數(shù)字簽名技術(shù)與應(yīng)用.ppt

數(shù)字簽名技術(shù)及應(yīng)用,數(shù)字簽名的原理 數(shù)字簽名技術(shù) 數(shù)字簽名的應(yīng)用 數(shù)字簽名的立法,數(shù)字簽名的引入-網(wǎng)絡(luò)傳經(jīng),我要接受來自黃裳的九陰真經(jīng) 安全的要求： 我能確保經(jīng)文來自黃裳 我能確保經(jīng)文在因特網(wǎng)上傳輸 沒有別人能夠看到經(jīng)文，因?yàn)槟鞘前l(fā)送給我的，這樣就防止了經(jīng)文被竊 黃裳事后不能否認(rèn)發(fā)送了經(jīng)文給我,發(fā)送過程,把九陰真經(jīng)發(fā)給我,解決方法,發(fā)信息的人用自己的私鑰對所發(fā)信息進(jìn)行加密( Encryption ) 接收信息者用發(fā)信者的公鑰來解密( Decryption ） 可以保證信息的真實(shí)性、完整性和不可否認(rèn)性。,問題還沒解決,要發(fā)的信息可能很長，非對稱密碼又比較復(fù)雜，運(yùn)算量大 。 私鑰通常保存在USB Key或IC卡中，加密運(yùn)算也是在Key或卡中進(jìn)行 加密所用的時(shí)間就會很長而導(dǎo)致無法實(shí)用 黑客用自己的私鑰加密葵花寶典 用它替換掉黃裳給我的經(jīng)文并發(fā)給我 我需要以某種方式來認(rèn)證該經(jīng)文的確來自黃裳并且沒有被黑客修改或者替換,哈希函數(shù),1.什么是哈希函數(shù) 哈希(Hash)函數(shù)在中文中有很多譯名，有些人根據(jù)Hash的英文原意譯為“散列函數(shù)”或“雜湊函數(shù)”，有些人干脆把它音譯為“哈希函數(shù)”，還有些人根據(jù)Hash函數(shù)的功能譯為“壓縮函數(shù)”、“消息摘要函數(shù)”、“指紋函數(shù)”、“單向散列函數(shù)”等等。,Hash算法是把任意長度的輸入數(shù)據(jù)經(jīng)過算法壓縮，輸出一個(gè)尺寸小了很多的固定長度的數(shù)據(jù)，即哈希值。哈希值也稱為輸入數(shù)據(jù)的數(shù)字指紋(Digital Fingerprint)或消息摘要(Message Digest)等。 Hash函數(shù)具備以下的性質(zhì)： 1給定輸入數(shù)據(jù)，很容易計(jì)算出它的哈希值； 2反過來，給定哈希值，倒推出輸入數(shù)據(jù)則很難，計(jì)算上不可行。這就是哈希函數(shù)的單向性，在技術(shù)上稱為抗原像攻擊性；,4、給定哈希值，想要找出能夠產(chǎn)生同樣的哈希值的兩個(gè)不同的輸入數(shù)據(jù)，(這種情況稱為碰撞，Collision)，這很難，計(jì)算上不可行，在技術(shù)上稱為抗碰撞攻擊性； 5、哈希值不表達(dá)任何關(guān)于輸入數(shù)據(jù)的信息。,哈希函數(shù)用于消息驗(yàn)證,密碼學(xué)中使用的哈希算法都被設(shè)計(jì)為具有某些特殊的性質(zhì)： 你無法反向執(zhí)行哈希算法來恢復(fù)出哪怕是一點(diǎn)兒最初的明文。 得到的摘要不會告訴你任何關(guān)于最初明文的信息。 創(chuàng)建發(fā)現(xiàn)哈希值為某個(gè)特定值的明文，這在計(jì)算上是不可行的。 這使得攻擊者無法在替換文件的同時(shí)確保哈希值仍然匹配。