西安电子科技大学：《现代密码学》课程教学资源（PPT课件讲稿）第七章 数字签名和密码协议

本章提要 7.1数字签字的基本概念 ●72数字签字标准 73其它签字方案 ≥74认证协议 7.5身份证明技术 ≥7.6其它密码协议 2/95 西安電子評核九擊

2/95  7.1 数字签字的基本概念  7.2 数字签字标准  7.3 其它签字方案  7.4 认证协议  7.5 身份证明技术  7.6 其它密码协议 本章提要

71数字签字的基本概念 ≥数字签名由公钥密码发展而来,它在网络安全方 面具有重要的应用,包括 身份认证 数据完整性 不可否认性 匿名性等 本章重点学习 数字签名的基本概念和一些常用的数字签名算法 身份认证协议、身份证明技术 3/95 西安電子評核九擊

3/95 7.1 数字签字的基本概念  数字签名由公钥密码发展而来，它在网络安全方 面具有重要的应用，包括 ⚫ 身份认证 ⚫ 数据完整性 ⚫ 不可否认性 ⚫ 匿名性等  本章重点学习 ⚫ 数字签名的基本概念和一些常用的数字签名算法 ⚫ 身份认证协议、身份证明技术

71.1数字签字应满足的要求 普通的基于对称密钥的消息认证方法存在重要缺陷 消息认证虽然可以保护通信双方以防第三方的攻击,然而 却不能保护通信双方中的一方防止另一方的欺骗或伪造 通信双方之间可能有多种形式的欺骗 例如通信双方A和B(设A为发方,B为收方)使用消息认 证码的基本方式通信,则可能发生以下欺骗: ①B伪造一个消息并使用与A共享的密钥产生该消息的认 证码,然后声称该消息来自于A ②由于B有可能伪造A发来的消息,所以A就可以对自己发 过的消息予以否认。数字签名可提供消息的不可否认性a5 西安電子評核九擊

4/95 7.1.1 数字签字应满足的要求  普通的基于对称密钥的消息认证方法存在重要缺陷 ⚫ 消息认证虽然可以保护通信双方以防第三方的攻击，然而 却不能保护通信双方中的一方防止另一方的欺骗或伪造  通信双方之间可能有多种形式的欺骗 ⚫ 例如通信双方A和B（设A为发方，B为收方）使用消息认 证码的基本方式通信，则可能发生以下欺骗： ⚫ ① B伪造一个消息并使用与A共享的密钥产生该消息的认 证码，然后声称该消息来自于A。 ⚫ ② 由于B有可能伪造A发来的消息，所以A就可以对自己发 过的消息予以否认。数字签名可提供消息的不可否认性

71.1数字签字应满足的要求 这两种欺骗在实际的网络安全应用中都有可能发 生 例如在电子资金传输中,收方增加收到的资金数,并声 称这一数目来自发方。 又如用户通过电子邮件向其证券经纪人发送对某笔业务 的指令,以后这笔业务赔钱了,用户就可否认曾发送过 相应的指令。 ≥在收发双方未建立起完全的信任关系且存在利害 冲突的情况下,单纯的消息认证就显得不够 数字签名技术则可有效解决这一问题。 5/95 西安電子評核九擊

5/95 7.1.1 数字签字应满足的要求  这两种欺骗在实际的网络安全应用中都有可能发 生 ⚫ 例如在电子资金传输中，收方增加收到的资金数，并声 称这一数目来自发方。 ⚫ 又如用户通过电子邮件向其证券经纪人发送对某笔业务 的指令，以后这笔业务赔钱了，用户就可否认曾发送过 相应的指令。  在收发双方未建立起完全的信任关系且存在利害 冲突的情况下，单纯的消息认证就显得不够。 ⚫ 数字签名技术则可有效解决这一问题

类似于手书签名,数字签名应具有以下性 质: ①能够验证签名产生者的身份,以及产生签名 的日期和时间 ②能用于证实被签消息的内容 ③数字签名可由第三方验证,从而能够解决通 信双方的争议 由此可见,数字签名具有认证功能 6/95 西安電子評核九擊

6/95  类似于手书签名，数字签名应具有以下性 质： ⚫ ① 能够验证签名产生者的身份，以及产生签名 的日期和时间 ⚫ ② 能用于证实被签消息的内容 ⚫ ③ 数字签名可由第三方验证，从而能够解决通 信双方的争议 ⚫ 由此可见，数字签名具有认证功能

≥为实现上述3条性质,数字签名应满足以下 要求 ①签名的产生必须使用发方独有的一些信息以 防伪造和否认 ②签名的产生应较为容易 ③签名的识别和验证应较为容易 ④对已知的数字签名构造一新的消息或对已知 的消息构造一假冒的数字签名在计算上都是不 可行的 795 西安電子評核九擊

7/95  为实现上述3条性质，数字签名应满足以下 要求： ⚫ ① 签名的产生必须使用发方独有的一些信息以 防伪造和否认 ⚫ ② 签名的产生应较为容易 ⚫ ③ 签名的识别和验证应较为容易 ⚫ ④ 对已知的数字签名构造一新的消息或对已知 的消息构造一假冒的数字签名在计算上都是不 可行的

