用户不可抗抵赖机制.ppt

复习,简述MD5的工作步骤,第4章 用户不可抵赖性机制,章节介绍,4.1 网络安全中用户不可抵赖性概述 4.2 用户不可抵赖性机制的评价标准 4.3 用户不可抵赖性机制与评价 4.4 数字签名综合应用实例 4.5 非对称密钥加密算法的中间人攻击与分析 4.6 特殊的数字签名,4.1 网络安全中用户不可抵赖性概述,数据完整性保证发送方和接收方的网络传送数据不被第三方篡改和替换，但不能保证双方自身的欺骗和抵赖 在双方自身的欺骗中，双方的不可抵赖性是网络安全的一个重要安全特性，特别在当前电子商务应用中更是显得格外重要。 例如张大海向李小虎发送一个会议通知，李小虎没有出席会议，并以没有收到通知为由推卸责任。,常见的抵赖行为,不可抵赖性是指网络用户不能否定所发生的事件和行为 A向B发了信息M，但其不承认其曾经发过； A向B发了信息M0，但其却说发了M1； B收到了A发来的信息M，但却不承认收到了 B收到了A发来的信息M0，但却说收到的是M1,用户不可抵赖性定义,不可抵赖性旨在生成、收集、维护有关已声明的事件或动作的证据，并使该证据可得并且确认该证据，以此来解决关于此事件或动作发生或未发生而引起的争议。,基本思路,基于共享密钥的抗抵赖技术，由于没办法区别是哪方的欺骗，对于下列欺骗行为没有办法解决： 接收方B伪造一个不同的消息，但声称是从发送方A收到的 A可以否认发过消息M，B却无法证实A确实发了该消息。,基本思路,抗抵赖性机制的实现通过数字签名来保证 鉴别文件或书信真伪的传统做法是亲笔签名或盖章。签名起认证，核准，生效的作用。电子商务、政务要求对电子文档进行辨认和验证，因而产生数字签名。 数字签名的作用：保证信息完整性；提供信息发送者的身份认证。,基本思路,数字签名的基本思路是通过用户自己独有的、唯一的特征（如私钥）对信息进行标记或者通过可信第三方进行公证处理来防止双方的抵赖行为,基本思路,数字签名主要使用非对称密钥加密体制的私钥加密发送的消息M 把用私钥加密要发送的消息过程称为签名消息，加密后的信息称为签名，对签名后的消息解密称解签名或者验证签名 在使用数字签名后，如果今后发生争议，则双方找个公证人，接收方B可以拿出签名后的消息，用发送方A的公钥解密从而证明这个消息是A发来的，即不可抵赖(即A无法否认自己发了消息，因为消息是用他的私钥加密的，只有他有这个私钥),基本思路,在数字签名中，即使攻击者改变消息，也没法达到任何目的，因为攻击者没有A的私钥，无法再次用A的私钥加密改变后的消息，保证了数据的完整性，因此A既不能抵赖没有发送消息，也不能抵赖发送的消息不是M。 一个完整的抗抵赖性机制包括两部分：一个是签名部分，另一个是验证部分，签名部分的密钥是秘密的，只有签名人掌握，这也是抗抵赖性的前提和假设；验证部分的密钥应当公开，以便于他人进行验证。,4.2 用户不可抵赖性机制的评价标准,不可抵赖性机制的安全性 是否能真正起到抗抵赖的效果 是否可能存在抵赖的漏洞 能否防止双方的伪造与否认 抗抵赖的签名是否是信息发送者的唯一信息。,1.不可抵赖性机制的安全性,不可抵赖性假设在存储器中保存一个数字签名副本是现实可行的，因此要求不可抵赖要能够防重放攻击。 如对数字签名报文添加时间戳、序列号等,2.机制是否同时具有保密性和完整性验证作用,不可抵赖机制是通过数字签名完成的，但不能直接提供数据保密 不可抵赖性机制通常与完整性验证机制合并在一起实现。,3.不可抵赖性机制是否需要第三方参与,抗抵赖的基本思路： 一种是凭借自身特有的特性进行抗抵赖，称为直接数字签名法不可抵赖 另一种是借助可信的第三方进行公证来防止抵赖行为，称为需仲裁的数字签名不可抵赖,4.不可抵赖性机制的性能,可能的运算包括： 发送方计算消息摘要，进行私钥签名，接收方进行验证签名（解密）等。 影响性能的主要因素是公私钥的加解密，加密的范围(整体or摘要)等。 在选择消息摘要算法、加解密机制和加密范围时要根据实际情况对不可抵赖的安全性进行折中考虑。