版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
第七章數(shù)字簽字和密碼協(xié)議數(shù)字簽字的基本概念數(shù)字簽字標(biāo)準(zhǔn)其他簽字方案認(rèn)證協(xié)議身份證明技術(shù)其他密碼協(xié)議1一、數(shù)字簽字的基本概念2數(shù)字簽字應(yīng)具有的性質(zhì)能夠驗(yàn)證簽字產(chǎn)生者的身份,以及產(chǎn)生簽字的日期和時間能用于證實(shí)被簽消息的內(nèi)容數(shù)字簽字可由第三方驗(yàn)證,從而能夠解決通信雙方的爭議3數(shù)字簽字的產(chǎn)生方式由加密算法產(chǎn)生數(shù)字簽字由簽字算法產(chǎn)生數(shù)字簽字6由加密算法產(chǎn)生數(shù)字簽字單鑰加密MMEKDK無法實(shí)現(xiàn)數(shù)字簽名
向B保證收到的消息確實(shí)來自AB恢復(fù)M后,可相信B未被竄改,否則B將得到無意義的比特序列7由加密算法產(chǎn)生數(shù)字簽字公鑰加密MMESKADPKA只有A才能用SKA加密,可使B相信消息來自A,不提供保密性MMESKADPKAEPKBDSKB提供保密性和認(rèn)證性8由加密算法產(chǎn)生數(shù)字簽字RSA簽字體制體制參數(shù)大素?cái)?shù)p,q,n=p×q,y(n)=(p-1)(q-1)。選整數(shù)1<e<y(n),且gcd(e,y(n))=1;計(jì)算d滿足de≡1mody(n).{e,n}為公開密鑰,{d,n}為秘密密鑰。簽字過程S=Mdmodn驗(yàn)證過程M=Semodn實(shí)際應(yīng)用中加密是對H(M)進(jìn)行的。9由加密算法產(chǎn)生數(shù)字簽字外部保密數(shù)字簽字直接對需要簽字的消息生成內(nèi)部保密數(shù)字簽字對已加密的消息產(chǎn)生外部保密有利于爭議的解決。10由簽字算法產(chǎn)生數(shù)字簽字簽字體制=(M,S,K,V)M:明文空間,S:簽字的集合,K:密鑰空間,
V:證實(shí)函數(shù)的值域,由真和偽組成。
(1)簽字算法:對每一m
M和每一k
K,易于計(jì)算對m的簽字
s=Sigk(m)
S
簽字密鑰是秘密的,只有簽字人掌握;(2)驗(yàn)證算法:11由簽字算法產(chǎn)生數(shù)字簽字體制的安全性:從M和其簽字S難于推出K或偽造一個M’使M’和S可被證實(shí)為真。與消息加密不同點(diǎn):消息加密和解密可能是一次性的,它要求在解密之前是安全的;而一個簽字的消息可能作為一個法律上的文件,如合同等,很可能在對消息簽署多年之后才驗(yàn)證其簽字,且可能需要多次驗(yàn)證此簽字。12數(shù)字簽字的執(zhí)行方式直接方式數(shù)字簽字的執(zhí)行過程只有通信的雙方參與,并假定雙方有共享的秘密密鑰或者接收一方知道發(fā)送方的公開鑰。缺點(diǎn):方案的有效性取決于發(fā)方密鑰的安全性。發(fā)方可聲稱秘密鑰丟失或被竊13數(shù)字簽字的執(zhí)行方式直接方式數(shù)字簽字的執(zhí)行過程只有通信的雙方參與,并假定雙方有共享的秘密密鑰或者接收一方知道發(fā)送方的公開鑰。缺點(diǎn):方案的有效性取決于發(fā)方密鑰的安全性。發(fā)方可聲稱秘密鑰丟失或被竊14數(shù)字簽字的執(zhí)行方式具有仲裁方式的數(shù)字簽字發(fā)方X對發(fā)往收方Y(jié)的消息簽字將消息和簽字先發(fā)往仲裁者AA對消息和簽字驗(yàn)證完后,再連同一個表示已通過驗(yàn)證的指令一起發(fā)給Y.15具有仲裁方式的數(shù)字簽字例1:XA:M||AY:E:單鑰加密算法KXA,KAY:A與X和Y的共享密鑰M:消息T:時戳IDX:X的身份H(M):M的雜湊值A(chǔ)必須獲得X和Y的高度信任X相信A不會泄漏KXA,并且不會X的簽字Y相信A只有對中的雜湊值及X簽字驗(yàn)證無誤后才將其發(fā)給YX,Y都相信A可公正的解決爭議16具有仲裁方式的數(shù)字簽字例2XA:IDX||AY:X對M的簽字X和Y的共享密鑰此方案