaAmAamaAmAam或2022-6-2现代密码学理论与实践-0844/688.4 Chinese Remainder Theorem l由A到(a1,a2,ak)的转换显然是唯一确定的。即只需取ai = A mod mi 。对给定的(a1,a2,ak)，可如下计算A。1211110(mod)(mod)(mod) (8.9)(8.9)iiiikiijiiiiiiiiiikiiiMikMMmmmmmmjiMmcMMmikMMmMmcAa cMA 对1，令，因为，所以

26、对所有的，有。令，1根据的定义有与互素，所以有唯一的模的乘法逆元，因此可得到唯一的 。计算要证明式产生的 是正确的，必须证明对1mod0(mod)1(mod)modiijjiiiiiikaAmjicMmcmaAm 有。由于时，而且，故。2022-6-2现代密码学理论与实践-0845/68孙子定理(孙子算经, 3-5世纪)今有物不知其数, 三三数之剩二, 五五数之剩三, 七七数之剩二, 问物几何。x mod 3=2n=3*5*7=105x mod 5=3d1=3, d2=5, d3=7x mod 7=2x1=2, x2=3, x3=22022-6-2现代密码学理论与实践-0846/68孙子定理(

27、孙子算经, 3-5世纪) 今有物不知其数, 三三数之剩二, 五五数之剩三, 七七数之剩二, 问物几何。x mod 3=2n=3*5*7=105x mod 5=3d1=3, d2=5, d3=7x mod 7=2x1=2, x2=3, x3=2(1) 求yi，( )yi mod di=1( )y1 mod 3=1( )y2 mod 5=1( )y3 mod 7=1得： 35 y1 mod 3=1y1=221 y2 mod 5=1y2=115 y3 mod 7=1y3=1(2) x = (352221131512) mod 105=23idn3105510571052022-6-2现代密码学理论与

28、实践-0947/32网络信息安全 Chapter 9 Public-key Cryptography and RSA2022-6-2现代密码学理论与实践-0948/32公开密钥加密过程2022-6-2现代密码学理论与实践-0949/32公开密钥认证过程2022-6-2现代密码学理论与实践-0950/32l算法流程l随机选择两个秘密大素数p和q；l计算公开模数n=p*q；l计算秘密的欧拉指数函数(n)=(p-1)(q-1)；l选择一个与(n)互素的数，作为e或d；l用Euclid算法计算模(n)的乘法逆元素，即根据 ed mod (n)=1, 求d或e；l加密：C = Me mod nl解密：M

29、= Cd mod n = (Me mod n)d mod n = M这里，(n)为欧拉函数, 即集合(1, 2, ., n-1)中与n互素的数的个数。RSA密码体制基本原理2022-6-2现代密码学理论与实践-0951/322022-6-2现代密码学理论与实践-0952/322022-6-2现代密码学理论与实践-0953/32一个例子lp=17,q=11,e=7, M=88l求公钥KU和私钥KR分别为多少？l加密计算后所得到的C为多少？l并验证解密运算后，是否能恢复出明文M。2022-6-2现代密码学理论与实践-0954/32一个例子lp=17,q=11,n=pq=17x11=187, (n)

30、=(p-1)(q-1) =16x10=160l选择e=7, gcd(7,160)=1, 23x7=161, 所以d=23l公钥KU=7,187, 私钥KR=23,187, M=88l加密计算C=887 mod 187l887 mod 187 =(884mod187)x882mod187)x881mod187)mod187l881mod187=88l882mod187=7744mod187=77l884mod187=59969536mod187=132l887mod187=(88x77x132)mod187=894432mod187=11l解密计算M=1123 mod 187 = 882022-

31、6-2现代密码学理论与实践-0955/32RSA密码体制基本原理lRSA算法满足公开密钥加密的要求, 必须符合下列条件：l有可能找到e, d, n的值, 使得对所有Mn有 Med mod n = Ml对于所有Mn的值, 要计算Me和Cd是相对容易的l在给定e和n时, 计算d是不可行的l几个关系l(n) = (pq)=(p)(q)=(p-1)(q-1), p,q are primeled mod (n)=1, ed = k(n)+1, 即ed1 mod (n), de-1 mod (n)2022-6-2现代密码学理论与实践-1056/59网络信息安全 Chapter 10 Key Managem

32、ent; Other Public Key Cryptosystem2022-6-2现代密码学理论与实践-1057/60l公开密码的主要作用之一就是解决密钥分配问题，公钥密码实际上可以用于以下两个不同的方面l公钥的分配l公钥密码用于传统密码体制的密钥分配l几种公钥分配方法l公开发布、公开可访问的目录l公钥授权、公钥证书l公钥的公开发布l用户将他的公钥发送给另一通信方，或者广播给通信各方，比如在电子邮件后附上PGP密钥，或者发布到邮件列表上l最大问题在于任何人都可以伪造这种公钥的发布10.1.1 密钥管理之公钥的分配2022-6-2现代密码学理论与实践-1058/60自由的公钥发布2022-6-

