《新編密碼學(xué)》課件第6章 數(shù)字簽名_第1頁
《新編密碼學(xué)》課件第6章 數(shù)字簽名_第2頁
《新編密碼學(xué)》課件第6章 數(shù)字簽名_第3頁
《新編密碼學(xué)》課件第6章 數(shù)字簽名_第4頁
《新編密碼學(xué)》課件第6章 數(shù)字簽名_第5頁
已閱讀5頁,還剩100頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

數(shù)字簽名

提供數(shù)據(jù)來源的真實(shí)性、數(shù)據(jù)內(nèi)容的完整性、簽名者的不可否認(rèn)性以及匿名性等信息安全相關(guān)的服務(wù)和保障。

用于網(wǎng)絡(luò)通信的安全以及各種用途的電子交易系統(tǒng)(如電子商務(wù)、電子政務(wù)、電子出版、網(wǎng)絡(luò)學(xué)習(xí)、遠(yuǎn)程醫(yī)療等)中。6.1數(shù)字簽名的基本原理

概念:

數(shù)字簽名是對(duì)以數(shù)字形式存儲(chǔ)的消息進(jìn)行某種處理,產(chǎn)生一種類似于傳統(tǒng)手書簽名功效的信息處理過程。

它通常將某個(gè)算法作用于需要簽名的消息,生成一種帶有操作者身份信息的編碼。示例:Alice和Bob進(jìn)行通信,并使用消息認(rèn)證碼提供數(shù)據(jù)完整性保護(hù):情況一:Alice向Bob發(fā)送消息并附加了用雙方共享密鑰生成的消息認(rèn)證碼,但隨后Alice否認(rèn)曾經(jīng)發(fā)送了這條消息;情況二:Bob有能力偽造一個(gè)消息及認(rèn)證碼并聲稱此消息來自Alice。

分析:如果通信的過程沒有第三方參與的話,這樣的局面是難以仲裁的。

因此,安全的通信僅有消息完整性認(rèn)證是不夠的,還需要有能夠防止通信雙方相互作弊的安全機(jī)制。

數(shù)字簽名

至少滿足的三個(gè)基本要求:1)簽名者任何時(shí)候都無法否認(rèn)自己曾經(jīng)簽發(fā)的數(shù)字簽名;

2)收信者能夠驗(yàn)證和確認(rèn)收到的數(shù)字簽名,但任何人都無法偽造別人的數(shù)字簽名;

3)當(dāng)各方對(duì)數(shù)字簽名的真?zhèn)萎a(chǎn)生爭議時(shí),通過仲裁機(jī)構(gòu)(可信的第三方)進(jìn)行裁決。數(shù)字簽名與手寫簽名的差異

1)手寫簽名與被簽文

件物理上是一個(gè)整

體,不可分離;2)手書簽名通過物理

比對(duì)來判斷真?zhèn)危?/p>

需要一定的技藝甚

至需要專門人員,

機(jī)構(gòu)來執(zhí)行;3)手書簽名會(huì)因人而

異,復(fù)制品易于原

件分開。1)數(shù)字簽名與被簽名

的消息是可以相互

分離的比特串;2)數(shù)字簽名通過一個(gè)

嚴(yán)密的公開的算法

來驗(yàn)證簽名的真?zhèn)危?)數(shù)字簽名的拷貝與其原件是完全相同的二進(jìn)制比特串,無法區(qū)分,需防止簽名重復(fù)使用??偨Y(jié):

※簽名者必須向驗(yàn)證者提供足夠多的非保密信息,以便驗(yàn)證者能夠確認(rèn)簽名者的數(shù)字簽名;