,5.不可抵赖性机制的信息有效率,有效率：原消息长度与合并后总消息的长度之比。 比值越大消息的有效率越大，增加的额外的网络通信量就越少。,6.不可抵赖性机制是否具有双向不可抵赖功能,不可抵赖性有两个方面 一方面是发送信息方不可抵赖 另一方面是信息的接收方的不可抵赖性,7.不可抵赖性机制中的加密安全,需要加密时，密钥的分发、密钥空间的大小以及加密算法的选取等也会直接影响不可抵赖性的性能和安全性。,4.3 用户不可抵赖性机制与评价,ISO对数字签名的定义： 附加在数据单元上的一些数据，或是对数据单元所做的密码变换，这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性，并保护数据，防止被他人(如接收者)伪造。,签名算法的要求,签名者事后不能否认自己的签名 接收者能验证签名，而其他任何人都不能伪造签名 当双方关于签名的真伪性发生争执时，第三方解决双方之间发生的争执,数字签名作用,用发送方的私钥加密消息有什么用?(公钥是公开的) （1）身份认证 如果接收方B收到用A的私钥加密的消息，则可以用A的公钥解密。如果解密成功，则B可以肯定这个消息是A发来的。这是因为，如果B能够用A的公钥解密消息，则表明最初消息用A的私钥加密而且只有A知道他的私钥 。因此发送方A用私钥加密消息即是他自己的数字签名。,数字签名作用,（2）防假冒 别人不可能假冒A，假设有攻击者C假冒A发送消息，由于C没有A的私钥，因此不能用A的私钥加密消息，接收方也就不能用A的公钥解密。因此，不能假冒A。,数字签名作用,（3）防抵赖 如果今后发生争议，则双方找个公证人，B可以拿出加密消息，用A的公钥解密从而证明这个消息是A发来的，即不可抵赖(即A无法否认自己发了消息，因为消息是用他的私钥加密的，只有他有这个私钥),数字签名作用,（4）防信息篡改 即使C在中途截获了加密消息，能够用A的公钥解密消息，然后改变消息，也没法达到任何目的，因为C没有A的私钥，无法再次用A的私钥加密改变后的消息。因此，即使C把改变的消息转发给B。B也不会误以为来自A，因为它没有用A的私钥加密,数字签名作用,（5）数字签名在现代Web商务中具有重要意义 大多数国家已经把数字签名看成与手工签名具有相同法律效力的授权机制。数字签名已经具有法律效力。 例如，假设通过Internet向银行发一个消息(例如U盾)，要求把钱从你的账号转到某个朋友的账号，并对消息进行数字签名，则这个事务与你到银行亲手签名的效果是相同的,手写签名和数字签名的主要区别,4.3.1 基于RSA的数字签名抗抵赖机制,步骤1：A用自己的私钥加密消息M，用EA私(M）表示； 步骤2：A把加密的消息发送给B； 步骤3：B接收到加密的消息后用A的公钥解密，用公式DA公(EA私(M）)表示； 步骤4：B如果解密成功，表示消息M一定是A发送的，起到了数字签名的抗抵赖作用；,对A的抵赖反驳,步骤5：如果A抵赖，B将信息EA私(M）交给仲裁者，仲裁者用A的公钥解密EA私(M），如果解密成功，说明B收到的信息一定是用A的私钥加密的 因此A不能抵赖没有发送消息M，并且A也不能抵赖自己发送的信息不是M。,机制评价,优点： 算法简单 可以防止发送者抵赖未发送消息的行为 在机制中不需要专门的第三方参与，具有完整性验证的作用,机制评价,缺点： 只能签名但不能保密 性能较低,4.3.2 具有保密性的不可抵赖机制,(1)A用自己的私钥加密消息M，用EA私(M）表示 (2)A用B的公钥加密第1步的消息，用EB公 (EA私(M)表示 (3)把两次加密后的消息发送给B,具有保密性的不可抵赖机制,(4)B接收到加密的消息后用自己的私钥解密，获得签名EA私(M），用公式DB私（EB公(EA私(M)）= EA私(M）表示。 (5)B对第4步的解密结果再用A的公钥解密，获得发送的消息M，用公式DA公(EA私(M）)=M表示。