信息安全原理與實(shí)踐-第二版04-公開(kāi)密鑰加密課件

1、1信息安全原理與實(shí)踐Information Security: Principles and Practice, 2nd Edition美Mark Stamp著張 戈譯第4章 公開(kāi)密鑰加密24.1 引言公開(kāi)密鑰加密技術(shù)單向陷門(mén)函數(shù)公開(kāi)密鑰私有密鑰數(shù)字簽名公開(kāi)密鑰加密體系橢圓曲線加密方案34.2 背包加密方案Merkle-Hellman背包加密系統(tǒng)基于一個(gè)數(shù)學(xué)問(wèn)題，該問(wèn)題往往被看成NP完全問(wèn)題。定義： 給定一個(gè)集合，共包含n個(gè)權(quán)重值，分別標(biāo)識(shí)為：W0, W1, , Wn-1， 以及期望的和S，要求找到a0, a1, , an-1，其中每一個(gè)ai0，1使得等式S=a0W0+ a1W1+ . + a

2、 n-1Wn-1, 能夠成立。例子： 假設(shè)權(quán)重值為85, 13, 9, 7, 47, 27, 99, 86 期望的和S=172 對(duì)于這個(gè)問(wèn)題存在一個(gè)解決方案： a=(a0, a1, a2, a3, a4, a5, a6, a7)=(11001100) 因?yàn)?5+13+47+27=1724超遞增的背包問(wèn)題當(dāng)將權(quán)重值從小到大排列起來(lái)時(shí)，每一個(gè)權(quán)重值都大于前面所有權(quán)重值相加的和。 - 相對(duì)容易解決！ 例子：權(quán)重值集合為：3, 6, 11, 25, 46, 95, 200, 411期望的和S=309我們只需從最大權(quán)重值開(kāi)始，逐步向最小的權(quán)重值進(jìn)行計(jì)算，就有望在線性時(shí)間內(nèi)恢復(fù)出ai。5因?yàn)镾200，那么

3、一定有a6=1，因?yàn)槭Ｓ嗨袡?quán)重值的和要小于200。接著計(jì)算S=S-200=109，這是新的目標(biāo)和值。因?yàn)镾95，我們得到a5=1。然后再計(jì)算S=109-95=14。繼續(xù)如法炮制，就得到了最終結(jié)果a=10100110。我們能夠輕松地證實(shí)這個(gè)問(wèn)題獲得了解決，因?yàn)?+11+95+200=309。構(gòu)造背包加密系統(tǒng)的流程(1) 生成一個(gè)超遞增的背包。(2) 將這個(gè)超遞增的背包轉(zhuǎn)換為常規(guī)的背包。(3) 公鑰便是常規(guī)背包。(4) 私鑰就是超遞增的背包以及相關(guān)的轉(zhuǎn)換因子。6實(shí)例（1）我們選擇如下超遞增的背包：(2, 3, 7, 14, 30, 57, 120, 251)（2）為了將這個(gè)超遞增的背包轉(zhuǎn)換成常規(guī)

4、背包，我們必須選擇乘數(shù)m和模數(shù)n，m和n必須是互素的，且n要大于超遞增背包中所有元素值的和。假設(shè)選取的乘數(shù)m=41，模數(shù)n=491。通過(guò)模乘法運(yùn)算，根據(jù)超遞增背包計(jì)算常規(guī)背包，得到：（3）公鑰就是這個(gè)常規(guī)背包公鑰：(82, 123, 287, 83, 248, 373, 10, 471)（4）私鑰就是這個(gè)超遞增背包，加上轉(zhuǎn)換因子的乘法逆，如m1 mod n。對(duì)于這個(gè)實(shí)例，計(jì)算結(jié)果如下私鑰：(2, 3, 7, 14, 30, 57, 120, 251)以及41-1 mod 491=127如果Alice想要加密消息M=10010110并發(fā)送給Bob，她就利用消息中值為1的二進(jìn)制位，據(jù)此來(lái)選擇常規(guī)背

