數(shù)字簽名與鑒別協(xié)議.ppt

《數(shù)字簽名與鑒別協(xié)議.ppt》由會(huì)員分享，可在線閱讀，更多相關(guān)《數(shù)字簽名與鑒別協(xié)議.ppt（44頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

第10章數(shù)字簽名和鑒別協(xié)議 數(shù)字簽名鑒別協(xié)議數(shù)字簽名標(biāo)準(zhǔn) DSS 1 數(shù)字簽名 報(bào)文鑒別示例 1 數(shù)字簽名 報(bào)文鑒別示例的安全性分析 可用來(lái)保護(hù)通信雙方免受任何第三方的攻擊 無(wú)法用來(lái)防止通信雙方的互相攻擊 無(wú)法解決通信雙方可能存在多種形式的爭(zhēng)執(zhí) 原因 接收方可能偽造并聲稱它來(lái)自發(fā)送方 接收方只要簡(jiǎn)單地生成一個(gè)報(bào)文 并附加使用由發(fā)送方和接收方所共享的密鑰生成的鑒別碼即可 發(fā)送方可以否認(rèn)發(fā)送過(guò)該報(bào)文 因?yàn)榻邮辗絺卧煲粋€(gè)報(bào)文是可能的 無(wú)法證明發(fā)送方發(fā)送過(guò)該報(bào)文這一事實(shí) 1 數(shù)字簽名 解決方案 由于發(fā)方和收方之間存在欺騙或抵賴 因此除了采用防止第三方攻擊的鑒別之外還需要采用防止當(dāng)事雙方相互攻擊的手段 最吸引人的解決方案是筆跡簽名的模擬 數(shù)字簽名 數(shù)字簽名必須擁有的基本性質(zhì) 必須能證實(shí)作者簽名和簽名的日期和時(shí)間 在簽名時(shí)必須能對(duì)內(nèi)容進(jìn)行鑒別 簽名必須能被第三方證實(shí)以便解決爭(zhēng)端 1 數(shù)字簽名 密碼學(xué)上對(duì)數(shù)字簽名的需求 簽名必須是依賴于要簽名報(bào)文的比特模式 簽名必須使用對(duì)發(fā)送者來(lái)說(shuō)是惟一的信息 以防偽造和抵賴 數(shù)字簽名的產(chǎn)生必須相對(duì)簡(jiǎn)單 數(shù)字簽名的識(shí)別和證實(shí)必須相對(duì)簡(jiǎn)單 偽造一個(gè)數(shù)字簽名在計(jì)算上是不可行的 無(wú)論是通過(guò)對(duì)已有的數(shù)字簽名來(lái)構(gòu)造新報(bào)文 還是對(duì)給定的報(bào)文構(gòu)造一個(gè)虛假的數(shù)字簽名 保留一個(gè)數(shù)字簽名的備份在存儲(chǔ)上是現(xiàn)實(shí)可行的 數(shù)字簽名的方法 直接的需仲裁的 1 數(shù)字簽名 直接數(shù)字簽名方案實(shí)施涉及通信方 發(fā)方和收方密碼方案 非對(duì)稱密碼學(xué)使用前提 收方知道發(fā)方的公開(kāi)密鑰簽名實(shí)施 可以通過(guò)使用發(fā)方的私有密鑰對(duì)整個(gè)報(bào)文進(jìn)行加密 或通過(guò)使用發(fā)方的私有密鑰對(duì)報(bào)文的散列碼進(jìn)行加密來(lái)形成 保密方案 可通過(guò)對(duì)整個(gè)報(bào)文和簽名進(jìn)行更進(jìn)一步的加密來(lái)實(shí)現(xiàn) 可采用收方的公用密鑰 公開(kāi)加密 或采用雙方共享的密鑰 常規(guī)加密 來(lái)進(jìn)行加密 實(shí)施關(guān)鍵收方應(yīng)假定發(fā)方對(duì)私有密鑰的完全控制 1 數(shù)字簽名 直接數(shù)字簽名實(shí)施示例 1 數(shù)字簽名 直接數(shù)字簽名方案弱點(diǎn)方案的有效性依賴于發(fā)方私有密鑰的安全性 弱點(diǎn)分析發(fā)方若想否認(rèn)發(fā)送過(guò)某個(gè)報(bào)文 則可以聲稱該私有密鑰丟失或被盜用 且偽造了他 她 的簽名 X的私有密鑰真的可能在時(shí)間T被盜 