数字签名与鉴别协议 (2)

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第十章 数字签名与鉴别协议,10.1 数字签名原理,10.2 鉴别协议,10.3 数字签名标准,本章重点和复习要点,本章重点和复习要点,通信方,A,、,B,的主密钥如何进行安全分配；通信方,A,和,B,共享的对话密钥如何进行安全分配,D-H,中有无,KDC,？,D-H,是对称加密算法还是公开加密算法？,K,是对称加密密钥还是公开加密密钥？该方案有无鉴别通信双方的功能，所以容易遭受什么攻击？,N-S,算法有无,KDC,？它是一个对称加密算法还是公开加密算法？,KS,是对称加密密钥还是公开加密密钥？,N-S,的密钥分配和相互鉴别过程,为什么说,CA,相对,KDC,来说不容易形成瓶颈？,返回首页,10.1 数字签名原理,当通信双方发生了下列情况时，数字签名技,术必须能够解决引发的争端：,否认，发送方不承认自己发送过某一报文。,伪造，接收方自己伪造一份报文，并声称它来自发送方。,冒充，网络上的某个用户冒充另一个用户接收或发送报文。,篡改，接收方对收到的信息进行篡改。,返回首页,10.1.1-2 数字签名原理和流程,公开密钥算法对信息直接加密（作为数字签,名）非常耗时，因此：,1,）首先生成一个代表你的报文的简短的、独特的,报文摘要,；,2,）其次用发送方的私钥加密这个摘要，作为发送方对该报文的,数字签名,。,数字签名流程：,(1)采用散列算法对原始报文进行运算，得到一个固定长度的数字串，称为报文摘要(,Message Digest)，,保证了报文的不可更改性。,(2)发送方用目己的私有密钥对摘要进行加密来形成数字签名。,(3)这个数字签名将作为报文的附件和报文一起发送给接收方。,(4)接收方首先对接收到的原始报文用同样的算法计算出新的报文摘要，,再用发送方的公开密钥对报文附件的数字签名进行解密，,比较两个报文摘要，如果值相同，接收方就能确认该数字签名是发送方的，否则就认为收到的报文是伪造的或者中途被篡改。,10.2 鉴别协议,10.2.1,报文鉴别,1,）一种方法是发送方用自己的私钥对报文,签名,，签名足以使任何人相信报文是可信的。,2,）另一种方法,常规加密算法也提供了鉴别,。但有两个问题，一是不容易进行常规密钥的分发，二是接收方没有办法使第三方相信该报文就是从发送方送来的，而不是接收方自己伪造的。,返回首页,10.2.2 相互鉴别,利用常规加密方法进行相互鉴别不得不从,NeedhamSchroeder,协议谈起，它采用了,常规,加密体制和密钥分配中心,KDC,技术,。,尽管这个协议本身存在一定的安全漏洞，但,是后来发展的很多鉴别协议都是在,Needham,Schroeder,协议的基础上扩展而成的。,1,）在该协议中，通信各方与,KDC,共享一个,主密钥,，它已通过其他安全渠道传送完成。,2,）,KDC,为通信的双方产生短期通信所需的,会话密钥,，并通过主密钥来保护这些密钥的分发。,NeedhamSchroeder,协议步骤：,（1）,A,KDC:（IDa，IDb，Ra,）,。,通信方,A,将由自己的名字,IDa,，,通信方,B,的名字,IDb,和随机数,Ra,组成的报文传给,KDC。,（2）,KDC,A:,E,Ka,(Ra,IDb,K,s,E,Kb,(K,s,IDa,),。,KDC,产生一随机会话密钥,K,s,，用,K,b,对,K,s,和通信,方,A,名字加密。然后用,K,a,对通信方,A,的随机值、通,信方,B,的名字、会话密钥,K,s,和已加密的报文进行加,密，最后将它传送给通信方,A。