5、包中的元素，將這些元素相加求和就得到了對(duì)應(yīng)的密文。Alice執(zhí)行計(jì)算：C=82+83+373+10=548要想解密這個(gè)密文，Bob使用他的私鑰執(zhí)行如下計(jì)算，得到：Cm-1 mod n=54812 mod 491=193然后Bob針對(duì)值193求解超遞增背包問(wèn)題。因?yàn)锽ob擁有私鑰，所以要從中恢復(fù)出明文是比較容易的。最后，明文的二進(jìn)制表示為M=10010110，其換算成十進(jìn)制是M=150。8總結(jié)：在背包加密系統(tǒng)里，陷門(mén)函數(shù)存在于運(yùn)用模運(yùn)算將超遞增背包問(wèn)題轉(zhuǎn)換為常規(guī)背包問(wèn)題時(shí)，因?yàn)樵撧D(zhuǎn)換因子對(duì)于攻擊者來(lái)說(shuō)是無(wú)法得到的。該函數(shù)的單向特性在于一個(gè)事實(shí)：使用常規(guī)背包實(shí)施加密非常容易，但是在沒(méi)有私鑰的情況下

6、，要想解密顯然是非常困難的。當(dāng)然，有了私鑰，我們就能夠?qū)?wèn)題轉(zhuǎn)換為超遞增背包問(wèn)題，解決起來(lái)就容易了。背包問(wèn)題看起來(lái)確實(shí)是對(duì)癥下藥了。首先，構(gòu)造包含公鑰和私鑰的密鑰對(duì)是相當(dāng)容易的。而且，給定了公鑰，實(shí)施加密是非常容易的，而了解了私鑰則會(huì)使解密過(guò)程非常容易。最后，在沒(méi)有私鑰的情況下，攻擊者就將不得不去解決NP完全問(wèn)題了。可惜這個(gè)精巧的背包加密系統(tǒng)是不安全的。該方案于1983年被Shamir使用一臺(tái)Apple II計(jì)算機(jī)破解。該攻擊依賴(lài)于一種稱(chēng)為格基規(guī)約的技術(shù)。問(wèn)題的根本在于該方案中從超遞增背包問(wèn)題派生出的所謂“常規(guī)背包問(wèn)題”并不是真正的常規(guī)背包問(wèn)題事實(shí)上，它是一種非常特殊的高度結(jié)構(gòu)化的背包案例，而

7、格基規(guī)約攻擊能夠利用這種結(jié)構(gòu)的特點(diǎn)比較容易地恢復(fù)出明文(可以較高的概率完成)。94.3 RSARSA體制的命名來(lái)自于它的三個(gè)公認(rèn)的發(fā)明者：Rivest、Shamir和Adleman。10為了生成RSA算法的公鑰和私鑰的密鑰對(duì)，先要選擇兩個(gè)大素?cái)?shù)p和q：計(jì)算出它們的乘積N=pq。選擇與乘積(p-1) (q-1)互素的數(shù)e。計(jì)算出數(shù)e的模(p-1) (q-1)的乘法逆元素，命名該逆元素為d。這些數(shù)值滿(mǎn)足公式ed = 1 mod (p-1) (q-1)。數(shù)N是模數(shù)，e是加密指數(shù)，而d是解密指數(shù)。RSA密鑰對(duì)的組成如下：公鑰：(N, e)私鑰：d加密：將明文文本消息M視為一個(gè)數(shù)，對(duì)其按指數(shù)e求冪并模N

8、C=M e mod N解密：要解密C，求冪模運(yùn)算使用解密指數(shù)d完成相應(yīng)的操作過(guò)程M=C d mod NRSA加密體制真的確實(shí)有效嗎？ 給定C=M e mod N，我們必須證明如下等式：M=C d mod N=M ed mod N 歐拉定理：如果數(shù)x與數(shù)n互素，那么x(n)= 1 mod n。再回顧之前對(duì)e和d的選取符合等式：ed=1 mod (p-1)(q-1)， 而且N = pq，這意味著： (N)=(p-1)(q-1)這兩個(gè)事實(shí)結(jié)合在一起，就意味著下面的等式成立：ed-1=k(N)11這就證實(shí)了RSA體制的解密指數(shù)確實(shí)解密了密文C。4.3.1教科書(shū)式的RSA體制范例12AliceBob生成

