密碼學(xué)-數(shù)字簽名講義課件

密碼學(xué)南京農(nóng)業(yè)大學(xué)信息學(xué)院主講：趙力密碼學(xué)南京農(nóng)業(yè)大學(xué)信息學(xué)院1簽名為什么如此引人注目呢？簽名是可信的；簽名不可偽造；簽名不可重用；簽名的文件不可改變；簽名不可抵賴。而現(xiàn)實(shí)生活中，關(guān)于簽名的這些陳述沒有一個是完全真實(shí)的。簽名為什么如此引人注目呢？2現(xiàn)實(shí)生活中，簽名能夠被偽造，簽名能夠從一篇文章盜用移到另一篇文章中，文件在簽名后能夠被改變。然而，我們之所以愿意與這些問題糾纏在一起，是因?yàn)槠垓_是困難的，并且還要冒被發(fā)現(xiàn)的危險(xiǎn)。我們或許愿意在計(jì)算機(jī)上做這種事情，但還存在一些問題?，F(xiàn)實(shí)生活中，簽名能夠被偽造，簽名能夠從一篇文章盜用移到另一篇3計(jì)算機(jī)文件易于復(fù)制，即使某人的簽名難以偽造（例如，手寫簽名的圖形），但是從一個文件到另一個文件剪裁和粘貼有效的簽名都是很容易的。這種簽名沒有什么意義。文件在簽名后也易于修改，并且不會留下任何修改的痕跡。計(jì)算機(jī)文件易于復(fù)制，即使某人的簽名難以偽造（例如，手寫簽名的4但我們還是要解決計(jì)算機(jī)簽名的問題——數(shù)字簽名。但我們還是要解決計(jì)算機(jī)簽名的問題——數(shù)字簽名5第十講數(shù)字簽名基于共享密鑰的報(bào)文鑒別技術(shù)用于保護(hù)通信雙方，使其免受來自第三方的攻擊。但卻無法防止通信雙方之間的互相攻擊，也不能有效防止通信雙方的欺騙和抵賴行為?，F(xiàn)代經(jīng)濟(jì)生活中，大量的交易可能通過網(wǎng)絡(luò)進(jìn)行，因此，除報(bào)文鑒別技術(shù)以外，迫切需要一種技術(shù)手段來防止通信中的抵賴和欺騙行為。第十講數(shù)字簽名基于共享密鑰的報(bào)文鑒別技術(shù)用于保護(hù)通信雙方，6數(shù)字簽名的基本特性：數(shù)字簽名是對現(xiàn)實(shí)生活中筆跡簽名的模擬。它應(yīng)該具有：必須能夠用來證實(shí)簽名者和簽名的時(shí)間；必須能夠?qū)ο⒌膬?nèi)容進(jìn)行鑒別；簽名應(yīng)具有法律效力，必須能夠被第三方仲裁，以解決爭端。由此，歸納出數(shù)字簽名的設(shè)計(jì)目標(biāo)：數(shù)字簽名的基本特性：數(shù)字簽名是對現(xiàn)實(shí)生活中筆跡簽名的模擬。它7數(shù)字簽名的設(shè)計(jì)目標(biāo)（1）簽名必須是與消息相關(guān)的二進(jìn)制位串。簽名必須使用發(fā)送方某些獨(dú)有的消息，以防偽造和否認(rèn)。產(chǎn)生數(shù)字簽名比較容易。識別和驗(yàn)證簽名比較容易。數(shù)字簽名的設(shè)計(jì)目標(biāo)（1）簽名必須是與消息相關(guān)的二進(jìn)制位串。8數(shù)字簽名的設(shè)計(jì)目標(biāo)（2）偽造數(shù)字簽名在計(jì)算上是不可行的。無論是從給定的數(shù)字簽名偽造消息，還是從給定的消息偽造數(shù)字簽名，在計(jì)算上都是不可行的。保存數(shù)字簽名的拷貝是可行的。數(shù)字簽名的設(shè)計(jì)目標(biāo)（2）偽造數(shù)字簽名在計(jì)算上是不可行的。9目前，已經(jīng)有多種數(shù)字簽名的解決方案和數(shù)字簽名計(jì)算函數(shù)。按照其技術(shù)特點(diǎn)，這些方案可分為兩類：直接數(shù)字簽名基于仲裁的數(shù)字簽名目前，已經(jīng)有多種數(shù)字簽名的解決方案和數(shù)字簽名計(jì)算函數(shù)。按照其10直接數(shù)字簽名在技術(shù)上僅涉及通信雙方，即源點(diǎn)X和終點(diǎn)Y。終點(diǎn)Y需要了解源點(diǎn)X的公開密鑰KUx。發(fā)送方X可以使用其私有密鑰KRx對整個消息報(bào)文進(jìn)行加密來生成數(shù)字簽名；消息報(bào)文的散列碼進(jìn)行加密來形成數(shù)字簽名（更好的方法）。直接數(shù)字簽名在技術(shù)上僅涉及通信雙方，即源點(diǎn)X和終點(diǎn)Y。11〖1〗計(jì)算消息M的散列碼：H(M)〖2〗使用X的私人密鑰KRx對H(M)進(jìn)行加密，形成：EKRx(H(M))〖3〗使用Y的公開密鑰KUy對M和EKRx(H(M))進(jìn)行加密，形成：EKUy(M||EKRx(H(M)))〖4〗將EKUy(M||EKRx(H(M)))發(fā)送給Y。直接數(shù)字簽名舉例-發(fā)送方X〖1〗計(jì)算消息M的散列碼：直接數(shù)字簽名舉例-發(fā)送方X12接收方Y(jié)收到EKUy(M||EKRx(H(M)))，Y將〖1〗使用自己的私人密鑰KRy對EKUy(M||EKRx(H(M)))進(jìn)行解密，得到：M和EKRx(H(M))

