第3章數(shù)據(jù)加密4new課件

3.5密鑰長度3.6報文鑒別技術(shù)3.7數(shù)字簽名3.5密鑰長度13.5密鑰長度

決定密鑰長度需要考慮多方面的因素：數(shù)據(jù)價值有多大？數(shù)據(jù)要多長的安全期？攻擊者的資源情況怎樣？3.5密鑰長度決定密鑰長度需要考慮多方面的因素：21.不同安全需求的密鑰長度

信息類型時間(安全期)最小密鑰長度戰(zhàn)場軍事信息產(chǎn)品發(fā)布、合并、利率貿(mào)易秘密氫彈秘密間諜的身份個人隱私外交秘密數(shù)分鐘/小時幾天/幾周幾十年>40年>50年>50年>65年56-64bits64bits112bits128bits128bits128bits至少128bits1.不同安全需求的密鑰長度信息類型3計算機(jī)的計算能力和加密算法的發(fā)展也影響密鑰長度選擇的重要因素。根據(jù)摩爾定律估計：計算機(jī)設(shè)備的性價比每18年月翻一番或以每5年10倍的速度增長。即在50年內(nèi)最快的計算機(jī)比今天快1010倍，但這只是對于普通用途的計算機(jī)。選擇比需要的密鑰長度更長的密鑰。計算機(jī)的計算能力和加密算法的發(fā)展也影響密鑰長度選擇的重要因素42.對稱密鑰長度對稱密鑰密碼體制的安全性是算法強(qiáng)度和密鑰長度的函數(shù):前者比較重要而后者則更容易描述.假設(shè)算法具有足夠的強(qiáng)度,即除了窮舉攻擊的方式試探所有的密鑰外沒有更好的方法破譯密碼系統(tǒng),則更容易計算密鑰長度和一次窮舉攻擊的復(fù)雜程度之間之間的關(guān)系.決定窮舉攻擊的速度的要素有兩個:需要測試的密鑰量—密鑰長度及每個可能密鑰的測試速度---算法和資源(并行處理器:每個處理器測試密鑰空間中的一個子集).2.對稱密鑰長度對稱密鑰密碼體制的安全性是算法強(qiáng)度和密鑰長度5硬件窮舉攻擊對稱密鑰的平均時間估計（1995年）

代價（美元）密鑰長度（比特）

40566480112128100K2秒35小時1年70,000年1014年1019年1M0.2秒3.5小時37年7000年1013年1018年10M0.02秒21分鐘4天700年1012年1017年100M2毫秒2分鐘9小時70年1011年1016年1G0.2毫秒13秒1小時7年1010年1015年10G0.02毫秒1秒5.4分鐘245天109年1014年100G2微秒0.1秒32秒24天108年1013年1T0.2微秒0.01秒3秒2.4天107年1012年10T0.02微秒1毫秒0.3秒6小時106年1011年硬件窮舉攻擊對稱密鑰的平均時間估計（1995年）代價63.公鑰密鑰長度公鑰算法RSA是基于分解一個大整數(shù)的難度,而大整數(shù)是兩個大素數(shù)的乘積.受到窮舉攻擊的威脅,破譯它們的出發(fā)點(diǎn)并不是窮舉所的的密鑰進(jìn)行測試而是試圖分解這個大整數(shù).大整數(shù)取多大直接關(guān)系到安全程度,即關(guān)系進(jìn)行因子分解所需要的代價和成功的可能性.計量單位:即計算機(jī)的計算能力----MIPS(每秒百萬條指令,即CPU執(zhí)行指令的速度)MIPS-年:表示一個任務(wù)需要1MIPS的機(jī)器運(yùn)行多少年來完成.3.公鑰密鑰長度公鑰算法RSA是基于分解一個大整數(shù)的難度,而7一般數(shù)域篩選法進(jìn)行因子分解位數(shù)分解所需的MIPS年512300007682×10810243×101112801×101415363×101620484×1020一般數(shù)域篩選法進(jìn)行因子分解位數(shù)分解所需的MIPS年512308公鑰密鑰長度的推薦值（位）年份對個人對公司對政府1995768128015362000102412801536200512801536204820101280153620482015153620482048公鑰密鑰長度的推薦值（位）年份對個人對公司對政府1995769攻擊難度相當(dāng)?shù)膶ΨQ密鑰密碼和公鑰密碼的密鑰長度（位）

對稱密鑰密碼的密鑰長度公鑰密碼的密鑰長度56bits384bits64bits512bits80bits768bits112bits1792bits128bits2304bits攻擊難度相當(dāng)?shù)膶ΨQ密鑰密碼和公鑰密碼的密鑰長度（位）103.6報文鑒別技術(shù)在應(yīng)用環(huán)境中，用戶通過網(wǎng)絡(luò)傳輸大量的報文（消息），出于安全性考慮，必須對消息或報文的有效性和合法性進(jìn)行鑒別或認(rèn)證。網(wǎng)絡(luò)通信的安全威脅泄漏消息的內(nèi)容被泄漏沒有合法權(quán)限的人或過程。偽造以假冒源點(diǎn)的身份向網(wǎng)絡(luò)中插入報文；例如，攻擊者偽造消息發(fā)送給目的端，卻聲稱該消息源來自一個已授權(quán)的實體。消息篡改內(nèi)容篡改：以插入、刪除、調(diào)換或修改等方式篡改消息；序號篡改：在依賴序號的通信協(xié)議中（如TCP）等，對通信雙方報文序號的進(jìn)行篡改，包括插入、刪除和重排序等；時間篡改：對報文進(jìn)行延遲或回放，破壞其時間上的完整性。行為抵賴接收端否認(rèn)收到某報文；源點(diǎn)否認(rèn)發(fā)過某報文。3.6報文鑒別技術(shù)在應(yīng)用環(huán)境中，用戶通過網(wǎng)絡(luò)傳輸大量的報文113.6.1報文鑒別的概念報文鑒別（MessageAuthentication）Message：消息、報文。Authentication：鑒別、認(rèn)證。鑒別：消息的接收者對消息進(jìn)行的驗證。真實性：消息確實來自于其真正的發(fā)送者，而非假冒；完整性：消息的內(nèi)容沒有被篡改。3.6.1報文鑒別的概念報文鑒別（MessageAuthe12報文鑒別(消息認(rèn)證)就是驗證消息的完整性.當(dāng)接收方收到發(fā)送方的報文時，接收方能夠驗證收到的報文是真實的未被篡改的。保密和認(rèn)證同時是信息系統(tǒng)安全的兩個方面，但它們是兩個不同屬性的問題，認(rèn)證不能自動提供保密性，而保密性也不能自然提供認(rèn)證功能。報文鑒別(消息認(rèn)證)就是驗證消息的完整性.當(dāng)接收方收到發(fā)送方133.6.2報文鑒別系統(tǒng)的功能從層次角度上來看，報文鑒別系統(tǒng)的功能一般可以劃分成兩個基本的層次：鑒別算法：在較低的層次上，系統(tǒng)需要提供某種報文鑒別函數(shù)f來產(chǎn)生一個用于實現(xiàn)報文鑒別的鑒別符或鑒別碼；鑒別協(xié)議：消息的接收者通過鑒別協(xié)議完成對報文合法性的鑒別，底層的鑒別函數(shù)通常作為一個原語，為高層鑒別協(xié)議的各項功能提供服務(wù)；鑒別函數(shù)f是決定鑒別系統(tǒng)特性的主要因素。3.6.2報文鑒別系統(tǒng)的功能從層次角度上來看，報文鑒別系統(tǒng)的14可用來做認(rèn)證的函數(shù)分為三類(1)信息加密函數(shù)(Messageencryption)用完整信息的密文作為對信息的認(rèn)證(2)信息認(rèn)證碼MAC(MessageAuthenticationCode)是對信源消息的一個編碼函數(shù)(3)散列函數(shù)(HashFunction)或信息摘要是一個公開的函數(shù)，它將任意長的信息映射成一個固定長度的信息可用來做認(rèn)證的函數(shù)分為三類153.6.3基于報文加密方式的鑒別信息加密函數(shù)作認(rèn)證信息加密函數(shù)分二種：一種是常規(guī)的對稱密鑰加密函數(shù)；另一種是公開密鑰的雙密鑰加密函數(shù)。3.6.3基于報文加密方式的鑒別信息加密函數(shù)作認(rèn)證16基于報文加密方式的鑒別（1）