9、Alice的密鑰對(duì)：選擇兩個(gè)“大的”素?cái)?shù)：p=11，q=3。模數(shù)就是N=pq=33，并且可以計(jì)算出 (p-1)(q-1)=20。選取加密指數(shù)為e=3。計(jì)算相應(yīng)的解密指數(shù)d=7，因?yàn)閑d=37=1 mod 20。Alice的公鑰：(N, e) = (33,3)Alice的私鑰：d=7假定Bob想要發(fā)送一條消息M=15 給Alice。Bob先查找Alice的公鑰(N, e) = (33, 3)，再計(jì)算密文 C=M e mod N=153 =3375=9 mod 33 =9Alice使用她的私鑰d=7進(jìn)行解密計(jì)算：M=C d mod N=97=4,782,969 =144,93833+15 =15

10、mod 33 =15存在的問(wèn)題所謂“大的”素?cái)?shù)其實(shí)并不大，對(duì)Trudy來(lái)說(shuō)分解這個(gè)模數(shù)將是小菜一碟。在現(xiàn)實(shí)世界中，模數(shù)N典型的大小通常至少是1024位，而長(zhǎng)度為2048位或更大的模數(shù)值也是常常會(huì)用到的。可能遭受前向檢索攻擊。134.3.2 重復(fù)平方方法重復(fù)平方方法通過(guò)每次構(gòu)建一個(gè)二進(jìn)制位的方式來(lái)生成指數(shù)并完成計(jì)算。在每個(gè)步驟中，我們將當(dāng)前的指數(shù)值乘以2，如果其二進(jìn)制擴(kuò)展形式在相應(yīng)的位置有值1，我們就還要對(duì)指數(shù)計(jì)算的結(jié)果再加上1。例子： 計(jì)算520。 指數(shù)20以二進(jìn)制形式表示為10100，指數(shù)10100可以一次一位地被構(gòu)建出來(lái)，從高階二進(jìn)制位開(kāi)始，如下：(0, 1, 10, 101, 1010,

11、 10100)=(0, 1, 2, 5, 10, 20)現(xiàn)在計(jì)算520，重復(fù)平方方法的執(zhí)行過(guò)程如下：14So easy！4.3.3 加速RSA加密體制另外一個(gè)可用于加速RSA加密體制的技巧是，對(duì)于所有用戶(hù)使用同一加密指數(shù)e。而這并不會(huì)在任何方面削弱RSA加密體制的強(qiáng)度。通常加密指數(shù)的合適選擇是e=3。選擇這個(gè)e值，每一次公鑰加密僅僅需要兩次乘法運(yùn)算。不過(guò)，私鑰的運(yùn)算操作仍然代價(jià)高昂。如果多個(gè)用戶(hù)都使用e=3作為他們的加密指數(shù)，那么還存在另一種類(lèi)型的立方根攻擊。如果對(duì)于同一個(gè)消息M，使用三個(gè)不同用戶(hù)的公鑰分別加密，生成的密文比如是C0、C1和C2，那么中國(guó)剩余定理可用于恢復(fù)明文消息M。在實(shí)踐中，

12、這也很容易避免，方法就是對(duì)每個(gè)消息M隨機(jī)附加填充信息，或者在每個(gè)消息M中增加一些用戶(hù)指定的信息，這樣每個(gè)消息實(shí)際上就會(huì)互不相同了。另一個(gè)流行的通用加密指數(shù)是e=216+1。選取這個(gè)e值，每個(gè)加密運(yùn)算僅需要執(zhí)行17個(gè)重復(fù)平方算法的步驟。e=216+1的另一個(gè)優(yōu)勢(shì)是，在運(yùn)用中國(guó)剩余定理的攻擊者成功破解消息密文之前，同樣的加密消息密文必須已經(jīng)先行發(fā)送給e=216+1個(gè)用戶(hù)。154.4 Diffie-Hellman密鑰交換算法Diffie-Hellman密鑰交換算法，或簡(jiǎn)稱(chēng)為DH，是由英國(guó)政府通信總部(GCHQ)的Malcolm Williamson所發(fā)明，其后不久，該算法又被它的命名者Whitfie