,具有保密性的不可抵赖机制,(6)对A的抵赖反驳：如果A抵赖，B将信息EA私(M）交给仲裁者，仲裁者用A的公钥解密EA私(M），如果解密成功，就说明B收到的信息一定用A的私钥加密的，并且中途未被篡改。,机制评价,优点: 信息保密 防止发送方抵赖 具有完整性验证作用 缺点: 性能低 不具有双向不可抵赖的作用,讨论,先加密后签名如何？（是否遵守交换律？,可能出现篡改签名吗？） 不可以。 因为如果先加密后签名，则信息在传输过程中被攻击者截取到后，可以解签名，虽然攻击者不知道密文信息所对应的明文的具体内容，但攻击者可以伪造他自己的签名，然后继续发送。这样接收者由于不能正确解签名，就不知道这是谁发出的信息了, 会确定这封信是黑客发给他的。,4.3.3 基于公钥和私钥加密体制结合的不可抵赖机制与评价,前面两种方法的缺点：速度慢 由于签名是用非对称加密算法RSA对整个消息进行加密，而RSA的加密速度慢，因此不能很好推广。 如何结合非对称密钥和对称密钥结合？,基于公钥和私钥加密体制结合的不可抵赖机制,方法： （1）A用一次性对称密钥K1加密要发送的消息M。（消息保密） （2）A用自己的私钥加密K1。（签名K1） （3）A用B的公钥加密第2步的结果 （4）A通过网络将第1步和第3步的结果发给B,（5）B用自己的私钥解密第3步的结果，得到签名。 （6）B用A的公钥解密第5步的结果，得到一次性对称密钥K1。 （7）B用一次性对称密钥K1解密第1步的结果，得到原消息M。,基于公钥和私钥加密体制结合的不可抵赖机制,（8）对A的抵赖反驳。如果A抵赖，B将信息EA私(K1）交给仲裁者，仲裁者用A的公钥解密EA私(K1)，如果解密成功，B可以进一步解密获得消息M，这说明B收到的密钥K1一定使用A的私钥加密的，而A的私钥只有A自己拥有，并且中途未被篡改，因此不能抵赖没有发送消息M。,基于公钥和私钥加密体制结合的不可抵赖机制,机制评价,优点： 防止发送者抵赖 数据保密 改进了性能低的缺点 缺点： 不具有双向不可抵赖的作用 签名与信息关联的程度不是很强,4.3.4 基于消息摘要的不可抵赖机制,(1)发送方A用MD5或者SHA-1等消息摘要算法对消息M计算消息摘要(MD0)。 (2)发送方A用自己私钥加密这个消息摘要MD0，这个过程的输出是A的数字签名(DS0) (3)发送方(A)将消息M和数字签名(DS0)一起发给接收方(B),4.3.4 基于消息摘要的不可抵赖机制,(4)接收方(B)收到消息和数字签名分别设为M1和DS1，B用发送方的公钥解密数字签名DS1。这个过程得到原先的消息摘要(MDl） （5）接收方(B)使用与A相同的消息摘要算法计算消息摘要(MD2)。,（4）具有数据完整性检测的数字签名方法,（6）对A的抵赖反驳：B比较两个消息摘要，如果MDI=MD2，就表明B收到的消息是未经修改的消息，同时由于消息摘要MD1是用A的公钥解签名获得的，说明原只要一定是经过A的私钥签名，而A的私钥只有A拥有，因此A不能抵赖没有发送消息M0。,基于消息摘要的不可抵赖机制,机制评价,优点： 防止发送方抵赖 完整性验证 性能好，且消息摘要跟整个消息关联 缺点： 不具有保密作用 不具有双向不可抵赖作用,讨论,基于消息摘要的不可抵赖机制中的数字签名是否需要再用接收方的公钥加密来达到保密效果？ 不需要,4.3.5 具有保密性和完整性的数字签名不可抵赖机制,（1）发送方A用MD5或者SHA-1等消息摘要算法对消息M计算消息摘要(MD0)。 （2）发送方A用一次性对称密钥K1加密要发送的消息M。（消息保密）。 （3）A用B的公钥加密一次性对称密钥K1（密钥的封装）,具有保密性和完整性的数字签名不可抵赖机制,（4）发送方A用自己私钥加密消息摘要(MD0) ，这个过程的输出是A的数字签名(DS) （5）发送方A将加密的消息M，加密的一次性对称密钥K1和数字签名 (DS)一起发给接收方B,具有保密性和完整性的数字签名不可抵赖机制,（6）B用自己的私钥解密第3步的结果（加密的一次性对称密钥K1 ），得到一次性对称密钥K1。 （7）B用一次性对称密钥K1解密第2步的结果（加密的信息M），得到原消息M 。,具有保密性和完整性的数字签名不可抵赖机制,(8)接收方B使用与A相同的消息摘要算法再次计算接收到的消息M1的摘要(MD2)。 (9) 通过第5步收到数字签名后，用发送方A的公钥解密数字签名。这个过程得到原先的消息摘要(MD1）。,具有保密性和完整性的数字签名不可抵赖机制,(10) 对A的抵赖反驳：B比较两个消息摘要，如果MDI=MD2，就表明B收到的原消息M是未经篡改的、具有保密性的消息，B也断定消息是来自A而不是他人，因此A不能抵赖没有发送消息M。 这里的数字签名是否需要再加密？,机制评价,优点： 防止发送者抵赖行为，不需第三方参与 完整性验证和保密作用 性能好 缺点： 不具有双向不可抵赖作用,复习,简述手写签名和数字签名的区别 简述具有保密性的不可抵赖机制 简述基于公钥和私钥加密体制结合的不可抵赖机制 简述具有保密性和完整性的数字签名不可抵赖机制,4.3.6 双方都不能抵赖的数字签名不可抵赖机制,(1) A用随机对称密钥K对信息M加密得到E(K，M)，并用自己的私钥对加密结果进行数字签名，记为A私(E(K，M)，然后用接收方B的公钥加密后发送给接收方（三次加密）； (2) 接收方用自己的私钥解密后得到A私(E(K，M)，再用发送方的公钥解密后得到E(K，M)；（两次解密）,双方都不能抵赖的数字签名不可抵赖机制,(3) B用自己的私钥加密E(K，M)，得到B私(E(K，M)，再用发送方的公钥加密后送给发送方； (4) A用自己的私钥解密得到B私(E(K，M)，再用接收方的公钥解密得到E(K，M) (5)A比较解签名的结果与自己先前发送给B的E(K，M)，如果相等，那么A确认接收方已正确收到信息；,双方都不能抵赖的数字签名不可抵赖机制,(6)A把对称密钥K用自己的私钥签名，并用B的公钥加密，然后发送给B； (7)B解密后，得到对称密钥K，就可以对E(K，M)解密而得到M。 (8)抵赖行为的反驳：由于双方都交换了数字签名，因此这个机制对双方的抵赖行为都具有作用,机制评价,优点： 防止发送者和接收者双方的抵赖行为 完整性验证和保密作用 缺点： 性能较低,针对性能低，你有何改进的方法？,直接签名的缺点,在直接签名中，不可抵赖性的验证模式依赖于发送方的密钥的安全性，发送方要抵赖发送某一消息时，可能会声称其私有密钥已暴露、过期或被盗用等 如何解决呢？,直接签名的缺点,可信的第三方 例如及时将已暴露的私钥报告给可信的第三方授权中心，接收方在验证签名时要先到可信的第三方授权中心查验发送方的公钥是否注销，然后再验证签名 仲裁者必须是一个所有通信方都能充分信任的仲裁机构,4.3.7 基于第三方的仲裁的不可抵赖机制,A用自己的私有密钥KRa签名（加密）要发送的消息M，用EKRaM表示； A用B的公开密钥KUb加密第1步结果，用EKUb (EKRaM)表示； A将第2步的结果以及A的标识符IDa一起用KRa签名后发送给仲裁机构C，用EKRaIDa|EKUb (EKRaM)表示；,基于第三方的仲裁的不可抵赖机制,A将A的标识符IDa也发送给C,即A向C发送的全部消息为IDa|EKRaIDa|EKUb (EKRaM) C首先通过数字证书检查A的公钥/私钥对的有效性和真实性，并通过对第3步结果的解签名（解密）得到的A的标识符和第4步收到的A的标识符比较确认A的身份的真假。,基于第三方的仲裁的不可抵赖机制,C对A的抵赖反驳：C通过第3步的数字签名知该消息是来自A，并且中途未被篡改，A不能抵赖； C将从A收到签名消息解密验证后获得的信息IDa|EKUbEKRaM，再加上时间戳T（防止重放攻击）用自己的私钥KRc签名后发送给B，公式为EKRcIDa|EKUbEKRaM|T，并保留要被签名的副本；,基于第三方的仲裁的不可抵赖机制,B收到C的信息后用C的公钥解密获得EKUbEKRaM； B用自己的私钥解密第8步的信息，再用A公钥解密，就获得M； B对A的抵赖反驳：如果A抵赖发送过M，B可以向C提起申诉，将IDa| EKUbEKRaM | T发给C，由C根据原来的保留信息（第7步）通过第6步来确认A不可抵赖没有发送消息M。