——對稱密鑰加密方式對稱密鑰加密方式：加密的同時提供保密和鑒別?；趫笪募用芊绞降蔫b別（1）

——對稱密鑰加密方式對稱密鑰加17對稱密鑰加密方式問題：由于消息M的內(nèi)容對于終點(diǎn)B是未知的，因此B如何判斷收到的密文X的合法性？如果消息M是具有某種語法特征的文本，或者M(jìn)本身具有一定的結(jié)構(gòu)：B可通過分析Y的語法或結(jié)構(gòu)特征。如果消息M是完全隨機(jī)的二進(jìn)制比特序列：B無法判斷是否正確恢復(fù)密文。解決辦法：強(qiáng)制明文使其具有某種結(jié)構(gòu)。這種結(jié)構(gòu)易于識別、不能被復(fù)制，同明文相關(guān)，并且不依賴于加密。對稱密鑰加密方式問題：由于消息M的內(nèi)容對于終點(diǎn)B是未知的，因18基于報文加密方式的鑒別（2）附加報文鑒別結(jié)構(gòu)

源點(diǎn)A對消息明文M首先利用校驗函數(shù)F計算出消息的校驗碼C=F(M)；校驗碼C=F(M)被附加到原始消息明文上，生成新的明文[M‖C]；利用密鑰K對明文[M‖C]進(jìn)行加密，得到密文X=EK[M‖C]；將密文X發(fā)送給接收端B終點(diǎn)B接收密文X；用密鑰K解密得到明文Y=DK(X)，其中Y被視為附加校驗碼的消息，即Y=[M′‖C′]；利用校驗函數(shù)F計算明文Y中消息部分的校驗碼F(M′)。若校驗碼相匹配，即F(M′)=C′，則可確認(rèn)報文是可信的，M′就是原始消息M，并且可以確認(rèn)該報文就是來自A的?；趫笪募用芊绞降蔫b別（2）附加報文鑒別結(jié)構(gòu)源點(diǎn)A終點(diǎn)B19附加報文鑒別結(jié)構(gòu)注:檢驗碼的生成和加密函數(shù)執(zhí)行的順序是至關(guān)重要。檢驗碼必須被作為內(nèi)部的差錯控制，在加密之前附加到明文上，才能提供鑒別功能。因為攻擊者很難在密文中產(chǎn)生一個檢驗碼，使其在解密后仍然有效。如果報文內(nèi)容本身就具有一定的控制結(jié)構(gòu)，也能夠加強(qiáng)鑒別的抗攻擊能力。如，在TCP/IP協(xié)議體系中，若采用TCP協(xié)議來傳送消息，則可對TCP報文段進(jìn)行加密。由于TCP報文段本身具有特定的控制結(jié)構(gòu)和格式，如果經(jīng)過解密的TCP報文段不能通過TCP協(xié)議自身的合法性檢查，就可說明該報文是非法的。附加報文鑒別結(jié)構(gòu)注:檢驗碼的生成和加密函數(shù)執(zhí)行的順序是至關(guān)重20基于報文加密方式的鑒別（3）

——非對稱密鑰加密方式在公開密鑰體系結(jié)構(gòu)中，直接使用公開密鑰加密方式只能提供保密，而不能自動提供鑒別功能。源點(diǎn)A使用終點(diǎn)B的公開密鑰Kub對報文進(jìn)行加密，由于只有終點(diǎn)B擁有其對應(yīng)的私有密鑰KRb，因此只有B能對報文進(jìn)行解密——保密功能。不提供鑒別功能，因為任何人均可使用B的公開密鑰來加密報文，而假稱報文是發(fā)自A的，終點(diǎn)B也無法確定消息的發(fā)送者?；趫笪募用芊绞降蔫b別（3）