提供了對M的保密性和前一方案相同,仲裁者可和發(fā)方共謀否認(rèn)發(fā)方曾發(fā)過的消息,也可和收方共謀產(chǎn)生發(fā)方的簽字17具有仲裁方式的數(shù)字簽字例3X的私鑰Y的公鑰18二、數(shù)字簽名標(biāo)準(zhǔn)DigitalSignatureStandard(DSS)19概況由NIST1991年公布1993年公布修改版美國聯(lián)邦信息處理標(biāo)準(zhǔn)FIPSPUB186簽名長度320比特只能用于數(shù)字簽字,不能用于加密20DSS的基本方式M||HESKAMHDPKA比較RSA簽字DSS簽字M||HSKAMsHPKG比較VerPKGk隨機(jī)數(shù)rPKASig全局公開鑰21數(shù)字簽字算法DSA在Elgamal和Schnorr兩個方案基礎(chǔ)上設(shè)計(jì)的算法描述:(a)全局公鑰(p,q,g)
p:是2L-1<p<2L中的大素?cái)?shù),512
L
1024,L是64的倍數(shù);
q:p-1的素因子,且2159<q<2160,即字長160比特;
g:g=h(p-1)/qmodp,且1<h<p-1,使h(p-1)/qmodp>1。(b)用戶秘密鑰x:x為在0<x<q內(nèi)的隨機(jī)數(shù)。(c)用戶公鑰y:y=gxmodp。(d)用戶每個消息用的秘密隨機(jī)數(shù)k:在0<k<q內(nèi)的隨機(jī)數(shù)22數(shù)字簽字算法DSA(e)簽字過程:對消息M,其簽字為S=Sigk(M,k)=(r,s),
r
(gkmodp)modqs
[k-1(H(M)+xr)]modq
(f)驗(yàn)證過程:計(jì)算
w=s-1modq;u1=[H(M)w]modq;
u2=rwmodq;v=[(gu1yu2)modp]modq。Ver(M,r,s)=真
v=r23三、其他簽字方案24離散對數(shù)簽字體制體制參數(shù)
p:大素?cái)?shù)
q:(p-1)或p-1的大素因子
g:g∈RZp*,gq=1modp。
x:用戶秘密鑰,x為在1<x<q內(nèi)的隨機(jī)數(shù)。y:用戶公鑰gx=modp。25離散對數(shù)簽字體制簽字產(chǎn)生過程計(jì)算m的雜湊值選擇隨機(jī)數(shù)k:1<k<q,計(jì)算r=gkmodp從簽字方程ak=b+cxmodq中解出s.(r,s)為數(shù)字簽字。abc±r±rH(m)±rH(m)±H(m)r±H(m)s±s±s±H(m)s±rs±rsH(m)111126離散對數(shù)簽字體制簽字驗(yàn)證過程27Elgamal簽字體制離散對數(shù)簽字體制的特例體制參數(shù)
p:一個大素?cái)?shù);
g:是Zp中乘群Zp*的一個生成元或本原元素;
M:消息空間,為Zp*;
S:簽字空間,為Zp*×Zp-1;
x:用戶秘密鑰x
Zp*;
y:用戶公鑰,y
gx
modpp,g,y為公鑰,x為秘密鑰。28Elgamal簽字體制簽字過程:給定消息M,進(jìn)行下述工作。
(a)選擇秘密隨機(jī)數(shù)k
Zp*;
(b)計(jì)算H(M);
(c)計(jì)算
r=gkmodps=(H(M)-xr)k--1mod(p-1)
(r,s)作為簽字.29Elgamal簽字體制驗(yàn)證過程:
收信人收到M,(r,s),先計(jì)算H(M),并按下式驗(yàn)證Verk(H(M),r,s)=真
yrrs
gH(M)modp
因?yàn)閥rrs
grxgsk
g(rx+sk)modp,
(rx+sk)
H(M)mod(p-1)
故有yrrs
gH(M)modp30Schnorr簽字體制體制參數(shù)
p,q:大素?cái)?shù),q|p-1。q是大于等于160bits的整數(shù),p是大于等于512bits的整數(shù),保證Zp中求解離散對數(shù)困難;
g:Zp*中元素,且gq
1modp;
x:用戶密鑰1<x<q;
y:用戶公鑰y
gxmodp。消息空間M=Zp*,簽字空間S=Zp*×Zq;密鑰空間K={(p,q,g,x,y):y
