收藏
下载资源 加入VIP免费专享

《数字签名密钥》PPT课件.ppt

上传人:牧羊曲112 文档编号:5519141 上传时间:2023-07-16 格式:PPT 页数:62 大小:1.48MB
返回 下载 相关 举报
《数字签名密钥》PPT课件.ppt_第1页
第1页 / 共62页
《数字签名密钥》PPT课件.ppt_第2页
第2页 / 共62页
《数字签名密钥》PPT课件.ppt_第3页
第3页 / 共62页
《数字签名密钥》PPT课件.ppt_第4页
第4页 / 共62页
《数字签名密钥》PPT课件.ppt_第5页
第5页 / 共62页
点击查看更多>>
资源描述

《《数字签名密钥》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《数字签名密钥》PPT课件.ppt(62页珍藏版)》请在三一办公上搜索。

1、2012年4月8日,计算机安全技术与实践 数字签名,密钥管理,为了承诺,数字签名是密码学发展过程中的最重要的概念之一。数字签名可以提供其他方法难以实现的安全性-抗抵赖。抵抗内部攻击!,数字签名 Digital Signature,加密报文鉴别数字签名抵制通信双方的抵赖对方(自己)否认发送过或收到过某个报文向对方表明自己的身份,数字签名,消息认证基于共享秘密,不能防止抵赖只是2方合作抵抗第3方窜改/假冒共享的秘密不具有排他性质双方有同样的不分彼此地能力;因此对某个报文的存在和有效性,每一方都不能证明是自己所为,或者是和自己无关特异性要想实现类似签名的安全能力,必须使每个人使用独有的秘密,考察手写

2、签名的特性,签名的含义签名者慎重表达认可文件内容的意向的行为主要形式手写签名、签章、手指纹印(其他生物技术)特性不可伪造,特异性不可重用,日期和时间相关性不可改变,能发现涂改、转移意义或用途不可抵赖,能够质证可仲裁的,可做为法律证据,数字签名:要适应的新变化,数字签名手写签名数字文件纸版文件数字小文件手写字(签章)如何绑定?同一页纸关于扫描手写字迹、鼠标手写No!,手写签名的数字化改造,数学支持签名函数被签署的是文件(大文件)签名生成另外一个文件(小文件)签名过程一定有签署人的身份和某种秘密(别人不知的)参与简单易行计算/存储,签名函数,报文(大),报文,签名(小),身份和秘密,用私钥加密当作

3、签名,主要操作输入 报文明文、私钥 md=s输出 报文明文、报文密文(签名)(m,s)验证 se=?m是否满足签名要求的特性讨论私钥(其实是公钥)的管理:和身份绑定、更新等签名过程太慢:启用散列函数改进对报文的散列值用私钥加密得到和n等宽的签名值,数字签名的一般模型,数字签名过程机制,无中心数字签名,直接使用自己的私钥加密作为签名无中心存在问题声称私钥被偷窃而抵赖。虽然可以给报文添加时间戳,并要求用户必须及时挂失私钥,但是盗用者仍可以伪造较早期的签名。引入中心可以有很多优点,同时也很多缺点。,有信任中心帮助的签名,优点:可以简化用户的考虑,甚至可以使用对称算法缺点:中心的安全故障、在线瓶颈、可

4、靠性等问题,13.1a PKCS#1V2.1 Outline,RSA public key:(n,e)RSA private key:(n,d)ed1 mod(n)其中是n的(素因子-1)的LCMI2OSP(Integer-to-Octet-String primitive)给定正整数x,输出字节串X=X1X2X3x2560X12561X22562X3OS2IP(Octet-String-to-Integer primitive)输入字节串,返回整数值,RSA Primitive,RSAEP(n,e),m)c=me mod nRSADP(n,d),c)m=cd mod nRSASP1(n,d)

5、,m)s=md mod nRSAVP1(n,e),s)m=se mod n,Encryption Schemes,ESRSAES-OAEP(Optimal Asymmetric Encryption Padding)new,recommendedRSAES-PKCS1-v1_5obsoleteRSAES-OAEPEME-OAEPRSAEP/RSADPRSAES-PKCS1-v1_5EME-PKCS1-v1_5RSAEP/RSADP,RSAES-OAEP,RSAES-OAEP-ENCRYPT(n,e),M,L)Option:Hash of hLen-byteMGF mask generation

6、 function(output,an octet string)mLen=k-2hLen-2L optional label to be associated with the message|L|=261-1 octets for SHA-1EME-OAEP encodingEM=0 x00|maskedSeed|maskedDBm=OS2IP(EM)c=RSAEP(n,e),m)C=I2OSP(c,k)RSAES-OAEP-DECRYPT(K(n,d),C,L),EME-OAEP encoding operation,Signature schemes with appendix,SSR