獲得該密鑰的人便能發(fā)送帶有X的簽名報(bào)文并附上小于等于T的時(shí)間戳 1 數(shù)字簽名 需仲裁的數(shù)字簽名方案實(shí)施每個(gè)從X發(fā)往收方Y(jié)的簽名報(bào)文首先被送給仲裁者A 仲裁者A對(duì)該報(bào)文和它的簽名進(jìn)行一系列的測(cè)試以檢驗(yàn)它的出處和內(nèi)容 然后對(duì)報(bào)文注明日期 附上一個(gè)已經(jīng)經(jīng)過(guò)仲裁證實(shí)屬實(shí)的說(shuō)明后發(fā)給Y A的存在解決了直接簽名方案所面臨的問(wèn)題 X可能否認(rèn)發(fā)送過(guò)該報(bào)文 實(shí)施關(guān)鍵所有通信方必須充分信任仲裁機(jī)構(gòu) 1 數(shù)字簽名 需仲裁的數(shù)字簽名方案示例 a 常規(guī)加密 仲裁能看到報(bào)文內(nèi)容X A M EKxa IDx H M A Y EKay IDx M EKxa IDx H M T b 常規(guī)加密 仲裁不能看到報(bào)文內(nèi)容X A IDX EKxy M EKxa IDX H EKxy M A Y EKay IDX EKxy M EKxa IDX H EKxy M T c 公開(kāi)密鑰加密 仲裁不能看到報(bào)文內(nèi)容X A IDX EKRx IDX EKUy EKRx M A Y EKRa IDX EKUy EKRx M T 1 數(shù)字簽名 需仲裁的數(shù)字簽名方案示例討論方案 a 和 b 存在的問(wèn)題X必須確信A不會(huì)泄露Kxa 也不會(huì)產(chǎn)生虛假的簽名 仲裁能和收方結(jié)成聯(lián)盟來(lái)偽造發(fā)方的簽名 Y必須確信A只有在散列碼正確且確是X簽名的情況下才發(fā)送 仲裁能和發(fā)方結(jié)成聯(lián)盟來(lái)否認(rèn)一個(gè)簽名報(bào)文 雙方必須確信A能公平地解決爭(zhēng)端 仲裁作用 方案 c 的優(yōu)點(diǎn)通信前各方?jīng)]有共享任何信息 可防止結(jié)盟欺騙的發(fā)生 假定KRa是安全的 即使KRx已不安全 日期不對(duì)的報(bào)文不會(huì)被發(fā)送 從X發(fā)給Y的報(bào)文內(nèi)容對(duì)A和其他任何人都是保密的 2 鑒別協(xié)議 主要涉及內(nèi)容在報(bào)文鑒別的基礎(chǔ)上 進(jìn)行更深層次的通信對(duì)象和通信內(nèi)容有效性的鑒別 相互鑒別單向鑒別 2 鑒別協(xié)議 相互鑒別相互鑒別的必要性通信對(duì)象的確認(rèn) 通信各方相互證實(shí)對(duì)方的身份信息交換的機(jī)密性 防止信息的篡改和泄漏信息交換的時(shí)效性 防止報(bào)文重放的威脅報(bào)文重放威脅的表現(xiàn)最好情況 一個(gè)成功的重放會(huì)通過(guò)為通信方提供用似是而非的報(bào)文而打亂正常的操作 最差情況 可能允許對(duì)手獲取會(huì)話密鑰或成功地假扮為通信的另一方 2 鑒別協(xié)議 相互鑒別重放攻擊的常用方法示例簡(jiǎn)單重放 對(duì)手簡(jiǎn)單地拷貝一個(gè)報(bào)文并在后來(lái)重放 能被日志記錄的重復(fù) 對(duì)手可以在有效的時(shí)間窗口內(nèi)重放有時(shí)間戳的報(bào)文 能被日志記錄的重復(fù) 對(duì)手可以在有效的時(shí)間窗口內(nèi)重放有時(shí)間戳的報(bào)文 沒(méi)有修改的退回重放 這是一種報(bào)文返回發(fā)方的重放 如果使用常規(guī)加密 這種攻擊是可能的 并且發(fā)方不容易依據(jù)內(nèi)容識(shí)別發(fā)送過(guò)的報(bào)文與收到的報(bào)文間的不同 2 鑒別協(xié)議 相互鑒別對(duì)付重放攻擊的常用方法為每個(gè)用來(lái)鑒別交換的報(bào)文分配一個(gè)序號(hào) 