《应用密码学》课件11认证理论与技术-数字签名

2025/8/181数字签名2025/8/182本章主要内容1、消息认证2、数字签名的基本概念3、RSA数字签名方案2025/8/1833信息窃取信息传递信息冒充信息篡改信息抵赖加密技术（DES，AES，RSA）完整性技术：SHA，MD5认证技术：MAC,数字签名数字签名密码技术2025/8/184消息认证其作用是保护通信双方以防第三方的攻击，然而却不能保护通信双方中的一方防止另一方的欺骗或伪造。通信双方之间也可能有多种形式的欺骗，例如通信双方A和B（设A为发方，B为收方）使用消息认证码的基本方式通信，则可能发生以下欺骗：

消息认证码的缺陷消息认证码容易遭受什么攻击2025/8/185①B伪造一个消息并使用与A共享的密钥产生该消息的认证码，然后声称该消息来自于A。②由于B有可能伪造A发来的消息，所以A就可以对自己发过的消息予以否认。这两种欺骗在实际的网络安全应用中都有可能发生，例如在电子资金传输中，收方增加收到的资金数，并声称这一数目来自发方。又如用户通过电子邮件向其证券经纪人发送对某笔业务的指令，以后这笔业务赔钱了，用户就可否认曾发送过相应的指令。消息认证码缺陷实例2025/8/186

基于非对称密码体制和对称密码体制都可以产生数字签名。不过，基于对称密码体制的数字签名一般都要求有可信任的第三方，在发生纠纷的时候作为仲裁者。所以，在研究中多以非对称密码体制为基础提出数字签名方案

数字签名的产生方式例如政府要发布电子公文m并放于公共媒介如网络之上,那么其他人如何确定这个消息就是政府发布的原信息而没有被其他人更改过呢？也就是如何确定消息的完整性呢？2025/8/1872025/8/188因此在收发双方未建立起完全的信任关系且存在利害冲突的情况下，单纯的消息认证就显得不够。数字签名技术则可有效解决这一问题。类似于手书签名，数字签名应具有以下性质：①能够验证签名产生者的身份，以及产生签名的日期和时间。②能用于证实被签消息的内容。③数字签名可由第三方验证，从而能够解决通信双方的争议。数字签名应满足的要求2025/8/189由此可见，数字签名具有认证功能。为实现上述3条性质，数字签名应满足以下要求：①签名的产生必须使用发方独有的一些信息以防伪造和否认。②签名的产生应较为容易。③签名的识别和验证应较为容易。④对已知的数字签名构造一新的消息或对已知的消息构造一假冒的数字签名在计算上都是不可行的。数字签名应满足的要求2025/8/181010由公钥密码体制算法产生数字签名A向B发送消息，用A的私钥签名B收到密文后，用A的公钥验证PlainText签名算法验证算法签名ABA的私钥A的公钥PlainTextPlainTextPlainText数字签名分类按数字签名的所依赖的理论基础分，主要可以分为：（1）基于大数分解难题的数字签名（2）基于离散对数难题的数字签名（3）基于椭圆曲线离散对数的数字签名2025/8/1811数字签名分类从数字签名的用途分，可以把数字签名分为普通的数字签名和特殊用途的数字签名。普通的数字签名往往可以和身份认证相互转换，特殊用途的数字签名，如盲签名、代理签名、群签名、门限签名和前向安全的数字签名等，多是在某些特殊的场合下使用。盲签名通常用于需要匿名的小额电子现金的支付和匿名选举，代理签名可以用于委托别人在自己无法签名的时候（如外出开会不方便使用网络等）代替签名等2025/8/18122025/8/18132025/8/1814下面以RSA签名体制为例说明数字签名的产生过程。（1）参数产生①选择两个满足需要的大素数p和q，计算n=p×q,φ(n)=(p-1)×(q-1)，其中φ(n)是n的欧拉函数值。

