Lecture08_数字签名

第8章数字签名学习要点：–了解数字签名产生的背景–了解数字签名的基本要求–了解数字签名方案–了解数字签名标准DSS数字签名问题Messageauthentication用以保护双方之间的数据交换不被第三方侵犯；但它并不保证双方自身的相互欺骗。假定A发送一个认证的信息给B，双方之间的争议可能有多种形式：–B伪造一个不同的消息，但声称是从A收到的。–A可以否认发过该消息，B无法证明A确实发了该消息。例如：EFT中改大金额；股票交易指令亏损后抵赖。数字签名的目的对数字对象的合法性、真实性进行标记提供签名者的承诺数字签名的特殊性传统文档的符号一般都具有墨迹等物理特征（可鉴别性）相应的手写签名与被签名文档使用共同的物理载体（不可分割性）手写签名能够反映签名者的个性特征（独特性）电子文档的物理载体表现为电磁信号所携带的文字符号以二进制编码的逻辑形式存在可以任意分割、复制而不被察觉数字信息本身没有个性特征很容易被伪造和重用，完全达不到签名的目的传统手写签名的验证具有一定程度的主观性和模糊性数字签名是手写签名的一种电子模拟–用于向接收方或第三方证实消息被信源方签署，–用于存储的数据或程序的完整性证实基于两条基本的假设：–私钥是安全的–产生数字签名的唯一途径是使用私钥数字式手写式签名图8－1　数字签名与手写签名数字签名应具有的性质签名是对文档的一种映射，签名与文档具有一一对应关系（精确性）签名应基于签名者的唯一性特征（如私钥），从而确定签名的不可伪造性和不可否认性（唯一性）签名应该具有时间特征，防止签名的重复使用（时效性）数字签名的要求接收者能够核实发送者对报文的签名发送者事后不能抵赖对报文的签名接收者不能伪造对报文的签名必须能够认证签名时刻的内容签名必须能够被第三方验证，以解决争议数字签名的设计要求签名必须依赖于被签名信息签名必须使用某些对发送者是唯一的信息签名必须相对容易生成必须相对容易识别和验证该签名伪造该数字签名在计算复杂性意义上具有不可行性保存一个数字签名副本是可行的数字签名方案描述设P是消息的有限集合（明文空间），S是签名的有限集合（签名空间），K是密钥的有限集合（密钥空间），则：签名算法是一个映射：验证算法也是一个映射：五元组{P,S,K,sig,ver}就称为一个签名方案)(,:xsigySKPsigk})(,),()(,),(|),{(:xsigyfalseyxverxsigytrueyxverfalsetrueSPverkk如果如果最基本的数字签名基于对称密钥密码算法–本质是基于共享密钥的验证签名算法－加密算法：––验证算法－解密算法：––或加密算法：–基于公钥密码算法–本质上是公钥密码加密算法的逆应用)()(mEmsigykk)(),(yDmtrueymverk)(),(mEytrueymverk两类数字签名函数直接数字签名可仲裁数字签名直接数字签名（DDS）(1)AB:EKRa[M]提供了认证与签名：•只有A具有KRa进行加密•传输中无法被篡改•任何第三方可以用KUa验证签名(1’)AB:EK[EKRa(M)]提供了保密(K)、认证与签名(KRa)图8－4简单数字签名私钥公钥原文签名签名后的文档证实得到证实的文档直接数字签名(2)AB:M||EKRa[H(M)]提供认证及数字签名－H(M)受到密码算法的保护－只有A能够生成EKRa[H(M)]－H(M)有压缩功能(2’)AB:EK[M||EKRa[H(M)]]或EK[M]||EKRa[H(M)]提供保密性、认证和数字签名图8－5安全数字签名(签名过程)用于签名的私钥明文+签名原文消息摘要HASH函数用私钥签过名的消息摘要直接数字签名的缺点验证模式依赖于发送方的私有密钥–发送方可能声称其私有密钥丢失或被窃，而抵赖发送过某一消息–需采用与私有密钥安全性相关的行政管理控制手段来制止或削弱这种情况，但威胁在某种程度上依然存在X的某些私有密钥确有可能在时间T被窃取，敌方可以伪造X的签名及早于或等于时间T的时间戳改进的方式：对被签名的信息添加时间戳（日期与时间）须将已暴露的密钥及时报告给一个授权中心（如CRL）可仲裁数字签名引入仲裁者–通常做法：所有X－＞Y的签名消息首先送到仲裁者A，A将消息及其签名进行一系列测试，以检查其来源和内容，然后将消息加上时间戳，并与已被验证通过的签名一起发给Y仲裁者在这一类签名模式中扮演裁判角色–所有参与者必须绝对相信这一仲裁机制工作正常（trustedsystem）仲裁数字签名技术：(a)单密钥加密方式，仲裁者可以看见消息：(1)XA：M||EKxa[IDx||H(M)](2)AY：EKay[IDx||M||EKxa[IDx||H(M)]||T]X与A之间共享密钥Kxa，Y与A之间共享密钥Kay；X：准备消息M，计算其散列码H(M)，用X的标识符IDx和散列值构成签名，并将消息及签名经Kxa加密后发送给A；A：解密签名，用H(M)验证消息M，然后将IDx，M，签名，和时间戳一起经Kay加密后发送给Y；Y：解密A发来的信息，并可将M和签名保存起来。