gxmodp}31Schnorr簽字體制簽字過程:令待簽消息為M,對給定的M做下述運(yùn)算:(a)發(fā)用戶任選一秘密隨機(jī)數(shù)k
Zq(b)計(jì)算r
gkmodps
k+xemodp
式中e=H(r||M)(c)簽字S=Sigk(M)=(e,s)32Schnorr簽字體制驗(yàn)證過程:收信人收到消息M及簽字S=(e,s)后(a)計(jì)算r′
gsyemodp
而后計(jì)算H(r′||M)。
(b)驗(yàn)證Ver(M,r,s)
H(r’||M)=e
因?yàn)椋?e||s)是M的合法簽字,則有g(shù)sy-e
gk-xegxe
gk
rmodp。33Schnorr簽字體制Schnorr簽字與ElGamal簽字的不同點(diǎn):
在ElGamal體制中,g為Z*p的本原元素;而在Schnorr體制中,g為Zp*中子集Zq*的本原元素,它不是Zp*的本原元素。顯然ElGamal的安全性要高于Schnorr。
Schnorr的簽字較短,由|q|及|H(M)|決定。
在Schnorr簽字中,r=gkmodp可以預(yù)先計(jì)算,k與M無關(guān),因而簽字只需一次modq乘法及減法。所需計(jì)算量少,速度快。34四、認(rèn)證協(xié)議AuthenticationProtocols35相互認(rèn)證A,B雙方在建立共享密鑰時需要考慮保密性和實(shí)時性。保密性:會話密鑰應(yīng)以密文傳送,因此雙方應(yīng)事先共享密鑰或者使用公鑰實(shí)時性:防止重放序列號方法時戳詢問-應(yīng)答36序列號方法對交換的每一條消息加上序列號,序列號正確才被接收要求每個用戶分別記錄與其他每一用戶交互的序列號,增加用戶負(fù)擔(dān),因而很少使用37時戳法A收到消息中包含時戳,且A看來這一時戳充分接近自己的當(dāng)前時刻,A才認(rèn)為收到的消息是新的并接收要求各方時間同步38詢問-應(yīng)答用戶A向B發(fā)出一個一次性隨機(jī)數(shù)作為詢問,如果收到B發(fā)來的應(yīng)答消息也包含一正確的一次性隨機(jī)數(shù),A就認(rèn)為消息是新的并接受之。39各種方法的比較時戳法不適用于面向連接的應(yīng)用過程要求不同的處理器之間時間同步,所用的協(xié)議必須是容錯的以處理網(wǎng)絡(luò)錯誤協(xié)議中任何一方時鐘出現(xiàn)錯誤失去同步,則敵手攻擊的可能性增加網(wǎng)絡(luò)中存在延遲,不能期待保持精確同步,必須允許誤差范圍40各種方法的比較詢問-應(yīng)答不適合于無連接的應(yīng)用過程在傳輸前需要經(jīng)過詢問-應(yīng)答這一額外的握手過程,與無連接應(yīng)用過程的本質(zhì)特性不符。無連接應(yīng)用最好使用安全時間服務(wù)器提供同步41Needham-Schroeder協(xié)議2.4.KDCAB1.IDA||IDB||N13.5.如果敵手獲得了舊會話密鑰,則可以冒充A重放3,并且可回答5,成功的欺騙B42Needham-Schroeder改進(jìn)協(xié)議12.4.KDCAB1.IDA||IDB3.5.以時戳替代隨機(jī)數(shù),用以向A,B保證Ks的新鮮性|Clock-T|<⊿t1+⊿t2Clock:本地時鐘⊿t1:本地時鐘與KDC時鐘誤差估計(jì)值⊿t2:網(wǎng)絡(luò)延遲時間要求各方時鐘同步如果發(fā)方時鐘超前B方時鐘,可能導(dǎo)致等待重放攻擊43Needham-Schroeder改進(jìn)協(xié)議2KDCAB3.1.4.2.會話密鑰的截止時間44Needham-Schroeder改進(jìn)協(xié)議2AB1.2.3.有效期內(nèi)可不通過KDC直接認(rèn)證45公鑰加密體制ASAB1.IDA||IDB2.3.時戳防止重放,要求時鐘同步46公鑰加密體制ASAB2.1.IDA||IDB3.4.6747單向認(rèn)證不需要雙方同時在線(電子郵件)郵件接收者希望認(rèn)證郵件的來源以防假冒分為單鑰加密方法和公鑰加密方法48單鑰加密2.KDCAB1.IDA||IDB||N13.不要求B同時在線,保證只有B能解讀消息,提供對A的認(rèn)證。不能防止重放攻擊。