數(shù)字簽名與鑒別協(xié)議.ppt

1、第十章數(shù)字簽名和認(rèn)證協(xié)議、數(shù)字簽名認(rèn)證協(xié)議數(shù)字簽名標(biāo)準(zhǔn)(DSS )、1 .數(shù)字簽名、消息認(rèn)證示例：1 .數(shù)字簽名、消息認(rèn)證示例的安全性分析：可用于保護(hù)通信雙方不受第三方攻擊。 不能用于防止通信雙方的相互攻擊，通信雙方可能存在各種形式的紛爭(zhēng)。 原因：收件人可能是偽造的，聲稱(chēng)來(lái)自發(fā)件人。 接收方只要單純生成一條消息，并將使用發(fā)送方和接收方共享的密鑰生成的認(rèn)證碼附加即可。 發(fā)送者可以否定該消息已經(jīng)被發(fā)送。 由于接收方能夠偽造消息，因此不能證明發(fā)送方已經(jīng)發(fā)送了該消息。 1 .數(shù)字簽名、解決方案：由于發(fā)件人和收件人之間存在欺詐或否認(rèn)，除了防止第三方攻擊的鑒別外，還需要采取防止雙方相互攻擊的手段。 最吸引

2、人的解決辦法是筆跡簽名的模擬數(shù)字簽名。 數(shù)字簽名所需的基本性質(zhì)：必須能夠確認(rèn)作者的簽名和簽名的日期和時(shí)間。 簽名時(shí)必須能夠認(rèn)證內(nèi)容。 簽名必須由第三方證明以解決糾紛。 數(shù)字簽名、密碼學(xué)對(duì)數(shù)字簽名的需要：簽名必須是比特模式，取決于要簽名的報(bào)紙文章。 簽名必須使用發(fā)送者唯一的信息來(lái)防止偽造或者否認(rèn)。 數(shù)字簽名的生成必須相對(duì)簡(jiǎn)單。 數(shù)字簽名的識(shí)別和證明必須相對(duì)簡(jiǎn)單。 偽造數(shù)字簽名是不可糾正的，不論是利用現(xiàn)有的數(shù)字簽名構(gòu)造新的信息，還是針對(duì)給定的信息構(gòu)造虛假的數(shù)字簽名。 保留數(shù)字簽名的備份在存儲(chǔ)上是真實(shí)的。 數(shù)字簽名的方法：需要直接仲裁的、1 .數(shù)字簽名、直接數(shù)字簽名方案實(shí)施關(guān)于通信方和接收方的加密方

3、案的非對(duì)稱(chēng)密碼學(xué)前提接收方的公鑰簽名實(shí)施可以通過(guò)使用發(fā)送方的私鑰加密整條消息，或者使用發(fā)送方的私鑰加密消息的哈希碼來(lái)形成機(jī)密保持方案可以通過(guò)進(jìn)一步加密整個(gè)消息和簽名來(lái)實(shí)現(xiàn)，并可以使用接收方的公開(kāi)密鑰(公開(kāi)加密)或雙方共享的密鑰(通常加密)來(lái)加密。 實(shí)現(xiàn)密鑰接收者應(yīng)該假定發(fā)送者對(duì)私鑰的完全控制、1 .數(shù)字簽名、直接數(shù)字簽名實(shí)現(xiàn)、1 .數(shù)字簽名、直接數(shù)字簽名方案的有效性取決于發(fā)送者的私鑰的安全性。 弱點(diǎn)分析發(fā)送者如果想要否定某個(gè)消息的發(fā)送，則聲稱(chēng)其私有密鑰丟失或被盜，并偽造他(她)的簽名。 x的私鑰真的有可能在時(shí)間t被盜。 收到此密鑰的人可以發(fā)送具有x的簽名消息并且可以添加小于或等于t的時(shí)間戳。1