※簽名者不能泄露任何用于產(chǎn)生數(shù)字簽名的機(jī)密信息,以防止他人偽造他的數(shù)字簽名。

因此,簽名算法必須能夠提供簽名者用于簽名的機(jī)密信息與驗(yàn)證者用于驗(yàn)證簽名的公開信息。數(shù)字簽名體制:組成部分:※簽名算法

※驗(yàn)證算法用于對(duì)消息產(chǎn)生數(shù)字簽名,通常受一個(gè)簽名密鑰的控制簽名算法或者簽名密鑰是保密的,有簽名者掌握。用于對(duì)消息的數(shù)字簽名進(jìn)行驗(yàn)證,通常受一個(gè)驗(yàn)證密鑰的控制,驗(yàn)證算法和驗(yàn)證密鑰應(yīng)該公開。數(shù)字簽名體制五元組

代表消息空間,它是某個(gè)字母表中所有串的集合;

代表簽名空間,它是所有可能的數(shù)字簽名構(gòu)成的集合;

代表密鑰空間,它是所有可能的簽名密鑰和驗(yàn)證密鑰對(duì)

構(gòu)成的集合;

是簽名算法;是驗(yàn)證算法。對(duì)于任意的一個(gè)密鑰對(duì),每一個(gè)消息和簽名。

簽名變換:和驗(yàn)證變換

:是滿足下列條件的函數(shù):數(shù)字簽名的特性

※兩大方面:—功能特性

—安全特性指為了使數(shù)字簽名能夠?qū)崿F(xiàn)需要的的功能要求而應(yīng)具備的一些特性。確保提供的的功能是安全的,能夠滿足安全需求,實(shí)現(xiàn)預(yù)期的安全保障。功能特性:

1)依賴性2)獨(dú)特性3)可驗(yàn)證性4)不可偽造性5)可用性一個(gè)數(shù)字簽名與被簽消息是緊密相關(guān),不可分割的,離開被簽消息,簽名不再具有任何效用。數(shù)字簽名必須是根據(jù)簽名者擁有的獨(dú)特消息來產(chǎn)生的,包含了能夠代表簽名者特有身份的關(guān)鍵信息。通過驗(yàn)證算法能夠準(zhǔn)切地驗(yàn)證一個(gè)數(shù)字簽名的真?zhèn)?。偽造一個(gè)簽名者的數(shù)字簽名不僅在計(jì)算上不可行,而且希望通過重用或者拼接的方法偽造簽名也是行不通的。數(shù)字簽名的生成,驗(yàn)證和識(shí)別的處理過程相對(duì)簡單,能夠在普通的設(shè)備上快速完成,甚至可以在線處理,簽名的結(jié)果可以存儲(chǔ)和備份。安全特性:

1)單向性2)無碰撞性3)無關(guān)性

優(yōu)點(diǎn):從根本上消除了成功偽造數(shù)字簽名的可能性。對(duì)于給定的數(shù)字簽名算法,簽名者使用自己的簽名密鑰sk對(duì)消息m進(jìn)行數(shù)字簽名是計(jì)算上容易的,但給定一個(gè)消息m和它的一個(gè)數(shù)字簽名s,希望推導(dǎo)出簽名者的簽名密鑰sk是計(jì)算上不可行的。對(duì)于兩個(gè)不同消息,在相同的簽名密鑰下的數(shù)字簽名相等的概率是可以忽略的。對(duì)于兩個(gè)不同的消息,從某個(gè)簽名者對(duì)其中一個(gè)消息的簽名推導(dǎo)出對(duì)另一個(gè)消息的簽名是不可能的。缺陷:不抵抗竊聽?;诠€密碼的數(shù)字簽名體制發(fā)送方簽名算法驗(yàn)證算法密鑰空間接受方mcmskpk基于公鑰密碼的加密和簽名體制

注意:先簽名,后加密的順序不能顛倒發(fā)送方密鑰空間解密算法加密算法簽名算法驗(yàn)證算法密鑰空間接受方mzzcmpk2sk2sk1pk1原始信息Hash算法Hash值加密簽名私鑰原始信息Hash算法Hash值驗(yàn)證公鑰Hash值=?SenderReceiver數(shù)字簽名的實(shí)現(xiàn)方法:數(shù)字簽名的分類