49公鑰加密AB對發(fā)送消息提供保密性對發(fā)送消息提供認(rèn)證性AB對發(fā)送消息提供保密和認(rèn)證性ABA的證書50五、身份證明技術(shù)51身份證明技術(shù)傳統(tǒng)的身份證明:一般是通過檢驗(yàn)“物”的有效性來確認(rèn)持該物的的身份?;照隆⒐ぷ髯C、信用卡、駕駛執(zhí)照、身份證、護(hù)照等,卡上含有個人照片(易于換成指紋、視網(wǎng)膜圖樣、牙齒的X適用的射像等)。信息系統(tǒng)常用方式:用戶名和口令52交互式證明兩方參與示證者P(Prover),知道某一秘密,使V相信自己掌握這一秘密;驗(yàn)證者V(Verifier),驗(yàn)證P掌握秘密;每輪V向P發(fā)出一詢問,P向V做應(yīng)答。V檢查P是否每一輪都能正確應(yīng)答。53交互證明與數(shù)學(xué)證明的區(qū)別數(shù)學(xué)證明的證明者可自己獨(dú)立的完成證明交互證明由P產(chǎn)生證明,V驗(yàn)證證明的有效性來實(shí)現(xiàn),雙方之間要有通信交互系統(tǒng)應(yīng)滿足完備性:如果P知道某一秘密,V將接收P的證明正確性:如果P能以一定的概率使V相信P的證明,則P知道相應(yīng)的秘密54Fiat-Shamir身份識別方案參數(shù):選定一個隨機(jī)模m=p×q。產(chǎn)生隨機(jī)數(shù)v,且使s2=v,即v為模m的平方剩余。m和v是公開的,s作為P的秘密55Fiat-Shamir身份識別方案(1)P取隨機(jī)數(shù)r(<m),計(jì)算x=r2modm,送給V;(2)V將一隨機(jī)bitb送給P;(3)若b=0,則P將r送給V;若b=1,則P將y=rs送給V;(4)若b=0,則V證實(shí)x=r2modm,從而證明P知道,若b=1,則B證實(shí)xv=y2modm,從而證明A知道。這是一次證明,A和B可將此協(xié)議重復(fù)t次,直到B相信A知道s為止。56Fiat-Shamir身份識別方案完備性如果P和V遵守協(xié)議,且P知道s,則應(yīng)答rs是應(yīng)是模m下xv的平方根,V接收P的證明,所以協(xié)議是完備的。正確性P不知道s,他也可取r,送x=r2modm給V,V送b給P。P可將r送出,當(dāng)b=0時則V可通過檢驗(yàn)而受騙,當(dāng)b=1時,則V可發(fā)現(xiàn)P不知s,B受騙概率為1/2,但連續(xù)t次受騙的概率將僅為2-tV無法知道P的秘密,因?yàn)閂沒有機(jī)會產(chǎn)生(0,1)以外的信息,P送給V的消息中僅為P知道v的平方根這一事實(shí)。57零知識證明最小泄露證明和零知識證明:以一種有效的數(shù)學(xué)方法,使V可以檢驗(yàn)每一步成立,最終確信P知道其秘密,而又能保證不泄露P所知道的信息。58零知識證明的基本協(xié)議例[Quisquater等1989]。
設(shè)P知道咒語,可打開C和D之間的秘密門,不知道者都將走向死胡同中。ABCD59零知識證明的基本協(xié)議
(1)V站在A點(diǎn);
(2)P進(jìn)入洞中任一點(diǎn)C或D;
(3)當(dāng)P進(jìn)洞之后,V走到B點(diǎn);
(4)V叫P:(a)從左邊出來,或(b)從右邊出來;
(5)P按要求實(shí)現(xiàn)(以咒語,即解數(shù)學(xué)難題幫助);
(6)P和V重復(fù)執(zhí)行(1)~(5)共n次。若A不知咒語,則在B點(diǎn),只有50%的機(jī)會猜中B的要求,協(xié)議執(zhí)行n次,則只有2-n的機(jī)會完全猜中,若n=16,則若每次均通過B的檢驗(yàn),B受騙機(jī)會僅為1/6553660零知識證明的基本協(xié)議哈米爾頓回路圖論中有一個著名問題,對有n個頂點(diǎn)的全連通圖G,若有一條通路可通過且僅通過各頂點(diǎn)一次,則稱其為哈米爾頓回路。Blum[1986]最早將其用于零知識證明。當(dāng)n大時,要想找到一條Hamilton回路,用計(jì)算機(jī)做也要好多年,它是一種單向函數(shù)問題。若A知道一條回路,如何使B相信他知道,且不告訴他具體回路?