33、2现代密码学理论与实践-1059/60l维护一个动态可访问的公钥目录可以获得更大程度的安全性l一个可信实体或组织负责这个公开目录的维护和分配l目录包含name, public-key等项l每一通信方通过目录管理员以安全的方式注册一个公钥l通信方在任何时刻可以用新的密钥替代当前的密钥l目录定期更新l目录可通过电子方式访问l一旦攻击者获得目录管理员私钥，则可传递伪造的公钥，可以假冒任何通信方以窃取消息，或者修改已有的记录公开可访问的目录2022-6-2现代密码学理论与实践-1060/60公开可访问的目录2022-6-2现代密码学理论与实践-1061/60lA发送带有时间戳的消息给公钥管理员, 请求

34、B的当前公钥l管理员给A发送用其私钥KRauth加密的消息, A用管理员的公钥解密，可以确信该消息来自管理员：lB的公钥KUb，用来加密；l原始请求，A可以验证其请求未被修改；l原始时间戳, A可以确定收到的不是来自管理员的旧消息。lA保存B的公钥, 并用它对包含A的标识IDA和Nonce1的消息加密, 然后发送给BlB以同样方式从管理员处得到A的公钥lB用KUa对A的N1和B的N2加密, 发送给AlA用B的公钥对N2加密并发送给B, 使B相信其通信伙伴是A公钥授权2022-6-2现代密码学理论与实践-1062/60公钥分配方案2022-6-2现代密码学理论与实践-1063/60l有了公钥证书

35、使得不通过实时访问公钥授权部门而实现公钥交换成为可能l公钥证书将一个通信方的身份与他的公开密钥绑定在一起，通常还包括有效期和使用方法等l证书的所有内容必须经由可信公钥授权方或者证书授权方签名后方可生效l知道公钥授权当局公开密钥的任何人都可以验证一个用户的公开密钥证书的有效性 l对于申请者A，管理员提供的证书为：lCA = EKRauth T, IDA, KUal其他人读取并验证：lDKUauthCA=DKUauth EKRauth T, IDA, KUa=(T, IDA, KUa)10.1.2 公钥证书2022-6-2现代密码学理论与实践-1064/60公钥证书的交换2022-6-2现代密码学

36、理论与实践-1065/60l采用前述方法获得的公开密钥可以用于保密和认证之需l公钥密码算法速度较慢，因此更适合作为传统密码中实现秘密密钥分配的一种手段l因此，需要产生会话密码来加密l已经有一些方法用来协商适当的会话密钥10.1.3 利用公钥密码分配传统密码体制的密钥2022-6-2现代密码学理论与实践-1066/6010.2 Diffie-Hellman密钥交换lDiffie和Hellman在1976年首次提出了公钥算法，给出了公钥密码学的定义，该算法通常被称为Diffie-Hellman密钥交换算法lDiffie-Hellman密钥交换算法是一种公钥分发机制l它不是用来加密消息的l所生成的是

37、通信双方共享的会话密钥，必须保密，其值取决于通信双方的私钥和公钥信息lDiffie-Hellman密钥交换算法是基于有限域GF中的指数运算的(模一素数或多项式)lDiffie-Hellman密钥交换算法的安全性依赖于求解离散对数问题DLP2022-6-2现代密码学理论与实践-1067/60Diffie-Hellman Key Exchangel通信双方约定一个大素数(或多项式)p, 和模p的一个素根l各方产生公开密钥l选择一个秘密钥(数值)，如xA p， xB2n. 若密钥长度为k, 则有2k种可能的密钥。l如N为100, n为10, 共有2100不同的消息, 210种不同的MAC, 平均而言

38、同一MAC可由2100/ 210=290条不同的消息产生。若密钥长度为5，则从消息集合到MAC值的集合有25=32不同映射。l可以证明，由于认证函数的数学性质，与加密相比，认证函数更不易被攻破MAC: 消息认证码的特点2022-6-2现代密码学理论与实践-1175/352022-6-2现代密码学理论与实践-1176/3511.2.3 散列函数 Hash Functionl一个散列函数以变长的报文M作为输入，产生定长的散列码H(M)，作为输出，亦称作报文摘要Message Digest. 散列码是报文所有比特的函数值，具有差错检测能力，报文任意一比特的改变都将引起散列码的改变l不同的散列码使用方

39、式l对附加了散列码的报文进行加密l使用常规加密方法仅对散列码加密l使用公开密钥方法仅对散列码加密，提供数字签名l同时提供保密和签名，可以分别使用常规方法加密报文及使用公开密钥方法加密散列码l其他l对避免加密的方法重视的原因加密过程很慢，硬件开销大2022-6-2现代密码学理论与实践-1177/351. H可以应用于任意大小的数据块2. H产生固定长度的输出3. 对任意给定的明文x，计算H(x)容易，可由硬件或软件实现4. 对任意给定的散列码h，找到满足H(x)=h的x，在计算上不可行，单向性单向性5. 对任何给定的分组x，找到满足yx且H(x)=H(y)的y，在计算上不可行，抗弱碰撞性抗弱碰撞

