数字签名、密钥及认证管理.ppt
- 文档编号:2487669
- 上传时间:2022-10-30
- 格式:PPT
- 页数:91
- 大小:2.87MB
数字签名、密钥及认证管理.ppt
《数字签名、密钥及认证管理.ppt》由会员分享,可在线阅读,更多相关《数字签名、密钥及认证管理.ppt(91页珍藏版)》请在冰豆网上搜索。
Allrightsreserved2010,SoutheastUniversityPage1数字签名、认证与密钥管理Allrightsreserved2010,SoutheastUniversityPage2内容提要内容提要数字签名消息认证与认证协议密钥交换与管理Allrightsreserved2010,SoutheastUniversityPage3数字签名数字签名数字签名机制的框架RSA签名方案数字签名算法DSAAllrightsreserved2010,SoutheastUniversityPage4数字签名机制的框架(数字签名机制的框架
(1)数字签名必须具备的特征n必须能验证签名者、签名日期和时间n必须能认证被签的消息内容n签名应能由第三方仲裁,以解决争执数字签名应满足的条件n签名必须是与消息相关的二进制串n签名必须使用发送方某些独有的信息,以防伪造和否认n产生数字签名比较容易n识别和验证签名比较容易n伪造数字签名在计算上是不可行的n保存数字签名的拷贝是可行的Allrightsreserved2010,SoutheastUniversityPage5数字签名机制的框架(数字签名机制的框架
(2)数字签名方案的分类n带附录的数字签名方案:
要求初始消息作为验证算法的输入。
n带消息恢复的数字签名方案:
消息可从签名自身恢复。
Allrightsreserved2010,SoutheastUniversityPage6数字签名机制的框架(数字签名机制的框架(3)带附录的数字签名带附录的数字签名带附录的数字签名,必须具有以下性质:
n对每个R,都可以有效地计算。
n可以有效地计算。
n除A之外的其他实体要找M和S使得(其中)为真,是计算上不可行的。
Allrightsreserved2010,SoutheastUniversityPage7数字签名机制的框架(数字签名机制的框架(4)带消息恢复数字签名带消息恢复数字签名带消息恢复的数字签名,必须具有以下性质:
n对每个R,都可以有效地计算。
n可以有效地计算。
n除A之外的其他实体要找任一个S使得M,是计算上不可行的。
Allrightsreserved2010,SoutheastUniversityPage8RSA签名方案签名方案算法描述有关RSA签名的可能攻击实际中的RSA签名Allrightsreserved2010,SoutheastUniversityPage9RSA签名算法描述(签名算法描述
(1)算法1:
RSA签名方案的密钥生成n概要:
每个实体生成各自的RSA公钥和相应私钥。
n实体A执行如下操作:
随机产生大小相近的两个不同大素数和。
计算和。
随机选取数,满足。
利用扩展的欧几里得算法,计算唯一的整数,满足。
A的公钥是;私钥是。
Allrightsreserved2010,SoutheastUniversityPage10RSA签名算法描述(签名算法描述
(2)算法2:
RSA的签名生成和验证n概要:
实体A签署消息M。
任何实体B都可验证A的签名,并从中恢复消息。
n签名生成。
实体A执行如下操作:
计算取值在区间内的整数。
计算。
A对的签名为。
n验证。
为验证A的签名且恢复消息,实体B应当:
获得A的可信公钥。
计算。
验证M;否则拒绝接受签名。
恢复。
Allrightsreserved2010,SoutheastUniversityPage11人为小参数的人为小参数的RSA签名签名密钥生成n实体A选取素数,计算nA选择,求解得。
nA的公钥是;私钥是。
签名生成:
假设M,且冗余函数M是恒等映射,即对所有M有。
签名消息为nA计算n然后计算签名签名验证nB计算nB接受该签名,并恢复出。
Allrightsreserved2010,SoutheastUniversityPage12有关有关RSA签名的可能攻击签名的可能攻击整数因子分解RSA的乘性质不安全的冗余函数:
n敌手打算伪造消息的签名,它知道而不知道。
n对和应用扩展的欧几里得算法。
n在算法的每一步计算整数和使得。
n如果敌手已获得合法签名和,就可以计算的签名:
若,计算。
若,计算。
Allrightsreserved2010,SoutheastUniversityPage13实际中的实际中的RSA签名(签名
(1)重分组问题(重分组问题
(1)(重分组问题)设;设。
是带冗余度的消息,将用A的私钥签名,然后用B的公钥加密。
A做下列计算:
n。
n。
B做如下计算以恢复消息和验证签名:
n。
n。
观察发现。
原因是比模数大,出现概率Allrightsreserved2010,SoutheastUniversityPage14实际中的实际中的RSA签名(签名
(2)重分组问题(重分组问题
(2)克服重分组问题的方法:
n重新排序。
n每个实体两个模数。
n规定模数形式。
假设要构建12比特的模数,它的最高比特是1且后面连着个0。
先选取6比特素数;然后在和之间选择,可能的取值是59和61。
若取,则,其二进制表示为。
若取,则,其二进制表示为。
Allrightsreserved2010,SoutheastUniversityPage15实际中的实际中的RSA签名(签名(3)冗余函数带附录的RSA数字签名Allrightsreserved2010,SoutheastUniversityPage16DSA签名方案签名方案算法描述DSA的安全性DSA的性能特点Allrightsreserved2010,SoutheastUniversityPage17数字签名算法数字签名算法DSA描述(描述
(1)算法1:
DSA的密钥生成n概要:
每个实体产生各自的公钥和相应私钥。
n实体A执行如下操作:
选择素数满足。
选取使得,并选择素数满足,且整除。
选择中唯一阶循环群的生成元。