13、ld Diffie和Martin Hellman獨(dú)立地再次發(fā)明。這里討論的Diffie-Hellman算法版本是密鑰交換算法，因?yàn)樗鼉H僅能夠用于建立共享的秘密。DH算法的安全性依賴(lài)于離散對(duì)數(shù)問(wèn)題的計(jì)算難度。假設(shè)給定g以及x=gk。那么，要想確定k，就需要計(jì)算對(duì)數(shù)logg(x)。16DH算法的數(shù)學(xué)構(gòu)造設(shè)定p為素?cái)?shù)，并假定g是生成器，即對(duì)于任何的x1, 2, . ,p -1，都存在指數(shù)n，使得x=gn mod p。素?cái)?shù)p和生成器g是公開(kāi)的。對(duì)于實(shí)際的密鑰交換過(guò)程，Alice隨機(jī)地選擇秘密的指數(shù)a，Bob隨機(jī)地選擇秘密的指數(shù)b。Alice計(jì)算ga mod p，并將結(jié)果發(fā)送給Bob，而B(niǎo)ob計(jì)算gb

14、mod p，也將結(jié)果發(fā)送給Alice。Alice執(zhí)行如下計(jì)算：(gb)a mod p=gab mod pBob執(zhí)行如下計(jì)算：(ga)b mod p=gab mod p最后，gab mod p就是共享的秘密，其典型的用途是作為對(duì)稱(chēng)密鑰。17DH密鑰交換攻擊者Trudy能夠看到ga mod p 和 gb mod p，而且看起來(lái)她距離那個(gè)共享秘密gab mod p也非常接近。但是：gagb=ga+bgab mod p顯然，Trudy需要找到a或b，看起來(lái)這就需要她去解決一個(gè)困難的離散對(duì)數(shù)問(wèn)題。18DH算法容易遭受中間人攻擊（簡(jiǎn)稱(chēng)為MiM攻擊）Trudy將自己置于Alice和Bob之間，截獲從Alic

15、e發(fā)送給Bob的消息，同樣也截獲從Bob發(fā)送給Alice的消息。Trudy如此部署，將使DH密鑰交換很容易地就被徹底破壞了。在這個(gè)過(guò)程中，Trudy建立共享的秘密，比方說(shuō)，和Alice共享gat mod p，和Bob共享另一個(gè)秘密gbt mod p。無(wú)論是Alice還是Bob，都不會(huì)覺(jué)察到這其中有任何問(wèn)題，于是，Trudy就能夠讀到或改寫(xiě)Alice和Bob之間傳遞的任何消息了。19預(yù)防中間人攻擊的方法使用共享對(duì)稱(chēng)密鑰對(duì)DH密鑰交換過(guò)程實(shí)施加密。使用公鑰對(duì)DH密鑰交換過(guò)程實(shí)施加密。使用私鑰對(duì)DH密鑰交換過(guò)程中的值進(jìn)行數(shù)字簽名。204.5 橢圓曲線加密橢圓曲線加密體制(Elliptic Curve