40、性6. 找到任何满足H(x)=H(y)的偶对(x, y)，在计算上不可行，抗强碰撞性抗强碰撞性对散列函数的要求 h=H(M)2022-6-2现代密码学理论与实践-1178/35l条件1, 2, 3是所谓单向性问题(One-way)l条件4, 5是对使用的哈希值的数字签名方法所做的安全保障，否则攻击者可由已知的明文及相关的数字签名任意伪造对其他明文的签名l条件6主要用于防范所谓的生日攻击法l能满足条件1-5的，称为弱哈希函数(Weak Hash Function)l能同时满足条件6的，称为强哈希函数(Strong Hash Function)l应用在数字签名上的哈希函数必须是强哈希函数强哈希函数

41、2022-6-2现代密码学理论与实践-1179/352022-6-2现代密码学理论与实践-1180/352022-6-2现代密码学理论与实践-1381/47 网络信息安全Chapter 13 Digital Signature and Authentication Protocols 2022-6-2现代密码学理论与实践-1382/4713.1 数字签名Digital Signaturel数字签名的简单定义l数字签名是使以数字形式存储的明文信息经过特定密码变换生成密文，作为相应明文的签名，使明文信息的接收者能够验证信息确实来自合法用户，以及确认信息发送者身份。l对数字签名的基本要求 l在收发双

42、方不能完全信任的情况下，需要除认证之外的其他方法来解决假冒和否认的问题，数字签名则是解决办法；l签名接收者能容易地验证签字者对消息所做的数字签名，包括日期和时间；l任何人，包括签名接收者，都不能伪造签名者的签字；l发生争议时，可由第三方解决。2022-6-2现代密码学理论与实践-1383/47l数字签名与消息认证的区别 l消息认证是使消息接收方验证消息发送者发送的内容有无被修改过，对防止第三者破坏足够，但收发双方有利害冲突时就无法解决纷争，需要更严格的手段，即数字签名。l数字签名的基本形式 l对消息签名的两种方法l对消息整体的签字，将被签消息整体经过密码变换得到签字；l对消息摘要的签字，附在被

43、签消息之后，或嵌在某一特定位置上作一段签字图样。l两类数字签名l确定性数字签名，明文与签名一一对应；l概率性数字签名，一个明文可以有多个合法签名，每次都不一样。数字签名的基本形式2022-6-2现代密码学理论与实践-1384/47l假定A和B互相通信, 共享大素数p, 本原元素 0= m = p-1, gcd(, p) = 1, A和B各有自己的秘密xA和xBl加密A选择k0, p-1, k的作用即为xA, A访问公共区域找到B的公开密钥YB = xB mod p, 计算：K = (YB)k mod p，即K = xBk mod pc1 = k mod pc2 = mK mod p密文即为 (

44、c1, c2)l解密B首先恢复K：K = c1xB mod p = kxB mod p然后恢复m：m = c2/K mod p = c2K-1 mod pElGamal的数据加密方法2022-6-2现代密码学理论与实践-1385/47 若A为B签署m，0= m = p-1，A随机选择k0, p-1，gcd(k, p-1) = 1计算r =k mod p计算m = YArrs mod p, YA=xA mod p即m =xA rk s mod p则 m = (xAr + ks) mod p-1根据此式求s，则对于m的数字签名即为(r, s)，0 r, sp-1.ElGamal的数字签名方法202

45、2-6-2现代密码学理论与实践-1386/47l验证：给定m, r, 和s，容易计算 m mod p = YArrs mod p, 看其是否一致, k不能重复使用。 （p287）l例：p = 17, = 3, xA= 2, xB= 5, m = 11, k = 5, 求签名及验证。ElGamal数字签名的验证2022-6-2现代密码学理论与实践-1387/47l验证：给定m, r, 和s，容易计算 m mod p = YArrs mod p, 看其是否一致, k不能重复使用。l例：p = 17, = 3, xA= 2, xB= 5, m = 11, k = 5, 求签名及验证。签名：r = k

46、 mod p = 35 mod 17 = 5, 11 = (2x5 + 5s) mod 16 = (10 + 5s) mod 16 5s mod 16 = 1, s = 13. 所以，签名为(5, 13)。验证: m mod p = 311 mod 17 = 102x10 x9 mod 17 = 7 YArrs mod p = (32)5 x 513 mod 17 = 7ElGamal数字签名的验证2022-6-2现代密码学理论与实践-1488/40 网络信息安全Chapter 14 Authentication Applications 2022-6-2现代密码学理论与实践-1489/40I

47、DC, IDtgs, TS1EKCKC,tgs, IDtgs, TS2, Lifetime1, Tickettgs Tickettgs = EKtgsKC,tgs,IDC, ADC, IDtgs, TS2, Lifetime2IDV, Tickettgs, AuthenticatorC (用户身份证明文件) AuthenticatorC = Ekc,tgsIDC, ADC, TS3Ekc,tgsKC,V,IDV, TS4, TicketV TicketV = EkvKC,V,IDC, ADC, IDV, TS4, Lifetime4TicketV, AuthenticatorC AuthenticatorC = Ekc,vIDC, ADC, TS5Ekc,vTS5+1认证会话交互过程的信息细节中央识别服务器 AS通行票产生服务器TGS用户C服务器V