数字签名与信息隐藏(0002)课件

2024/1/71第六讲数字签名与信息隐藏王志伟Email:zhwwang@2024/1/72课程内容数字签名原理鉴别协议数字签名算法信息隐藏41235数字水印数字签名及其应用公钥密码体制为解决计算机信息网中的安全提供了新的理论和技术基础。公钥密码体制的最大特点是采用两个密钥将加密和解密能力分开，使得通信双方无需事先交换密钥就可进行保密通信，从而大大减少了多实体通信网实体之间通信所需的密钥量，便于密钥管理。此外，公钥体制的一个重要的特性是可用于实现数字签字。数字签名在信息安全，包括身份认证、数据完整性、不可否认性以及匿名性等方面有着重要的应用，特别是在大型网络安全通信中的密钥分配、认证以及电子商务系统安全性等方面具有非常重要的作用。2024/1/74数据的易复制性2024/1/75签名2024/1/76考虑两种情形Bob可以伪造一条消息并称该消息发自Alice使用Bob和Alice共享的密钥产生认证码，并附于消息之后Alice可以否认曾发送某条消息因为Bob可以伪造，所以无法证明Alice确实发送过消息

最吸引人的解决方案是数字签名数字签名应满足的要求收方能够确认或证实发方的签名，但不能伪造，简记为R1-条件（unforgeablity）。发方发出签名的消息给收方后，就不能再否认他所签发的消息，简记为S-条件(non-repudiation)。收方对已收到的签名消息不能否认，即有收报认证，简记作R2-条件。第三者可以确认收发双方之间的消息传送，但不能伪造这一过程，简记作T-条件。2024/1/710数字签名传统签名的基本特点:能与被签的文件在物理上不可分割签名者不能否认自己的签名签名不能被伪造容易被验证数字签名是传统签名的数字化,基本要求:能与所签文件“绑定”签名者不能否认自己的签名签名不能被伪造容易被验证数字签名体制一个签名体制可由量(M,S,K,V)其中M是明文空间，S是签名的集合，K

是密钥空间，V

是证实函数的值域，由真、伪组成。(1)签名算法：对每一M

M和k

K，易于计算对M的签名S=Sigk(M)

S

签名密钥是秘密的，只有签名人掌握；

(2)验证算法：Verk(S,M)

{真，伪}={0，1}（显著的概率）验证算法应当公开，已知M，S易于证实S是否为M的签名，以便于他人进行验证。

2024/1/712问题公钥的管理，公钥与身份的对应关系签名的有效性，私钥丢失？2024/1/713数字证书数字签名用来保证信息传输过程中信息的完整和提供信息发送者的身份的确认。数字证书采用公开密钥体制（例如RSA）。每个用户设定一仅为本人所知的私有密钥，用它进行解密和签名；同时设定一公开密钥，为一组用户所共享，用于加密和验证签名。2024/1/714数字证书的作用采用数字证书，能够确认以下两点：(1)保证信息是由签名者自己签名发送的，签名者不能否认或难以否认。(2)保证信息自签发后到收到为止未曾做过任何修改，签发的信息是真实信息。2024/1/715课程内容数字签名原理鉴别协议数字签名算法信息隐藏41235数字水印2024/1/716鉴别协议报文鉴别往往必须解决如下的问题：(1)报文是由确认的发送方产生的。(2)报文的内容是没有被修改过的。(3)报文是按传送时的相同顺序收到的。(4)报文传送给确定的对方。2024/1/717鉴别方法一种方法是发送方用自己的私钥对报文签名，签名足以使任何人相信报文是可信的。另一种方法常规加密算法也提供了鉴别。但有两个问题，一是不容易进行常规密钥的分发，二是接收方没有办法使第三方相信该报文就是从发送方送来的，而不是接收方自己伪造的。因此，一个完善的鉴别协议往往考虑到四方面的鉴别。报文源报文宿报文内容报文时间性2024/1/718Needham—Schroeder协议Needham—Schroeder协议--利用常规加密方法进行双向鉴别采用了常规加密体制和密钥分配中心KDC技术。尽管这个协议本身存在一定的安全漏洞，但是后来发展的很多鉴别协议都是在NSNeedham—Schroeder协议的基础上扩展而成的。2024/1/719在该协议中，网络中通信的各方与密钥分配中心KDC共享一个主密钥这个主密钥已通过其他安全的渠道传送完成。密钥分配中心KDC为通信的双方产生短期通信所需的会话密钥并通过主密钥来保护这些密钥的分发。2024/1/720（1）AKDC:（IDa，IDb，Ra）通信方A将由自己的名字IDa，通信方B的名字IDb和随机数Ra组成的报文传给KDC。