4、 .需要數(shù)字簽名、仲裁的數(shù)字簽名方案，從x對(duì)收件人y的每條簽名消息首先發(fā)送給仲裁員a，仲裁員a對(duì)該消息及其簽名進(jìn)行一系列測(cè)試，驗(yàn)證其來(lái)源和內(nèi)容。 然后，在新聞報(bào)道中明確記載日期，附上經(jīng)仲裁證明是真實(shí)的說(shuō)明寄給y。 a的存在解決了直接簽名方式面臨的問(wèn)題： x可能否認(rèn)發(fā)送了這篇報(bào)紙報(bào)道。 實(shí)施一切重要通信的一方，必須充分信任仲裁機(jī)構(gòu)。 1 .數(shù)字簽名、需要仲裁的數(shù)字簽名方案示例(a )正常加密、仲裁可以查看消息內(nèi)容xa:m| ekxaidx| h (m ) ay:ekayidx| m| ek XXX在仲裁中，報(bào)紙報(bào)道的內(nèi)容xa:idx| ekxym| ekxaidx 在看不到ay:ekxaidx|

5、 ekxaidx| h (ekxym )的仲裁中，可以看到訊息內(nèi)容xa:idx| ekrxidx| ekraidx| ekuyekrxm| t，1 .數(shù)字簽名必須確保a是正確的散列碼，而且僅在確實(shí)是x簽名的情況下才被發(fā)送。仲裁可以與始發(fā)者結(jié)成同盟否認(rèn)簽名信息。 雙方必須確信a能公平解決爭(zhēng)端。 仲裁作用。 方案(c )的優(yōu)點(diǎn)通信前的各方不共享任何信息，可以防止串通欺詐的發(fā)生。 假定KRa是安全的，即使KRx不安全，也不會(huì)發(fā)送錯(cuò)誤的消息。 從x發(fā)送給y的信息的內(nèi)容對(duì)a和其他任何人都保密。 2 .認(rèn)證協(xié)議主要涉及內(nèi)容基于新聞報(bào)道的認(rèn)證執(zhí)行與通信對(duì)方的更深層次的有效性認(rèn)證。 相互認(rèn)證單向認(rèn)證，2 .認(rèn)

6、證協(xié)議，相互認(rèn)證的必要性通信對(duì)方的確認(rèn)通信對(duì)方相互認(rèn)證對(duì)方的身份信息交換的機(jī)密性防止信息的篡改和泄漏信息交換的時(shí)效性防止消息再生的威脅消息再生威脅的表現(xiàn)最佳狀況通過(guò)提供類(lèi)似于通信對(duì)方的消息來(lái)擾亂正常的操作。 最壞的情況是，對(duì)方可以獲得會(huì)話(huà)密鑰，或者偽裝成通信對(duì)方。 2 .認(rèn)證協(xié)議、相互認(rèn)證再生攻擊的一般方法示例簡(jiǎn)單再生：對(duì)方簡(jiǎn)單復(fù)制新聞報(bào)道，然后再生。 可記錄的重復(fù)：對(duì)方可以在有效的時(shí)間窗口內(nèi)播放帶時(shí)間戳的消息。 可記錄的重復(fù)：對(duì)方可以在有效的時(shí)間窗口內(nèi)播放帶時(shí)間戳的消息。 沒(méi)有修正的插入播放：這是信息回復(fù)目標(biāo)的播放。 使用普通加密，這種攻擊是可能的，發(fā)送者很難根據(jù)內(nèi)容識(shí)別發(fā)送的消息和接收的消

7、息之間的差異。 2 .對(duì)每條消息分配序列號(hào)，并且僅當(dāng)序列號(hào)滿(mǎn)足正確順序時(shí)才接收新消息，該消息用于認(rèn)證常用方法交換以防相互認(rèn)證重放攻擊。 該方法的難點(diǎn)在于，需要記錄通信對(duì)方處理過(guò)的最新序列號(hào)。 因?yàn)榇嬖谶@樣的負(fù)擔(dān)，序列號(hào)一般不被用于認(rèn)證和密鑰交換。 時(shí)戳： a方接收該消息，并且只有當(dāng)該消息中所包含的時(shí)戳(在由a確定之后)足夠接近a已知的當(dāng)前時(shí)間時(shí)，才將該消息視為新的。 這種方法的難點(diǎn)在于，通信對(duì)方的時(shí)鐘需要同步。 首先，需要一些協(xié)議來(lái)維持不同的處理器時(shí)鐘同步，該協(xié)議必須能夠應(yīng)對(duì)容錯(cuò)性和安全性，即網(wǎng)絡(luò)故障和惡意攻擊。 其次，如果暫時(shí)失去同步，則一方的時(shí)間修正機(jī)制會(huì)錯(cuò)誤，攻擊成功的概率會(huì)大幅度增加。