新的報(bào)文只有在它的序號(hào)滿足一種正確的次序時(shí)才被接收 這種方法的難點(diǎn)在于它需要通信各方記錄已處理的最近一個(gè)序號(hào) 因?yàn)橛羞@種負(fù)擔(dān) 序號(hào)一般不用于鑒別和密鑰交換 時(shí)間戳 A方接收一個(gè)報(bào)文 只有當(dāng)報(bào)文包含的時(shí)間戳 經(jīng)A判斷后 與A了解的當(dāng)前時(shí)間足夠接近 才認(rèn)為報(bào)文是新的 這種方法的難點(diǎn)在于它需要通信各方的時(shí)鐘保持同步 首先 需要某種協(xié)議來(lái)維持不同處理機(jī)時(shí)鐘的同步 這個(gè)協(xié)議還必須是容錯(cuò)的和安全的 即要能對(duì)付網(wǎng)絡(luò)的故障和惡意的攻擊 其次 如果暫時(shí)失去同步會(huì)導(dǎo)致一方的時(shí)鐘機(jī)制出錯(cuò) 那攻擊成功的機(jī)率將大為增加 最后 因?yàn)榫W(wǎng)絡(luò)時(shí)延的可變性和不可預(yù)知性 很難期望分布時(shí)鐘能保持精確的同步 因此 任何基于時(shí)間戳的過(guò)程必須申請(qǐng)足夠大的時(shí)間窗口以適應(yīng)網(wǎng)絡(luò)時(shí)延 同時(shí)又要使時(shí)間窗口足夠小以使攻擊成功的機(jī)率最小 盤問(wèn) 響應(yīng) 若A方期望從B接收一個(gè)新近的報(bào)文 就先要向B發(fā)送一個(gè)現(xiàn)時(shí)報(bào)文 nonce 即盤問(wèn) 然后要求隨后從B接收的報(bào)文 即響應(yīng) 包含正確的現(xiàn)時(shí)值 這種方法不大適合面向無(wú)連接的應(yīng)用 因?yàn)樵谌魏螣o(wú)連接傳輸之前它需要有握手的負(fù)擔(dān) 這將在很大程度上丟失無(wú)連接傳輸?shù)闹饕卣?2 鑒別協(xié)議 相互鑒別相互鑒別的常規(guī)加密原始方案示意圖 2 鑒別協(xié)議 相互鑒別相互鑒別的常規(guī)加密原始方案過(guò)程描述A KDC IDA IDB N1KDC A EKa Ks IDB N1 EKb Ks IDA A B EKb Ks IDA B A EKs N2 A B EKs f N2 相互鑒別的常規(guī)加密原始方案可能存在的攻擊模式簡(jiǎn)單地對(duì)第3步進(jìn)行觀察 記錄并重放 加重通信負(fù)擔(dān) 假定X是一個(gè)對(duì)手 已經(jīng)獲得了一個(gè)舊的會(huì)話密鑰 則X可冒充A 使用舊密鑰通過(guò)簡(jiǎn)單的重放第3步就可以欺騙B 除非B一直牢記所有與A的會(huì)話密鑰 否則B無(wú)法確定這是一個(gè)重放 2 鑒別協(xié)議 相互鑒別相互鑒別的常規(guī)加密原始方案改進(jìn)1過(guò)程描述A KDC IDA IDBKDC A EKa Ks IDB T EKb Ks IDA T A B EKb Ks IDA T B A EKs N1 A B EKs f N1 相互鑒別的常規(guī)加密原始方案改進(jìn)1的防重發(fā)機(jī)制增加時(shí)間戳T 它能向A和B確保該會(huì)話密鑰是剛產(chǎn)生的 這樣 A和B雙方都知道這個(gè)密鑰分配是一個(gè)最新的交換 A和B通過(guò)驗(yàn)證下式來(lái)證實(shí)時(shí)效性 Clock T t1 t2其中 t1是估計(jì)的KDC時(shí)鐘與本地時(shí)鐘 A或B 的正常偏差 t2是預(yù)期的網(wǎng)絡(luò)時(shí)延 每個(gè)結(jié)點(diǎn)可參照某些標(biāo)準(zhǔn)參考源設(shè)置自己的時(shí)鐘 時(shí)間戳T是用主密鑰加密的 即使對(duì)手獲得舊的會(huì)話密鑰 由于步驟3的重放將會(huì)被B檢測(cè)出不及時(shí)而不會(huì)成功 2 