（2）KDCA:EKa(Ra,IDb,Ks,EKb(Ks,IDa))。KDC产生一随机会话密钥Ks。他用与通信方B共享的秘密密钥Kb对随机会话密钥Ks和通信方A名字组成的报文加密。然后用他和通信方A共享的秘密密钥Ka对通信方A的随机值、通信方B的名字、会话密钥Ks和已加密的报文进行加密，最后将加密的报文传送给通信方A。（3）AB:EKb(Ks,IDa)。通信方A将报文解密并提取Ks。他确认Ra与他在第(1)步中发送给KDC的一样。然后他将KDC用通信方B的密钥Kb加密的报文发送给通信方B。协议步骤2024/1/721（4）BA:EKs(Rb)通信方B对报文解密并提取会话密钥Ks，然后产生另一随机数Rb。他使用会话密钥Ks加密它并将它发送给通信方A。（5）AB:EKs(Rb-1)通信方A用会话密钥Ks将报文解密，产生Rb-1并用会话密钥Ks对它加密，然后将报文发回给通信方B。（6）通信方B用会话密钥Ks对信息解密，并验证它是Rb-12024/1/722

尽管Needham—Schroeder协议已经考虑了重放攻击，但是设计一个完美的没有漏洞的鉴别协议往往是很困难的。考虑一下这种情况：如果一个对手已经获得了一个旧的会话密钥，那么在第(3)步中就可冒充通信方A向通信方B发送一个旧密钥的重放报文，而此时通信方B无法确定这是—个报文的重放。NS协议的问题2024/1/723Denning对Needham—schroeder协议进行了修改，防止这种情况下的重放攻击，其过程如下：（1）AKDC:（IDa，IDb）。（2）KDCA:EKa(T,IDb,Ks,EKb(T,Ks,IDa))。（3）AB:EKb(T,Ks,IDa)。（4）BA:EKs(Rb)。（5）AB:EKs(Rb-1)。在这个过程中，增加了时间戳T，向通信方A和B确保该会话密钥是刚产生的，使得通信方A和B双方都知道这个密钥分配是一个最新的。Denning的改进2024/1/724单向鉴别第一个需求是电子邮件，报文的首部必须是明文的，以便报文能被SMTP处理，而邮件报文内容应该加密。第二个需求是鉴别。典型的是，收方想得到某种保证，即该报文确实是来自被认为的发方。如果使用常规加密方法进行发方和收方的直接鉴别，密钥分配策略是不现实的。这种方案需要发方向预期的收方发出请求，等待包括一个会话密钥的响应，然后才能发送报文。？？考虑到应该避免要求收方B和发方A同时在线，如下基于常规加密方法的方案解决了鉴别。2024/1/725（1）AKDC:（IDa，IDb,Ra）。（2）KDCA:EKa(IDb,Ks,Ra,EKb(Ks,IDa))。（3）AB:EKb(Ks,IDa)EKs(M)。这个常规加密方案提供了对A的认证，并且保证只有B可以看到明文，但是会遭到重放攻击。另外，如果在报文中加入时间戳，由于电子邮件潜在的时延，时间戳的作用非常有限。

2024/1/726公开密钥加密方法适合电子邮件AB:EKUb[Ks]||Eks[M]关心机密，比使用公钥加密全文更高效AB:M||EKRa[H(M)]关心鉴别，可能换签名AB:EKUb[M,EKRa[H(M)]]机密＋鉴别2024/1/727课程内容数字签名原理鉴别协议数字签名算法信息隐藏41235数字水印2024/1/728数字签名标准数字签名算法主要有两个算法组成签名算法验证算法目前已有大量的数字签名算法RSA数字签名算法EIGamal数字签名算法椭圆线数字签名算法……2024/1/729两种数字签名方案全局公钥组KUG 签名随机数k 发送方私钥KRaRSA签名体制(1)体制参数：令n=p1p2，p1和p2是大素数，令M=C=Zn，选e并计算出d使ed