8、 最后，不期望分布時(shí)鐘保持準(zhǔn)確的同步，因?yàn)榫W(wǎng)絡(luò)時(shí)延的可變性和不可預(yù)測(cè)性。 因此，基于時(shí)間戳的過(guò)程需要足夠的時(shí)間來(lái)支持網(wǎng)絡(luò)延遲，并且需要足夠小的時(shí)間來(lái)將成功攻擊的概率降到最低。 查詢(xún)/響應(yīng)：如果a方想要從b方接收新消息，則首先向b方發(fā)送當(dāng)前消息(nonce ) (查詢(xún))，然后請(qǐng)求在從b方接收的消息(響應(yīng))中包含正確的當(dāng)前值。 此方法不適用于未連接的應(yīng)用程序。 由于在未連接的傳輸之前握手會(huì)增加負(fù)擔(dān)，因此，未連接的傳輸?shù)闹饕卣鲿?huì)大幅丟失。2 .認(rèn)證協(xié)議、相互認(rèn)證的通常的加密原始方案示意圖、2 .認(rèn)證協(xié)議相互認(rèn)證的例行加密過(guò)程描述akdc:IDA| n1kdca:e kaks| IDB| n1|ek

9、 bks| idab:ek bks|將IDA x假定為對(duì)方若已獲得舊會(huì)話(huà)密鑰，則x可冒充a，而可通過(guò)使用舊密鑰簡(jiǎn)單地再生第3步來(lái)騙取b。 除非b始終記住與a的所有會(huì)話(huà)密鑰，否則b無(wú)法確定這是重放。2 .鑒別協(xié)議、相互鑒別相互鑒別的通常加密原始方案改善1過(guò)程記述akdc:IDA| idbkdca:e kaks| IDB| ek bks| IDA| tab 這樣，a和b雙方都知道這個(gè)密鑰分發(fā)是最新的交換。 其中t1是估計(jì)KDC時(shí)鐘與本地時(shí)鐘(a或b )的正常偏差，t2是預(yù)期的網(wǎng)絡(luò)延遲。 每個(gè)節(jié)點(diǎn)可以參照特定的標(biāo)準(zhǔn)參照源設(shè)定自己的時(shí)鐘。 時(shí)間戳t由主密鑰加密，即使對(duì)方獲得舊會(huì)話(huà)密鑰，由于步驟3的再生

10、未被b檢測(cè)到，因而也不成功。 2、認(rèn)證協(xié)議、相互認(rèn)證的傳統(tǒng)加密原始方案改進(jìn)1存在的危險(xiǎn)分布時(shí)鐘因陰謀破壞或同步時(shí)鐘、同步機(jī)制的故障而成為不同的步驟。 這個(gè)問(wèn)題會(huì)在發(fā)送側(cè)的時(shí)間修正比預(yù)計(jì)接收側(cè)的時(shí)間修正快時(shí)發(fā)生。 在這種情況下，對(duì)方截取從a發(fā)送過(guò)來(lái)的消息，并當(dāng)該消息中的時(shí)戳到達(dá)接收方的當(dāng)前時(shí)間時(shí)再現(xiàn)該消息。 這樣的再生可能會(huì)導(dǎo)致意想不到的結(jié)果。 這樣的攻擊稱(chēng)為重放攻擊的抑制。 相互認(rèn)證的以往的加密原始方案改善1的可能性改善加強(qiáng)通信對(duì)方的定期和KDC時(shí)鐘的校正。 避免時(shí)鐘同步的需要，依賴(lài)于使用當(dāng)前的握手。 (仍然會(huì)帶來(lái)其他問(wèn)題。 原因是收件人選擇的目前無(wú)法預(yù)測(cè)發(fā)件人。 2 .認(rèn)證協(xié)議、相互認(rèn)證相互

