消息认证与数字签名【精品PPT课件】

计算机信息安全 第 8章 消息 认证与数字签名 本片根据史料改编，第二次世界 大战德军发动无限制潜艇战 ，德 军的 密码通讯 能力高人一筹，这 场通讯战争可说是大规模潜艇战 争决胜负的致命关键 ，盟 军侦察 到在北大西洋有一艘 德军的受创 潜艇 U-571，正向德军发出求救 信号，于是盟军迅速且秘密地将 一艘军舰改装成德军的维修舰， 准备以维修 U-571作为掩护，强 行夺取舰上的密码解码机，海军 军官泰勒奉命执行这次夺舰任务 ，拼了命最后终于把密码机送回 了基地。 真实的二战密码学对决 真 实的情况绝不是电影里描述的那样 。 盟 军当年为了破解德军使用的英格曼密码 ，动用了大批数学家，其中包括图灵，现 在计算机界中的崇高荣誉 图灵奖 就是 以这个数学家的名字命名的 。 这 一批数学家前后经历了 10年的时间最后 才破解了英格曼密码 。 什么是英 格 曼密码 -转轮机（转子机） 前言 现代密码学的最重要的分支就是加密和认证。加 密的目的是防止敌方获得机密信息。认证是为了 防止敌方的主动攻击，如伪造，篡改消息等。 保密和认证同时是信息系统安全的两个不可缺 少的方面，但它们又是两个不同属性的问题。 认证不能自动提供保密性，而保密性也不能自 然提供认证功能。 认证 认证包括三个方面： 消息认证 身份认证 数字签名 内容 泄密：把消息透漏给没有合法密钥的人和程序 传输分析：分析通信双方的通信模式 伪装：欺诈源向网络中插入消息 内容篡改：消息内容被插入、删除、变换、修改 顺序修改：插入、删除或重组消息序列 计时修改：消息延迟或重放 发送方否认：发送者否认发送过消息 接收方否认：接受者否认收到消息 消息保密 消息认证 数字签名 数字签名和其它 协议 目录 1. 消息认证 2. 散列函数 3. 数字签名 一、消息认证 1、消息认证的概念 2、消息认证函数 1、消息认证的概念 (1/2) 消息认证 ：验证消息来自真正的发送方且 未被修改（包括顺序和及时性）。 消息认 证的内容包括： 消息的来源 消息的完整性 消息的序号和时间 1、消息认证的概念 (2/2) 消息的来源 消息来自真正的发送方 消息的完整性 消息在传输或存储的过程中未被插入、删 除、替换或修改 消息的序号和时间 验证消息的顺序和及时性，主要是阻止消息 的重放攻击。 2、消息认证函数 （ 1）信息加密：将明文加密后以密文作为认 证符。 （ 2）消息认证码（ MAC）：用一个密钥控制 的公开函数作用后，产生固定长度的数值 作为认证符，也称为密码校验和。 （ 3）散列函数：定义一个函数将任意长度的 消息映射为固定长度的散列值，以散列值 作为认证符。 （ 1）加密认证 信息加密认证分二种：一种是对称密码体 制加密认证；另一种是公开密钥密码体制 加密认证。 下面的通信双方是：用户 A为发信方，用 户 B为接收方。用户 B接收到信息后，通 过解密来判决信息是否来自 A，信息是否 是完整的。 a)对称加密：具有机密性、可认证 b)公钥加密：具有机密性 c)公钥加密：认证和签名 d)公钥加密：具有机密性、可认证和签名 （ 2）消息认证码（ MAC） 设 M是变长的变量， K是仅由收发双方共享的密钥 ，则 M的 MAC由如下的函数 C生成： MAC CK(M) 其中， CK(M)是定长的。 接收者可以确信： 消息未被更改过。 消息来自其他共享密钥的发送者。 MAC函数类似于加密函数，但不需要可逆性，因 此在数学上比加密算法被攻击的弱点要少。 可认证，不提供保密和数字签名。 