——非對稱密鑰加密方式在公開密21基于報文加密方式的鑒別（3）

——非對稱密鑰加密方式私有密鑰加密方式：提供報文鑒別和簽名功能，不提供加密功能。基于報文加密方式的鑒別（3）

——非對稱密鑰加密方式私有密鑰223.6.4報文鑒別碼MAC報文鑒別碼或消息鑒別碼（messageauthenticationcode,MAC）：核心是一個類似于加密的算法CK()。CK()在密鑰的作用下，以報文內(nèi)容作為輸入，其輸出值是一個較短的定長數(shù)據(jù)分組，也就是MAC，即：MAC＝CK（M）MAC被附加在報文中傳輸，用于消息的合法性鑒別。3.6.4報文鑒別碼MAC報文鑒別碼或消息鑒別碼（messa23采用報文鑒別碼的鑒別方式采用報文鑒別碼的鑒別方式24報文鑒別碼的功能如果B端通過比較發(fā)現(xiàn)MAC匹配，則可確信報文M沒有被篡改過（完整性）若攻擊者更改報文內(nèi)容而末更改MAC，則接收者計算出的MAC將不同于接收到的MAC；由于攻擊者不知道密鑰K，不可能計算出一個與更改后報文相對應(yīng)MAC值。接收者B也能夠確信報文M是來自發(fā)送者A的（真實性）只有A了解密鑰K，也只有A能夠計算出報文M所對應(yīng)的正確的MAC值。報文鑒別碼的功能如果B端通過比較發(fā)現(xiàn)MAC匹配，則可確信報文253.6.5散列函數(shù)

hashfunction：哈希函數(shù)、摘要函數(shù)，又稱為雜湊函數(shù)。輸入：任意長度的消息報文M。輸出：一個固定長度的散列碼值H(M)。是報文中所有比特的函數(shù)值。單向函數(shù)。3.6.5散列函數(shù)hashfunction：哈希函數(shù)、摘26基本的散列函數(shù)報文鑒別基本的散列函數(shù)報文鑒別27僅對散列碼進(jìn)行加密的鑒別方案僅對散列碼進(jìn)行加密的鑒別方案28最常用的信息摘要算法叫做MD5，可產(chǎn)生一個128位長的摘要。md5的全稱是message-digestalgorithm5（信息-摘要算法），在90年代初由mitlaboratoryforcomputerscience和rsadatasecurityinc的ronaldl.rivest開發(fā)出來，經(jīng)md2、md3和md4發(fā)展而來。它的作用是讓大容量信息在用數(shù)字簽名軟件簽署私人密匙前被"壓縮"成一種保密的格式（就是把一個任意長度的字節(jié)串變換成一定長的大整數(shù)）。不管是md2、md4還是md5，它們都需要獲得一個隨機(jī)長度的信息并產(chǎn)生一個128位的信息摘要。這三個算法的描述和c語言源代碼在internetrfcs1321中有詳細(xì)的描述（），這是一份最權(quán)威的文檔，由ronaldl.rivest在1992年8月向ieft提交。最常用的信息摘要算法叫做MD5，可產(chǎn)生一個128位長的摘要。29MD5的典型應(yīng)用是對一段Message(字節(jié)串)產(chǎn)生fingerprint(指紋)，以防止被“篡改”。舉個例子，你將一段話寫在一個叫readme.txt文件中，并對這個readme.txt產(chǎn)生一個MD5的值并記錄在案，然后你可以傳播這個文件給別人，別人如果修改了文件中的任何內(nèi)容，你對這個文件重新計算MD5時就會發(fā)現(xiàn)（兩個MD5值不相同）。如果再有一個第三方的認(rèn)證機(jī)構(gòu)，用MD5還可以防止文件作者的“抵賴”，這就是所謂的數(shù)字簽名應(yīng)用。MD5的典型應(yīng)用是對一段Message(字節(jié)串)產(chǎn)生fing30對信息簽名過程如下：（1）用戶制作信息摘要；（2）信息摘要由發(fā)送者的專用密鑰加密；（3）原始信息和加密信息摘要發(fā)送到目的地；（4）目的地接收信息，并使用與原始信息相同的信息摘要函數(shù)對信息制作其自己的信息摘要；（5）目的地還對所收到的信息摘要進(jìn)行解密；（6）目的地將制作的信息摘要同附有信息的信息摘要進(jìn)行對比，如果相吻合，目的地就知道信息的文本與用戶發(fā)送的信息文本是相同的，如果二者不吻合，則目的地知道原始信息已經(jīng)被修改過。對信息簽名過程如下：313.7.1應(yīng)用需要和數(shù)字簽名的產(chǎn)生網(wǎng)絡(luò)通信中，希望有效防止通信雙方的欺騙和抵賴行為。簡單的報文鑒別技術(shù)用以保護(hù)雙方之間的數(shù)據(jù)交換不被第三方侵犯；但它并不保證雙方自身的相互欺騙。假定A發(fā)送一個認(rèn)證的信息給B，雙方之間的爭議可能有多種形式：B偽造一個不同的消息，但聲稱是從A收到的。A可以否認(rèn)發(fā)過該消息，B無法證明A確實發(fā)了該消息。原因：鑒別技術(shù)基于秘密共享。數(shù)字簽名技術(shù)為此提供了一種解決方案。3.7數(shù)字簽名3.7.1應(yīng)用需要和數(shù)字簽名的產(chǎn)生3.7數(shù)字簽名321.數(shù)字簽名的概念數(shù)字簽名是指只有發(fā)送者才能產(chǎn)生的別人無法偽造的一段數(shù)字串，這段字符串同時也是對發(fā)送者發(fā)送信息真實性的一個證明。傳統(tǒng)書面文件上簽名的作用：一是因為自己的簽名難以否認(rèn)，從而確定了文件已簽署這一事實；二是因為簽名不易仿冒，從而確定了文件是真實的這一事實。1.數(shù)字簽名的概念數(shù)字簽名是指只有發(fā)送者才能產(chǎn)生的別人無法偽332.數(shù)字簽名的設(shè)計目標(biāo)

簽名是依賴于消息報文的，即，數(shù)字簽名是以消息報文作為輸入計算出來的，簽名能夠?qū)ο⒌膬?nèi)容進(jìn)行鑒別；簽名是可以被確認(rèn)的，即收方可以確認(rèn)或證實簽名確實是由發(fā)方簽名的；數(shù)據(jù)簽名對發(fā)送者來說必須是惟一的，偽造數(shù)字簽名在計算上是不可行的，能夠防止偽造和抵賴；產(chǎn)生數(shù)字簽名的算法必須相對簡單易于實現(xiàn)，對數(shù)字簽名的識別、證實和鑒別也必須相對簡單，易于實現(xiàn)；簽名不可重用，即簽名是消息（文件）的一部分，不能把簽名移到其它消息（文件）上；簽名是不可抵賴的，即發(fā)方不能否認(rèn)他所簽發(fā)的消息。2.數(shù)字簽名的設(shè)計目標(biāo)簽名是依賴于消息報文的，即，數(shù)字簽名34數(shù)字簽名必須保證：可驗證：簽名是可以被確認(rèn)的防抵賴：發(fā)送者事后不承認(rèn)發(fā)送報文并簽名；防假冒：攻擊者冒充發(fā)送者向收方發(fā)送文件；防篡改：收方對收到的文件進(jìn)行篡改；防偽造：收方偽造對報文的簽名。數(shù)字簽名必須保證：35數(shù)字簽名分類以方式分直接數(shù)字簽名directdigitalsignature仲裁數(shù)字簽名arbitrateddigitalsignature以安全性分無條件安全的數(shù)字簽名計算上安全的數(shù)字簽名以可簽名次數(shù)分一次性的數(shù)字簽名多次性的數(shù)字簽名3.7.2數(shù)字簽名的解決方案數(shù)字簽名分類3.7.2數(shù)字簽名的解決方案361.直接數(shù)字簽名X用其私鑰加密文件，這便是簽名過程；X將加密的文件送到Y(jié)；Y用X的公鑰解開X送來的文件。實現(xiàn)比較簡單，在技術(shù)上僅涉及到通信的源點(diǎn)X和終點(diǎn)Y雙方。終點(diǎn)Y需要了解源點(diǎn)X的公開密鑰Kux。