,机制评价,优点： 防止发送者的抵赖行为 缺点： 不具有双向不可抵赖的作用 性能低,如何改进呢？,4.4 数字签名综合应用实例,Web 服务提供者安全地向用户发送信息 对等网络中两个用户的一次安全信息发送 PGP加密技术,4.4.1 Web 服务提供者安全地向用户发送信息,现有持证Web service甲向持证用户乙提供服务。为了保证信息传送的真实性、完整性和不可否认性，需要对传送的信息进行数字加密和数字签名。其传送过程如下： (1)甲准备好要传送的数字信息(明文) (2)甲对数字信息进行哈希运算得到一个信息摘要（计算摘要）,Web 服务提供者安全地向用户发送信息,(3)甲用自己的私钥对信息摘要进行加密得到甲的数字签名，并将其附在信息上（对摘要进行签名） （4）甲随机产生一个DES密钥，并用此密钥对要发送的信息进行加密形成密文（对称密钥加密原文） （5）甲用乙的公钥对刚才随机产生的加密密钥再进行加密，将加密后的DES密钥连同密文一起传送给乙。（密钥封装）,Web 服务提供者安全地向用户发送信息,（6）乙收到甲传送过来的密文，数字签名和加密过的DES密钥，先用自己的私钥对加密的DES密钥进行解密，得到DES密钥。 （7）乙然后用DES密钥对收到的密文进行解密，得到明文的数字信息，然后将DES密钥抛弃。（解密原信息）,Web 服务提供者安全地向用户发送信息,（8）乙用甲的公钥对甲的数字签名进行解密得到信息摘要 （9）乙用相同的hash算法对收到的明文再进行一次hash运算，得到一个新的信息摘要。,Web 服务提供者安全地向用户发送信息,（10）乙将收到的信息摘要和新产生的信息摘要进行比较，如果一致，说明收到的信息没有被修改过。 以上10个步骤是Web Service向用户发送信息的过程，同样也适用于用户向Web Service提交信息的过程。,对等网络中两个用户的一次安全信息发送,张三准备好要发送的明文信息 张三对信息进行哈希运算，得到一个信息摘要 张三用自己的私钥(SK)对信息摘要进行加密得到张三的数字签名，并将其附在数字信息上,对等网络中两个用户的一次安全信息发送,张三随机产生一个加密密钥(DES密钥)，并用此密钥对要发送的信息进行加密，形成密文。 张三用王五的公钥(PK)对刚才随机产生的加密密钥进行加密，将加密后的DES密钥连同密文一起传送给王五,对等网络中两个用户的一次安全信息发送,王五收到张三传过来的密文和加过密的DES密钥，先用自己的私钥(SK)对加密的DES密钥进行解密，得到DES密钥 王五然后用DES密钥对收到的密文进行解密，得到明文的数字信息，然后将DES密钥抛弃，防止重放攻击,对等网络中两个用户的一次安全信息发送,王五用张三的公钥(PK)对张三的数字签名进行解签名，得到信息的摘要 王五用相同的hash算法对收到的明文在进行一次hash运算，得到新的信息摘要 王五将收到的信息摘要和新产生的信息摘要进行比较，如果一致，就说明收到的信息是张三发送过来的，并且没有被修改过，张三不能抵赖,4.4.3 PGP加密技术,PGP（Pretty Good Privacy）加密技术是一个基于RSA公钥加密体系的邮件加密软件。 PGP加密技术的创始人是美国的Phil Zimmermann。他的创造性是把RSA公钥体系和私钥加密体系的结合起来，并且在数字签名和密钥认证管理机制上有巧妙的设计。 因此PGP成为目前几乎最流行的公钥加密软件包。,PGP简介,由于RSA算法计算量极大，在速度上不适合加密大量数据，所以PGP实际上用来加密的不是RSA本身，而是采用对称加密算法IDEA，IDEA加解密的速度比RSA快得多。 