16 消息认证 VS 常规加密 MAC函数类似于加密函数，主要区别在于 MAC函数 不需要可逆而加密函数必须是可逆的，因此，认证 函数比加密函数更不易破解。 保密性与真实性是两个不同的概念 根本上 ,信息加密提供的是保密性而非真实性 加密代价大 (公钥算法代价更大 ) 认证函数与保密函数的分离能提供功能上的灵活性 某些信息只需要真实性 ,不需要保密性 广播的信息难以使用加密 (信息量大 ) 网络管理信息等只需要真实性 政府 /权威部门的公告 17 2 散列（ Hash）函数 散列函数（又称杂凑函数）是对不定长的输入产生定长输出的一种特殊函数： h=H(M) M: 变长消息 h=H(M)是定长的散列值（或称消息摘要） H： 散列函数，是公开的； H(M)又称为：哈希函数、数字指纹（ Digital finger print)、压缩（ Compression)函数、数据鉴别码（ Dataauthentication code）等 散列值在信源处被附加在消息上，接收方重新计算散 列值来确认消息未被篡改。由于函数本身公开，传送 过程中需要对散列值加密保护（如果没有对散列值的 保护，篡改者可以在修改消息的同时修改散列值，从 而使散列值的认证功能失效）。 18 2.1 散列函数的性质 散列函数的目的是为文件、消息或其他的分组数据 产生 “指纹 ”。用于消息认证的散列函数 H具有如下 性质 : （ 1） H能用于任何大小的数据分组，都能产生定长的 输出。 （ 2）对于任何给定的 x， H(x)要相对易于计算。 （ 3）对任何给定的散列码 h,寻找 x使得 H(x)=h在计算 上不可行（单向性）。 （ 4）对任何给定分组 x， 寻找不等于 x的 y， 使得 H(x)=H(y)在计算上不可行（弱抗冲突）。 （ 5）寻找任何的（ x,y）， 使得 H(x)=H(y)在计算上不 可行（强抗冲突）。 19 注意：前两个性质使得散列函数用于消息认证成为可 能。 第二和第三个性质保证 H的单向性，保证攻击者无法 通过散列值恢复消息。 第四个性质保证了攻击者无法在不修改散列值的情况 下替换消息而不被察觉。 第五个性质比第四个更强。保证了一种被称为生日攻 击的方法无法凑效。 生日问题：一个教室中，最少应有多少学生，才使至 少有两人具有相同生日的概率不小于 1/2？ 实际上只需 23人 ,即任找 23人，从中总能选出两人具有 相同生日的概率至少为 1/2。 20 通过以下方式使用散列函数常提供消息认证 （ 1）使用对称加密算法对附加消息摘要的报文进行加密 A B: EK(M|H(M) 提供保密、认证 （ 2）使用对称加密方法对消息摘要加密 A B: M|EK(H(M) 提供认证 （ 3）使用发方的私钥对消息摘要进行加密 A B: M|EKRa(H(M) 提供数字签名 、 认证 （ 4）在（ 3）的基础上，使用对称加密方法进行加密 A B: EK(M|EKa(H(M) ) 提供数字签名 、 认证和保密 （ 5）假定双方共享一个秘密值 S， 与消息 M串接，计算散列值 A B: M|(H(M|S) 提供认证 （ 6）假定双方共享一个秘密值 S， 使用散列函数，对称加密方法 A B: EK(M|H(M|S) 提供数字签名 、 认证和保密 21 认证 和保密 认证 认证和 数字签名 22 认证 保密和 数字签名 认证 S:双方共享的秘密值 认证 保密和 23 Hash vs MAC MAC需要密码， Hash不需要 MAC速度 慢一些 Hash是一种直接产生认证码的方法 24 2.2 散列函数的结构 为了对不定长的输入产生定长的输出，并且最后的 结果要与所有的字节有关，大多数的散列函数的结 构都采用了分块填充链接的模式，其结构是迭代型 的。 