鑒別協(xié)議 相互鑒別相互鑒別的常規(guī)加密原始方案改進(jìn)1存在的危險(xiǎn)分布時(shí)鐘由于陰謀破壞或同步時(shí)鐘 同步機(jī)制的故障變得不同步 當(dāng)發(fā)方的時(shí)鐘快于預(yù)想的收方時(shí)鐘時(shí) 這個(gè)問(wèn)題就會(huì)發(fā)生 在這種情況下 對(duì)手可截獲發(fā)自A的報(bào)文 當(dāng)報(bào)文中的時(shí)間戳變成收方的當(dāng)前時(shí)間時(shí)就重放該報(bào)文 這種重放可導(dǎo)致不可預(yù)料的結(jié)果 這樣的攻擊被稱為抑制 重放攻擊 相互鑒別的常規(guī)加密原始方案改進(jìn)1的可能改進(jìn)加強(qiáng)通信各方定期與KDC時(shí)鐘的校準(zhǔn) 避免時(shí)鐘同步的需求 依賴使用現(xiàn)時(shí)的握手 依然會(huì)帶來(lái)其它問(wèn)題 其原因是因?yàn)槭辗竭x擇的現(xiàn)時(shí)對(duì)發(fā)送方是不可預(yù)測(cè)的 2 鑒別協(xié)議 相互鑒別相互鑒別的常規(guī)加密改進(jìn)方案A B IDA NaB KDC IDB Nb EKb IDA Na Tb KDC A EKa IDB Na Ks Tb EKb IDA Ks Tb NbA B EKb IDA Ks Tb EKs Nb 相互鑒別的常規(guī)加密改進(jìn)方案的優(yōu)點(diǎn)信任狀的過(guò)期時(shí)間Tb是相對(duì)于B的時(shí)鐘 這樣 這個(gè)時(shí)間戳不需要同步時(shí)鐘 因?yàn)锽只檢查自身產(chǎn)生的時(shí)間戳 A和B分別檢查各自生成的現(xiàn)時(shí)Na和Nb 確保不是重放 信任狀的過(guò)期時(shí)間Tb的使用使得在有效時(shí)間內(nèi)A又想與B建立新的會(huì)話時(shí) 雙方不必重復(fù)多次與鑒別服務(wù)器聯(lián)系的必要 2 鑒別協(xié)議 相互鑒別相互鑒別的常規(guī)加密改進(jìn)方案建立新會(huì)話的方案A B EKb IDA Ks Tb N aB A N b EKa N a A B EKa N b 建立新會(huì)話的方案的安全保障信任狀的過(guò)期時(shí)間Tb驗(yàn)證報(bào)文中的票據(jù)沒(méi)有過(guò)期 新產(chǎn)生的現(xiàn)時(shí)N a和N b將向每方保證這不是重放攻擊 2 鑒別協(xié)議 相互鑒別相互鑒別的公開(kāi)密鑰加密原始方案A AS IDA IDBAS A EKRas IDA KUa T EKRas IDB KUb T A B EKRas IDA KUa T EKRas IDB KUb T EKUb EKRa Ks T 相互鑒別的公開(kāi)密鑰加密原始方案特點(diǎn)中心系統(tǒng)被稱為鑒別服務(wù)器 AS 因?yàn)閷?shí)際上它并不負(fù)責(zé)密鑰的分配 AS實(shí)際上提供公開(kāi)密鑰證書(shū) 會(huì)話密鑰的選擇和加密由A完成 因此沒(méi)有AS泄漏密鑰的危險(xiǎn) 時(shí)間戳防止危及密鑰安全的重放攻擊 但需要時(shí)鐘的同步 2 鑒別協(xié)議 相互鑒別相互鑒別的公開(kāi)密鑰加密改進(jìn)方案1A KDC IDA IDBKDC A EKRauth IDB KUb A B EKUb Na IDA B KDC IDB IDA EKUauth Na KDC B EKRauth IDA KUa EKUb EKRauth Na Ks IDB B A EKUa EKRauth Na Ks IDB Nb A B EKs Nb 相互鑒別的公開(kāi)密鑰加密改進(jìn)方案1特點(diǎn)使用現(xiàn)時(shí) 不需要時(shí)鐘的同步 會(huì)話密鑰由KDC代表B產(chǎn)生 存在安全漏洞 步驟5 2 鑒別協(xié)議 