16、 Cryptography，ECC)提供了另一個(gè)“實(shí)施復(fù)雜難解的數(shù)學(xué)操作”的方法。優(yōu)勢(shì)：要獲得同樣等級(jí)的安全性，需要的二進(jìn)制位數(shù)較少缺點(diǎn)：橢圓曲線體制的數(shù)學(xué)計(jì)算更加復(fù)雜，因此，橢圓曲線體制中的每個(gè)數(shù)學(xué)操作的代價(jià)都相對(duì)而言更加昂貴。典型的橢圓曲線圖214.5.1橢圓曲線的數(shù)學(xué)原理從加密技術(shù)的角度來(lái)說(shuō)，我們希望處理的是離散的點(diǎn)集。這可以通過(guò)在通用橢圓曲線的計(jì)算等式上執(zhí)行“mod p”運(yùn)算來(lái)輕松地實(shí)現(xiàn)。y2=x3+ax+b(mod p)例子：y2=x3+2x+3(mod 5)對(duì)于x的所有取值，逐個(gè)選取并計(jì)算相應(yīng)的y值(一個(gè)或多個(gè)值)。因?yàn)槲覀兪腔谀?shù)5實(shí)施運(yùn)算，所以我們只需考慮x=0, 1, 2,

17、 3, 4的情況。在這個(gè)例子中，我們最后獲得如下這些點(diǎn)：x=0 y2=3 no solution mod 5x=1 y2=6=1 y=1,4 mod 5x=2 y2=15=0 y=0 mod 5x=3 y2=36=1 y=1,4 mod 5x=4 y2=75=0 y=0 mod 5y2=x3+2x+3(mod 5)曲線對(duì)應(yīng)的點(diǎn)為：(1, 1)(1, 4) (2, 0) (3, 1) (3, 4) (4, 0)和22在橢圓曲線上增加兩個(gè)點(diǎn)的代數(shù)計(jì)算方法的說(shuō)明為了確定橢圓曲線上的點(diǎn)P3 = (1,4)+(3,1)，首先進(jìn)行如下計(jì)算：m=(1-4)/(3-1)=-32-1=-33=1 mod 5然后

18、計(jì)算x3=12-1-3=-3=2 mod 5y3=1(1-2)-4=-5=0 mod 5這樣，在橢圓曲線y2 =x3+2x+3(mod 5)上，就得到(1, 4)+(3, 1)=(2, 0)。請(qǐng)注意這個(gè)和值，點(diǎn)(2, 0)也位于該橢圓曲線上234.5.2 基于橢圓曲線的Diffie-Hellman密鑰交換方案探討Diffie-Hellman密鑰交換方案的橢圓曲線版本，其公開(kāi)信息包括一條橢圓曲線及該曲線上的一點(diǎn)。例子： 對(duì)于橢圓曲線y2= x3+11x+b(mod 167)，暫時(shí)不給定b的值。我們選擇任何一點(diǎn)(x, y)以及b的值，使得這一點(diǎn)位于最終的橢圓曲線之上。我們選擇了(x, y)=(2,

19、7)。將x=2和y=7代入曲線中，就可以確定b=19。于是，該方案的公開(kāi)信息就是y2= x3+11x+19(mod 167) 和 點(diǎn)(2,7)Alice和Bob每人都必須隨機(jī)選擇他們自己的秘密乘法因子。24Alice和Bob就已經(jīng)建立了共享的秘密，共享秘密可用作對(duì)稱(chēng)密鑰。25Alice執(zhí)行如下計(jì)算：A(2, 7)=15(2, 7)=(102, 88)并將她的計(jì)算結(jié)果發(fā)送給BobBob執(zhí)行如下計(jì)算：B(2, 7)=22(2, 7)=(9, 43)也將他的計(jì)算結(jié)果發(fā)送給Alice假設(shè)Alice選擇了A=15，而B(niǎo)ob選擇了B=22。 Alice將從Bob那接收的值乘以她自己的秘密乘法因子A：A(9

20、, 43)=15(9, 43)=(131, 140)Bob執(zhí)行類(lèi)似計(jì)算：B(102, 88)=22(102, 88)=(131, 140)Diffie-Hellman密鑰交換方案的橢圓曲線版本之所以能夠有效工作，全在于ABP=BAP，其中A和B分別是秘密乘法因子，而P是橢圓曲線上指定的點(diǎn)。這個(gè)方案的安全性依賴(lài)于如下事實(shí)：即使Trudy能夠看到AP和BP，但是很顯然，她也必須找到A或B，然后才能夠確定共享秘密。據(jù)目前所知，這個(gè)Diffie-Hellman密鑰交換方案的橢圓曲線版本和常規(guī)的Diffie-Hellman密鑰交換方案同樣難于破解。事實(shí)上，對(duì)于給定長(zhǎng)度的二進(jìn)制位數(shù)，橢圓曲線版本的Diff