,解答：哈希函數(shù)+數(shù)字簽名,黃裳用哈希算法生成九陰真經(jīng)的摘要，用自己的私鑰加密摘要 把加密的摘要和九陰真經(jīng)（明文）發(fā)給我 用黃裳的公鑰解密摘要，恢復(fù)摘要 對收到九陰真經(jīng)采用相同算法創(chuàng)建一個(gè)新摘要 比較兩個(gè)摘要： 如果摘要匹配，發(fā)送者是作者；明文在發(fā)送過程中沒有被改動。,數(shù)字簽名及驗(yàn)證過程,發(fā)信者在發(fā)信前使用哈希算法求出待發(fā)信息的數(shù)字摘要，然后用私鑰對這個(gè)數(shù)字摘要，而不是待發(fā)信息本身，進(jìn)行加密而形成一段信息，這段信息稱為數(shù)字簽名。 發(fā)信時(shí)將這個(gè)數(shù)字簽名信息附在待發(fā)信息后面，一起發(fā)送過去。 收信者收到信息后，一方面用發(fā)信者的公鑰對數(shù)字簽名解密，得到一個(gè)摘要H；另一方面把收到的信息本身用哈希算法求出另一個(gè)摘要H，再把H和H相比較，看看兩者是否相同。,根據(jù)哈希函數(shù)的特性，我們可以讓簡短的摘要來“代表”信息本身，如果兩個(gè)摘要H和H完全符合，證明信息是完整的；如果不符合，就說明信息被人篡改了。 哈希函數(shù)的安全性直接關(guān)系到數(shù)字簽名的安全性，如果哈希函數(shù)被攻破，數(shù)字簽名的有效性就會受到質(zhì)疑。 目前，已經(jīng)發(fā)明的Hash函數(shù)有多種，如Snefru、N-Hash、LOKI、AR、GOST、MD、SHA等。它們在數(shù)學(xué)上實(shí)現(xiàn)的方法各有不同，安全性也各有不同。目前比較常用的Hash函數(shù)是MD5和SHA-1。,但是，任何一種算法都有其漏洞和局限性。任何一個(gè)哈希函數(shù)都會存在碰撞即在一些特定情況下，兩個(gè)不同的文件或信息會指向同一個(gè)數(shù)字摘要。在一般情況下，類似碰撞只能盡可能地減少，而不能完全避免。從理論上講，沒有攻不破的密碼。隨著密碼科學(xué)的發(fā)展，也許會找到攻破某一種密碼算法的途徑。,數(shù)字簽名的產(chǎn)生,政治、軍事、外交等領(lǐng)域的文件、命令和條約，商業(yè)中的契約，以及個(gè)人之間的書信等，傳統(tǒng)上都采用手書簽名或印章，以便在法律上能認(rèn)證、核準(zhǔn)和生效。隨著計(jì)算機(jī)通信網(wǎng)的發(fā)展，人們希望通過電子設(shè)備實(shí)現(xiàn)快速、遠(yuǎn)距離的交易，數(shù)字（或電子）簽名法便應(yīng)運(yùn)而生，并開始用于商業(yè)通信系統(tǒng)，如電子郵遞、電子轉(zhuǎn)賬和辦公自動化等系統(tǒng)中。,數(shù)字簽名的要求,類似于手書簽名，數(shù)字鑒名也應(yīng)滿足以下要求： (1)收方能夠確認(rèn)或證實(shí)發(fā)方的簽名，但不能偽造。 (2)發(fā)方發(fā)出簽名的消息送收方后，就不能再否認(rèn)他所簽發(fā)的消息： (3)收方對已收到的簽名消息不能否認(rèn)，即有收到認(rèn)證。 (4)第三者可以確認(rèn)收發(fā)雙方之間的消息傳送，但不能偽造這一過程。,數(shù)字簽名與手書簽名的區(qū)別,數(shù)字簽名與手書簽名的區(qū)別在于，手書簽名是模擬的，且因人而異。數(shù)字簽名是0和1的數(shù)字串，因消息而異。 數(shù)字簽名與消息認(rèn)證的區(qū)別在于，消息認(rèn)證使收方能驗(yàn)證消息發(fā)送者及所發(fā)消息內(nèi)容是否被纂改過。 當(dāng)收發(fā)者之間沒有利害沖突時(shí)，這對于防止第三者的破壞來說是足夠了。 