相互鑒別相互鑒別的公開(kāi)密鑰加密改進(jìn)方案1的改進(jìn)A KDC IDA IDBKDC A EKRauth IDB KUb A B EKUb Na IDA B KDC IDB IDA EKUauth Na KDC B EKRauth IDA KUa EKUb EKRauth Na Ks IDA IDB B A EKUa EKRauth Na Ks IDA IDB Nb A B EKs Nb 2 鑒別協(xié)議 單向鑒別單向鑒別的必要性通信對(duì)象的確認(rèn) 通信的接收方證實(shí)發(fā)送方的身份信息交換的機(jī)密性 防止信息的篡改和泄漏 2 鑒別協(xié)議 單向鑒別單向鑒別的常規(guī)加密方案過(guò)程描述A KDC IDA IDB N1KDC A EKa Ks IDB N1 EKb Ks IDA A B EKb Ks IDA EKs M 單向鑒別的常規(guī)加密方案可能存在的攻擊模式無(wú)法防止重放攻擊 由于潛在的時(shí)延 即使采用時(shí)間戳 其作用也有限 假定X是一個(gè)對(duì)手 已經(jīng)獲得了一個(gè)舊的會(huì)話密鑰及相應(yīng)的EKb Ks IDA 則X就可以簡(jiǎn)單地進(jìn)行信息偽造 2 鑒別協(xié)議 單向鑒別單向鑒別的公開(kāi)密鑰加密方案示意圖 2 鑒別協(xié)議 單向鑒別單向鑒別的公開(kāi)密鑰加密方案描述關(guān)心機(jī)密性A B EKUb Ks EKs M 方案優(yōu)點(diǎn)這種方法比簡(jiǎn)單地用B的公開(kāi)密鑰對(duì)整個(gè)報(bào)文進(jìn)行加密的方法高效得多 方案缺點(diǎn)無(wú)法確認(rèn)信息M來(lái)自于A 2 鑒別協(xié)議 單向鑒別單向鑒別的公開(kāi)密鑰加密方案描述關(guān)心鑒別A B M EKRa H M 方案優(yōu)點(diǎn)保證A隨后無(wú)法否認(rèn)發(fā)送過(guò)該報(bào)文 方案缺點(diǎn)1 難以防止用戶X對(duì)信息M的剽竊 X B M EKRx H M 2 要求B知道A的公開(kāi)密鑰 并確信它并未過(guò)時(shí) 2 鑒別協(xié)議 單向鑒別單向鑒別的公開(kāi)密鑰加密方案描述鑒別和加密A B EKUb M EKRa H M A B EKUb Ks EKs M EKRa H M 方案優(yōu)點(diǎn)保證A隨后無(wú)法否認(rèn)發(fā)送過(guò)該報(bào)文 保證信息的安全性 方案缺點(diǎn)要求B知道A的公開(kāi)密鑰 并確信它并未過(guò)時(shí) 2 鑒別協(xié)議 單向鑒別單向鑒別的基于數(shù)字證書(shū)的公開(kāi)密鑰加密方案描述鑒別A B M EKRa H M EKRas T IDA KUa 方案優(yōu)點(diǎn)通過(guò)鑒別服務(wù)器的數(shù)字簽名確認(rèn)發(fā)方的公開(kāi)密鑰并驗(yàn)證它是可信的 方案缺點(diǎn)難以防止用戶X對(duì)信息M的剽竊 X B M EKRx H M EKRas T IDX KUx 3 數(shù)字簽名標(biāo)準(zhǔn) DSS 算法由來(lái)美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所 NIST 已經(jīng)公布了聯(lián)邦信息處理標(biāo)準(zhǔn)FIPSPUB86 即所謂的數(shù)字簽名標(biāo)準(zhǔn) DSS DSS利用了安全散列算法 SHA 并提出了一種新的數(shù)字簽名技術(shù) 即數(shù)字簽名算法 DSS最早發(fā)表于1991年 并根據(jù)公眾對(duì)該體制安全性擔(dān)心的反應(yīng)在1993年進(jìn)行了修改 1996年又進(jìn)行了更進(jìn)一步的小修改 算法特征DSS使用一個(gè)算法 