21、ie-Hellman密鑰交換方案要難破解得多，而且它使得我們可以使用更小的數(shù)值獲得同等級(jí)別的安全性。因?yàn)閿?shù)值越小，其算法的效率越高。264.5.3 現(xiàn)實(shí)中的橢圓曲線加密案例設(shè)定p = 564538252084441556247016902735257a = 321094768129147601892514872825668b = 430782315140218274262276694323197考慮橢圓曲線E：y2 = x3+ax +b(mod p)，我們令P點(diǎn)為(97339010987059066523156133908935,14967037284616928576068237197889

22、8)該點(diǎn)位于橢圓曲線E之上，再令k=281183840311601949668207954530684。然后，將P點(diǎn)與自身相加k次，表示為kP，于是我們得到點(diǎn)(44646769697405861057630861884284,522968098895785888047540374779097)這個(gè)點(diǎn)也位于橢圓曲線E上。274.6 公開(kāi)密鑰體制的表示方法對(duì)于公開(kāi)密鑰加密體制中的加密、解密和簽名，我們將采用下面的表示方法：使用Alice的公鑰加密消息M：C=MAlice使用Alice的私鑰解密密文消息C：M=CAliceAlice簽名的消息M的表示方法：S=MAlice花括號(hào)表示使用公鑰的操作，方

23、括號(hào)代表使用私鑰的操作，下標(biāo)用來(lái)表明使用誰(shuí)的密鑰。既然公鑰操作和私鑰操作是互相消解的，于是可以得到如下等式：MAliceAlice=MAliceAlice=M公鑰是公開(kāi)的，因而任何人都能夠去計(jì)算MAlice。私鑰是私密的，所以只有Alice能夠執(zhí)行計(jì)算CAlice或MAlice。這意味著任何人都能夠?yàn)锳lice加密消息，但是僅有Alice本人能夠解密相應(yīng)密文。284.7 公開(kāi)密鑰加密體制的應(yīng)用能夠使用對(duì)稱(chēng)密鑰加密方案完成的任何事情，也都可以通過(guò)公開(kāi)密鑰加密方案來(lái)完成，只不過(guò)要慢一些，包括保護(hù)數(shù)據(jù)的機(jī)密性，類(lèi)似的應(yīng)用形式還有：通過(guò)不安全的通道傳送數(shù)據(jù)，或者在不安全的媒介上安全地存儲(chǔ)數(shù)據(jù)等。此外，

24、我們還能夠?qū)⒐_(kāi)密鑰加密體制用于保護(hù)數(shù)據(jù)的完整性數(shù)字簽名就能夠起到對(duì)稱(chēng)密鑰加密體制中消息認(rèn)證碼(MAC)的作用。相比對(duì)稱(chēng)密鑰加密體制，公開(kāi)密鑰加密體制提供了兩大主要優(yōu)點(diǎn)。第一個(gè)主要優(yōu)點(diǎn)是，基于公開(kāi)密鑰加密體制，我們不需要事先建立共享的密鑰。第二個(gè)主要優(yōu)點(diǎn)是，數(shù)字簽名提供了完整性和不可否認(rèn)性。294.7.1真實(shí)世界中的機(jī)密性相比公開(kāi)密鑰加密技術(shù)，對(duì)稱(chēng)密鑰加密技術(shù)的主要優(yōu)勢(shì)是效率。我們是否能夠既擁有對(duì)稱(chēng)密鑰加密方案的效率，又不必提供事先的預(yù)共享密鑰呢？要得到這樣超級(jí)完美的結(jié)果，方法就是構(gòu)建混合加密系統(tǒng)，其中公開(kāi)密鑰加密體制用于建立對(duì)稱(chēng)密鑰，將這個(gè)生成的對(duì)稱(chēng)密鑰用于加密數(shù)據(jù)。304.7.2 數(shù)字簽名