PGP随机生成一个密钥，用IDEA算法对明文加密，然后用RSA算法对密钥加密。收件人同样是用RSA解出随机密钥，再用IEDA解出原文。 这样的加密方式既有RSA算法的保密性（Privacy）和认证性（Authentication），又保持了IDEA算法速度快的优势。,PGP加密软件,使用PGP8.0.2i可以简洁而高效地实现邮件或者文件的加密、数字签名。 PGP8.0.2的安装界面如图所示。,PGP加密软件,下面的几步全面采用默认的安装设置，因为是第一次安装，所以在用户类型对话框中选择“No, I am a New User”，如图所示。,PGP加密软件,PGPdisk Volume Security的功能是提供磁盘文件系统的安全性； PGPmail for Microsoft Outlook/Outlook Express提供邮件的加密功能。,案例1 使用PGP产生密钥,因为在用户类型对话框中选择了“新用户”，在计算机启动以后，自动提示建立PGP密钥，如图所示。,案例1 使用PGP产生密钥,点击按钮“下一步”，在用户信息对话框中输入相应的姓名和电子邮件地址，如图所示。,案例1 使用PGP产生密钥,在PGP密码输入框中输入8位以上的密码并确认，如图所示。,案例1 使用PGP产生密钥,然后PGP会自动产生PGP密钥，生成的密钥如图所示。,案例2 使用PGP加密文件,使用PGP可以加密本地文件，右击要加密的文件，选择PGP菜单项的菜单“Encrypt”，如图所示。,案例2 使用PGP加密文件,系统自动出现对话框，让用户选择要使用的加密密钥，选中一个密钥，点击按钮“OK”，如图所示。,案例2 使用PGP加密文件,目标文件被加密了，在当前目录下自动产生一个新的文件，如图所示。,案例2 使用PGP加密文件,打开加密后的文件时，程序自动要求输入密码，输入建立该密钥时的密码。如图所示。,案例3 使用PGP加密邮件,PGP的主要功能是加密邮件，安装完毕后，PGP自动和Outlook或者Outlook Express关联。和Outlook Express关联如图所示。,案例3 使用PGP加密邮件,利用Outlook建立邮件，可以选择利用PGP进行加密和签名，如图所示。,4.5 非对称密钥加密算法的中间人攻击分析,在前面的数据加密，数字签名，数据完整性检测等过程中都用到了非对称密钥加密技术，因此非对称密钥加密技术非常重要，但它也有被攻击可能性，这就是中间人攻击，具体攻击的方法： （1）张三要给李四安全（保密）发送信息，张三必须先向李四提供自己的公钥K张，并请求李四也把他的公钥K李给张三（相互要交换公钥）。 （2）中间攻击者王五截获张三的公钥K张，并用自己的公钥K王替换K张，并把K王转发给李四。,非对称密钥加密算法的中间人攻击分析,（3）李四答复张三的信息，发出自己的公钥K李 （4）王五又截获李四的信息，将李四的公钥K李改为自己的公钥K王，并把它转发给张三。 （5）张三认为李四的公钥是K王，就用K王加密要发送的信息给李四。,非对称密钥加密算法的中间人攻击分析,（6）王五截获张三发送的信息，并用自己的私钥解密信息，非法获得张三发送的信息，他又用李四的公钥K李重新加密消息，然后转发给李四。 （7）李四用自己的私钥解密从王五收到的信息，并进行响应的答复，李四的答复是用K王加密的，以为这是张三的公钥。,非对称密钥加密算法的中间人攻击分析,（8）王五截获这个消息，用自己的私钥解密，非法获得信息，并用张三的公钥K张重新加密信息，然后转发给张三，张三用自己的私钥解密发过来的信息。 （9）这个过程不断重复，张三和李四发送的信息都被王五看到，而他们两个还以为是直接进行通信。,非对称密钥加密算法的攻击2:公钥的冒充发布,出现这个问题的主要原因是自己的公钥被别人冒名顶替，因此必须解决公钥和身份必须相符合。 用户A冒充B，发布A的公钥KA说这是B的公钥KB，这样有人要给B发信息时就会误用A的公钥加密，A截获加密的消息后，A可以用自己的私钥解密，非法看到信息的内容，因此要有可信的第三方管理大家的公钥及其身份。