当前位置：文档之家› 数字签名和密码协议

数字签名和密码协议

注意：注意：在这种模式下Y不能直接验证的签名，认为的消息正确，不能直接验证X的签名认为A的消息正确在这种模式下不能直接验证的签名，Y认为的消息正确，只因为它来自A。因此，双方都需要高度相信A: 因为它来自。因此，双方都需要高度相信 • X必须信任没有暴露 xa，并且没有生成错误的签名必须信任A没有暴露必须信任没有暴露K EKxa[IDx|| H(M)] • Y必须信任仅当散列值正确并且签名确实是产生的情况下才必须信任A仅当散列值正确并且签名确实是必须信任仅当散列值正确并且签名确实是X产生的情况下才发送的 EKay[IDx|| M || EKxa[IDx|| H(M)] || T] • 双方都必须信任处理争议是公正的。双方都必须信任A处理争议是公正的处理争议是公正的。只要A遵循上述要求遵循上述要求，相信没有人可以伪造其签名；相信相信X不只要遵循上述要求，则X相信没有人可以伪造其签名；Y相信不相信没有人可以伪造其签名能否认其签名。能否认其签名。
直接数字签名
(2) A→B: M||ESKa[H(M)] → 提供鉴别及数字签名 -- H(M) 受到密码算法的保护；受到密码算法的保护； -- 只有 A 能够生成 ESKa[H(M)] (2’) A→B: EK[M||ESKa[H(M)]] → 提供保密性、鉴别和数字签名。提供保密性、鉴别和数字签名。
数字签名可用加密算法或特定的签名算法产生。由加密算法产生的数字签名
E EK(M) D M
1.
M
K
K
单钥加密：保密性和认证性
公钥加密
M
E E
SKA(M)
D
M
SKA
PKA
公钥加密：认证性和签名
M
E SKA E
SKA(M)
E
D
D PKA SKB
M
PKB
ቤተ መጻሕፍቲ ባይዱ
公钥加密：保密性、认证性和签名
2. 由签名算法产生数字签名
数字签名算法
普通数字签名算法
RSA EIGamal DSS/DSA
不可否认的数字签名算法群签名算法盲签名算法
RSA签名方案
RSA签名
•A的公钥私钥对的公钥私钥对{PKa,SKa} 的公钥私钥对 •A对消息签名 SA=ESKa(M) 对消息M签名对消息签名: •问题: 问题
–速度慢 –信息量大 –第三方仲裁时必须暴露明文信息 –漏洞 ESKa(x×y)≡ESKa(x)×ESKa(y) mod 漏洞: × ≡ × o先做摘要: HM = hash(M) 先做摘要 o再对 M签名 A=ESKa(HM) 再对H 签名S
X的某些私有密钥确实在时间T被窃取，敌方可以伪造X的签名及早于或等于时间T的时间戳。
数字签名的执行方式——仲裁数字签名
引入仲裁者。
通常的做法是所有从发送方X到接收方Y的签名消息首先送到仲裁者A，A将消息及其签名进行一系列测试，以检查其来源和内容，然后将消息加上日期并与已被仲裁者验证通过的指示一起发给Y。
数字签名应具有的性质
必须能够验证作者及其签名的日期时间；必须能够认证签名时刻的内容；签名必须能够由第三方验证，以解决争议；
因此，因此，数字签名功能包含了鉴别的功能
数字签名的设计要求
签名必须是依赖于被签名信息的一个位串模式；签名必须使用某些对发送者是唯一的信息，以防止双方的伪造与否认；必须相对容易生成该数字签名；必须相对容易识别和验证该数字签名；伪造该数字签名在计算复杂性意义上具有不可行性，既包括对一个已有的数字签名构造新的消息，也包括对一个给定消息伪造一个数字签名；在存储器中保存一个数字签名副本是现实可行的。
先签名,后加密: 先签名,后加密: EPKb{M||SigA(M)} 后加密先加密,后签名后签名: 先加密后签名 {EPKb(M)||SigA(EPKb(M))} •方式的问题的问题: –发生争议时需要向仲裁者提供自己的私钥发生争议时,B需要向仲裁者提供自己的私钥 –安全漏洞攻击者截获消息 PKb(M),把SigA(EPKb(M)) 安全漏洞: 攻击者E截获消息截获消息E 把换成Sig 以为该消息来自E 换成 E(EPKb(M)),让B以为该消息来自让以为该消息来自 –保存信息多除了保存信息多:除了除了M,SigA(EPKb(M)), 还要保存 PKb(M) 还要保存E (∵PKb可能过期可能过期) ∵
仲裁者在这一类签名模式中扮演敏感和关键的角色。
所有的参与者必须极大地相信这一仲裁机制工作正常。（trusted system）
仲裁数字签名技术
