第3章-數(shù)字簽名和

第3章數(shù)字簽名和認證

本章導讀1.Hash算法2.數(shù)字簽名技術3.身份認證4.PKI5.PMI第3章數(shù)字簽名和認證

3.1Hash算法3.1.1Hash函數(shù)的定義Hash函數(shù)是將任意長的消息(明文)m，壓縮成一個固定長度的散列值的函數(shù)，以h(m)表示。Hash函數(shù)也稱為“散列函數(shù)”或“雜湊函數(shù)”。3.1.2Hash函數(shù)的分類單向Hash函數(shù)按其是否使用密鑰控制可劃分為兩類，即帶密鑰控第3章數(shù)字簽名和認證

制的單向Hash函數(shù)h(k，m)和不帶密鑰控制的單向Hash函數(shù)h(m)。無密鑰控制的單向Hash函數(shù)，其Hash值只是輸入字串的函數(shù)，任何人都可以計算，因而不具有身份認證功能，只用于檢測接收數(shù)據(jù)的完整性。如竄改檢測碼MDC，在安全的Hash標準中就采用了這種技術。而帶密鑰控制的單向Hash函數(shù)，其Hash值不僅與輸入有關，而且與密鑰有關，只有具有密鑰的人才能計算出相應的Hash值，因此具有身份驗證的功。第3章數(shù)字簽名和認證

3.1.3Hash函數(shù)的安全性Hash函數(shù)的安全性取決于抗及各種攻擊的能力。攻擊者的主要目標是找到一對或更多對碰撞消息。一般假定攻擊者知道單向Hash函數(shù)的算法。對單向Hash函數(shù)的主要攻擊方法是生日攻擊。3.1.4安全Hash函數(shù)的一般結構這個結構是由Merkle提出的，是一個迭代結構。目前所使用的大多數(shù)Hash函數(shù)均為這種結構。Hash函數(shù)接收一個輸入消息，并把輸入信息分為L-1個固定長度為b位的分組。若第L-1個分組不足b第3章數(shù)字簽名和認證

位，則將其充填為b位，然后再附加一個表示該Hash函數(shù)輸入的總長度值。包含這個長度值將增加攻擊的難度，因為攻擊者必須找出兩個具有相同長度和相同Hash值的消息，或者找出兩條長度不等但加入各自的長度后Hash值相同的消息。3.1.5MD5算法MD5的全稱是Message-digestAlgorithm5（信息-摘要算法），用于確保信息傳輸完整一致。在90年代初由MITLaboratoryfor第3章數(shù)字簽名和認證

ComputerScience和RSADataSecurityInc,的RonaldL.Rivest開發(fā)出來，經MD2、MD3和MD4發(fā)展而來。它的作用是讓大容量信息在用數(shù)字簽名軟件簽署私人密鑰前被"壓縮"成一種保密的格式（就是把一個任意長度的字節(jié)串變換成一定長的大整數(shù)）。不管是MD2、MD4還是MD5，它們都需要獲得一個隨機長度的信息并產生一個128位的信息摘要。雖然這些算法的結構或第3章數(shù)字簽名和認證多或少有些相似，但MD2的設計與MD4和MD5完全不同，那是因為MD2是為8位機器做過設計優(yōu)化的，而MD4和MD5卻是面向32位的電腦。3.1.5.1算法描述在MD5算法中，首先需要對信息進行填充，使其字節(jié)長度對512求余的結果等于448。因此，信息的字節(jié)長度（BitsLength）將被擴展至N*512+448，即N*64+56個字節(jié)（Bytes），N為一個正整數(shù)。填充的方法如下，在信息的后面填充一個1和無數(shù)個0，直到滿足上面的條件時才停止用0對信息的填充。