,（3）AB:,E,Kb,(K,s,IDa,),。,通信方,A,将报文解密并提取,K,s,。他确认,Ra,与他,在第(1)步中发送给,KDC,的一样。然后他将,KDC,用,K,b,加密的报文转发给通信方,B。,（4）,B,A:,E,Ks,(Rb,),。,通信方,B,对报文解密并提取,K,s,，,然后产生另一随,机数,Rb,。他使用,K,s,加密它并发送给通信方,A。,（5）A,B:,E,Ks,(Rb-1),。,通信方,A,用,K,s,将报文解密，产生,Rb-1,并用,K,s,对它,加密，然后将报文发回给通信方,B。,（6）,通信方,B,用,K,s,对信息解密,，并验证它是,Rb-1。,会话密钥分配和双向认证,尽管,NeedhamSchroeder,协议已经考虑了重放,攻击，但是设计一个完美的没有漏洞的鉴别协议往,往是很困难的。,让我们考虑一下这种情况：如果一个对手已经获,得了一个旧的会话密钥，那么在第(3)步中就可冒充,通信方,A,向通信方,B,发送一个旧密钥的重放报文，而,此时通信方,B,无法确定这是一个报文的重放,Denning,对,Needham,schroeder,协议进行了修,改，防止这种情况下的重放攻击，其过程如下：,（1）,A,KDC:（IDa，IDb,）。,（2）,KDC,A:,E,Ka,(T,IDb,K,s,E,Kb,(T,K,s,IDa,)。,（3）AB:,E,Kb,(T,K,s,IDa,)。,（4）,B,A:,E,Ks,(Rb,)。,（5）A,B:,E,Ks,(Rb-1)。,时间戳,T,向,A,和,B,确保该会话密钥是刚产生的。,10.2.3 单向鉴别,第一个需求是电子邮件报文的首部必须是明,文的，以便报文能被,SMTP,处理，而邮件报文内,容应该加密。,第二个需求是鉴别。典型的是，收方想得到,某种保证，即该报文确实是来自被认为的发方。,基于常规加密方法的方案实现鉴别：,（1）,A,KDC:（IDa，IDb,Ra）。,（2）,KDC,A:,E,Ka,(IDb,K,s,Ra,E,Kb,(K,s,Da,)。,（3）AB:,E,Kb,(K,s,IDa,),E,Ks,(M,)。,1,）这个方案会遭到重放攻击。,2,）如果在报文中加入时间戳，由于电子邮件潜在的时延，时间戳的作用非常有限。,公开密钥加密方法适合电子邮件，如果发方,和收方都知道对方的公开密钥，则可以同时提,供机密性和鉴别。,A,B:,E,KUb,(M,E,KRa,(H(M),A,B:,E,KUb,(Ks),，,E,Ks,(M,E,KRa,(H(M),10.3 数字签名标准,目前已有大量的数字签名算法，如,RSA,数字签,名算法、,EIGamal,数字签名算法、椭圆曲线数字,签名算法等。,美国的数字签名标准/算法(,DSS/DSA),美国国家标准技术学会(,NIST),的一个标淮，它,是,ElGamal,数字签名算法的一个修改。,当选择,p,为512比特的素数时，,ElGamal,数字签,名的尺寸是1024比特；而在,DSA,中通过选择一个,160比特的素数可将签名的尺寸降低为320比特。,返回首页,安全散列标准/算法（,SHS/SHA）,DSS,签名使用,FIPS80-1,和安全,hash,标淮(,SHS),产,生和核实数字签名。许多加密者认为,SHS,所指定的,安全散列算法(,SHA),是最强劲的散列算法。,DSS,的安全性表现在如下的几个方面：,1),对报文的签名不会引起私有密钥的泄漏。,2)若不知私有密钥，没有人能够对给定的报文产生签名。,3)没有人能够产生匹配给定签名的报文。,4)没有人能够修改报文并使原有的签名依然有效。,