712数字签名的产生方式 ●数字签名的产生可用加密算法或特定的签名算法 1.由加密算法产生数字签名 是指将消息或消息的摘要加密后的密文作为对该消息的数字签名 其用法又根据是单钥加密还是公钥加密而有所不同 (1)单钥加密 如图:基于共享密钥加解密,密文即为签名 如果加密的是消息摘要或有消息冗余,则可提供消息源认证和完整 性认证 严格来说,不能称为签名,不具备签名的要求① 一—发送方 接收方— K K EKM) 8/95 (a)单钥加密:保密性和认证性

8/95 7.1.2 数字签名的产生方式  数字签名的产生可用加密算法或特定的签名算法  1. 由加密算法产生数字签名 ⚫ 是指将消息或消息的摘要加密后的密文作为对该消息的数字签名 ⚫ 其用法又根据是单钥加密还是公钥加密而有所不同  (1) 单钥加密 ⚫ 如图：基于共享密钥加解密，密文即为签名 ⚫ 如果加密的是消息摘要或有消息冗余，则可提供消息源认证和完整 性认证 ⚫ 严格来说，不能称为签名，不具备签名的要求①

(2)公钥加密 如图1(b)所示,发送方A使用自己的秘密钥SKA对消息M加密后的密 文作为对M的数字签名, B使用A的公开钥PK对消息解密,由于只有A才拥有加密密钥SKA 因此可使B相信自己收到的消息的确来自A。 然而由于任何人都可使用A的公开钥解密密文,所以这种方案不提供 保密性 加密的消息应该是消息摘要或有消息冗余 为提供保密性,A可用B的公开钥再一次加密,如图1c所示。 M SKA ESK, (M (b)公钥加密:认证性和签字 ESK,(M) EPKBLESKA (MI ESK, (M PKB 9/95 (c)公钥加密:保密性、认证性和签字

9/95  (2) 公钥加密 ⚫ 如图1(b)所示，发送方A使用自己的秘密钥SKA对消息M加密后的密 文作为对M的数字签名， ⚫ B使用A的公开钥PKA对消息解密，由于只有A才拥有加密密钥SKA， 因此可使B相信自己收到的消息的确来自A。 ⚫ 然而由于任何人都可使用A的公开钥解密密文，所以这种方案不提供 保密性 ⚫ 加密的消息应该是消息摘要或有消息冗余 ⚫ 为提供保密性，A可用B的公开钥再一次加密，如图1(c)所示

°下面以RSA签名体制为例说明数字签名的产生过程 ①体制参数 ●选两个保密的大素数p和q,计算n=p×q,q(m)=(p1)(q-1) 选一整数e,满足1<e<q(m),且gcd(p(m)2e)=1 计算d,满足 de=l mod p(n 以{e,}为公开钥{4yp,q为秘密钥 ②签名过程 设消息为M,对其签名为:S= Md mod n ③验证过程 接收方在收到消息M和签名S后,验证M= Se mod n是否成立,若成立, 则发送方的签名有效 实际应用时,数字签名是对消息摘要加密产生,而不是直接 对消息加密产生,如图63(a图63(d所示 10/95 西安電子評核九擊

10/95  下面以RSA签名体制为例说明数字签名的产生过程  ① 体制参数 ⚫ 选两个保密的大素数p和q，计算n=p×q，(n)=(p-1)(q-1) ⚫ 选一整数e，满足1<e<φ(n)，且gcd(φ(n),e)=1 ⚫ 计算d，满足d·e≡1 mod φ(n) ⚫ 以{e,n}为公开钥,{d,p,q}为秘密钥  ② 签名过程 ⚫ 设消息为M，对其签名为：S≡M d mod n  ③ 验证过程 ⚫ 接收方在收到消息M和签名S后，验证M≡S e mod n是否成立，若成立， 则发送方的签名有效  实际应用时，数字签名是对消息摘要加密产生，而不是直接 对消息加密产生，如图6.3(a)~图6.3(d)所示

由加密算法产生数字签名又分为外部保密方式和 内部保密方式 外部保密方式是指数字签名是直接对需要签名的消息生 成而不是对已加密的消息生成,否则称为内部保密方式。 外部保密也可说是先签名再加密,而后者是先加密再签 名 外部保密方式便于解决争议,因为第3方在处理争议时, 需得到明文消息及其签名 ●如果采用内部保密方式,第3方必须得到消息的解密密钥 后才能得到明文消息。如果采用外部保密方式,接收方就 可将明文消息及其数字签名存储下来以备以后万一出现争 议时使用 11/95 西安電子評核九擊

11/95  由加密算法产生数字签名又分为外部保密方式和 内部保密方式 ⚫ 外部保密方式是指数字签名是直接对需要签名的消息生 成而不是对已加密的消息生成，否则称为内部保密方式。 外部保密也可说是先签名再加密，而后者是先加密再签 名 ⚫ 外部保密方式便于解决争议，因为第3方在处理争议时， 需得到明文消息及其签名 ⚫ 如果采用内部保密方式，第3方必须得到消息的解密密钥 后才能得到明文消息。如果采用外部保密方式，接收方就 可将明文消息及其数字签名存储下来以备以后万一出现争 议时使用