61零知識證明的基本協(xié)議A將G進(jìn)行隨機(jī)置換,對其頂點(diǎn)進(jìn)行移動,并改變其標(biāo)號得到一個新的有限圖H。因,故G上的Hamilton回路與H上的Hamilton回路一一對應(yīng)。已知G上的Hamilton回路易于找出H上的相應(yīng)回路;A將H的復(fù)本給B;B向A提出下述問題之一:(a)出示證明G和H同構(gòu),(b)出示H上的Hamilton回路;A執(zhí)行下述任務(wù)之一:(a)證明G和H同構(gòu),但不出示H上的Hamilton回路,(b)出示H上的Hamilton回路但不證明G和H同構(gòu);A和B重復(fù)執(zhí)行(1)~(4)共n次。62六、其他密碼協(xié)議63智力撲克A和B通過網(wǎng)絡(luò)進(jìn)行智力撲克比賽,不用第三方做裁判,發(fā)牌者由任一方擔(dān)任,要求發(fā)牌過程滿足任一副牌是等可能的發(fā)給A,B的牌沒有重復(fù)每人知道自己手中的牌,不知道別人的牌比賽結(jié)束后,每一方都能發(fā)現(xiàn)對方的欺騙行為為滿足要求,A,B方需要加密一些信息,比賽結(jié)束前,這些機(jī)密算法都是保密的。64智力撲克A和B的加密解密
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2025廣告公司合作協(xié)議合同樣本
- 2025軟件銷售代理合同書
- 2025小型汽車配件購買合同
- 2025公司向個人借款合同范本
- 二零二五年度房地產(chǎn)項(xiàng)目土地租賃及銷售代理協(xié)議3篇
- 2025農(nóng)村家庭土地流轉(zhuǎn)合同分家協(xié)議書樣本2篇
- 公墓生態(tài)葬服務(wù)及配套設(shè)施建設(shè)合同(年度)3篇
- 二零二五年度電子商務(wù)企業(yè)高管平臺運(yùn)營管理聘用合同3篇
- 2025年度房屋維修服務(wù)與社區(qū)環(huán)境改善合作協(xié)議2篇
- 二零二五年度新型塑鋼窗研發(fā)與生產(chǎn)合同3篇
- 2025年國家圖書館招聘筆試參考題庫含答案解析
- 機(jī)器人課程課程設(shè)計(jì)
- 南充市市級事業(yè)單位2024年公招人員擬聘人員歷年管理單位遴選500模擬題附帶答案詳解
- 安全知識考試題庫500題(含答案)
- 2024-2025學(xué)年上學(xué)期南京小學(xué)數(shù)學(xué)六年級期末模擬試卷
- 河北省保定市定興縣2023-2024學(xué)年一年級上學(xué)期期末調(diào)研數(shù)學(xué)試題(含答案)
- 2025年中國蛋糕行業(yè)市場規(guī)模及發(fā)展前景研究報(bào)告(智研咨詢發(fā)布)
- 護(hù)理組長年底述職報(bào)告
- 護(hù)理不良事件分析 課件
- 糖尿病患者健康管理測試試題(三套題-有答案)
- 《住院患者身體約束的護(hù)理》團(tuán)體標(biāo)準(zhǔn)解讀課件
評論
0/150
提交評論