第3章數(shù)字簽名和認證3.1.5.3MD5的安全性MD5有這樣一個性質，即雜湊碼中的每一個比特是所有輸入比特的鹵數(shù)，因此獲得了很好的混淆效果，從而使得不可能隨機選擇兩個具有相向雜湊值的消息。Rivest猜想作為128比特長的雜湊值來說，MD5的強度達到了最大，比如說找出具有相同雜湊值的兩個消息需執(zhí)行O(2128)次運算，而尋找具有給定雜湊值的一個消息需要執(zhí)行O(264)次運算。目前對MD5的攻擊已取得以下結果：第3章數(shù)字簽名和認證①對單輪MD5使用差分密碼分析，可在合理的時間內找出具有相同雜湊值的兩個消息。但這種攻擊還未能成功地推廣到4輪MD5。②可找出一個消息分組和兩個相關的鏈接變量(即緩沖區(qū)變量ABCD)，使得算法產生出相同的輸出。目前這種攻擊還未能成功地推廣到整個算法。③對單個512比特長的消息分組己成功地找出了碰撞，即可找出另一個消息分組，使得算法對兩個消息分組第3章數(shù)字簽名和認證的128比特長的輸出相同。目前這種攻擊還未成功推廣到在有初值IV時對整個消息運行該算法。3.1.6SHA算法安全雜湊算法SHA(SecureHashAlgorithm)由美國NIST設計，于1993年作為聯(lián)邦信息處理標準(FIPSPUBl80)公布。SHA是基于MD4算法，其結構與MD4非常類似。3.1.6.1算法描述第3章數(shù)字簽名和認證算法的處理過程有以下幾步：第1步(對消息填充)：與MD5的第1步完全相同。第2步(附加消息的長度)：與MD5的第2步類似，不同之處在于以big-endian方式表示填充前消息的長度。即第1步留出的64比特當作64比特長的無符號整數(shù)。第3步(對MD緩沖區(qū)初始化)：算法使用160比特長的緩沖區(qū)存儲中間結果和最終雜湊值，緩沖區(qū)可表示為五個32比特長的寄存器(A，B，C，D，E)，每個寄存器第3章數(shù)字簽名和認證都以big-endian方式存儲數(shù)據(jù)，其初始值分別為A=67452301，B＝EFCDAB89．C＝98BADCFB，D＝10325476，E=C3D2E1F0。第4步(以分組為單位對消息進行處理)：每一分組Yq都經一壓縮函數(shù)處理，壓縮函數(shù)由4輪處理過程(如圖3-2所示)構成，每一輪又由20次迭代組成。4輪處理過程結構一樣，但所用的基本邏輯函數(shù)不同，分別表示為?1,?2,?3,?4,。每輪的輸入為當前處理的消息分組Yq和緩沖區(qū)的當前值A、B、C、D、E，輸出仍放在緩沖第3章數(shù)字簽名和認證區(qū)以替代A、B、C、D、E的舊值．每輪處理過程還需加上一個加法常量K1，其中o≤t≤79表示迭代的次數(shù)。80個常量中實際上只有4個不同取值，如表3-1所示，其中[]為x的整數(shù)部分。第4輪的輸出(即第80次迭代的輸出)再與第t輪的輸入CVq，相加，以產生CVq+1，其中加法是緩沖區(qū)中5個字中的每—個字與CVq中相應的字模232相加。第5步(輸出)：消息的L個分組都被處理完后，最后一個分組的輸出即為160比特的消息摘要。第3章數(shù)字簽名和認證3.1.6.2SHA與MD5的比較大于MD5使用的緩沖區(qū)(128比特)，因此在相同硬件上實現(xiàn)時，SHA的速度慢于MD5的速度。④簡潔與緊致性：兩個算法描述起來都較為簡單，實現(xiàn)起來也較為簡單，都不需要大的程序和代換表。⑤數(shù)據(jù)的存儲方式：MD5使用little-endian方式，SHA使用big-endian方式。