以 MD4为例讲解散列函数的结构 MD4散列函数将输入数据分为 L个固定长度为 b比特 的分组。 输入数据包括：消息、填充数据和消息的长度值 （消息长度值用 64比特表示）。 说明： 填充数据的目的是使输入数据为 b比特的倍 数；增加消息长度值将增加攻击者攻击的难度。 散列函数的结构如图所示： 25 f b n Vi=CV0 CV1 f b n CV2 f b n CVL-1 CVL nn Y0 Y1 YL-1 迭代型散列函数的结构 MD4算法如下： CV0=Vi CVi=f(CVi-1,Yi-1) h=H(M)=CVL=f(CVL-1,YL-1) Vi： 初始链接变量 CVi-1： 连接变量； f： 压缩函数 (由若干轮处理组成 )； 通常 bn 26 2.3 MD5算法 Ron Rivest于 1990年提出了一个称为 MD4的散列函数。 他的设计没有基于任何假设和密码体制，不久，他的 一些缺点也被提出。为了增强安全性和克服 MD4的缺 陷， Rivest于 1991年对 MD4作了六点改进，并将改进 后的算法称为 MD5. MD5算法：将明文按 512比特进行分组，即 MD5中的 b=512bit， 经填充后信息长度为 512的倍数（包括 64比 特的消息长度）。 填充：首位为 1，其余补 0至满足要求，即填充后的比 特数为 512的整数倍减去 64，或使得填充后的数据长度 与 448模 512同余。 27 1000消息 K比特 Lx512比特 1到 512 比特的填充 消息长度 Y0 512bit HMD5 512 128 CV0=VI Y1 512bit HMD5 512 128 CV1 Yq 512bit HMD5 512 128 CVq YL-1 512bit HMD5 512 128 CVlL-1 消息摘要 128bitMD5的框图 28 5.2.4 安全散列算法（ SHA） 目前， MD5被认为是易受攻击的（很容易遭 遇强碰撞的生日攻击），因此，有必要用一个 具有更长散列码和更能抗击已知密码分析攻击 的散列函数来代替现在流行的 MD5。 现在已经有 两个散列码长度为 160比特的替代者 SHA-1和 RIPEMD-160。 我们了解 SHA-1即可。 29 30 安全散列算法 SHA(Secure Hash Algorithm)是由美国国 家标准和技术协会提出的，并作为联邦信息处理标 准在 1993年公布。 1995年又发布了一个修订版，通 常称为 SHA-1。 SHA是基于 MD4算法的。 MD5与 SHA-1对比 MD5 SHA-1 消息长度 128bit 160bit 分组长度 512bit 512bit 步骤数 64 80 消息最大长度 264-1 速度 较快 慢 31 Hash 函数 MD5 ： 对输入消息（任意长）按照 512位 进行分组处理，输出 128位消息摘要 SHA-1： 输入长度小于 264位消息，按 512 位进行分组处理，输出 160位消息摘要。 RIPEMD-160： 对输入消息（任意长）按照 512位进行分组处理，输出 160位消息摘要 3、散列函数的应用 (1/2) 消息 消息摘要 消息 消息摘要 消息 消息摘要 消息摘要 N Hash函数 Hash函数 Alice Bob 比较 散列函数的应用 (2/2) （ 1）使用对称密码体制对附 加了消息摘要的消息进行 加密。 提供保密和认证 （ 2）使用对称密码体制仅对 消息摘要进行加密。 只提供认证 （ 3）使用公钥密码体制，用 发送方的私钥仅对消息摘 要进行加密。 