發(fā)送方X可以使用其私有密鑰KRx對整個消息報文進(jìn)行加密來生成數(shù)字簽名。更好的方法是使用KRx對消息報文的散列碼進(jìn)行加密來形成數(shù)字簽名。1.直接數(shù)字簽名37直接數(shù)字簽名的安全性方案的安全性依賴于發(fā)送方X私有密鑰的安全性。發(fā)送方可以聲稱自己的私有密鑰丟失或被盜用，而否認(rèn)其發(fā)送過某個報文。改進(jìn)：每個簽名報文中包含一個時間戳(數(shù)字時間戳是由第三方提供的一種可信時間標(biāo)記服務(wù)，通過該服務(wù)獲得的數(shù)字時間戳數(shù)據(jù)可以用來證明在某一時刻數(shù)據(jù)已經(jīng)存在)。問題：X的某些私有密鑰確實在時間T被竊取，敵方可以偽造X的簽名及早于或等于時間T的時間戳直接數(shù)字簽名的安全性方案的安全性依賴于發(fā)送方X私有密鑰的安全382.基于仲裁的數(shù)字簽名直接數(shù)字簽名的缺陷：簽名者聲稱私鑰被盜，簽名是他人假冒。為此引入第三方作仲裁者。仲裁者必須是一個所有通信方都能充分信任的權(quán)威的第三方仲裁機(jī)構(gòu)。基本工作方式（假定用戶X和Y之間進(jìn)行通信）：每個從X發(fā)往Y的簽名報文首先被送給仲裁者A；A檢驗該報文及其簽名的出處和內(nèi)容，然后對報文注明日期，并附加上一個“仲裁證實”的標(biāo)記發(fā)給Y。2.基于仲裁的數(shù)字簽名39基于仲裁的數(shù)字簽名--對稱密鑰加密方式發(fā)送方X和仲裁A共享一個密鑰Kax。

數(shù)字簽名由X的標(biāo)識符IDx和報文的散列碼H(M)構(gòu)成，用密鑰Kax進(jìn)行加密。過程：(1)X→A：M‖EKax(IDx‖H(M))。(2)A→Y：EKay(IDx‖M‖EKax(IDx‖H(M))‖T)。(3)Y存儲報文M及簽名。

作用：Y能夠判斷出M是不是過時的報文基于仲裁的數(shù)字簽名--對稱密鑰加密方式發(fā)送方X和仲裁A共享一40基于仲裁的數(shù)字簽名--對稱密鑰加密方式爭端解決方式Y(jié)→A：EKay(IDx‖M‖EKax(IDx‖H(M)))。仲裁A可用Kay恢復(fù)出IDx、M及簽名，然后再用Kax對簽名解密并驗證其散列碼。特點(diǎn)：Y不能直接驗證X的簽名。雙方都需要高度相信AY相信A已對消息認(rèn)證，X不能否認(rèn)其簽名；X信任A沒有暴露Kxa，無人可偽造DS；雙方都信任A處理爭議是公正。問題：報文M明文傳送給A，有可能被竊聽?；谥俨玫臄?shù)字簽名--對稱密鑰加密方式爭端解決方式41基于仲裁的數(shù)字簽名--對稱密鑰加密方式明文加密的方案(1)X→A：IDx‖EKxy(M)‖EKax(IDx‖H(EKxy(M)))。(2)A→Y：EKay(IDx‖EKxy(M)‖EKax(IDx‖H(EKxy(M))‖T)。特征：X與Y之間共享密鑰Kxy。DS的構(gòu)成：IDx和消息密文的散列碼用Kxa加密。DS的驗證：A解密簽名，用散列碼驗證消息。A只能驗證消息的密文，而不能讀取其內(nèi)容。A將來自X的所有信息加上時間戳并用Kay加密后發(fā)送給Y。問題：A和發(fā)送方X聯(lián)手可以否認(rèn)簽名的信息。A和接收方Y(jié)聯(lián)手可以偽造發(fā)送方X的簽名。基于仲裁的數(shù)字簽名--對稱密鑰加密方式明文加密的方案42基于仲裁的數(shù)字簽名—公開密鑰加密方式過程：X對報文M進(jìn)行兩次加密。經(jīng)過雙重加密后，報文M只有Y能夠閱讀，A不能讀取XA：IDx||EKRx[IDx||EKUy[EKRx(M)]]A能進(jìn)行外層的解密，從而證實報文確實是來自X。因為只有X擁有KRx。驗證后A向Y發(fā)送用KUy加密的報文，其中包括時間戳TAY：EKRa[IDx||EKUy[EKRx(M)]||T]特點(diǎn)：仲裁者看不見消息的內(nèi)容。優(yōu)點(diǎn)：通信各方之間無須共享任何信息，從而避免了聯(lián)手作弊；只要KRa安全，則不會出現(xiàn)偽造A發(fā)送的消息；消息的內(nèi)容是保密的，包括對A在內(nèi)?；谥俨玫臄?shù)字簽名—公開密鑰加密方式過程：43數(shù)字簽名的簡單應(yīng)用Alice向Bob傳送數(shù)字信息，為了保證信息傳送的保密性、真實性、完整性和不可否認(rèn)性，需要對要傳送的信息進(jìn)行加密、消息摘要和數(shù)字簽名，其傳送過程如下：