兩種方式相比看不出哪個更具優(yōu)勢，之所以使用兩種不同的存儲方式是因為設計者最初實現(xiàn)各自的算法時，使用的機器的存儲方式不同。第3章數(shù)字簽名和認證①抗窮搜索攻擊的強度：由于SHA和MD5的消息摘要長度分別為160和128，所以用窮搜索攻擊尋找具有給定消息摘要的消息分別需做O(2160)和O(2128)次運算，而用窮搜索攻擊找出具有相同消息摘要的兩個不向消息分別需做O(280)和O(264)次運算。因此SHA抗擊窮搜索攻擊的強度高于MD5抗擊窮搜索攻擊的強度。②抗擊密碼分析攻擊的強度：由于SHA的設計準則未被公開，所以它抗加密碼分析攻擊的強度較難判斷，似乎高于MD5的強度。第3章數(shù)字簽名和認證③速度：由于兩個算法的主要運算都是模232加法，因此都易于在32位結構上實現(xiàn)。但比較起來SHA的迭代次數(shù)(80次)多于MD5的迭代次數(shù)(64次)，所用的緩外區(qū)(160比特)3.2數(shù)字簽名技術3.2.1數(shù)字簽名基礎數(shù)字簽名(DigitalSignature)就是只有信息發(fā)送第3章數(shù)字簽名和認證者使用公開密鑰算法的主要技術產生的別人無法偽造的一段數(shù)字串。發(fā)送者用自己的私有密鑰加密數(shù)據(jù)傳給接收者，接收者用發(fā)送者的公鑰解開數(shù)據(jù)后，就可確定消息來自于誰，同時也是對發(fā)送者所發(fā)送信息真實性的一個驗證。數(shù)字簽名必須保證以下幾點：(1)接收者能夠核實發(fā)送者對報文的答名。(2)發(fā)送者事后不能抵賴對報文的簽名。(3)接收者不能偽造對報文的簽名。第3章數(shù)字簽名和認證3.2.2數(shù)字簽名基本原理在公鑰密碼體制實現(xiàn)數(shù)字簽名的基本原理很簡單，假設A要發(fā)送—個電子文件給B，A、B雙方只需經過下面三個步驟即可。(1)A用其私鑰加密文件，這便是簽名過程。(2)A將加密的文件發(fā)送給B。(3)B用A的公鑰解開A送來的文件這樣的簽名方法是符合可靠性原則的，即：(1)簽名是可以被確認的。第3章數(shù)字簽名和認證(2)簽名是無法被偽造的。(3)簽名是無法重復使用的。(4)文件被簽名以后是無法被篡改的。(5)簽名具有不可否認性。3.2.3數(shù)字簽名加密算法1.Hash簽名2．DSA和RSA簽名3.2.4數(shù)字簽名中的問題與改進數(shù)字簽名在具體應用中還存在一些問題第3章數(shù)字簽名和認證需要解決。(1)簽字后的文件可能被接收方重復使用。如果簽字后的文件是一張支票，接收方很容易多次用該電子支票兌換現(xiàn)金，為此發(fā)送方需要在文件中加上一些該支票的特有憑證，如時間戳(但時間戳會有一個時間是否同步的問題)等，以防止上述情況發(fā)生。(2)數(shù)字簽名應用很多的RSA算法是基于大數(shù)的因子分解難題，由于計算水平的提高，人們逐漸可以用計算機分解更大的數(shù)。因此RSA算法的密鑰也就越來越第3章數(shù)字簽名和認證長，在使用GPG（GnuPG）時至少要選擇700比特以上的密鑰。(3)公鑰算法的效率是相當?shù)偷?，不易用于長文件的加密，所以采用Hash函數(shù)，將原文件P通過個單向(one-way)的Hash函數(shù)作用，生成相當短的(僅幾十或幾百位)的輸出H，即Hash(P)＝H，這里由P可以很快生成H，但由于H幾乎不可能生成P，然后再將公鑰算法作用在H上生成“簽字”S，記為Ek1(H)＝S，k1為A的公鑰，A將第3章數(shù)字簽名和認證(P，S)傳給B，B收到(P，S)后，需要驗證S是A的簽字。