25、和不可否認(rèn)性不可否認(rèn)性 假設(shè)Alice從她最中意的股票商Bob那里訂購(gòu)了100股股票。為了確保她的訂單的完整性，Alice使用共享的對(duì)稱(chēng)密鑰KAB計(jì)算消息認(rèn)證碼MAC。現(xiàn)在，假定在Alice下訂單后不久，并且恰恰在她向Bob進(jìn)行支付之前，股票交易系統(tǒng)丟失了該交易的所有數(shù)據(jù)。事情發(fā)生在這個(gè)節(jié)骨眼上，這提供了一種可能，即Alice可以聲明她并未下過(guò)訂單，也就是說(shuō)，她能夠否認(rèn)這次交易。 Bob是否能夠證明Alice下過(guò)訂單呢？如果他所擁有的只是Alice的消息認(rèn)證碼MAC，那么他不能證明。因?yàn)榧热籅ob也知道共享的對(duì)稱(chēng)密鑰KAB，他就能夠偽造一條消息，并在該消息中顯示“Alice下了訂單”。這里請(qǐng)注

26、意，Bob是知道Alice下過(guò)訂單的，但是他不能夠在法庭上證明這一點(diǎn)，他缺少證據(jù)。31在同樣的場(chǎng)景下，假設(shè)Alice使用數(shù)字簽名，而不是消息認(rèn)證碼MAC。和消息認(rèn)證碼MAC一樣，數(shù)字簽名也能夠提供數(shù)據(jù)完整性的驗(yàn)證。我們?cè)僖淮渭俣ü善苯灰紫到y(tǒng)丟失了交易的所有數(shù)據(jù)，并且Alice試圖否認(rèn)這次交易。這時(shí)Bob能夠證實(shí)來(lái)自Alice的訂單嗎？是的，他能夠做到，因?yàn)橹挥蠥lice可以訪問(wèn)她自己的私鑰。于是，數(shù)字簽名就提供了數(shù)據(jù)完整性和不可否認(rèn)性，而消息認(rèn)證碼MAC卻只能夠用于保護(hù)數(shù)據(jù)完整性。這是因?yàn)閷?duì)稱(chēng)密鑰是Alice和Bob都知道的，然而Alice的私鑰則僅有Alice本人可知。324.7.3 機(jī)密性

27、和不可否認(rèn)性假設(shè)Alice和Bob有公開(kāi)密鑰加密系統(tǒng)可用，Alice想要發(fā)送一條消息M給Bob。為了機(jī)密性起見(jiàn)，Alice將使用Bob的公鑰加密消息M。另外，為了獲得數(shù)據(jù)完整性和不可否認(rèn)性保護(hù)，Alice可以使用她自己的私鑰對(duì)消息M進(jìn)行簽名。但是，如果Alice是個(gè)非常關(guān)注安全性的人，想要既有機(jī)密性，又有不可否認(rèn)性，她就不能只對(duì)消息M簽名，因?yàn)槟菢硬荒芴峁?shù)據(jù)機(jī)密性保護(hù)，她也不能只對(duì)消息M加密，因?yàn)檫@不能提供數(shù)據(jù)完整性保護(hù)。如何同時(shí)提供機(jī)密性和不可否認(rèn)性？Alice可以對(duì)消息進(jìn)行簽名和加密，然后再將其發(fā)送給Bob，具體操作為：MAlice Bob或者先加密消息M，再對(duì)該結(jié)果實(shí)施簽名：MBobAlice33先簽名再加密方式的缺陷34先加密后簽名方式的缺陷35結(jié)論消息的接收者并不是清楚地理解公開(kāi)密鑰加密技術(shù)的工作原理和方式。對(duì)于公開(kāi)密鑰加密技術(shù)，有一些