但當(dāng)收者和發(fā)者之間有利害沖突時(shí)，單純用消息認(rèn)證技術(shù)就無法解決他們之間的糾紛，此時(shí)須借助滿足前述要求的數(shù)字簽名技術(shù),數(shù)字簽名的分類,數(shù)字簽名有兩種 (1)一種是對整個(gè)消息的簽名 (2)一種是對壓縮消息的簽名 它們都是附加在被簽名消息之后或某一特定位置上的一段簽名圖樣。,數(shù)字簽名的分類,若按明、密文的對應(yīng)關(guān)系劃分，每一種又可分為兩個(gè)子類 (1)一類是確定性數(shù)字簽名。其明文與密文一一對應(yīng)，它對一特定消息的簽名不變化(使用簽名者的密鑰簽名)，如RSA、ElGamal等簽名。 （2）另一類是隨機(jī)化的或概率式數(shù)字簽名。它對同一消息的簽名是隨機(jī)變化的，取決于簽名算法中的隨機(jī)參數(shù)和取值。,數(shù)字簽名的使用模式,智慧卡 像信用卡的磁卡，存儲有用戶的數(shù)字簽名信息 密碼式 用戶自己設(shè)定密碼，由特定的設(shè)備寫入計(jì)算機(jī) 生物測定 以使用者的身體特征為基礎(chǔ)，用特殊的設(shè)備對使用者的指紋、面部、視網(wǎng)膜或眼球進(jìn)行數(shù)字識別，從而確定對象是否與原使用者相同。,簽名體制,一個(gè)簽名體制一般含兩個(gè)組成部分即簽名算法和驗(yàn)證算法。 對M的簽名可簡記 有時(shí)為了說明密鑰k在簽名中的作用，也可以將簽名寫成 對s的證實(shí)簡記為Ver(s0)=真，偽=0，1。 簽名算法或簽名密鑰是秘密的，只有簽名人掌握。證實(shí)算法應(yīng)當(dāng)公開，以便于他人進(jìn)行驗(yàn)證。,數(shù)字簽名與加密的區(qū)別,消息簽名與消息加密有所不同，消息加密和解密可能是一次性的，它要求在解密之前是安全的。 而一個(gè)簽名的消息可能作為一個(gè)法律上的文件(如合同等)，很可能在對消息簽署多年之后才驗(yàn)證其簽名，且可能需要多次驗(yàn)征此簽名。 因此，簽名的安全性和防偽造的要求會更高，且要求證實(shí)速度比簽名速度要快些。特別是聯(lián)機(jī)在線時(shí)進(jìn)行實(shí)時(shí)驗(yàn)證。,使用數(shù)字簽名,隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，過去依賴于手書簽名的各種業(yè)務(wù)都可用這種電子化的數(shù)字簽名代替。 它是實(shí)現(xiàn)電子貿(mào)易，電子支票、電子貨幣、電子出版及知識產(chǎn)權(quán)保護(hù)等系統(tǒng)安全的重要保證 數(shù)字簽名已經(jīng)并將繼續(xù)對人們?nèi)绾喂蚕砗吞幚砭W(wǎng)絡(luò)上信息以及事務(wù)處理產(chǎn)生巨大的影響。 為電子形式為文檔附上電子時(shí)間標(biāo)簽。 使用電子匯款系統(tǒng)的人可以利用電子鑒名 數(shù)字簽名的使用已延伸到保護(hù)數(shù)據(jù)庫的應(yīng)用中,4.2RSA簽名,安全參數(shù)：令n=qp，p和q是大素?cái)?shù)，選e并計(jì)算出d，使 ，公開n和e，將p、q和d保密。則所有的RSA參數(shù)為 。 數(shù)字簽名：對消息M屬于Z，定義 對M的簽名： 簽名驗(yàn)證：對給定的M，S可按下式驗(yàn)證：設(shè) ，如果M=M，則簽名為真，否則，不接受簽名。,4.2RSA簽名,RSA是是完整的加密系統(tǒng)，它支持公鑰/私鑰對的生成、加密以及數(shù)字簽名。 Carol為了機(jī)密消息以發(fā)送給Bob，Bob首先生成一個(gè)密鑰對，并和Carol共享公鑰。 