〖2〗使用X的公鑰對EKRx(H(M))進(jìn)行解密，得到：H(M)〖3〗計(jì)算M的散列碼H(M)’〖4〗比較H(M)與H(M)’，如果相等，可證實(shí)消息確實(shí)來自X。直接數(shù)字簽名舉例-接收方Y(jié)接收方Y(jié)收到EKUy(M||EKRx(H(M)))，Y將直接13數(shù)字簽名生成后，可對整個報(bào)文和簽名進(jìn)行進(jìn)一步加密以增強(qiáng)數(shù)據(jù)通信的保密性。加密可以是基于公開密鑰方式，也可以是基于對稱密鑰方式。報(bào)文及簽名可以保存在存儲介質(zhì)中，以備解決爭端時(shí)使用。在這種情況下，第三方必須掌握解密密鑰才能查看報(bào)文和簽名。數(shù)字簽名生成后，可對整個報(bào)文和簽名進(jìn)行進(jìn)一步加密以增強(qiáng)數(shù)據(jù)通14對直接數(shù)字簽名的討論直接數(shù)字簽名方案在安全性上存在一個共同的弱點(diǎn)：方案的安全性依賴于發(fā)送方X私有密鑰的安全性。發(fā)送方可以聲稱自己的私有密鑰丟失或被盜用，而否認(rèn)其發(fā)送過某個報(bào)文。若對私有密鑰引入額外的管理控制，將限制給簽名方案的適用范圍。解決的方案：引入第三方作為仲裁對直接數(shù)字簽名的討論直接數(shù)字簽名方案在安全性上存在一個共同的15基于仲裁的數(shù)字簽名每個從X發(fā)往Y的簽名報(bào)文首先被送給仲裁者A，A檢驗(yàn)該報(bào)文及其簽名的出處和內(nèi)容，然后對報(bào)文注明日期，并附加一個“仲裁證實(shí)”的標(biāo)記發(fā)給Y?；谥俨玫臄?shù)字簽名每個從X發(fā)往Y的簽名報(bào)文16基于仲裁的數(shù)字簽名仲裁者A的引入解決了直接簽名方案所面臨的發(fā)送者的否認(rèn)行為帶來的難題。在這種方案中，仲裁的地位非常關(guān)鍵和敏感，它必須是一個所有通信方都能充分信任的仲裁機(jī)構(gòu)；也就是說，仲裁者A必須是一個可信的系統(tǒng)。