若有H1＝H2，即Dk2(S)＝Hash(P)，才能確認為S就是A的簽字。(4)如果在Hash簽名使用一個密鑰k，讓只有知道此密鑰k的人才能使用Hash，即用H(m，k)代替H(m)，則可以增強Hash加密的安全性。以上方法實際上就是把簽字過程從對原文件轉移到一個很短的Hash值上，大大地提高了效率，可以在現(xiàn)代的電子商務中被廣泛地使用。第3章數(shù)字簽名和認證3.3身份認證3.3.1身份認證基礎身份認證對于提供安全服務有如下作用：作為訪問控制服務的一種必要文持，訪問控制服務的執(zhí)行依賴于確知的身份；作為提供數(shù)據(jù)源認證的一種可能方法(當它與數(shù)據(jù)完整性機制結合起來使用時)；作為對責任原則的一種直接支持，例如，在審計追蹤過程中做記錄時，提供與某一活動相聯(lián)系的確知身份。第3章數(shù)字簽名和認證一般來說，一個身份認證系統(tǒng)應該滿足如下要求：驗證者正確識別合法示證者的概率極大化；不可傳遞性，驗證者不可能重用示證者提供給他的信息來偽裝示證者，以實現(xiàn)成功地騙取他人的驗證，從而得到信任；攻擊者偽裝示證者騙取驗證者成功的概率要小到可以忽略的程度，特別是能夠抵抗已知密文攻擊，即能夠抵抗攻擊者在截獲到示證者和驗證者多次通信內容第3章數(shù)字簽名和認證后，偽裝示證者騙取驗證者的信任；計算有效件，即實現(xiàn)身份認證所需的計算量要盡可能??；通信的有效性，即實現(xiàn)身份認證所需通信次數(shù)和數(shù)據(jù)量要盡可能??；秘密參數(shù)能夠安全存儲；交互識別，在某此應用中，有通信雙方能夠互相進行身份認證的需求；第三方的實時參與，如在線公鑰檢索服務；第3章數(shù)字簽名和認證第三方的可信賴性；可證明安全件3.3.2KerberosKerberos是為TCP/IP網(wǎng)絡設計的可信第三方認證協(xié)議。Kerberos基于對稱密碼學，它與網(wǎng)絡上的每個實體分別共享一個不同的密鑰．是否知道該密鑰便是身份的證明。Kerberos最初是在麻省理工學院(MIT)為Athena項目而第3章數(shù)字簽名和認證開發(fā)的，Kerberos模型基于Needham、Schroeder的可信方協(xié)議。廣泛使用的Kerberos的版本是第4版和第5版，第5版彌補了第4版中存在的一些安全漏洞，已經發(fā)布為Internet協(xié)議標準(RFCl510)。Kerberos支持這三種安全要求，它基于一個分布的客戶／服務器結構，用多個Kerberos服務器提供認證服務。為此，對Kerberos提出如下需求：●安全：非法用戶不能偽裝成合法用戶來竊聽有關信第3章數(shù)字簽名和認證息，即Kerberos應提供強大的安全機制來防止?jié)撛诘姆欠ㄈ肭终甙l(fā)現(xiàn)脆弱的鏈路?！窨煽浚河脩粢揽縆erberos提供的服務來取得進行訪問控制所需的服務。因此，要求Kerberos具有高可靠性，采用分布式的服務器結構，隨時對系統(tǒng)進行備份，否則，用戶得不到Kerberos的服務，就無法獲得所要求的服務?！裢该鳎簽榉奖阌脩簦麄€系統(tǒng)對用戶來說應該是透明的。除第3章數(shù)字簽名和認證了需要輸入一個口令外，用戶感覺不到認證服務的發(fā)生?！窨蓴U縮：Kerberos應該采用模塊化、分布式結構，能夠支持大量客戶和服務器。