數(shù)字簽名的簡單應(yīng)用Alice向Bob傳送數(shù)字信息，為了保證信44Alice準(zhǔn)備好要傳送的數(shù)字信息（明文）。Alice對數(shù)字信息進(jìn)行哈希（hash）運(yùn)算，得到一個信息摘要。Alice用自己的私鑰（SK）對信息摘要進(jìn)行加密得到Alice的數(shù)字簽名，并將其附在數(shù)字信息上。Alice隨機(jī)產(chǎn)生一個加密密鑰（DES密鑰），并用此密鑰對要發(fā)送的信息進(jìn)行加密，形成密文。數(shù)字簽名的簡單應(yīng)用Alice準(zhǔn)備好要傳送的數(shù)字信息（明文）。數(shù)字簽名的簡單應(yīng)用45Alice用Bob的公鑰（PK）對隨機(jī)產(chǎn)生的加密密鑰進(jìn)行加密，將加密后的DES密鑰連同密文一起傳送給Bob。Bob收到Alice傳送過來的密文和加過密的DES密鑰，先用自己的私鑰（SK）對加密的DES密鑰進(jìn)行解密，得到DES密鑰。Bob然后用DES密鑰對收到的密文進(jìn)行解密，得到明文的數(shù)字信息，然后將DES密鑰拋棄（即DES密鑰作廢）。數(shù)字簽名的簡單應(yīng)用Alice用Bob的公鑰（PK）對隨機(jī)產(chǎn)生的加密密鑰進(jìn)行加密46Bob用Alice的公鑰（PK）對Alice的數(shù)字簽名進(jìn)行解密，得到信息摘要。Bob用相同的hash算法對收到的明文再進(jìn)行一次hash運(yùn)算，得到一個新的信息摘要。Bob將收到的信息摘要和新產(chǎn)生的信息摘要進(jìn)行比較，如果一致，說明收到的信息沒有被修改過。數(shù)字簽名的簡單應(yīng)用Bob用Alice的公鑰（PK）對Alice的數(shù)字簽名進(jìn)行解47簽名、鑒別與加密簽名提供真實性(authentication)鑒別提供完整性加密提供保密性(confidentiality)“簽名+消息摘要+加密”提供“真實性+完整性+保密性”實現(xiàn)方式:(AB)先消息摘要，而后簽名,最后加密:先消息摘要，而后加密,最后簽名:簽名、鑒別與加密簽名提供真實性(authentication48經(jīng)常不斷地學(xué)習(xí),你就什么都知道。你知道得越多,你就越有力量StudyConstantly,AndYouWillKnowEverything.TheMoreYouKnow,TheMorePowerfulYouWillBe寫在最后經(jīng)常不斷地學(xué)習(xí),你就什么都知道。你知道得越多,你就越有力量寫49ThankYou在別人的演說中思考，在自己的故事里成長ThinkingInOtherPeople‘SSpeeches，GrowingUpInYourOwnStory講師：XXXXXXXX年XX月XX日ThankYou503.5密鑰長度3.6報文鑒別技術(shù)3.7數(shù)字簽名3.5密鑰長度513.5密鑰長度

決定密鑰長度需要考慮多方面的因素：數(shù)據(jù)價值有多大？數(shù)據(jù)要多長的安全期？攻擊者的資源情況怎樣？3.5密鑰長度決定密鑰長度需要考慮多方面的因素：521.不同安全需求的密鑰長度

信息類型時間(安全期)最小密鑰長度戰(zhàn)場軍事信息產(chǎn)品發(fā)布、合并、利率貿(mào)易秘密氫彈秘密間諜的身份個人隱私外交秘密數(shù)分鐘/小時幾天/幾周幾十年>40年>50年>50年>65年56-64bits64bits112bits128bits128bits128bits至少128bits1.不同安全需求的密鑰長度信息類型53計算機(jī)的計算能力和加密算法的發(fā)展也影響密鑰長度選擇的重要因素。根據(jù)摩爾定律估計：計算機(jī)設(shè)備的性價比每18年月翻一番或以每5年10倍的速度增長。即在50年內(nèi)最快的計算機(jī)比今天快1010倍，但這只是對于普通用途的計算機(jī)。選擇比需要的密鑰長度更長的密鑰。計算機(jī)的計算能力和加密算法的發(fā)展也影響密鑰長度選擇的重要因素542.對稱密鑰長度對稱密鑰密碼體制的安全性是算法強(qiáng)度和密鑰長度的函數(shù):前者比較重要而后者則更容易描述.假設(shè)算法具有足夠的強(qiáng)度,即除了窮舉攻擊的方式試探所有的密鑰外沒有更好的方法破譯密碼系統(tǒng),則更容易計算密鑰長度和一次窮舉攻擊的復(fù)雜程度之間之間的關(guān)系.決定窮舉攻擊的速度的要素有兩個:需要測試的密鑰量—密鑰長度及每個可能密鑰的測試速度---算法和資源(并行處理器:每個處理器測試密鑰空間中的一個子集).2.對稱密鑰長度對稱密鑰密碼體制的安全性是算法強(qiáng)度和密鑰長度55硬件窮舉攻擊對稱密鑰的平均時間估計（1995年）

代價（美元）密鑰長度（比特）

40566480112128100K2秒35小時1年70,000年1014年1019年1M0.2秒3.5小時37年7000年1013年1018年10M0.02秒21分鐘4天700年1012年1017年100M2毫秒2分鐘9小時70年1011年1016年1G0.2毫秒13秒1小時7年1010年1015年10G0.02毫秒1秒5.4分鐘245天109年1014年100G2微秒0.1秒32秒24天108年1013年1T0.2微秒0.01秒3秒2.4天107年1012年10T0.02微秒1毫秒0.3秒6小時106年1011年硬件窮舉攻擊對稱密鑰的平均時間估計（1995年）代價563.公鑰密鑰長度公鑰算法RSA是基于分解一個大整數(shù)的難度,而大整數(shù)是兩個大素數(shù)的乘積.受到窮舉攻擊的威脅,破譯它們的出發(fā)點(diǎn)并不是窮舉所的的密鑰進(jìn)行測試而是試圖分解這個大整數(shù).大整數(shù)取多大直接關(guān)系到安全程度,即關(guān)系進(jìn)行因子分解所需要的代價和成功的可能性.計量單位:即計算機(jī)的計算能力----MIPS(每秒百萬條指令,即CPU執(zhí)行指令的速度)MIPS-年:表示一個任務(wù)需要1MIPS的機(jī)器運(yùn)行多少年來完成.3.公鑰密鑰長度公鑰算法RSA是基于分解一個大整數(shù)的難度,而57一般數(shù)域篩選法進(jìn)行因子分解位數(shù)分解所需的MIPS年512300007682×10810243×101112801×101415363×101620484×1020一般數(shù)域篩選法進(jìn)行因子分解位數(shù)分解所需的MIPS年5123058公鑰密鑰長度的推薦值（位）年份對個人對公司對政府1995768128015362000102412801536200512801536204820101280153620482015153620482048公鑰密鑰長度的推薦值（位）年份對個人對公司對政府19957659攻擊難度相當(dāng)?shù)膶ΨQ密鑰密碼和公鑰密碼的密鑰長度（位）