基于仲裁的數(shù)字簽名仲裁者A的引入解決了直接簽名方案所面臨的發(fā)17基于仲裁的數(shù)字簽名方案一

——傳統(tǒng)加密，A能閱讀消息Y可以存儲報(bào)文M及簽名?；谥俨玫臄?shù)字簽名方案一

——傳統(tǒng)加密，A能閱讀消息Y可以存18解決爭端當(dāng)發(fā)生爭執(zhí)時(shí)，例如，X否認(rèn)他自己的行為時(shí)，Y可向A發(fā)出報(bào)文。那么，仲裁A就可用Kay恢復(fù)出IDx、M及簽名，用Kax對簽名解密并驗(yàn)證其散列碼，這樣就可斷定報(bào)文M是否是X發(fā)送的。解決爭端當(dāng)發(fā)生爭執(zhí)時(shí)，例如，X否認(rèn)他自己的行為時(shí)，Y可向A發(fā)19方案特點(diǎn)報(bào)文內(nèi)容M以明文方式傳送給仲裁者A，有可能被竊聽。X和Y對A是高度信任的X確信A不會泄漏密鑰Kax，因此不會產(chǎn)生偽造的簽名；Y也確信A發(fā)來的報(bào)文M是經(jīng)過驗(yàn)證的、確實(shí)來自X;X、Y確信A能公平地解決爭端。方案特點(diǎn)報(bào)文內(nèi)容M以明文方式傳送給仲裁者A，有可能被竊聽。20基于仲裁的數(shù)字簽名方案二

——傳統(tǒng)加密，A不能閱讀消息盡管A無法閱讀消息報(bào)文M中的內(nèi)容，但它仍能防止X和Y中某一方不誠實(shí)。但仲裁A仍可能與X或Y勾結(jié)來否認(rèn)簽名報(bào)文，或偽造發(fā)送方的簽名?；谥俨玫臄?shù)字簽名方案二

——傳統(tǒng)加密，A不能閱讀消息盡管A21基于仲裁的數(shù)字簽名方案三

——公鑰加密，A不能閱讀消息在通信前，通信各方?jīng)]有任何共享的信息，可防止各方相互進(jìn)行結(jié)盟欺騙。X發(fā)給Y的報(bào)文內(nèi)容對其他人都是保密的，包括A在內(nèi)?；谥俨玫臄?shù)字簽名方案三