选择元素,并计算。
若,则返回上一步。
随机选取数使得。
计算。
A的公钥是;私钥是。
Allrightsreserved2010,SoutheastUniversityPage18数字签名算法数字签名算法DSA描述(描述
(2)算法2:
DSA的签名生成和验证n概要:
实体A给任意长的二元消息签名。
任何实体B都能利用A的公钥验证该签名。
n签名生成。
实体A执行如下操作:
随机选择一个整数。
计算。
计算。
计算。
A对的签名为。
Allrightsreserved2010,SoutheastUniversityPage19数字签名算法数字签名算法DSA描述(描述(3)n验证。
为验证A对的签名,B执行如下操作:
获得A的可信公钥。
验证和;否则拒绝该签名。
计算和。
计算和。
计算。
当且仅当时接受签名。
签名验证可行性证明。
Allrightsreserved2010,SoutheastUniversityPage20人为小参数的人为小参数的DSA签名生成(签名生成
(1)密钥生成。
n实体A选取素数,满足整除。
nA选择随机元,计算。
nA选择随机数满足,并计算。
nA的公钥是,而A的私钥是。
签名生成:
给消息签名。
nA选择随机数,计算nA计算。
Allrightsreserved2010,SoutheastUniversityPage21人为小参数的人为小参数的DSA签名生成(签名生成
(2)nA最后算得。
n对的签名为。
签名验证。
nB计算,。
nB然后计算。
n由于,B接受签名。
Allrightsreserved2010,SoutheastUniversityPage22DSA的安全性的安全性DSA的安全性依赖于两个离散对数问题。
n一个是上的对数问题。
n另一个是阶循环子群上的对数问题。
(推荐的参数尺寸)根据FIPS186规定,的尺寸为160比特,而的尺寸可以是512比特与1024比特之间64的任何倍数。
512比特的素数可以在防范联合攻击方面提供一种临界的安全。
推荐模数至少768比特。
FIPS186不准许素数超过1024比特。
Allrightsreserved2010,SoutheastUniversityPage23DSA的性能特点的性能特点DSA的计算量n假设是768比特的整数。
n签名生成需要一次模指数运算(相当于240次模乘法运算),还需要一次160比特模数的求逆运算,两次160比特模乘运算,以及一次加法运算。
DSA的一个优点:
指数可做预计算而无需在签名生成时进行。
RSA签名方案不能进行预计算。
Allrightsreserved2010,SoutheastUniversityPage24作业作业证明RSA签名验证的可行性。
证明DSA签名验证的可行性。
因为DSA对每个签名产生一个,所以即使对同一消息签名,在不同情况下签名也不相同,但RSA签名则不能做到这一点。
这种区别有什么实际意义?
Allrightsreserved2010,SoutheastUniversityPage25消息认证与认证协议消息认证与认证协议消息认证杂凑(hash)函数认证协议Allrightsreserved2010,SoutheastUniversityPage26消息认证(消息认证
(1)网络系统安全的两个方面n用密码保护传送的消息不被破译n防止敌手对系统的主动攻击,如伪造、篡改消息等认证(Authentication)的目的n验证消息的发送者是真的n验证消息的完整性安全认证的条件n选择适当的认证函数n给出合理的认证协议Allrightsreserved2010,SoutheastUniversityPage27消息认证(消息认证
(2)纯认证系统模型Allrightsreserved2010,SoutheastUniversityPage28认证函数认证函数消息加密函数消息认证码(MAC)杂凑函数Allrightsreserved2010,SoutheastUniversityPage29消息认证码消息认证码MAC概念对MAC的要求两种实用的MAC算法MAC的安全性Allrightsreserved2010,SoutheastUniversityPage30消息认证码概念消息认证码概念MAC也称密码校验和,由如下形式的函数产生:
n其中是一个变长消息n是收发双方共享的密钥n是定长的认证符将MAC附于发送方的消息之后;接收方通过计算MAC认证该消息。
Allrightsreserved2010,SoutheastUniversityPage31对对MAC的要求的要求若攻击者已知和,则其构造满足的消息在计算上是不可行的。
应是均匀分布的,即对任何随机选择的消息和,的概率是,其中是MAC的位数。
设是的某个已知的变换,即。
若可表示逆转的一位或多位,则。
Allrightsreserved2010,SoutheastUniversityPage32两种实用的两种实用的MAC算法算法十进制移位加算法(十进制移位加算法
(1)该算法适用于金融支付中的数据交换业务,示例:
n设是要认证的第一组消息;设和为认证密钥。
n计算,然后根据的第一位数值4对循环右移4位,记作。
n再与相加得。
n类似的,右路的第一轮结果为。
n将第二组消息分别与和相加,其结果又分别以和的第一位控制循环移位后进行相加,得到和n以此类推,直至进行10轮后得和。
n计算,并将结果的后6位和前4位在下相加,得6位认证符。
Allrightsreserved2010,SoutheastUniversityPage33两种实用的两种实用的MAC算法算法十进制移位加算法(十进制移位加算法
(2)Allrightsreserved2010,SoutheastUniversityPage34采用采用DES的认证算法的认证算法CBC模式下的DES认证算法CFB模式下的DES认证算法Allrightsreserved2010,SoutheastUniversityPage35MAC的安全性的安全性抗计算性:
给定一个或多个消息-M
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 数字签名 密钥 认证 管理