(a) 单密钥加密方式，仲裁者可以看见消息单密钥加密方式， (1) X→A：M||EKxa[IDx|| H(M)] → ： (2) A→Y：EKay[IDx|| M || EKxa[IDx|| H(M)] || T] → ： X与A之间共享密钥 xa，Y与A之间共享密钥 ay；与之间共享密钥之间共享密钥K 之间共享密钥K 与之间共享密钥 X：准备消息，计算其散列码的标识符ID ：准备消息M，计算其散列码H(M)，用X的标识符 x 和散列值构成，的标识符签名，并将消息及签名经K 加密后发送给A；签名，并将消息及签名经 xa加密后发送给； A：解密签名，用H(M)验证消息，然后将 x，M，签名，和时间戳验证消息M，然后将ID ：解密签名，验证消息，签名，一起经K 加密后发送给Y；一起经 ay加密后发送给； Y：解密发来的信息，并可将和签名保存起来。发来的信息，和签名保存起来。：解密A发来的信息并可将M和签名保存起来解决纠纷：解决纠纷： Y：向A发送 EKay[IDx|| M || EKxa[IDx|| H(M)]] ：发送 A：用Kay恢复 x，M，和签名（ EKxa[IDx|| H(M)]），然后用 xa解密签恢复ID ），然后用：，和签名（），然后用K 名并验证散列码
上述情况还隐含着A可以看到给的所有信息的所有信息，上述情况还隐含着可以看到X给Y的所有信息，因而所有的窃听者可以看到也能看到。也能看到。
(b) 单密钥加密方式，仲裁者不可以看见消息单密钥加密方式， (1) X→A： IDx || EKxy[M]||EKxa[IDx|| H(EKxy[M])] → ： (2) A→Y：EKay[IDx||EKxy[M] || EKxa[IDx|| H(EKxy[M])] || T] → ：在这种情况下，X与Y之间共享密钥 xy，之间共享密钥K 在这种情况下，与之间共享密钥 X：将标识符 x ,密文 EKxy[M]，以及对 x和密文消息的散列码用：将标识符ID 密文，以及对ID Kxa加密后形成签名发送给。加密后形成签名发送给发送给A。 A：解密签名，用散列码验证消息，这时只能验证消息的密文而不：解密签名，用散列码验证消息，这时A只能验证消息的密文而不能读取其内容。然后A将来自的所有信息加上时间戳并用K 将来自X的所有信息加上时间戳并用能读取其内容。然后将来自的所有信息加上时间戳并用 ay加密后发送给Y。密后发送给。 (a)和(b)共同存在一个共性问题：和共同存在一个共性问题：共同存在一个共性问题 A和发送方联手可以否认签名的信息；和发送方联手可以否认签名的信息；和发送方联手可以否认签名的信息 A和接收方联手可以伪造发送方的签名和接收方联手可以伪造发送方的签名；
(c) 双密钥加密方式，仲裁者不可以看见消息双密钥加密方式， (1) X→A： IDx || ESKx[IDx || EPKy (ESKx[M])] → ： (2) A→Y： ESKa[IDx|| EPKy[ESKx[M]] || T] → ： X：对消息M双重加密：首先用的私有密钥：对消息双重加密首先用X的私有密钥双重加密：的私有密钥SKx，然后用的公开，然后用Y的公开密钥PKy。形成一个签名的、保密的消息。然后将该信息以及密钥。形成一个签名的、保密的消息。 X的标识符一起用的标识符一起用SRx签名后与签名后与IDx 一起发送给。这种内部、一起发送给A。这种内部、的标识符一起用签名后与双重加密的消息对A以及对除以外的其它人都是安全的。以及对除Y以外的其它人都是安全的双重加密的消息对以及对除以外的其它人都是安全的。 A：检查的公开私有密钥对是否仍然有效，是，则确认消息。并的公开/私有密钥对是否仍然有效则确认消息。：检查X的公开私有密钥对是否仍然有效，将包含IDx、双重加密的消息和时间戳构成的消息用消息用KRa签名后将包含、签名后发送给Y。发送给。本模式比上述两个模式具有以下好处：本模式比上述两个模式具有以下好处： 1、在通信之前各方之间无须共享任何信息，从而避免了联手作弊；、在通信之前各方之间无须共享任何信息，从而避免了联手作弊； 2、即使暴露，只要SKa 未暴露，不会有错误标定日期的消息未暴露，、即使SKx 暴露，只要被发送；被发送； 3、从X发送给的消息的内容对和任何其他人是保密的。发送给Y的消息的内容对和任何其他人是保密的。、发送给的消息的内容对A和任何其他人是保密的
第七章数字签名和密码协议
数字签名由公钥发展而来，为保证网络安全起着决定性的作用，在身份认证、数据完整性和不可否认性以及匿名性等方面有着重要的应用。数字签名的基本概念数字签名标准认证协议身份证明技术
数字签名
消息认证用以保护通信双方之间的数据交换不被第三方侵犯；但它并不保证双方自身的相互欺骗。假定A发送一个认证的信息给B，双方之间的争议可能有多种形式：
明文M，密钥x 签名算法Sigx（M）验证算法Verx（M）
签名算法的安全性在于从消息和签名推出密钥或伪造一个有同一签名的新消息在算法上是不可行。法上是不可行。
数字签名的执行方式——直接数字签名（DDS）

e商务文档

数字签名和密码协议

相关文档推荐：