——公鑰加密，A不能閱讀消息在通信22數(shù)字簽名的其它應(yīng)用不可抵賴的數(shù)字簽名代理簽名團(tuán)體（多重）簽名盲簽名選舉（投票）簽名數(shù)字簽名的其它應(yīng)用不可抵賴的數(shù)字簽名23數(shù)字簽名標(biāo)準(zhǔn)數(shù)字簽名標(biāo)準(zhǔn)24密碼學(xué)南京農(nóng)業(yè)大學(xué)信息學(xué)院主講：趙力密碼學(xué)南京農(nóng)業(yè)大學(xué)信息學(xué)院25簽名為什么如此引人注目呢？簽名是可信的；簽名不可偽造；簽名不可重用；簽名的文件不可改變；簽名不可抵賴。而現(xiàn)實(shí)生活中，關(guān)于簽名的這些陳述沒有一個是完全真實(shí)的。簽名為什么如此引人注目呢？26現(xiàn)實(shí)生活中，簽名能夠被偽造，簽名能夠從一篇文章盜用移到另一篇文章中，文件在簽名后能夠被改變。然而，我們之所以愿意與這些問題糾纏在一起，是因?yàn)槠垓_是困難的，并且還要冒被發(fā)現(xiàn)的危險(xiǎn)。我們或許愿意在計(jì)算機(jī)上做這種事情，但還存在一些問題?，F(xiàn)實(shí)生活中，簽名能夠被偽造，簽名能夠從一篇文章盜用移到另一篇27計(jì)算機(jī)文件易于復(fù)制，即使某人的簽名難以偽造（例如，手寫簽名的圖形），但是從一個文件到另一個文件剪裁和粘貼有效的簽名都是很容易的。這種簽名沒有什么意義。文件在簽名后也易于修改，并且不會留下任何修改的痕跡。計(jì)算機(jī)文件易于復(fù)制，即使某人的簽名難以偽造（例如，手寫簽名的28但我們還是要解決計(jì)算機(jī)簽名的問題——數(shù)字簽名。但我們還是要解決計(jì)算機(jī)簽名的問題——數(shù)字簽名29第十講數(shù)字簽名基于共享密鑰的報(bào)文鑒別技術(shù)用于保護(hù)通信雙方，使其免受來自第三方的攻擊。但卻無法防止通信雙方之間的互相攻擊，也不能有效防止通信雙方的欺騙和抵賴行為?，F(xiàn)代經(jīng)濟(jì)生活中，大量的交易可能通過網(wǎng)絡(luò)進(jìn)行，因此，除報(bào)文鑒別技術(shù)以外，迫切需要一種技術(shù)手段來防止通信中的抵賴和欺騙行為。第十講數(shù)字簽名基于共享密鑰的報(bào)文鑒別技術(shù)用于保護(hù)通信雙方，30數(shù)字簽名的基本特性：數(shù)字簽名是對現(xiàn)實(shí)生活中筆跡簽名的模擬。它應(yīng)該具有：必須能夠用來證實(shí)簽名者和簽名的時(shí)間；必須能夠?qū)ο⒌膬?nèi)容進(jìn)行鑒別；簽名應(yīng)具有法律效力，必須能夠被第三方仲裁，以解決爭端。由此，歸納出數(shù)字簽名的設(shè)計(jì)目標(biāo)：數(shù)字簽名的基本特性：數(shù)字簽名是對現(xiàn)實(shí)生活中筆跡簽名的模擬。它31數(shù)字簽名的設(shè)計(jì)目標(biāo)（1）簽名必須是與消息相關(guān)的二進(jìn)制位串。簽名必須使用發(fā)送方某些獨(dú)有的消息，以防偽造和否認(rèn)。產(chǎn)生數(shù)字簽名比較容易。識別和驗(yàn)證簽名比較容易。數(shù)字簽名的設(shè)計(jì)目標(biāo)（1）簽名必須是與消息相關(guān)的二進(jìn)制位串。32數(shù)字簽名的設(shè)計(jì)目標(biāo)（2）偽造數(shù)字簽名在計(jì)算上是不可行的。無論是從給定的數(shù)字簽名偽造消息，還是從給定的消息偽造數(shù)字簽名，在計(jì)算上都是不可行的。保存數(shù)字簽名的拷貝是可行的。數(shù)字簽名的設(shè)計(jì)目標(biāo)（2）偽造數(shù)字簽名在計(jì)算上是不可行的。33目前，已經(jīng)有多種數(shù)字簽名的解決方案和數(shù)字簽名計(jì)算函數(shù)。按照其技術(shù)特點(diǎn)，這些方案可分為兩類：直接數(shù)字簽名基于仲裁的數(shù)字簽名目前，已經(jīng)有多種數(shù)字簽名的解決方案和數(shù)字簽名計(jì)算函數(shù)。按照其34直接數(shù)字簽名在技術(shù)上僅涉及通信雙方，即源點(diǎn)X和終點(diǎn)Y。終點(diǎn)Y需要了解源點(diǎn)X的公開密鑰KUx。發(fā)送方X可以使用其私有密鑰KRx對整個消息報(bào)文進(jìn)行加密來生成數(shù)字簽名；消息報(bào)文的散列碼進(jìn)行加密來形成數(shù)字簽名（更好的方法）。直接數(shù)字簽名在技術(shù)上僅涉及通信雙方，即源點(diǎn)X和終點(diǎn)Y。35〖1〗計(jì)算消息M的散列碼：H(M)〖2〗使用X的私人密鑰KRx對H(M)進(jìn)行加密，形成：EKRx(H(M))〖3〗使用Y的公開密鑰KUy對M和EKRx(H(M))進(jìn)行加密，形成：EKUy(M||EKRx(H(M)))〖4〗將EKUy(M||EKRx(H(M)))發(fā)送給Y。直接數(shù)字簽名舉例-發(fā)送方X〖1〗計(jì)算消息M的散列碼：直接數(shù)字簽名舉例-發(fā)送方X36接收方Y(jié)收到EKUy(M||EKRx(H(M)))，Y將〖1〗使用自己的私人密鑰KRy對EKUy(M||EKRx(H(M)))進(jìn)行解密，得到：M和EKRx(H(M))