提供认证和数字签名 （ 4）发送者将消息 M与通信 双方共享的一个秘密值 S 串接，然后计算散列值并 附在消息 M后发送。 提供认证 三、数字签名 1. 数字签名的概念与特点 2. RSA数字签名机制 3. 常用数字签名算法 4. 数字签名应用实例 5. 特殊数字签名 35 数 字签名体制 数字签名是电子商务安全的一个非常重要的分支，在 大型网络安全通信中的 密钥分配、安全认证、防否认 等方面具有重要作用。 1999年美国参议院已通过了立法，规定数字签名与手 写签名的文件、邮件在美国具有同等的法律效力。 前面 我们讲述的消息认证是保护通信双方之间不受第 三方的攻击，但却无法防止通信双方中一方对另一方 的欺骗。如 A伪造一个消息并使用与 B共享的密钥产生 该消息的认证码，然后声称该消息来自于 B， 同样， B 也可以对自己给 A发送的消息予以否认。因此，除了 认证之外还需要其他机制来防止通信双方的抵赖行为 ，最常见的是数字签名技术。 36 3.1 数字签名原理 传统的军事、政治、外交活动中的文件、命令和条 约及商业中的契约等需要人手工完成签名或印章， 以表示确认和作为举证等。随着计算机通信网络的 发展，人们更希望通过电子设备实现快速、远距离 交易，数字签名就由此应运而生，并被用于商业通 信系统。 数字签名：在公钥体制下的签名，用户用自己的私 钥对原始数据的哈希摘要进行加密，然后信息接收 者使用信息发送者的公钥对附在原始信息后的数字 签名进行解密后获得哈希摘要，并通过与用自己收 到的原始数据产生的哈希摘要对照，便可确信原始 信息是否被篡改，这样就保证了数据传输的不可否 认性。 37 案例 中国首例电子邮件案例 1996年 7月 9日 ,北京市海淀区法院审理国内第 一起电子邮件侵权案。 此案的原、被告均系北大心理学系 93级女研究 生。 4月 9日。原告薛燕戈收到美国密执安大学教育学院 通过互联网发给她的电子邮件。内容是该学院将给她提 供 1.8万美元金额奖学金的就学机会，她非常高兴。因为 这是唯一一所答应给她奖学金美国名牌大学。此后，她 久等正式通知，但杳无音训，蹊跷之中委托在美国的朋 友去密执安大学查询。 4月 27日朋友告知，密执安大学收 到一封北京时间 4月 12日 10时 16分发出的署名薛燕戈的电 子邮件，表示拒绝该校的邀请。因此密执安大学以将原 准备给薛的奖学金转给他人。 38 法庭上，薛燕戈说 ，密执安大学发来的电 子邮件，是她和被告张男一起去北大心理学认知心 理学实验室看到的，并且存放在张男的电子信箱 里。薛燕戈认为，是张男在 4月 12 日 10时 16分用薛 的名义给密执安大学发了一封邮件，谎称薛已接受 其他学校的邀请，故不能去该校学习。薛从北大计 算中心取得 4月 12日的电子邮件记录，与美国取证回 来的材料完全吻合。因此，薛提出诉讼请求：被告 承认并公开道歉，又被告承担原告的调查取证以及 和美国学校交涉的费用、医疗费和营养费用、精神 损失补偿等人民币 1.5万元。张男在法庭上称，事实 上她从未以薛的名义给密执安大学发过电子邮件， 对此事没有丝毫责任。 39 此案在开庭审理后，尽管到底谁借原告之 名向密执安大学发出拒绝接受入学邀请的电子邮件 ，使原告丧失了一次出国深造的机会，并没有得出 确切结论。但是在休庭之后，被告终于向原告承认 ，该电子邮件时她所为，并愿意就此向原告道歉并 赔偿因其侵权行为给原告造成的精神及财产损失。 经过法院调解，原、被告双方当事人自愿达成协议 ：被告以书面形式向原告赔礼道歉，并赔偿原告精 神损害、补偿经济损失共计 1.2万元。 如果邮件的发送附加了可防伪 和可追踪的数 字签名，也许本案就不会发生了。 