對稱密鑰密碼的密鑰長度公鑰密碼的密鑰長度56bits384bits64bits512bits80bits768bits112bits1792bits128bits2304bits攻擊難度相當(dāng)?shù)膶ΨQ密鑰密碼和公鑰密碼的密鑰長度（位）603.6報文鑒別技術(shù)在應(yīng)用環(huán)境中，用戶通過網(wǎng)絡(luò)傳輸大量的報文（消息），出于安全性考慮，必須對消息或報文的有效性和合法性進(jìn)行鑒別或認(rèn)證。網(wǎng)絡(luò)通信的安全威脅泄漏消息的內(nèi)容被泄漏沒有合法權(quán)限的人或過程。偽造以假冒源點(diǎn)的身份向網(wǎng)絡(luò)中插入報文；例如，攻擊者偽造消息發(fā)送給目的端，卻聲稱該消息源來自一個已授權(quán)的實體。消息篡改內(nèi)容篡改：以插入、刪除、調(diào)換或修改等方式篡改消息；序號篡改：在依賴序號的通信協(xié)議中（如TCP）等，對通信雙方報文序號的進(jìn)行篡改，包括插入、刪除和重排序等；時間篡改：對報文進(jìn)行延遲或回放，破壞其時間上的完整性。行為抵賴接收端否認(rèn)收到某報文；源點(diǎn)否認(rèn)發(fā)過某報文。3.6報文鑒別技術(shù)在應(yīng)用環(huán)境中，用戶通過網(wǎng)絡(luò)傳輸大量的報文613.6.1報文鑒別的概念報文鑒別（MessageAuthentication）Message：消息、報文。Authentication：鑒別、認(rèn)證。鑒別：消息的接收者對消息進(jìn)行的驗證。真實性：消息確實來自于其真正的發(fā)送者，而非假冒；完整性：消息的內(nèi)容沒有被篡改。3.6.1報文鑒別的概念報文鑒別（MessageAuthe62報文鑒別(消息認(rèn)證)就是驗證消息的完整性.當(dāng)接收方收到發(fā)送方的報文時，接收方能夠驗證收到的報文是真實的未被篡改的。保密和認(rèn)證同時是信息系統(tǒng)安全的兩個方面，但它們是兩個不同屬性的問題，認(rèn)證不能自動提供保密性，而保密性也不能自然提供認(rèn)證功能。報文鑒別(消息認(rèn)證)就是驗證消息的完整性.當(dāng)接收方收到發(fā)送方633.6.2報文鑒別系統(tǒng)的功能從層次角度上來看，報文鑒別系統(tǒng)的功能一般可以劃分成兩個基本的層次：鑒別算法：在較低的層次上，系統(tǒng)需要提供某種報文鑒別函數(shù)f來產(chǎn)生一個用于實現(xiàn)報文鑒別的鑒別符或鑒別碼；鑒別協(xié)議：消息的接收者通過鑒別協(xié)議完成對報文合法性的鑒別，底層的鑒別函數(shù)通常作為一個原語，為高層鑒別協(xié)議的各項功能提供服務(wù)；鑒別函數(shù)f是決定鑒別系統(tǒng)特性的主要因素。3.6.2報文鑒別系統(tǒng)的功能從層次角度上來看，報文鑒別系統(tǒng)的64可用來做認(rèn)證的函數(shù)分為三類(1)信息加密函數(shù)(Messageencryption)用完整信息的密文作為對信息的認(rèn)證(2)信息認(rèn)證碼MAC(MessageAuthenticationCode)是對信源消息的一個編碼函數(shù)(3)散列函數(shù)(HashFunction)或信息摘要是一個公開的函數(shù)，它將任意長的信息映射成一個固定長度的信息可用來做認(rèn)證的函數(shù)分為三類653.6.3基于報文加密方式的鑒別信息加密函數(shù)作認(rèn)證信息加密函數(shù)分二種：一種是常規(guī)的對稱密鑰加密函數(shù)；另一種是公開密鑰的雙密鑰加密函數(shù)。3.6.3基于報文加密方式的鑒別信息加密函數(shù)作認(rèn)證66基于報文加密方式的鑒別（1）

——對稱密鑰加密方式對稱密鑰加密方式：加密的同時提供保密和鑒別?；趫笪募用芊绞降蔫b別（1）

——對稱密鑰加密方式對稱密鑰加67對稱密鑰加密方式問題：由于消息M的內(nèi)容對于終點(diǎn)B是未知的，因此B如何判斷收到的密文X的合法性？如果消息M是具有某種語法特征的文本，或者M(jìn)本身具有一定的結(jié)構(gòu)：B可通過分析Y的語法或結(jié)構(gòu)特征。如果消息M是完全隨機(jī)的二進(jìn)制比特序列：B無法判斷是否正確恢復(fù)密文。解決辦法：強(qiáng)制明文使其具有某種結(jié)構(gòu)。這種結(jié)構(gòu)易于識別、不能被復(fù)制，同明文相關(guān)，并且不依賴于加密。對稱密鑰加密方式問題：由于消息M的內(nèi)容對于終點(diǎn)B是未知的，因68基于報文加密方式的鑒別（2）附加報文鑒別結(jié)構(gòu)