〖2〗使用X的公鑰對EKRx(H(M))進(jìn)行解密，得到：H(M)〖3〗計(jì)算M的散列碼H(M)’〖4〗比較H(M)與H(M)’，如果相等，可證實(shí)消息確實(shí)來自X。直接數(shù)字簽名舉例-接收方Y(jié)接收方Y(jié)收到EKUy(M||EKRx(H(M)))，Y將直接37數(shù)字簽名生成后，可對整個報(bào)文和簽名進(jìn)行進(jìn)一步加密以增強(qiáng)數(shù)據(jù)通信的保密性。加密可以是基于公開密鑰方式，也可以是基于對稱密鑰方式。報(bào)文及簽名可以保存在存儲介質(zhì)中，以備解決爭端時(shí)使用。在這種情況下，第三方必須掌握解密密鑰才能查看報(bào)文和簽名。數(shù)字簽名生成后，可對整個報(bào)文和簽名進(jìn)行進(jìn)一步加密以增強(qiáng)數(shù)據(jù)通38對直接數(shù)字簽名的討論直接數(shù)字簽名方案在安全性上存在一個共同的弱點(diǎn)：方案的安全性依賴于發(fā)送方X私有密鑰的安全性。發(fā)送方可以聲稱自己的私有密鑰丟失或被盜用，而否認(rèn)其發(fā)送過某個報(bào)文。若對私有密鑰引入額外的管理控制，將限制給簽名方案的適用范圍。解決的方案：引入第三方作為仲裁對直接數(shù)字簽名的討論直接數(shù)字簽名方案在安全性上存在一個共同的39基于仲裁的數(shù)字簽名每個從X發(fā)往Y的簽名報(bào)文首先被送給仲裁者A，A檢驗(yàn)該報(bào)文及其簽名的出處和內(nèi)容，然后對報(bào)文注明日期，并附加一個“仲裁證實(shí)”的標(biāo)記發(fā)給Y?；谥俨玫臄?shù)字簽名每個從X發(fā)往Y的簽名報(bào)文40基于仲裁的數(shù)字簽名仲裁者A的引入解決了直接簽名方案所面臨的發(fā)送者的否認(rèn)行為帶來的難題。在這種方案中，仲裁的地位非常關(guān)鍵和敏感，它必須是一個所有通信方都能充分信任的仲裁機(jī)構(gòu)；也就是說，仲裁者A必須是一個可信的系統(tǒng)。

基于仲裁的數(shù)字簽名仲裁者A的引入解決了直接簽名方案所面臨的發(fā)41基于仲裁的數(shù)字簽名方案一

——傳統(tǒng)加密，A能閱讀消息Y可以存儲報(bào)文M及簽名?；谥俨玫臄?shù)字簽名方案一

——傳統(tǒng)加密，A能閱讀消息Y可以存42解決爭端當(dāng)發(fā)生爭執(zhí)時(shí)，例如，X否認(rèn)他自己的行為時(shí)，Y可向A