11、認(rèn)證的一般加密改進(jìn)方案ab:IDA|nab KDC:IDB|ek bida| tbk DCA:eka IDB| na| |因此，此時(shí)間戳不需要同步時(shí)鐘。 因?yàn)閎只檢查自己生成的時(shí)間戳。 a和b分別檢查生成的當(dāng)前Na和Nb，確認(rèn)不是再生。 可信任度過(guò)期Tb的使用使得a在有效時(shí)間內(nèi)想要與b建立新會(huì)話(huà)時(shí)，雙方都不需要重復(fù)與認(rèn)證服務(wù)器的聯(lián)系。 2 .建立認(rèn)證協(xié)議、相互認(rèn)證的普通加密改進(jìn)方案新會(huì)話(huà)的方案A B:EKbIDA | Ks | Tb、Na B A: Nb、EKaNa A B:EKaNb建立新會(huì)話(huà)的方案安全信任狀的到期日Tb驗(yàn)證消息中的票據(jù)是未到期的新發(fā)生、2 .認(rèn)證協(xié)議相互認(rèn)證的公鑰加密原案A

12、AS:IDA| id basa:ekrasida| kua| ekrasidb| tab:ekrasida| ekubekraks| t相互認(rèn)證的公鑰加密原始方案特征中心AS實(shí)際上提供公鑰證書(shū)。 會(huì)話(huà)密鑰由a選擇和加密，因此AS不會(huì)泄漏密鑰。 時(shí)間戳可以防止威脅密鑰安全的再生攻擊，但需要時(shí)鐘同步。 認(rèn)證協(xié)議相互認(rèn)證的公鑰加密改進(jìn)方案1 a KDC:IDA| idbkdca:ekrauthidb| kubab:eku bna| IDA| ekuauthe ekubekrauthna| ks| id BBA:ekba 會(huì)話(huà)密鑰由KDC代表b生成。 有安全漏洞(步驟5 )。認(rèn)證協(xié)議相互認(rèn)證的公鑰加密

13、改進(jìn)方案1的改進(jìn)akdc:IDA| idbkdca:ekrauthidb| kubab:eku bna| IDA| ekuauu ekubekrauthna| ks| IDA| id BBA ks| IDA| IDB| eks nb，單向認(rèn)證的單向認(rèn)證的必要性通信對(duì)方的確認(rèn)通信的接收方證明發(fā)送方身份信息交換的機(jī)密性，防止信息的篡改和泄露。2 .認(rèn)證協(xié)議單向認(rèn)證的一般加密方案過(guò)程描述akdc:ida|idb| 由于n1kdca:e kaks|n1| ek bks，ida|潛在的延遲，即使采用時(shí)間戳，其作用也是有限的。 假定x為對(duì)方，得到舊會(huì)話(huà)密鑰和對(duì)應(yīng)的EKbKs、IDA，x能夠簡(jiǎn)單地進(jìn)行信息偽

14、造。 2 .認(rèn)證協(xié)議、用于單向認(rèn)證的公鑰加密方案示意圖；2 .認(rèn)證協(xié)議和用于單向認(rèn)證的公鑰加密方案對(duì)機(jī)密性A B:EKUbKs | EKsM方案的優(yōu)點(diǎn)感興趣的方法，遠(yuǎn)遠(yuǎn)高于簡(jiǎn)單地用b的公鑰加密整條消息的方法。 無(wú)法確認(rèn)腳本的缺點(diǎn)信息m是來(lái)自a的。 2 .認(rèn)證協(xié)議、用于單向認(rèn)證的公鑰加密方案描述興趣認(rèn)證A B:M | EKRaH(M )方案優(yōu)勢(shì)保證a，此后無(wú)法否認(rèn)發(fā)送此消息。 腳本缺點(diǎn)1 .很難防止用戶(hù)x對(duì)信息m剽竊。 讓X B:M | EKRxH(M) 2知道a的公鑰，確信它不會(huì)過(guò)時(shí)。 2 .認(rèn)證協(xié)議、用于單向認(rèn)證的公鑰加密方案認(rèn)證和加密ab:eku BM|ek rah (m ) ab:eku bks| eksm| ek rah (m )方案優(yōu)勢(shì)保證a確保了后來(lái)無(wú)法否認(rèn)發(fā)送此消息的信息的安全性。 劇本的缺點(diǎn)是讓b知道a的公鑰，確信沒(méi)有過(guò)時(shí)。 2 .公鑰加密方法描述認(rèn)證ab:m|ek rah (m )| ek rast| IDA| kua方法的優(yōu)點(diǎn)根據(jù)認(rèn)證協(xié)議和單向認(rèn)證的數(shù)字證書(shū)來(lái)驗(yàn)證發(fā)送方的公鑰，并驗(yàn)證