Kerberos系統(tǒng)采用一個協(xié)議來提供可信的第三方認證服務，客戶和服務器都信任Kerberos對它們之間的仲裁。因此，只要Kerberos服務器本身是安全的，那么認證服務就是安全的。第3章數(shù)字簽名和認證3.3.3X.509為了在開放網(wǎng)絡上實現(xiàn)遠程的網(wǎng)絡用戶身份認證，ITU于1988年制定了認證體系標準：“開放性系統(tǒng)互連——目錄服務：認證體系x.509”。X.509主要內容包括：簡單認證(SimpleAuthentiCAtion)程序：在此部分，X.509建議了安全度較低的身份認證程序，此部分所定義的驗證程序使用最常見的口令(Password)認證的技術來識別通信雙方。只要用戶可以提供正確的口令，就認為他/她是合法用戶。該認第3章數(shù)字簽名和認證證體系儀能提供較簡單、有限的保護，以防止未授權的存取訪問。強認證(StrongAuthentiCAtion)程序：該程序提出了一個高安全度的身份認證機制。其驗證程序是使用公開密鑰密碼學的技術來識別通信雙方。強認證可分為“單向的”、“雙向的”及“三向的”三種認證方式，分別提供不同安全層次的安全認證。對于公開密鑰證書的使用有詳細的定義，以強化其認證能力。第3章數(shù)字簽名和認證密鑰及證書管理：因為強認證程序中需要公開密鑰密碼系統(tǒng)的支持來實現(xiàn)其認證目的，這部分內容就是針對密鑰以及證明密鑰正確性的證書管理。證書擴充及證書吊銷列表擴充(CertifiCAteandCRLExtensions)：由于1988年版的X.509中對于證書及證書吊銷列表的定義并不是很完善，所以在1995年，針對這些問題，提出X.509修正案，對這兩部分作了一些修正與補充，以彌補舊版X.509的不足，最終于1997年6月將這兩部分合二為一，為最新版的X.509文件。第3章數(shù)字簽名和認證3.3.3.1簡單認證過程X.509提供的簡單認證有下列三種運行方式：(1)用戶將其口令及用戶ID未做任何加密保護，直接以明文方式傳送給接收端。(2)用戶將其個人口令、用戶ID、一個隨機數(shù)和/或時間戳在經過一單向函數(shù)保護后，傳送至接收端。(3)用戶用以上第（2）種方式所述的方法，先第3章數(shù)字簽名和認證經一次單向函數(shù)保護所有數(shù)據(jù)，然后再連同另一組隨機數(shù)和/或時間戳，再經過第二次的單向函數(shù)保護后，傳送至接收端。3.3.3.2強認證過程X.509以公開密鑰密碼的技術能夠讓通信雙方容易共享密鑰的特點，并利用公鑰密碼系統(tǒng)中數(shù)字簽名的功能，強化網(wǎng)絡上遠程認證的能力，定義出強認證程序，以達到所謂“強認證”的目的。第3章數(shù)字簽名和認證3.4PKI3.4.1PKI概念PKI是一種遵循標準的密鑰管理平臺，它能夠為所有網(wǎng)絡應用透明地提供采用加密和數(shù)字簽名等密碼服務所必需的密鑰和證書管理，實現(xiàn)和管理不同實體之間的信任關系。概括地說，PKI是一個用公鑰密碼理論與技術建立的提供安全服務的普適性基礎設施。第3章數(shù)字簽名和認證3.4.2PKI提供的服務PKI技術能夠滿足人們對網(wǎng)絡通信中信息安全保障的需求；能提供如下四種基本的信息安全保障：①信息的機密性。②信息的完整性。③身份認證：為對付假冒攻擊而提供對某個實體身份的真實性認證，實現(xiàn)有效鑒別通信雙方的身份。第3章數(shù)字簽名和認證④信息的不可否認性：文件傳輸一旦完成，發(fā)送方不能否認他發(fā)送的信息，接收方也不能否認他所收到的信息。