数字签名和认证协议.ppt

《数字签名和认证协议.ppt》由会员分享，可在线阅读，更多相关《数字签名和认证协议.ppt（26页珍藏版）》请在三一办公上搜索。

1、Chapter 13 数字签名和认证协议,密码编码学与网络安全,2023/10/1,西安电子科技大学计算机学院,2,13.1 数字签名,消息认证可以保护信息交换不受第三方的攻击，但不能处理通信双方自身发生的攻击。数字签名提供了这种能力:验证签名者、签名的日期和时间认证消息内容可由第三方仲裁，以解决争执。因此，数字签名具有认证功能,2023/10/1,西安电子科技大学计算机学院,3,数字签名应满足的条件,签名值必须依赖于所签的消息必须使用对于发送者唯一的信息以防止伪造和否认产生签名比较容易识别和验证签名比较容易伪造数字签名在计算上是不可行的。包括已知数字签名，伪造新的消息已知消息，伪造数字签名保

2、存数字签名的拷贝是可行的,2023/10/1,西安电子科技大学计算机学院,4,直接数字签名,只涉及收发双方假定接收方已知发送方的公钥发送方可以用自己的私钥对整个消息内容或消息内容的hash值进行加密，完成数字签名。可以用接收者的公钥来加密以提供保密性先签名后加密，很重要。缺点：安全性依赖于发送方私钥的安全性,2023/10/1,西安电子科技大学计算机学院,5,仲裁数字签名,仲裁者A验证任何签名的消息给消息加上日期并发送给接收者需要对仲裁者有合适的信任级别即可在私钥体制中实现，又可在公钥体制中实现仲裁者可以或者不可以阅读消息,2023/10/1,西安电子科技大学计算机学院,6,2023/10/1

3、,西安电子科技大学计算机学院,7,13.2 认证协议,用于确认通信的参与者，并交换会话密钥。认证可以是单向的也可以是相互的。主密钥应该是保密的 保护会话密钥有时间性 防止重放攻击发布的协议往往发现有缺陷需要修订,2023/10/1,西安电子科技大学计算机学院,8,13.2.1 相互认证,当有效的签名消息被拷贝，之后又重新被发送简单重放可检测的重放不可检测的重放不加修改的逆向重放（对称密码）解决办法包括：序列号(通常不可行)时间戳(需要同步时钟)随机数/响应(目前的常用方法),重放攻击,2023/10/1,西安电子科技大学计算机学院,9,对称加密方法,如前所述，需要两层密钥。可信的KDC,Key

4、 Distribution Center每个用户与KDC共享一个主密钥KDC产生通信方之间所用的会话密钥主密钥用于分发会话密钥,2023/10/1,西安电子科技大学计算机学院,10,Needham-Schroeder 协议,有第三方参与的密钥分发协议KDC作为AB会话的中介协议:1.A-KDC:IDA|IDB|N12.KDC-A:EKa Ks|IDB|N1|EKb Ks|IDA 3.A-B:EKb Ks|IDA4.B-A:EKsN25.A-B:EKs f(N2),2023/10/1,西安电子科技大学计算机学院,11,Needham-Schroeder 协议,用于安全地分发AB之间通信所用的会话

5、密钥存在重放攻击的风险，如果一个过时的会话密钥被掌握则消息3可以被重放以欺骗B使用旧会话密钥，使B遭到破坏解决的办法:时间戳(Denning 81)使用一个额外的临时会话号(Neuman 93),2023/10/1,西安电子科技大学计算机学院,12,公钥加密方法,需要确保彼此的公钥提前已经获知采用一个中心认证服务器Authentication Server(AS)用时间戳或临时交互号的变形协议,2023/10/1,西安电子科技大学计算机学院,13,Denning AS 协议,Denning 81 协议描述如下:1.A-AS:IDA|IDB2.AS-A:EPRasIDA|PUa|T|EPRasI

6、DB|PUb|T 3.A-B:EPRasIDA|PUa|T|EPRasIDB|PUb|T|EPUbEPRasKs|T 会话密钥由A选择，所以不存在会话密钥被AS泄密的危险时间戳可用于防止重放攻击，但需要时钟同步。改用临时交互号,2023/10/1,西安电子科技大学计算机学院,14,13.2.2 单向认证,当收发双方不能在同一时间在线时(eg.email)有明确的头信息以被邮件系统转发希望对内容进行保护和认证,2023/10/1,西安电子科技大学计算机学院,15,对称加密方法,可以变化对KDC的使用，但是不能使用临时交互号:1.A-KDC:IDA|IDB|N12.KDC-A:EKaKs|IDB|

7、N1|EKbKs|IDA 3.A-B:EKbKs|IDA|EKsM不能抗重放攻击可以引入时间戳到信息中但email的处理中存在大量延时，使得时间戳用途有限。,2023/10/1,西安电子科技大学计算机学院,16,公钥加密方法,已经讨论过一些公钥加密认证的论题若关心保密性，则:A-B:EPUbKs|EKsM被加密的会话密钥和消息内容若需要用数字证书提供数字签名，则:A-B:M|EPRaH(M)|EPRasT|IDA|PUa 消息，签名，证书,2023/10/1,西安电子科技大学计算机学院,17,13.2.2 数字签名标准Digital Signature Standard(DSS),美国政府的签

8、名方案由NIST 和NSA，在20世纪90年代设计1991年，作为FIPS-186发布1993,1996，2000进行了修改采用SHA hash算法 DSS 是标准 DSA 算法。FIPS 186-2(2000)包括可选的 RSA 和椭圆曲线签名算法,2023/10/1,西安电子科技大学计算机学院,18,Digital Signature Algorithm(DSA),产生320 bit的签名值可以提供512-1024 bit 的安全性比RSA小且快仅是一个数字签名方案（不能用于加密）安全性依赖于计算里算对数的困难性是ElGamal 和Schnorr 方案的变体,2023/10/1,西安电子科

9、技大学计算机学院,19,Digital Signature Algorithm(DSA),2023/10/1,西安电子科技大学计算机学院,20,DSA 密钥的生成,全局公钥(p,q,g):选择q,位长为160 bit 选择一个大的素数 p=2L 其中 L=512 to 1024 bits 且L 是64的倍数q 是(p-1)的素因子选择 g=h(p-1)/q 其中 h 1 用户选择私钥并计算对应的公钥:随机选择私钥 0 xq 计算公钥 y=gx(mod p),2023/10/1,西安电子科技大学计算机学院,21,DSA 签名的生成,为了对消息M进行签名，发送者:产生一个随机签名密钥k,kq 注意

10、 k 必须是一个随机数，用后就扔掉，不再使用。计算签名对:r=(gk(mod p)(mod q)s=(k-1.H(M)+x.r)(mod q)和消息M一同发送签名值(r,s),2023/10/1,西安电子科技大学计算机学院,22,DSA 数字签名的验证,已经收到消息M 和签名值(r,s)为了验证签名,接收者计算:w=s-1(mod q)u1=(H(M).w)(mod q)u2=(r.w)(mod q)v=(gu1.yu2(mod p)(mod q)如果 v=r 则签名正确证明（略）,2023/10/1,西安电子科技大学计算机学院,23,2023/10/1,西安电子科技大学计算机学院,24,2023/10/1,西安电子科技大学计算机学院,25,小 结,数字签名认证协议相互认证单方认证DSA及其DSS,2023/10/1,西安电子科技大学计算机学院,26,第13章作业,习题：第13.7，13.10题,