最新13数字签名和认证协议
会话密钥由A选择,所以不存在会话密钥被AS泄密的危险 时间戳可用于防止重放攻击,但需要时钟同步。
改用临时交互号
2020/10/3
西安电子科技大学计算机学院
12
§13.2.2 单向认证
当收发双方不能在同一时间在线时 (eg. email) 有明确的头信息以被邮件系统转发 希望对内容进行保护和认证
西安电子科技大学计算机学院
2
直接数字签名
只涉及收发双方 假定接收方已知发送方的公钥 发送方可以用自己的私钥对整个消息内容或消息
内容的hash值进行加密,完成数字签名。 可以用接收者的公钥来加密以提供保密性 先签名后加密,很重要。 缺点:安全性依赖于发送方私钥的安全性
2020/10/3
西安电子科技大学计算机学院
13数字签名和认证协议
数字签名应满足的条件
签名值必须依赖于所签的消息 必须使用对于发送者唯一的信息
以防止伪造和否认 产生签名比较容易 识别和验证签名比较容易 伪造数字签名在计算上是不可行的。包括
已知数字签名,伪造新的消息 已知消息,伪造数字签名 保存数字签名的拷贝是可行的
2020/10/3
2020/10/3
西安电子科技大学计算机学院
13
对称加密方法
可以变化对KDC的使用,但是不能使用临时交互号: 1. A->KDC: IDA || IDB || N1 2. KDC -> A: EKa[Ks || IDB || N1 || EKb[Ks||IDA] ] 3. A -> B: EKb[Ks||IDA] || EKs[M]
2020/10/3
西安电子科技大学计算机学院
10
公钥加密方法
需要确保彼此的公钥提前已经获知 采用一个中心认证服务器Authentication Server
(AS) 用时间戳或临时交互号的变形协议
2020/10/3
西安电子科技大学计算机学院
11
Denning AS 协议
Denning 81 协议描述如下: 1. A -> AS: IDA || IDB 2. AS -> A: EPRas[IDA||PUa||T] || EPRas[IDB||PUb||T] 3. A -> B: EPRas[IDA||PUa||T] || EPRas[IDB||PUb||T] || EPUb[EPRas[Ks||T]]
不能抗重放攻击 可以引入时间戳到信息中但email的处理中存在大 量延时,使得时间戳用途有限。
2020/10/3Leabharlann 西安电子科技大学计算机学院
14
公钥加密方法
已经讨论过一些公钥加密认证的论题 若关心保密性,则:
A -> B: EPUb[Ks] || EKs[M] 被加密的会话密钥和消息内容 若需要用数字证书提供数字签名,则: A -> B: M || EPRa[H(M)] || EPRas[T||IDA||PUa] 消息,签名,证书
2020/10/3
西安电子科技大学计算机学院
解决办法包括: 序列号 (通常不可行) 时间戳(需要同步时钟) 随机数/响应 (目前的常用方法)
2020/10/3
西安电子科技大学计算机学院
7
对称加密方法
如前所述,需要两层密钥。 可信的KDC, Key Distribution Center
每个用户与KDC共享一个主密钥 KDC产生通信方之间所用的会话密钥 主密钥用于分发会话密钥
3
仲裁数字签名
仲裁者A
验证任何签名的消息 给消息加上日期并发送给接收者
需要对仲裁者有合适的信任级别 即可在私钥体制中实现,又可在公钥体制中实现 仲裁者可以或者不可以阅读消息
2020/10/3
西安电子科技大学计算机学院
4
2020/10/3
西安电子科技大学计算机学院
5
§13.2 认证协议
2020/10/3
西安电子科技大学计算机学院
15
§13.2.2 数字签名标准
Digital Signature Standard (DSS)
美国政府的签名方案 由NIST 和NSA,在20世纪90年代设计 1991年,作为FIPS-186发布 1993, 1996 ,2000进行了修改 采用SHA hash算法 DSS 是标准 DSA 算法。 FIPS 186-2 (2000) 包括可选的 RSA 和椭圆曲线签名
2020/10/3
西安电子科技大学计算机学院
8
Needham-Schroeder 协议
有第三方参与的密钥分发协议 KDC作为AB会话的中介 协议:
1. A -> KDC: IDA || IDB || N1 2. KDC -> A: EKa [Ks || IDB || N1 || EKb [Ks || IDA] ] 3. A -> B: EKb [Ks || IDA] 4. B -> A: EKs[N2] 5. A -> B: EKs[ f (N2) ]
2020/10/3
西安电子科技大学计算机学院
9
Needham-Schroeder 协议
用于安全地分发AB之间通信所用的会话密钥 存在重放攻击的风险,如果一个过时的会话密钥被
掌握 则消息3可以被重放以欺骗B使用旧会话密钥,使
B遭到破坏 解决的办法:
时间戳 (Denning 81) 使用一个额外的临时会话号 (Neuman 93)
用于确认通信的参与者,并交换会话密钥。 认证可以是单向的也可以是相互的。 主密钥应该是
保密的 – 保护会话密钥 有时间性 – 防止重放攻击
发布的协议往往发现有缺陷需要修订
2020/10/3
西安电子科技大学计算机学院
6
§13.2.1 相互认证
重放攻击
当有效的签名消息被拷贝,之后又重新被发送 简单重放 可检测的重放 不可检测的重放 不加修改的逆向重放(对称密码)
算法
2020/10/3
西安电子科技大学计算机学院
16
Digital Signature Algorithm (DSA)
产生320 bit的签名值 可以提供512-1024 bit 的安全性 比RSA小且快 仅是一个数字签名方案(不能用于加密) 安全性依赖于计算里算对数的困难性 是ElGamal 和Schnorr 方案的变体