解决纠纷：Y：向A发送EKay[IDx||M||EKxa[IDx||H(M)]]A：用Kay恢复IDx，M，和签名（EKxa[IDx||H(M)]），然后用Kxa解密签名并验证散列码。注意：在这种模式下Y不能直接验证X的签名，Y认为A的消息已认证，只因为它来自A。因此，双方都需要高度相信A:•X必须信任A没有暴露Kxa，并且没有自己生成签名EKxa[IDx||H(M)]•Y必须信任A验证了散列值正确并且签名确实是X产生的情况下才发送的EKay[IDx||M||EKxa[IDx||H(M)]||T]•双方都必须信任A处理争议是公正的。只要A遵循上述要求，则X相信没有人可以伪造其签名；Y相信X不能否认其签名。上述情况还隐含着A可以看到X给Y的所有信息，因而所有的窃听者也能看到。(b)单密钥加密方式，仲裁者不可以看见消息：(1)XA：IDx||EKxy[M]||EKxa[IDx||H(EKxy[M])](2)AY：EKay[IDx||EKxy[M]||EKxa[IDx||H(EKxy[M])]||T]在这种情况下，X与Y之间共享密钥Kxy，X：将标识符IDx,密文EKxy[M]，以及对IDx和密文消息的散列码用Kxa加密后形成签名发送给A。A：解密签名，用散列码验证消息，这时A只能验证消息的密文而不能读取其内容。然后A将来自X的所有信息加上时间戳并用Kay加密后发送给Y。(a)和(b)共同存在一个共性问题：A和发送方联手可以否认签名的信息；A和接收方联手可以伪造发送方的签名；(c)双密钥加密方式，仲裁者不可以看见消息：(1)XA：IDx||EKRx[IDx||EKUy(EKRx[M])](2)AY：EKRa[IDx||EKUy[EKRx[M]]||T]X：对消息M双重加密：首先用X的私有密钥KRx，然后用Y的公开密钥KUy。形成一个签名的、保密的消息。然后将该信息以及X的标识符一起用KRx签名后与IDx一起发送给A。这种内部、双重加密的消息对A以及对除Y以外的其它人都是安全的。A：检查X的公开/私有密钥对是否仍然有效，是，则认证消息。并将包含IDx、双重加密的消息和时间戳构成的消息用KRa签名后发送给Y。本模式比上述两个模式具有以下好处：1、在通信之前各方之间无须共享任何信息，从而避免了联手作弊；2、即使KRx暴露，只要KRa未暴露，不会有错误标定日期的消息被发送；3、从X发送给Y的消息的内容对A和任何其他人是保密的。§8-2数字签名标准(DSS)公布于1994年5月19日的联邦记录上，并于1994年12月1日采纳为标准DSS。DSS为EIGamal签名方案的改进。DSS的主要参数：(1)全局公开密钥分量，可以为用户公用p：素数，要求2L-1p2L,512=L1024，且L为64的倍数q:(p-1)的素因子，2159q2160，即比特长度为160位g:=h(p-1)/qmodp。其中h是一整数，1h(p-1)且h(p-1)/qmodp1(2)用户私有密钥x：随机或伪随机整数，要求0xq(3)用户公开密钥y：=gxmodp(4)k:随机或伪随机整数，要求0kqDSS的签名与验证消息SHA-1消息摘要DSA签名操作秘密密钥数字签名(a)签名过程消息SHA-1消息摘要DSA验证操作公开密钥验证结论(b)验证过程收到的数字签名图8－6DSA签名与验证过程签名与验证签名过程：用户随机选取k，计算：r=(gkmodp)modqs=[k-1(M+xr)]modq(r,s)即为消息M的数字签名验证过程：接收者收到M,r,s后，首先验证0rq,0sq，如果通过则计算：w=(s)-1modqu1=[Mw]modqu2=[rw]modqv=[(gu1yu2)modp]modq如果v=r，则确认签名正确假设取q=101，p=78*101+1=7879，h=3,所以g=378（mod7879)=170假设x=75，那么ygx(mod7879)=4567现在,假设Bob想签名一个消息m=1234，且他选择了随机值k=50，可算得k-1(mod101)=99,签名算出:–r=(17050mod7879)mod101=2518(mod101)=94–s=(1234+75*94)99(mod101)=97签名为（94，97）DSS例子－签名w=97-1（mod101)=25u1=1234*25(mod101)=45u2=94*25(mod101)=27v=[17045*456727(mod7879)](mod101)=2518(mod101)=94v=r，该签名是有效的DSS例子－验证