1

mod

(n)，公开n和e，将p1,p2和d保密。K=(n,p,q,e,d)。(2)

签名过程：对消息M

Zn的签名S=Sigk(M)=Mdmodn(3)验证过程：对给定的M和

S，可按下式验证：Verk(M,S)=真

M

Se

modn在Internet中所采用的PGP(PrettyGoodPrivacy)中将RSA作为传送会话密钥和数字签字的标准算法。2024/1/735RSA的缺点两个主要缺点：A)产生密钥很麻烦，受到素数产生技术的限制，因而难以做到一次一密。B)分组长度太大，为保证安全性，n至少也要600bits以上，使运算代价很高目前，SET(SecureElectronicTransaction)协议中要求CA采用2048比特长的密钥，其他实体使用1024比特的密钥。2024/1/736美国的数字签名标准/算法(DSS/DSA)美国国家标准技术学会(NIST)的一个标准它是ElGamal数字签名算法的一个修改当选择p为512比特的素数时，ElGamal数字签名的尺寸是1024比特，而在DSA中通过选择一个160比特的素数可将签名的尺寸降低为320比特，这就大大地减少了存储空间和传输带宽。ElGamal签名体制(1)体制参数

p：一个大素数，可使Zp中求解离散对数为困难问题；

g：是Zp中乘群Zp*的一个生成元或本原元素；

M：消息空间，为Zp*；

S：签名空间，为Zp*×Zp－1；

x：用户秘密钥x

Zp*；y

gx

modpK=(p,g,x,y)：其中p，g，y为公钥，x为秘密钥。(2)签名过程：给定消息M，发送者进行下述工作。

(a)选择秘密随机数k

Zp*；

(b)计算：H(M),r=gkmodp，s=(H(M)－xr)k-1mod(p－1)(c)将Sigk(M,k)=S=(r||s)作为签名，将M，(r||s)送给对方。(3)验证过程：接收者先计算H(M)，并按下式验证

Verk(H(M),r,s)=真

yrrs

gH(M)modp

数字签名的安全性安全性定义：存在（existential）/广义（universal）伪造。必须注意的是，我们不考虑伪造消息的无意义性。攻击类型：

1.直接攻击（Forgefromscratch

）

2.选择消息攻击（CMA）

3.自适应选择消息攻击（AdaptiveCMA

）安全模型：RandomOracleModel；StandardModel特殊性质的签名体制普通的数字签名具有广义可验证性，即任何人都可验证某个签名是否是对某个消息的签名。然而在某些情形下，特别是为了保护签名者或接收者的隐私时，并不希望让所有人都能验证签名--消息对。这就是数字签名体制中广义可验证性和隐私性之间的矛盾。一些特殊的性质使得数字签名在不同的情形下有更多的应用。可控制验证的签名不可否认签名指定确认者签名指定验证者签名广义指定验证者签名广义指定验证者签名证明限制验证者签名变色龙签名匿名性的签名盲签名（完全盲签名、部分盲签名、限制性盲签名、限制性部分盲签名、公平盲签名）群签名群盲签名环签名其它性质的签名消息恢复签名防失败签名基于群体的签名：门限签名、多签名传递签名短签名在线-脱线签名聚合签名可验证加密的签名代理签名前向（后向）安全的签名……Pleasereferto.sg/staff/guilin/bible.htm2024/1/743课程内容数字签名原理鉴别协议数字签名标准信息隐藏41235数字水印边看边思考P1422024/1/744信息隐藏技术和加密技术有何异同？数字水印有哪些算法？如何对数字水印进行攻击？2024/1/745信息隐藏是一门近年来蓬勃发展、引起人们极大兴趣的学科利用人类感觉器官对数字信号的冗余，将一个消息（通常为秘密消息）伪装藏于另一个消息（通常为非机密的信息）不同于传统的密码学技术信息隐藏将自己伪装隐藏在环境中2024/1/746信息隐藏系统模型2024/1/747信息隐藏技术的主要分支与应用2024/1/748信息隐藏系统的特征鲁棒性（