該算法設(shè)計(jì)用來(lái)提供惟一的數(shù)字簽名函數(shù) 不像RSA 它不能用作加密或密鑰交換 然而 它是一種公開(kāi)密鑰技術(shù) 3 數(shù)字簽名標(biāo)準(zhǔn) DSS DSS簽名算法與RSA簽名算法使用的差異除了采用散列函數(shù)和私有密鑰外 還需要下述2個(gè)參數(shù) 每個(gè)報(bào)文需要一個(gè)隨機(jī)數(shù)k全局公開(kāi)密鑰KUG 2 簽名值為兩個(gè)數(shù)r和s 3 數(shù)字簽名標(biāo)準(zhǔn) DSS 密鑰選擇全局公開(kāi)密鑰選定選擇一個(gè)160bit的素?cái)?shù)q 選擇一個(gè)素?cái)?shù)p 要求長(zhǎng)度在512到1024bit之間且 p l 能被q整除 選擇g等于h p 1 qmodp 其中h是大于1小于 p l 的整數(shù) 要求g大于l 私有密鑰選定1到 p l 之間的隨機(jī)數(shù)或偽隨機(jī)數(shù) 公開(kāi)密鑰計(jì)算y gxmodp每個(gè)報(bào)文的密數(shù)k選擇0 k q的隨機(jī)或偽隨機(jī)整數(shù) 3 數(shù)字簽名標(biāo)準(zhǔn) DSS 算法描述簽名算法r gkmodp modqs k 1 H M xr modq驗(yàn)證算法w s 1modqu1 H M w modqu2 r wmodqv gu1yu2 modp modq驗(yàn)證 v r 其中 M s r 接收到的M s和r版本 3 數(shù)字簽名標(biāo)準(zhǔn) DSS 算法描述等價(jià)框圖簽名算法示意圖驗(yàn)證算法示意圖 3 數(shù)字簽名標(biāo)準(zhǔn) DSS 數(shù)字簽名算法的證明對(duì)任何整數(shù)t 若g h p 1 qmodp 則gtmodp gtmodqmodp證明 gnqmodp h p 1 qmodp nqmodp h p 1 q nqmodpmodp h p 1 nmodpmodp h p 1 modp nmodp因此 對(duì)非負(fù)整數(shù)n和z 有 gnq zmodp gnqgz modp gnqmodp gzmodp modp gzmodp由于任意非負(fù)整數(shù)t可惟一表示為t nq z 其中n和z是非負(fù)整數(shù) 且0 z q 因此z tmodq 因而結(jié)論成立 3 數(shù)字簽名標(biāo)準(zhǔn) DSS 數(shù)字簽名算法的證明對(duì)非負(fù)的整數(shù)a和b g amodq bmodq modp g a b modqmodp證明 由于gtmodp gtmodqmodp 因此g amodq bmodq modp g amodq bmodq modqmodp g a b modqmodpy nw modqmodp g xnw modqmodp證明 由于y gxmodp 那么 y nw modqmodp gxmodp nw modqmodp gx nw modq modp g x nw modq modqmodp g xnw modqmodp 3 數(shù)字簽名標(biāo)準(zhǔn) DSS 數(shù)字簽名算法的證明 H M xr w modq k證明 由于s k 1 H M xr modq 此外 由于q是素?cái)?shù) 任何小于q的非負(fù)整數(shù)存在一個(gè)逆元 因此 kk 1 modq l ks modq k k 1 H M xr modq modq k k 1 H M xr modq k k 1 H M xr modq kk 1 modq H M xr modq H M xr modq根據(jù)定義 w s 1modq ws modq 1 因此 H M xr w modq H M xr modq wmodq modq ks modq wmodq modq ksw modq kmodq ws modq modq kmodq k 3 數(shù)字簽名標(biāo)準(zhǔn) DSS 