直接數(shù)字簽名體制

可仲裁的數(shù)字簽名體制直接數(shù)字簽名A:EKSa[M]→BB:EKPa[EKSa[M]]只有A具有KSa,可以進(jìn)行加密(簽名)任何第三方都可以用KPa驗(yàn)證簽名只提供簽名功能A:EKPb[EKSa[M]]→BB:EKPa[EKSb[EKPb[EKSa[M]]]]提供加密(KPb)和簽名(KSa)功能KSa、KPa

分別是A的私鑰和公鑰直接數(shù)字簽名A:M‖EKSa[H(M)]→BB:h=H(M);EKPa[EKSa[H(M)]]=h’;h’=h?H(M)受到Hash算法不可逆的保護(hù)只有A能夠生成EKSa[H(M)]提供簽名和鑒別功能A:EKPb[M‖EKSa[H(M)]]→B B:EKSb[EKPb[M‖EKSa[(M)]]];h=H(M); EKPa[EKSa[H(M)]]=h’;h’=h?提供加密(KPb)、簽名(KSa)和鑒別(H(M))功能直接數(shù)字簽名的缺點(diǎn)驗(yàn)證模式依賴于發(fā)送方的公鑰發(fā)送方要抵賴發(fā)送某一信息時(shí),可能會(huì)聲稱其私有密鑰丟失或被竊,從而他人偽造了他的簽名。需要采用與私有密鑰安全性相關(guān)的行政管理控制手段來制止或至少是削弱這種情況,但威脅在某種程度上依然存在。改進(jìn)的方式,例如可以要求被簽名的信息包含一個(gè)時(shí)間戳(日期與時(shí)間),并要求將已暴露的密鑰報(bào)告給一個(gè)授權(quán)中心。仲裁簽名引入仲裁者所有從發(fā)送方A(Alice)到接收方B(Bob)的簽名信息首先送到仲裁者C(Carol)。C將信息及其簽名進(jìn)行一系列測試,以檢查其來源和內(nèi)容。C將信息加上日期并與驗(yàn)證通過的指示一起發(fā)給B。前提條件:所有的參與者必須極大地相信這一仲裁機(jī)制的工作。仲裁簽名-單密鑰加密方式A與C之間共享密鑰Kac,B與C之間共享密鑰Kbc;A:M‖EKac[IDA‖H(M)]→CA:計(jì)算消息M的散列碼H(M),用A的標(biāo)識(shí)符IDA

和散列值構(gòu)成簽名,并將消息和經(jīng)Kac加密后的簽名發(fā)送給C;C:EKbc[IDA‖M‖EKac[IDA‖H(M)]‖T]→BC:解密簽名,用H(M)驗(yàn)證消息M,然后將IDA,M,經(jīng)Kac加密后的簽名和時(shí)間戳T一起經(jīng)Kbc加密發(fā)送給B;B:解密C發(fā)來的信息,并將消息M和經(jīng)Kac加密后的簽名保存起來。B不能直接驗(yàn)證A的簽名問題:C可以看到A給B的所有信息仲裁簽名-單密鑰加密方式驗(yàn)證簽名B:EKbc[IDA‖M‖EKac[IDA‖H(M)]]→CC:用EKbc恢復(fù)IDA,M和簽名EKac[IDA‖H(M)],然后用EKac解密簽名并驗(yàn)證散列碼。在這種模式下,B不能直接驗(yàn)證A的簽名,B認(rèn)為C的消息正確,只因?yàn)樗麃碜杂贑。因此,雙方必須高度相信C。并且相信C處理爭議時(shí)是公正的。A和B之間也可以約定一個(gè)對(duì)稱密鑰,并使用該密鑰加密明文后,再進(jìn)行以上的簽名操作,這樣C就無法看到明文的內(nèi)容。問題C與A聯(lián)手可以否認(rèn)簽名的信息C與B聯(lián)手可以偽造A的簽名仲裁簽名-雙密鑰加密方式A:IDA‖EKSa[IDA‖EKPb[EKSa[M]]]→CA首先用自己的私有密鑰KSa,然后用B的公開密鑰KPb,生成經(jīng)過簽名的密文。最后將該信息以及A的標(biāo)識(shí)符一起用自己的私鑰EKSa簽名后與IDA一起發(fā)送給C。這時(shí)加密過的消息對(duì)C,以及B以外的其他人都是保密的。C:EKSc[IDA‖EKPb[EKSa[M]]‖T]→BC檢查A的簽名是否有效,并確認(rèn)消息。然后將包含IDA、經(jīng)A加密并簽名的消息和時(shí)間戳的消息用自己的私鑰EKSc簽名后發(fā)送給B。仲裁簽名-的特點(diǎn)在通信之前,各方之間無需共享任何信息,從而避免了聯(lián)手作弊;即使A的私鑰EKSa泄露,只要C的私鑰未泄露,不會(huì)有錯(cuò)誤標(biāo)定日期的消息被發(fā)送;A發(fā)送給B的消息的內(nèi)容對(duì)C和任何除A、B以外的其他人是保密的。引入仲裁簽名只是為了通過仲裁者證明指定信息是由A在指定的時(shí)間發(fā)送給B的。并不代表指定信息是由仲裁者簽發(fā)的。6.2RSA數(shù)字簽名