40 1.数 字 签名的设计要 求 依赖性：签名 必须 是 依赖 于被签名信息的比特 模式（依赖性） 唯一性：签名 必须 使用 某些 对发送者是 唯 一的 信息，以防止双方的伪造 与 否认 可用性：必须 相 对容 易生 成 该 数 字 签名，在存 储器中保存一个数 字 签名 副 本 是现 实 可行的 可验证：必须 相 对容 易 识别和验证 该 数 字 签名 ， 抗伪造：伪造 该 数 字 签名在计 算上 具有不可行 性， 既 包括 对一个 已 有的数 字 签名构造 新 的消 息，也 包括 对一个给定消息伪造一个数 字 签名 41 2.数字签名与手写签名的区别 签名：手签是被签文件的物理组成部分，而数 字签名不是被签文件的物理组成部分，因而需 要将签名连接到被签文件上。 验证：手写签名是通过将它与真实的签名进行 比较来验证；而数字签名是利用已经公开的算 法来验证。 数字签名消息的复制品与其本身是一样的；而 手写签名的复制品与原品是不同的。 42 3.数字签名应满足的基本条件 签名者不能否认自己的签名 接收者能够验证签名，而其他任何人都不 能伪造签名 当关于签名的真伪发生争执时，存在一个 仲裁机构或第三方能够解决争执 43 4.数字签名的分类 按明文、密文对应关系划分：确定性数字签名（ RSA 体制）和非确定数字签名（ ElGamal体制） 按照签名方式：直接数字签名和需仲裁的数字签名 按照签名内容的多少划分：对整个消息签名和对压 缩消息的签名 安全性 :无条件安全的数字签名和计算上安全的数字 签名 可签名次数 :一次性的数字签名和多次性的数字签 名。 1、数字签名的概念与特点 （ 1）数字签名的概念 数字签名技术是一种基于加密技术的认证技术。 数字签名也叫数字签字、电子签名、电子签章等 ，是用于确认发送者身份和消息完整性的一个加 密的消息摘要。 1、数字签名的概念与特点 手写签名的作用 因为签名难以否认，从而可以确认文件已签 署这一事实； 因为签名不易仿冒，从而可以确定文件是真 的这一事实； 如果对签名有争议，可以请专家分析辨认笔 迹的真伪。 （ 2）数字签名的特点 1、数字签名的概念与特点 数字签名的作用： 信息是由签名者发送的； 信息自签发后到收到为止未做过任何修改； 如果 A否认对信息的签名，可以通过仲裁解决 A和 B 之间的争议。 手写签名与数字签名的不同之处 手写签名因人而异；数字签名因消息而异； 手写签名中，签名与文件是彼此分离的； 数字签名中，数字签名与文本信息是不可分割 的。（ 3）数字签名的分类 直接数字签名 需仲裁的数字签名 2、 RSA数字签名机制 待签文件 散列函数 消息摘要 加密 数字签名 Alice的私钥 SEND 待验文件 数字签名 散列函数 消息摘要 是否相同NO YES 解密 消息摘要 Alice 的公钥 Alice Bob （ 1） Alice把发送给 Bob的消息作为散列函数的输入， 生成消息摘要； （ 2） Alice用自己的私钥加密消息摘要，生成数字签名 ；（ 3） Alice将消息与数字签名一同发送给 Bob； （ 4） Bob接收后，首先将收到的数据分离成消息和数 字签名； （ 5） Bob用 Alice的公钥对数字签名解密，从而得到 消息摘要； （ 6） Bob把收到的消息作为 Alice所使用的相同散列 函数的输入，得到一个新的消息摘要； （ 7） Bob比较两个消息摘要。 思考题 （ 1）以上过程可以提供什么样的安全服务？ 答案： 数字签名可以提供完整性服务、发送方身份验证 和发送方不可抵赖服务。 （ 2）依据加密技术和数字签名技术的原理，设计 一个同时具有加密功能和数字签名功能的过程。 