公鑰由兩個(gè)數(shù)字組成：模數(shù)n和公共指數(shù)e。私鑰也由兩個(gè)數(shù)字組成：相同的模數(shù)n和私有指數(shù)d。 通過隨機(jī)選擇兩個(gè)大的質(zhì)數(shù)p和q，并把他們一起相乘，就可以創(chuàng)建模數(shù)。,4.2RSA簽名,所選擇的指數(shù)e必須與（p-1）和(q-1)互質(zhì)（也就是說，e與（p-1）和(q-1)這個(gè)數(shù)必須不具有相同的因數(shù)。 質(zhì)數(shù)d必須滿足等式d*emod(p-1)(q-1)=1。 然后，如果Carol的明文是M，那么，他就能夠通過計(jì)算C=Me mod n把它加密成密文C。 Bob通過計(jì)算M=Cd mod n就可以恢復(fù)明文。,4.2RSA簽名,第一步Bob選擇大的質(zhì)數(shù)p和q，并使他們相乘，從而得到n； 第二步Bob選擇一個(gè)公共質(zhì)數(shù)e，它與(p-1)(q-1)是互質(zhì)數(shù)； 第三步Bob計(jì)算私有質(zhì)數(shù)d=e-1 mod （p-1）（q-1）； 第四步Bob與Carol共享公鑰，數(shù)字n和e； 第五步Bob使用C=Me mod n把M加密成C，并把C發(fā)送給Bob； 第六步Bob使用M=Cd mod n把C解密成M,4.2RSA簽名,這里有一個(gè)RSA加密的示例，同樣為了簡潔起見，在這個(gè)例子中使用的數(shù)字都很小。 Bob選擇了質(zhì)數(shù)p=5和q=11，然后把這兩個(gè)數(shù)字相乘，從而得到模數(shù)n=55。 Bob計(jì)算出f(n)=(p-1)*(q-1)=4*10=40 Bob選擇一個(gè)數(shù)字e，e與40是互質(zhì)數(shù)。40的質(zhì)因數(shù)是2、2、2、5和1，所以Bob選擇的私有指數(shù)e=3。 Bob選擇了一個(gè)公共指數(shù)d=3(-1)mod 40。這個(gè)模數(shù)反函數(shù)實(shí)際上是非常困難的，但是對于所用的這些小數(shù)字，可以看到27*3mod40=81mod40=1。所以d=27。,6.2RSA簽名,現(xiàn)在Bob的公鑰就是數(shù)對(3,55)，其私鑰就是數(shù)對（27,55）。Bob把自己的公鑰發(fā)送給Carol。 Carol的消息M=25。它把該消息加密成密文C=25的3次冪mod55=15625mod55=5。Carol把結(jié)果發(fā)送給Bob。 Bob使用M=5的27次冪mod55=7450580596923828125mod55=25對密文進(jìn)行解密，這就是Carol的原始消息。,4.3ElGamal簽名,該體制由TElGamal在1985年給出。其修正形式已被美國NIST作為數(shù)字簽名標(biāo)準(zhǔn)（DSS），它是Rabin體制的一種變型。 此體制專門為簽名用而設(shè)計(jì)，方案的安全性基于求離散對數(shù)的困難性。 可以看出，它是一種非確定性的雙鑰體制，即對同一明文消息，由于隨機(jī)參數(shù)選擇的不同而有不同的簽名。,4.3ElGamal簽名,1.體制參數(shù) P：一個(gè)大素?cái)?shù)，可使Zp，中求解離散對數(shù)為困難問題； g：是Zp中乘群Zpn的一個(gè)生成元或本原元素； M消息空間為為Zp*Zp-1； X：用戶密鑰，X屬于Z，公鑰為y=g x mod p 安全參數(shù)為：k=(p，g，x，y)，其中p，g，y為公鑰，x為秘密鑰。,4.3ElGamal簽名,2簽名