RSA簽名體制是Diffie和Hellman提出數(shù)字簽名思想后的第一個(gè)數(shù)字簽名體制,它是由Rivest、Shamir和Adleman三人共同完成的。該簽名體制來源于RSA公鑰密碼體制的思想,將RSA公鑰體制按照數(shù)字簽名的方式運(yùn)用。RSA數(shù)字簽名

※選取兩個(gè)不同的大素?cái)?shù)p和q,計(jì)算

選取一個(gè)與

互素的正整數(shù)

e,并計(jì)算出d滿足

,即

d是e模

的逆。

最后,公開

n和

e作為簽名驗(yàn)證密鑰,秘密保存

p、

q和d作為簽名密鑰。RSA數(shù)字簽名體制的消息空間和簽名空間都是Zn,分別對(duì)應(yīng)于RSA公鑰密碼體制的明文空間和密文空間。簽名時(shí):得到的結(jié)果s就是簽名者對(duì)消息m的數(shù)字簽名。驗(yàn)證時(shí):驗(yàn)證者通過下式判斷簽名的真?zhèn)蜶SA數(shù)字簽名的安全問題

對(duì)RSA數(shù)字簽名算法進(jìn)行選擇密文攻擊可以實(shí)現(xiàn)三個(gè)目的,即:

※消息破譯

※騙取仲裁簽名

※騙取用戶簽名消息破譯即得到了原始的明文消息騙取仲裁簽名攻擊者騙取仲裁簽名騙取用戶簽名主要思想:當(dāng)攻擊者希望某合法用戶對(duì)一個(gè)消息m進(jìn)行簽名但該簽名者可能不愿意為其簽名時(shí):

將m分解成兩個(gè)(多個(gè))更能迷惑合法用戶的消息m1和m2,且滿足m=m1×m2;

讓合法用戶對(duì)m1和m2分別簽名;攻擊者最終獲得該合法用戶對(duì)消息m的簽名。結(jié)論:上述選擇密文攻擊都是利用了指數(shù)運(yùn)算能夠保持輸入的乘積結(jié)構(gòu)這一缺陷(稱為可乘性)。

因此,任何時(shí)候都不能對(duì)陌生人提交的消息直接簽名,最好先經(jīng)過某種處理。攻擊方法(續(xù))1)偽造者Oscar選取一個(gè)消息y,并取得某合法用戶的RSA公鑰(n,e);

2)計(jì)算:

3)偽造者聲稱y是該合法用戶對(duì)消息x的RSA簽名,達(dá)到了假冒該合法用戶的目的。

這是因?yàn)椋摵戏ㄓ脩粲米约旱乃借€d對(duì)消息x合法簽名的結(jié)果正好就是y,即:

因此從算法本身不能識(shí)別偽造者的假冒行為6.3Rabin數(shù)字簽名

Rabin數(shù)字簽名體制利用Rabin公鑰密碼算法構(gòu)造而成。

由于Rabin公鑰密碼算法與RSA公鑰密碼算法的相似性,Rabin簽名算法與RSA簽名算法也具有類似的相似性。6.3.1Rabin數(shù)字簽名算法Rabin數(shù)字簽名算法的系統(tǒng)參數(shù)包括兩個(gè)隨機(jī)選取的相異大素?cái)?shù)p和q,及它們的乘積。其中,n為公開密鑰,p和q則需要保密。消息空間和簽名空間都是由同為模p平方剩余和模q平方剩余的正整數(shù)構(gòu)成的集合。簽名時(shí):對(duì)一個(gè)消息

m∈zn簽名時(shí)※判斷消息m是否同時(shí)是模

p和模q的平方剩余;

※否:

對(duì)m作一個(gè)變換,將其映射成滿足要的。

是:對(duì)m簽字就是計(jì)算模m的平方根,即:

求解合數(shù)模的平方根是困難的,除非能夠?qū)δ?shù)進(jìn)行素因子分解。即:

知道模數(shù)n的兩個(gè)素因子p和q,然后將問題轉(zhuǎn)化成一次同余方程組,再利用中國剩余定理求解。

偽造Rabin簽名是困難的驗(yàn)證時(shí):

※驗(yàn)證者計(jì)算消息簽名的平方;

通過下式確認(rèn)數(shù)字簽名的真?zhèn)危?/p>

Rabin簽名正確性的驗(yàn)證是顯而易見的。Rabin簽名算法的安全問題Rabin算法是一種基于平方剩余的公鑰體制,這種體制已經(jīng)被證明它的安全性正好等價(jià)于大整數(shù)分解的困難性,但這種體制也容易遭受一種特定的攻擊,其方法如下:攻擊者簽名者XM等待簽名者送回?cái)?shù)字簽名S缺陷

它要求被簽消息必須是模的平方剩余

若不是,將被簽消息映射到滿足要求的另一個(gè)消息m′上,再用m′的Rabin簽名作為原消息的簽名。6.4ElGamal數(shù)字簽名

思想:

ElGamal簽名體制是一種基于離散對(duì)數(shù)問題的數(shù)字簽名方案。ElGamal簽名算法是專門為數(shù)字簽名設(shè)計(jì)的。

ElGamal數(shù)字簽名算法

ElGamal簽名體制也是非確定性的,任何一個(gè)給定的消息都可以產(chǎn)生多個(gè)有效的ElGamal簽名,并且驗(yàn)證算法能夠?qū)⑺鼈冎械娜魏我粋€(gè)當(dāng)作可信的簽名接受。ElGamal簽名方案的系統(tǒng)參數(shù)

一個(gè)大素?cái)?shù)p;

的生成元g;

任取的秘密數(shù)a;

一個(gè)由g和a計(jì)算得到的整數(shù)y;P的大小足以使Zp上的離散對(duì)數(shù)問題難以解決y滿足:

這些系統(tǒng)參數(shù)構(gòu)成ElGamal數(shù)字簽名的密鑰K=(p,g,a,y),其中(p,g,y)是公開密鑰,a是私有密鑰。簽名時(shí):驗(yàn)證時(shí):例6.1若要對(duì)消息m=100簽名時(shí),假設(shè)取隨機(jī)數(shù)k=213且則有:(續(xù))且所以,得到一個(gè)新的數(shù)字簽名s=(126,350)(續(xù))驗(yàn)證時(shí):

對(duì)于第一個(gè)數(shù)字簽名s=(29,51),有

而:(續(xù))

對(duì)于第二個(gè)數(shù)字簽名s=(126,350),仍然有

而:

所以,兩個(gè)數(shù)字簽名都是有效的。對(duì)ElGamal簽名算法的可能攻擊

ElGamal數(shù)字簽名算法的安全性依賴于求解離散對(duì)數(shù)問題的困難性,如果求解離散對(duì)數(shù)已經(jīng)不再困難了,那么ElGamal數(shù)字簽名算法也就沒有任何意義了。