,4.6 特殊的数字签名,盲签名 不可否认签名 代理签名 群签名,4.6.1 盲签名,盲签名改变由Dacid Chaum于1982年提出的 盲签名方案是一个有关两个实体的密码系统，包括请求签名方和签名者 盲签名允许消息者先将消息盲化，而后让签名者对盲化的消息进行签名，最后消息拥有者对签字除去盲因子，得到签名者关于原消息的签名。,盲签名,盲签名就是接收者在不让签名者获取所签署消息具体内容的情况下所采取的一种特殊的数字签名技术，它除了满足一般的数字签名条件外，还必须满足下面的两条性质： 签名者对其所签署的消息是不可见的，即签名者不知道他所签署消息的具体内容。 签名消息不可追踪，即当签名消息被公布后，签名者无法知道这是他哪次的签署的。,盲签名的过程,盲签名的直观说明,所谓盲签名，就是先将隐蔽的文件放进信封里，而除去盲因子的过程就是打开这个信封，当文件在一个信封中时，任何人不能读它。 对文件签名就是通过在信封里放一张复写纸，签名者在信封上签名时，他的签名便透过复写纸签到文件上。,盲签名的性质,不可伪造性。除了签名者本人外，任何人都不能以他的名义生成有效的盲签名。这是一条最基本的性质。 不可抵赖性。签名者一旦签署了某个消息，他无法否认自己对消息的签名。 盲性。签名者虽然对某个消息进行了签名，但他不可能得到消息的具体内容。 不可跟踪性。一旦消息的签名公开后，签名者不能确定自己何时签署的这条消息。,盲签名的应用,数字现金 电子投票等,你能举出关于盲签名的例子么？,数字现金 1. 消费者从银行取款，他收到一个加密的数字钱币(Token)，这个Token可以当钱用； 2. 消费者对这个Token做加密变换，使之仍能够被商家检测其有效性，但却不能跟踪消费者的身份； 3. 消费者在某商场消费可以使用该Token来购物或购买服务，消费者进一步对该Token用密码变换以纳入商家的身份； 4. 商家检验该Token以确认以前未收到过此Token； 5. 商家给消费者发货； 6. 商家将该电子Token发送给银行； 7. 银行检验该Token的唯一性，至此消费者的身份仍然保密，除非银行查出该Token被消费者重复使用了，则消费者身份仍会被暴露，消费者的欺诈行为也被暴露了,电子投票的步骤 注册：投票人首先将投票的内容进行盲化，并连同自己的身份一起送投票管理中心。在一些方案中还要求投票人对盲化的消息进行签名，此签名也应送管理中心。 签名：中心先验证投票人是否第一次投票，如果不是，则拒绝签名：如果是第一次投票，则中心对盲化的消息进行签名，并将此签名送投票人。 投票：投票人从盲签名获得关于真实消息的签名后，既可构造自已认为安全的选票，并将此选票送计票人。 统计：计票人收到全部选票后，将其编号并公开。 核查：投票者根据计票人公开的选票可得知自己的选票是否被正确计入，若发现选票被窜改或未公开，则选举者可提出质疑。 公开：投票者若无异议，则可将真实选举内容及有关密钥或秘密参数送计票人验证。如果这些数据和计票人收到并公开的有关数据吻合，则计票人公开投票的最终结果,4.6.2 不可否认签名,不可否认签名的概念是由Chaum和Antwerpen于1989年提出的 不可否认签名指只有在得到签名者的许可后才能进行验证，即在没有签名者的合作时，请求签名方将无法验证签名的合法性 本质：在无签名者合作条件下不可能验证签名，从而可以防止复制或散布他所签文件的可能性。,不可否认签名,组成： 签名过程：签名者A对消息进行签名 确认过程：请求方B和签名者A执行交互协议，确认签名的有效性 否认协议：A和B执行交互协议，使A能够向B证明某个签名不是自己签署的，不属于A的签名一定能通过否认协议，合法签名通过否认协议的概率极小,不可否认签名,不可否认签名的应用 软件的出售 不可否认签名的缺点： 签名者不愿意合作或不利于签名者时拒绝合作以达到否认他曾签署的文件，签名就不能被验证 改进： 证实