1. 发送方对明文消息使用散列函数生成一个消息摘要 ； 2. 发送方用自己的私钥加密这个摘要，生成数字签名； 3. 发送方生成一个用于对称加密的一次性的保密密钥，用来 迅速加密消息本身； 4. 发送方使用接收方的公钥加密这个保密密钥，并将加密后 的消息、数字签名和保密密钥一起发送给接收方； 5. 接收方用自己的私钥解密加密的保密密钥，并用该 保密密钥解密消息，得到消息明文； 6. 接收方用发送方的公钥解密数字签名，得到消息摘 要的明文； 7. 接收方对消息明文用和发送方相同的散列函数生成 一个新的消息摘要，并与收到的消息摘要比较。 3、常用数字签名算法 （ 1） RSA数字签名算法 （ 2）美国数字签名标准 /算法（ DSS/DSA） （ 3）椭圆曲线数字签名算法（ ECDSA） 4、特殊数字签名方法 （ 1）盲签名 （ 2）双联签名 （ 3）团体签名 （ 4）多重签名方案 （ 5）数字时间戳 （ 1）盲签名 所谓盲签名，是指签名人员虽然对某个消 息签了名，但并不知道所签消息的具体内 容。 Chaum， 1983 利用盲变换可以实现盲签名 （ 1）盲签名 利用盲变换实现盲签名的基本原理： A取一文件并以一随机值乘之，称此随机 值为盲因子，得到的文件称为盲文件； B对盲文件签名； A以盲因子除之，得到 B对原文件的签名。 盲变换 T 签名者 B签名 SigBT(m)盲变换 T 接收者 A 接收者 A SigB(m) SigBT(m) （ 1）盲签名 （ 2）双联签名 使用方法 持卡人将发给商家的信息 M1和发给第三方的信 息 M2分别生成消息摘要 MD1和消息摘要 MD2； 持卡人将 MD1和 MD2合在一起生成 MD，并签名 ； 将 M1、 MD2和 MD发送给商家，将 M2、 MD1和 MD发送给第三方。 （ 2）双联签名 接收者解密签名后的 MD，恢复摘要明文； 接收者根据收到的消息生成消息摘要，再与收到 的消息摘要合在一起； 比较结合后的消息摘要和收到的消息摘要，确定 持卡人的身份和信息是否被修改过。 （ 3）团体签名 1）特性（ 4点）： 只有该团体内的成员能对消息签名； 签名的接收者能够证实消息是该团体的有效签名； 签名的接收者不能决定是该团体内哪一个成员签的 名； 在出现争议时，签名能够被 “打开 ”，以揭示签名者的 身份。 2）一个具有可信仲裁者 T的团体签名方案： T生成一大批公钥 /私钥密钥对，并且给团体内的 每个成员一个不同的唯一私钥表。在任何表中密 钥都是不同的； T以随机顺序公开该团体所用的公开密钥主表。 T保持一个哪些密钥属于谁的秘密记录； （ 3）团体签名 当团体内成员想对一个文件签名时，他从自己的 密钥表随机取一个密钥； 当有人想验证数字签名是否属于该团体时，只需 查找对应公钥表并验证签名； 当争议发生时， T知道哪个公钥对应于哪个成 员。 （ 3）团体签名 （ 4）多重签名方案 能够实现多个用户对同一消息进行签名的 数字签名称为多重数字签名。 有序多重数字签名方案；广播多重数字签 名方案。 消息发送者、消息签名者、签名验证者； 签名收集者（广播） 1）有序多重数字签名方案 由消息发送者规定消息签名顺序，将消息发送到 第一名签名者； 除第一名签名者外，每一位签名者收到签名消息 后，首先验证上一签名的有效性； 当签名验证者收到签名消息后，验证签名的有效 性，如果有效，多重签名有效，否则，多重签名 无效。 2）广播多重数字签名方案 消息发送者同时将消息发送给每一位签名者进行 签名； 签名者将签名消息发送到签名收集者； 签名收集者对签名消息进行整理并发送