在假定離散對(duì)數(shù)問題依然難以求解的情況下,ElGamal簽名方案仍然存在一些安全威脅。

這些安全威脅首先來自于對(duì)方案使用不當(dāng)而造成的可能攻擊,包括兩個(gè)方面:

對(duì)簽名中使用的隨機(jī)整數(shù)k保管不當(dāng),發(fā)生

泄露;

重復(fù)使用簽名隨機(jī)數(shù)k。隨機(jī)整數(shù)k保管不當(dāng)注意:這時(shí)整個(gè)系統(tǒng)完全被破壞,攻擊者可以隨意偽造該簽名者的數(shù)字簽名。重復(fù)使用k可以使攻擊者易于計(jì)算出簽名者的私有密鑰a。具體做法:

設(shè)和分別是某個(gè)簽名者對(duì)消息和的簽名,且

,有:

兩式相減,得:設(shè):

那么,

所以,

記:

則等式變成且

由于

所以,由擴(kuò)展的歐幾里得算法求出:

得:

故:,

利用同余式:

即可測出唯一正確的k。

找到簽名隨機(jī)數(shù)k,即可計(jì)算出簽名者的私有密鑰a。偽造簽名攻擊

方法一:由此可見,攻擊者可以在惟密鑰的情況下進(jìn)行存在性偽造。

設(shè):i和j是上的整數(shù)且可表示為:

那么簽名驗(yàn)證條件是:于是有:若且

則上式成立。因此,在給定的i和j,且的條件下,很容易利用這兩個(gè)同余式求出和,結(jié)果如下:

顯然,按照種方法構(gòu)造出來的是消息的有效簽名,但它是偽造的。例6.2

設(shè),,。選取和那么,

計(jì)算:

(435,425)是對(duì)消息m=285的有效簽名,這可以從下面的式子得到驗(yàn)證:方法二:此方法屬于已知消息攻擊存在性偽造,偽造簽名者需要從合法簽名者的某個(gè)已知簽名消息開始,來偽造一個(gè)新消息簽名。具體實(shí)現(xiàn):

計(jì)算:

那么,簽名條件

于是,偽造出一個(gè)是的有效簽名。小結(jié)這兩種偽造簽名的攻擊都是對(duì)ElGamal數(shù)字簽名的存在性偽造,對(duì)抗這種存在性偽造的簡單辦法是使消息格式化。

最簡單的消息格式化機(jī)制:

在消息中嵌入一個(gè)可識(shí)別的部分;

※最有效的消息格式化機(jī)制:對(duì)消息進(jìn)行Hash函數(shù)處理;方法三:小結(jié)

先計(jì)算:

然后計(jì)算,使?jié)M足

顯然,可以通過中國剩余定理解出。

歷史背景:

數(shù)字簽名標(biāo)準(zhǔn)DSS(DigitalSignatureStandard)是由美國國家標(biāo)準(zhǔn)技術(shù)協(xié)會(huì)NIST于1991年8月公布,并于1994年12月1日正式生效的一項(xiàng)美國聯(lián)邦信息處理標(biāo)準(zhǔn)。6.5數(shù)字簽名標(biāo)準(zhǔn)DSS

DSS的數(shù)字簽名算法

DSS數(shù)字簽名標(biāo)準(zhǔn)使用的算法稱為數(shù)字簽名算法DSA(DigitalSignatureAlgorithm),它是在ElGamal和Schnorr兩個(gè)方案基礎(chǔ)上設(shè)計(jì)出來的。DSA的系統(tǒng)參數(shù)※※※

※一個(gè)用戶隨機(jī)選取的整數(shù),并計(jì)算出※一個(gè)Hash函數(shù)H:。

這些系統(tǒng)參數(shù)構(gòu)成DSA的密鑰空間:

其中,

為公開密鑰,a是私有密鑰。簽名時(shí):

對(duì)消息m生成數(shù)字簽名時(shí),隨機(jī)選取一個(gè)秘密整數(shù),并計(jì)算出:

就是消息m的數(shù)字簽名,即

由此可見,DSA的簽名空間為,簽名的長度比ElGamal體制短了許多。驗(yàn)證者知道簽名者的公開密鑰驗(yàn)證時(shí):對(duì)于一個(gè)消息-簽名對(duì),計(jì)算下面幾個(gè)值并判定簽名的真實(shí)性:這是因?yàn)?,如果是消息的有效簽名,那么DSA數(shù)字簽名算法基本框圖

m

f1f3f2SHA-1

SHA-1f4比較m

p,q,gkaqwkv例6.3假設(shè)簽名者的私有密鑰為a=87,那么,簽名時(shí):

假如該簽名者要對(duì)一個(gè)消息摘要為SHA-1(m)=132的消息m簽名,并且簽名者選擇的秘密隨機(jī)數(shù)為k=79,則需要計(jì)算:因此,(99,57)是消息m的簽名驗(yàn)證時(shí):

計(jì)算:

所以,

說明以上簽名是有效的。DSA算法的評(píng)價(jià)

DSA算法不能用于數(shù)據(jù)加密,也不能用于密鑰分配;DSA算法比RSA慢;DSA算法的密鑰長度;驗(yàn)證簽名時(shí)DSA比RSA慢10到40倍密鑰長度變化范圍在512比特到1024比特之間DSA算法的安全問題

主要有以下幾個(gè)方面:

攻擊秘密數(shù)k;

共用模數(shù)的危險(xiǎn);DSA的閾下信道;

允許簽名者在其簽名中嵌入秘密消息,只有知道密鑰的人能提取簽名者嵌入的秘密消息.小結(jié)數(shù)字簽名與公鑰加密的區(qū)別簽名加密HashSIGHash解密比較mmsskAs=SIGsk

(Hash(m))pkA發(fā)送方加密算法解密算法接收方密鑰空間mmc發(fā)送方A(,)pkAskA接收方B(,)pkBskBpkBskB發(fā)送方A接收方BAB小結(jié)數(shù)字簽名與公鑰加密的區(qū)別數(shù)字簽名與消息加密的結(jié)合使用特殊數(shù)字簽名隨著網(wǎng)絡(luò)技術(shù)和電子商務(wù)的迅猛發(fā)展,迫切需要解決網(wǎng)上數(shù)據(jù)傳輸安全以及交易雙方的身份識(shí)別和認(rèn)證。簡單模擬手寫簽名的普通簽名已不能完全滿足應(yīng)用的需要,許多新的應(yīng)用環(huán)境要求數(shù)字簽名能支持一些特殊的功能,因此,需要在基本數(shù)字簽名技術(shù)的基礎(chǔ)上進(jìn)行擴(kuò)展,以滿足這些特殊的需求。特點(diǎn):

如果沒有簽名者Alice的合作,簽名的有效性就得不到驗(yàn)證。好處:防止了由Alice簽署的消息在沒有經(jīng)過Alice本人同意而被復(fù)制和分發(fā)的可能性。1.不可否認(rèn)簽名簽名的構(gòu)成組成:

簽名算法

驗(yàn)證協(xié)議

否認(rèn)協(xié)議參數(shù)生成密鑰空間為:

其中是公鑰,是私鑰。對(duì)于消息,簽名者計(jì)算

簽名驗(yàn)證協(xié)議隨機(jī)選取參數(shù)e1,e2e1e2

c

d

當(dāng)且僅當(dāng)Bob認(rèn)為簽名合法

否認(rèn)協(xié)議隨機(jī)選取參數(shù)e1,e2e1e2

c

d計(jì)算隨機(jī)選取CD計(jì)算

當(dāng)且僅當(dāng)Bob認(rèn)為簽名是偽造的。Alice能使Bob相信一個(gè)無效的簽名是一個(gè)偽造簽名Alice能使Bob以一個(gè)很小的概率相信一個(gè)有效的簽名是偽造的不可否認(rèn)數(shù)字簽名的應(yīng)用

軟件公司A發(fā)行了一套最新的軟件.它向用戶承諾,此軟件不含

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論