源點(diǎn)A對消息明文M首先利用校驗函數(shù)F計算出消息的校驗碼C=F(M)；校驗碼C=F(M)被附加到原始消息明文上，生成新的明文[M‖C]；利用密鑰K對明文[M‖C]進(jìn)行加密，得到密文X=EK[M‖C]；將密文X發(fā)送給接收端B終點(diǎn)B接收密文X；用密鑰K解密得到明文Y=DK(X)，其中Y被視為附加校驗碼的消息，即Y=[M′‖C′]；利用校驗函數(shù)F計算明文Y中消息部分的校驗碼F(M′)。若校驗碼相匹配，即F(M′)=C′，則可確認(rèn)報文是可信的，M′就是原始消息M，并且可以確認(rèn)該報文就是來自A的?；趫笪募用芊绞降蔫b別（2）附加報文鑒別結(jié)構(gòu)源點(diǎn)A終點(diǎn)B69附加報文鑒別結(jié)構(gòu)注:檢驗碼的生成和加密函數(shù)執(zhí)行的順序是至關(guān)重要。檢驗碼必須被作為內(nèi)部的差錯控制，在加密之前附加到明文上，才能提供鑒別功能。因為攻擊者很難在密文中產(chǎn)生一個檢驗碼，使其在解密后仍然有效。如果報文內(nèi)容本身就具有一定的控制結(jié)構(gòu)，也能夠加強(qiáng)鑒別的抗攻擊能力。如，在TCP/IP協(xié)議體系中，若采用TCP協(xié)議來傳送消息，則可對TCP報文段進(jìn)行加密。由于TCP報文段本身具有特定的控制結(jié)構(gòu)和格式，如果經(jīng)過解密的TCP報文段不能通過TCP協(xié)議自身的合法性檢查，就可說明該報文是非法的。附加報文鑒別結(jié)構(gòu)注:檢驗碼的生成和加密函數(shù)執(zhí)行的順序是至關(guān)重70基于報文加密方式的鑒別（3）

——非對稱密鑰加密方式在公開密鑰體系結(jié)構(gòu)中，直接使用公開密鑰加密方式只能提供保密，而不能自動提供鑒別功能。源點(diǎn)A使用終點(diǎn)B的公開密鑰Kub對報文進(jìn)行加密，由于只有終點(diǎn)B擁有其對應(yīng)的私有密鑰KRb，因此只有B能對報文進(jìn)行解密——保密功能。不提供鑒別功能，因為任何人均可使用B的公開密鑰來加密報文，而假稱報文是發(fā)自A的，終點(diǎn)B也無法確定消息的發(fā)送者?；趫笪募用芊绞降蔫b別（3）

——非對稱密鑰加密方式在公開密71基于報文加密方式的鑒別（3）

——非對稱密鑰加密方式私有密鑰加密方式：提供報文鑒別和簽名功能，不提供加密功能?；趫笪募用芊绞降蔫b別（3）

——非對稱密鑰加密方式私有密鑰723.6.4報文鑒別碼MAC報文鑒別碼或消息鑒別碼（messageauthenticationcode,MAC）：核心是一個類似于加密的算法CK()。CK()在密鑰的作用下，以報文內(nèi)容作為輸入，其輸出值是一個較短的定長數(shù)據(jù)分組，也就是MAC，即：MAC＝CK（M）MAC被附加在報文中傳輸，用于消息的合法性鑒別。3.6.4報文鑒別碼MAC報文鑒別碼或消息鑒別碼（messa73采用報文鑒別碼的鑒別方式采用報文鑒別碼的鑒別方式74報文鑒別碼的功能如果B端通過比較發(fā)現(xiàn)MAC匹配，則可確信報文M沒有被篡改過（完整性）若攻擊者更改報文內(nèi)容而末更改MAC，則接收者計算出的MAC將不同于接收到的MAC；由于攻擊者不知道密鑰K，不可能計算出一個與更改后報文相對應(yīng)MAC值。接收者B也能夠確信報文M是來自發(fā)送者A的（真實性）只有A了解密鑰K，也只有A能夠計算出報文M所對應(yīng)的正確的MAC值。報文鑒別碼的功能如果B端通過比較發(fā)現(xiàn)MAC匹配，則可確信報文753.6.5散列函數(shù)

hashfunction：哈希函數(shù)、摘要函數(shù)，又稱為雜湊函數(shù)。輸入：任意長度的消息報文M。輸出：一個固定長度的散列碼值H(M)。是報文中所有比特的函數(shù)值。單向函數(shù)。3.6.5散列函數(shù)hashfunction：哈希函數(shù)、摘76基本的散列函數(shù)報文鑒別基本的散列函數(shù)報文鑒別77僅對散列碼進(jìn)行加密的鑒別方案僅對散列碼進(jìn)行加密的鑒別方案78最常用的信息摘要算法叫做MD5，可產(chǎn)生一個128位長的摘要。md5的全稱是message-digestalgorithm5（信息-摘要算法），在90年代初由mitlaboratoryforcomputerscience和rsadatasecurityinc的ronaldl.rivest開發(fā)出來，經(jīng)md2、md3和md4發(fā)展而來。它的作用是讓大容量信息在用數(shù)字簽名軟件簽署私人密匙前被"壓縮"成一種保密的格式（就是把一個任意長度的字節(jié)串變換成一定長的大整數(shù)）。不管是md2、md4還是md5，它們都需要獲得一個隨機(jī)長度的信息并產(chǎn)生一個128位的信息摘要。這三個算法的描述和c語言源代碼在internetrfcs1321中有詳細(xì)的描述（），這是一份最權(quán)威的文檔，由ronaldl.rivest在1992年8月向ieft提交。最常用的信息摘要算法叫做MD5，可產(chǎn)生一個128位長的摘要。79MD5的典型應(yīng)用是對一段Message(字節(jié)串)產(chǎn)生fingerprint(指紋)，以防止被“篡改”。舉個例子，你將一段話寫在一個叫readme.txt文件中，并對這個readme.txt產(chǎn)生一個MD5的值并記錄在案，然后你可以傳播這個文件給別人，別人如果修改了文件中的任何內(nèi)容，你對這個文件重新計算MD5時就會發(fā)現(xiàn)（兩個MD5值不相同）。如果再有一個第三方的認(rèn)證機(jī)構(gòu)，用MD5還可以防止文件作者的“抵賴”，這就是所謂的數(shù)字簽名應(yīng)用。MD5的典型應(yīng)用是對一段Message(字節(jié)串)產(chǎn)生fing80對信息簽名過程如下：（1）用戶制作信息摘要；（2）信息摘要由發(fā)送者的專用密鑰加密；（3）原始信息和加密信息摘要發(fā)送到目的地；（4）目的地接收信息，并使用與原始信息相同的信息摘要函數(shù)對信息制作其自己的信息摘要；（5）目的地還對所收到的信息摘要進(jìn)行解密；（6）目的地將制作的信息摘要同附有信息的信息摘要進(jìn)行對比，如果相吻合，目的地就知道信息的文本與用戶發(fā)送的信息文本是相同的，如果二者不吻合，則目的地知道原始信息已經(jīng)被修改過。對信息簽名過程如下：813.7.1應(yīng)用需要和數(shù)字簽名的產(chǎn)生網(wǎng)絡(luò)通信中，希望有效防止通信雙方的欺騙和抵賴行為。簡單的報文鑒別技術(shù)用以保護(hù)雙方之間的數(shù)據(jù)交換不被第三方侵犯；但它并不保證雙方自身的相互欺騙。假定A發(fā)送一個認(rèn)證的信息給B，雙方之間的爭議可能有多種形式：B偽造一個不同的消息，但聲稱是從A收到的。A可以否認(rèn)發(fā)過該消息，B無法證明A確實發(fā)了該消息。原因：鑒別技術(shù)基于秘密共享。數(shù)字簽名技術(shù)為此提供了一種解決方案。3.7數(shù)字簽名3.7.1應(yīng)用需要和數(shù)字簽名的產(chǎn)生3.7數(shù)字簽名821.數(shù)字簽名的概念數(shù)字簽名是指只有發(fā)送者才能產(chǎn)生的別人無法偽造的一段數(shù)字串，這段字符串同時也是對發(fā)送者發(fā)送信息真實性的一個證明。傳統(tǒng)書面文件上簽名的作用：一是因為自己的簽名難以否認(rèn)，從而確定了文件已簽署這一事實；二是因為簽名不易仿冒，從而確定了文件是真實的這一事實。1.數(shù)字簽名的概念數(shù)字簽名是指只有發(fā)送者才能產(chǎn)生的別人無法偽832.數(shù)字簽名的設(shè)計目標(biāo)