②选一个整数e,满足1<e<φ(n)，且gcd(φ(n),e)=1。通过d×e≡1modφ(n)，计算出d。③以{e,n}为公开密钥，{d,n}为秘密密钥。RSA数字签名2025/8/1815（2）签名过程假设签名者为Bob，则只有Bob知道秘密密钥{d,n}。设需要签名的消息为m，则签名者Bob通过如下计算对m签名：s≡mdmodn（m,s）为对消息m的签名。Bob在公共媒体上宣称他发布了消息m，同时把对m的签名s置于消息后用于公众验证签名。（3）验证过程。公众在看到消息m和对其签名s后，利用Bob的公开验证密钥{e,n}对消息进行验证。公众计算：m≡semodn是否成立，若成立，则Bob的签名有效。公众认为消息m的确是Bob所发布，且消息内容没有被篡改。也就是说，公众可以容易鉴别发布人发布的消息的完整性。2025/8/1816RSA签名算法缺陷假设攻击者Eve想得到签名者对消息M的签名，则攻击者Eve可以构造消息M1和M2，使M=M1*M2。然后把消息M1和M2分别发送给签名者Bob进行签名。（1）设Bob对消息M1的签名为S1，即S1≡M1dmodn；（2）设Bob对消息M2的签名为S2，即S2≡M2dmodn；在得到Bob的两次对消息的签名后，则攻击者Eve很容易构造消息M的签名S，S=Md=（M1*M2)dmodn≡S2*S1。虽然说在已知M的情况下，M1、M2往往只是一个数值，一般来说是没有意义的。但进行签名的往往是一台机器，不会对消息有无意义进行鉴别，故导致了算法的不安全2025/8/1817实际应用时，数字签名是对消息摘要签名产生，而不是直接对消息签名产生对上述RSA签名算法的改进（1）签名过程设需要签名的消息为m，签名者Bob通过如下计算完成签名：s≡H(m)dmodn（m,s）为对消息m的签名。（2）验证过程在收到消息m和签名s后，验证H(m)≡semodn是否成立。若成立，则签名有效。2025/8/18182025/8/1819对上述RSA签名算法的改进消息Hash函数消息摘要发方A相等？收方B加密算法私钥A签名消息加密的消息摘要签名消息Hash函数消息摘要解密算法公钥A签名有效y签名无效n2025/8/1820数字签名标准DSS(DigitalSignatureStandard)是由美国NIST公布的联邦信息处理标准FIPSPUB186，其中采用了上一章介绍的SHA和一新的签名技术，称为DSA(DigitalSignatureAlgorithm)。DSS最初于1991年公布，在考虑了公众对其安全性的反馈意见后，于1993年公布了其修改版。数字签名标准DSS2025/8/1821公钥密码体制，公钥可以公开，采用公钥密码体制的数字签名，可以用公钥验证消息的真实性和来源，公钥怎么公布出去？数字证书是什么

数字证书就是标志网络用户身份信息的一系列数据，用来在网络通讯中识别通讯各方的身份，即要在Internet上解决“我是谁”的问题，就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样，以表明我们的身份或某种资格。数字证书是CA最基本的组件数字证书被发行给实体，担保实体的网络应用身份一张数字证书通过一个公钥和与之对应的私钥来证明身份的唯一性主体Alice的证书公钥私钥数字证书结构证书主体身份信息主体的公钥CA名称其他信息CA签名驾驶证驾驶员身份信息执照种类（驾驶能力）公安局名称其他信息公安局盖章数字证书的内容版本号：用来区分X.509的不同版本。序列号：由CA给予每一个证书的分配惟一的数字型编号。认证机构标识：颁发该证书的机构惟一的CA的X.500名字。主体标识：证书持有者的名称。主体公钥信息：和该主体私钥相对应的公钥。证书有效期：证书有效时间包括两个日期：证书开始有效期和证书失效期。密钥