數(shù)字簽名算法的證明v r證明 v gu1yu2 modp modq g H M w modqy nw modq modp modq g H M w modqg xnw modq modp modq g H M w modq xnw modq modp modq g H M w xnw modq modp modq g H M xn w modq modp modq gkmodp modq r 3 數(shù)字簽名標(biāo)準(zhǔn) DSS 算法特點(diǎn)r的值不依賴于報(bào)文 r是k和三個(gè)全局公開(kāi)密鑰分量的函數(shù) 簽名時(shí)要計(jì)算 gkmodp modq 因?yàn)檫@個(gè)值不依賴于要簽名的報(bào)文 可預(yù)先計(jì)算出來(lái) 因此 用戶可以預(yù)先計(jì)算出許多r值以備用于文檔的簽名 另一個(gè)需要完成的工作只是確定逆元k 1 這個(gè)值也可預(yù)先算出 算法安全性公開(kāi)密鑰由私有密鑰經(jīng)過(guò)y gxmodp計(jì)算得出 給定x計(jì)算y是很簡(jiǎn)單的 然而 給定公開(kāi)密鑰y 要確定x 即y以g為底數(shù)模p的離散對(duì)數(shù) 據(jù)信這在計(jì)算上是安全的 根據(jù)計(jì)算離散對(duì)數(shù)的難度 對(duì)手通過(guò)r恢復(fù)出k 或通過(guò)s恢復(fù)出x都是難以辦到的 3 數(shù)字簽名標(biāo)準(zhǔn) DSS 對(duì)DSA算法的反對(duì)評(píng)論DSA不能用于加密和密鑰分發(fā)DSA由NSA設(shè)計(jì) 算法中可能會(huì)有陷門DSA比RSA慢RSA是事實(shí)上的標(biāo)準(zhǔn)DSA中的選擇處理不公開(kāi) 這給分析提供了充足的時(shí)間DSA可能侵犯其它專利密鑰太短 3 數(shù)字簽名標(biāo)準(zhǔn) DSS DSA素?cái)?shù)生成NIST推薦了一種生成二個(gè)素?cái)?shù)p和q的方法 用q除p 1 其中素?cái)?shù)p為512至1024比特并是64比特的倍數(shù) 素?cái)?shù)q為160比特 令L 1 n 160 b 其中L為p的長(zhǎng)度 n和b為二個(gè)數(shù) 選擇一個(gè)至少160比特的任意序列 稱之為S 設(shè)g為S的比特?cái)?shù)計(jì)算U SHA S XORSHA S 1 mod2g 把U的最高位和最低位設(shè)置為1而得到q檢驗(yàn)q是否為素?cái)?shù)如果q不是素?cái)?shù) 回到1設(shè)C 0和N 2對(duì)于k 0 1 n 設(shè)Vk SHA S N k mod2g 設(shè)W V0 V1 2160 Vn 1 2 n 1 16 Vnmod2b 2n 160X W 2L 1注意X為2L比特的數(shù)設(shè)p X Xmod2q 1 注意p模2q同余于1如果p 2L 1 轉(zhuǎn)13檢驗(yàn)p是否為素?cái)?shù)如果p為素?cái)?shù) 轉(zhuǎn)15令C C 1和N N 1如果C 4096 則轉(zhuǎn)1 否則轉(zhuǎn)7保存用于生成q和q的S值和C值 習(xí)題 如何將相互鑒別的公開(kāi)密鑰加密改進(jìn)方案1的改進(jìn)中的7個(gè)步驟改為5個(gè)步驟 這5個(gè)步驟的順序是 A B B KDC KDC B B A A B 說(shuō)明在每一步中傳遞的報(bào)文 提示 在這個(gè)協(xié)議中最后的報(bào)文內(nèi)容與原協(xié)議的相同 用DSS 因?yàn)槊總€(gè)簽名將產(chǎn)生不同的k值 因此即使分別在不同的場(chǎng)合對(duì)相同的報(bào)文簽名 產(chǎn)生的簽名也不相同 RSA簽名是不能這樣的 這樣的不同有什么實(shí)際意義