簽名是依賴于消息報文的，即，數(shù)字簽名是以消息報文作為輸入計算出來的，簽名能夠?qū)ο⒌膬?nèi)容進(jìn)行鑒別；簽名是可以被確認(rèn)的，即收方可以確認(rèn)或證實簽名確實是由發(fā)方簽名的；數(shù)據(jù)簽名對發(fā)送者來說必須是惟一的，偽造數(shù)字簽名在計算上是不可行的，能夠防止偽造和抵賴；產(chǎn)生數(shù)字簽名的算法必須相對簡單易于實現(xiàn)，對數(shù)字簽名的識別、證實和鑒別也必須相對簡單，易于實現(xiàn)；簽名不可重用，即簽名是消息（文件）的一部分，不能把簽名移到其它消息（文件）上；簽名是不可抵賴的，即發(fā)方不能否認(rèn)他所簽發(fā)的消息。2.數(shù)字簽名的設(shè)計目標(biāo)簽名是依賴于消息報文的，即，數(shù)字簽名84數(shù)字簽名必須保證：可驗證：簽名是可以被確認(rèn)的防抵賴：發(fā)送者事后不承認(rèn)發(fā)送報文并簽名；防假冒：攻擊者冒充發(fā)送者向收方發(fā)送文件；防篡改：收方對收到的文件進(jìn)行篡改；防偽造：收方偽造對報文的簽名。數(shù)字簽名必須保證：85數(shù)字簽名分類以方式分直接數(shù)字簽名directdigitalsignature仲裁數(shù)字簽名arbitrateddigitalsignature以安全性分無條件安全的數(shù)字簽名計算上安全的數(shù)字簽名以可簽名次數(shù)分一次性的數(shù)字簽名多次性的數(shù)字簽名3.7.2數(shù)字簽名的解決方案數(shù)字簽名分類3.7.2數(shù)字簽名的解決方案861.直接數(shù)字簽名X用其私鑰加密文件，這便是簽名過程；X將加密的文件送到Y(jié)；Y用X的公鑰解開X送來的文件。實現(xiàn)比較簡單，在技術(shù)上僅涉及到通信的源點(diǎn)X和終點(diǎn)Y雙方。終點(diǎn)Y需要了解源點(diǎn)X的公開密鑰Kux。

發(fā)送方X可以使用其私有密鑰KRx對整個消息報文進(jìn)行加密來生成數(shù)字簽名。更好的方法是使用KRx對消息報文的散列碼進(jìn)行加密來形成數(shù)字簽名。1.直接數(shù)字簽名87直接數(shù)字簽名的安全性方案的安全性依賴于發(fā)送方X私有密鑰的安全性。發(fā)送方可以聲稱自己的私有密鑰丟失或被盜用，而否認(rèn)其發(fā)送過某個報文。改進(jìn)：每個簽名報文中包含一個時間戳(數(shù)字時間戳是由第三方提供的一種可信時間標(biāo)記服務(wù)，通過該服務(wù)獲得的數(shù)字時間戳數(shù)據(jù)可以用來證明在某一時刻數(shù)據(jù)已經(jīng)存在)。問題：X的某些私有密鑰確實在時間T被竊取，敵方可以偽造X的簽名及早于或等于時間T的時間戳直接數(shù)字簽名的安全性方案的安全性依賴于發(fā)送方X私有密鑰的安全882.基于仲裁的數(shù)字簽名直接數(shù)字簽名的缺陷：簽名者聲稱私鑰被盜，簽名是他人假冒。為此引入第三方作仲裁者。仲裁者必須是一個所有通信方都能充分信任的權(quán)威的第三方仲裁機(jī)構(gòu)。基本工作方式（假定用戶X和Y之間進(jìn)行通信）：每個從X發(fā)往Y的簽名報文首先被送給仲裁者A；A檢驗該報文及其簽名的出處和內(nèi)容，然后對報文注明日期，并附加上一個“仲裁證實”的標(biāo)記發(fā)給Y。2.基于仲裁的數(shù)字簽名89基于仲裁的數(shù)字簽名--對稱密鑰加密方式發(fā)送方X和仲裁A共享一個密鑰Kax。

數(shù)字簽名由X的標(biāo)識符IDx和報文的散列碼H(M)構(gòu)成，用密鑰Kax進(jìn)行加密。過程：(1)X→A：M‖EKax(IDx‖H(M))。(2)A→Y：EKay(IDx‖M‖EKax(IDx‖H(M))‖T)。(3)Y存儲報文M及簽名。

作用：Y能夠判斷出M是不是過時的報文基于仲裁的數(shù)字簽名--對稱密鑰加密方式發(fā)送方X和仲裁A共享一90基于仲裁的數(shù)字簽名--對稱密鑰加密方式爭端解決方式Y(jié)→A：EKay(IDx‖M‖EKax(IDx‖H(M)))。仲裁A可用Kay恢復(fù)出IDx、M及簽名，然后再用Kax對簽名解密并驗證其散列碼。特點(diǎn)：Y不能直接驗證X的簽名。雙方都需要高度相信AY相信A已對消息認(rèn)證，X不能否認(rèn)其簽名；X信任A沒有暴露Kxa，無人可