3.4.3PKI組成完整的PKI包括認證政策的制定(包括遵循的技術標準、各CA之間的上下級或同級關系、安全策略、安全程度、服務對象、管理原則和框架等)、認證規(guī)則、運作制度的制定、所涉及的各方法律關系內容以及技術的實現(xiàn)。一個典型、完整、有效的PKI應用系統(tǒng)至少應具有以下幾部分：第3章數(shù)字簽名和認證1、認證中心CA2、注冊機構RA3、業(yè)務受理點4、LDAP目錄服務器3.4.4PKI功能一個典型、完整、有效的PKI應用系統(tǒng)至少應具有以下功能：公鑰證書管理、黑名單的發(fā)布和管理、密鑰的備份和恢復、自動更新密鑰、自動管理歷史密鑰和支第3章數(shù)字簽名和認證持交叉認證。以下根據(jù)PKI組成．分別介紹PKI的功能。1、RA功能受理用戶證書業(yè)務；審核用戶身份；向CA中心申請簽發(fā)證書；將證書和私鑰寫入IC卡后分發(fā)給受理中心、受理點或用戶；管理本地在線證書狀態(tài)協(xié)議(OCSP)服務器，并提供證書狀態(tài)的實時查詢；第3章數(shù)字簽名和認證管理本地用戶資料。2、CA功能證書管理包括的內容十分廣泛，大致可分為證書的存取、證書驗證、證書鏈校驗以及交叉認證等方面。(1)證書的存取(2)證書驗證(4)交叉認證(3)證書鏈校驗第3章數(shù)字簽名和認證4、密鑰管理在PK1體系中，密鑰的管理主要包括密鑰產生、密鑰備份和恢復、密鑰更新、密鑰銷毀和歸檔處理等(1)密鑰產生(2)密鑰備份和恢復(3)密鑰更新(4)密鑰銷毀和歸檔處理3.4.5信任模型第3章數(shù)字簽名和認證選擇信任模型(TrustModel)是構筑和運作PKI所必需的一個環(huán)節(jié)。選擇正確的信任模型以及與它相應的安全級別是非常重要的，同時也是部署PKI所要做的較早和基本的決策之一。信任模型主要闡述了以下幾個問題：一個PKI用戶能夠信任的證書是怎樣被確定的?這種信任是怎樣被建立的?在一定的環(huán)境下，這種信任如何被控制?第3章數(shù)字簽名和認證3.4.5.1認證機構嚴格的層次結構模型層次結構中，上層的CA既可以認證其他CA也可以認證終端實體。雖然在現(xiàn)有的PKI標準中并沒有排除這一點，但是在文獻中層次結構往往都是假設一個給定的CA要么認證終端實體要么認證其他CA．但不能兩者都認證。我們將遵循這個慣例，但不應該認為這是有限制的。)這個層次結構按如下規(guī)則建立：第3章數(shù)字簽名和認證1、根CA認證(更準確地說是創(chuàng)立和簽署證書)直接連接在它下面的CA。2、每個CA都認證零個或多個直接連接在它下面的CA。(注意：在一些認證機構的嚴格3、倒數(shù)第二層的CA認證終端實體。3.4.5.2分布式信任結構模型與在PKI系統(tǒng)中的所有實體都信任惟一一個CA的嚴格層次結構相反，分布式信任結構把信任分散在兩個或多個CA上。也就是說，A把CAl作為他的信任錨，而B可以把CA2做為他的信任錨。第3章數(shù)字簽名和認證3.4.5.3Web模型Web模型在方便性和簡單互操作性方面有明顯的優(yōu)勢，但是也存在許多安全隱患。例如，因為瀏覽器的用戶自動地信任頂安裝的所有公鑰，所以即使這些根CA中有一個是“壞的”(例如，該CA從沒有認真核實被認證的實體)，安全性將被完全破壞。3.4.5.4以用戶為中心的信任模型因為要依賴于用戶自身的行為和決策能力，因此以用戶為中心的模型在技術水平較高和利害關系高度一致的群體中是可行的，但第3章數(shù)字簽名和認證是在一級的群體(它的許多用戶有極少或者沒有安令及PK