7、SASSA-PSS(Probabilistic Signature Scheme)new,recommendedRSASSA-PKCS1-v1_5 obsoleteRSASSA-PSSEMSA-PSSRSASP1/RSAVP1RSASSA-PKCS1-v1_5EMSA-PKCS1-v1_5RSASP1/RSAVP1,RSASSA-PSS,RSASSA-PSS-SIGN(K=(n,d),M)EM=EMSA-PSS-ENCODE(M,modBits 1)m=OS2IP(EM)s=RSASP1(K,m)S=I2OSP(s,k)RSASSA-PSS-VERIFY(n,e),M,S),RSASSA-PK

8、CS1-v1_5,RSASSA-PKCS1-V1_5-SIGN(K(n,d),M)EM=EMSA-PKCS1-V1_5-ENCODE(M,k)m=OS2IP(EM)s=RSASP1(K,m)S=I2OSP(s,k)RSASSA-PKCS1-V1_5-VERIFY(n,e),M,S),Encoding methods for signatures with appendix,EMEMSA-PSSEMSA-PKCS1-v1_5EMSA-PSSEMSA-PSS-ENCODE(M,emBits)EMSA-PSS-VERIFY(M,EM,emBits)EMSA-PKCS1-v1_5EMSA-PKCS1-

9、v1_5-ENCODE(M,emLen),EMSA-PSS encoding operation,EMSA-PKCS1-v1_5,EMSA-PKCS1-v1_5-ENCODE(M,emLen)Option:Hash of hLen-byteemLen at least tLen+11H=Hash(M)T=HashIDH(ASN.1编码)DigestInfo:=SEQUENCE digestAlgorithm AlgorithmIdentifier,digest OCTET STRING PS:emLen-tLen-3(8+B)octets with value 0 xffEM=0 x00|0

10、x01|PS|0 x00|T,对HASH的ASN.1编码(in EMSA-PKCS1-v1_5),MD2ref laymans guide30 20 30 0c 06 08 2a 86 48 86 f7 0d 02 02 05 00 04 10|HMD530 20 30 0c 06 08 2a 86 48 86 f7 0d 02 05 05 00 04 10|HSHA-130 21 30 09 06 05 2b 0e 03 02 1a 05 00 04 14|HSHA-25630 31 30 0d 06 09 60 86 48 01 65 03 04 02 01 05 00 04 20|HSH

11、A-38430 41 30 0d 06 09 60 86 48 01 65 03 04 02 02 05 00 04 30|HSHA-51230 51 30 0d 06 09 60 86 48 01 65 03 04 02 03 05 00 04 40|H,回顾ElGamal加密体制,准备素数p,Zp*中本原元g,公开参数私钥a,公钥b=ga mod p加密对明文1=m=p-1,选随机数k密文(c1,c2)c1=gk mod p,c2=mbk mod p解密mc2(c1a)-1mbk(gk)a)-1 m(ga)k(g-ka)m mod p,Zp满足离散对数问题难解,是生成元设P Zp*,A Z

12、p*Zp-1 K(p,a,),=a(mod p)私钥是a签名时,取秘密随机数kZp-1*,定义sig(x,k)=(,),(k mod p,(x-a)k-1 mod(p-1)验证 ver(x,(,):?x mod p,验证正确性证明,如果(x,)是真实签名aka+k而(x-a)k-1 mod(p)即 ax-k mod(p)故 n(p)+x-k+k n(p)+x n(p)x x mod p其实就是签名时从 kax解出来得,签名计算实例,p467,2,a127,则a mod p 2127 mod 467 132签名x100,取k213(注:k得和p-1互素),则 k-1213-1 mod 466=4

13、31k mod p 2213 mod 467 29(x-a)k-1 mod(p)(100-12729)431 mod 466 51 签名值:(100,(29,51)),验证计算实例,p467,2,a127,132(x,(,))(100,(29,51))判断是否:x mod p 事实上132292951189 mod 467x2100189 mod 467而且,如果(100,(29,51))的任何改变都会导致验证失败,数字签名标准,Digital Signature Standard(DSS)Digital Signature Algorithm(DSA)DSS标准DSAFIPS 186 NIS

14、T 1991 1993只能签名,不能加密概念对比RSA:MEki(H(M),ki是私钥DSS:MEki(H(M),k),ki是私钥 k是随机数,图示 RSA vs.DSS,DSA,准备素数p,约512比特;素数q,约160比特,要求是p-1的因子选择gh(p-1/q)mod p密钥用户私钥x,xq公钥y,ygx mod p签名,对报文M产生随机数kr(gk mod p)mod qs=k-1(H(M)+xr)mod q(r,s)即是签名,连同明文的M验证,测试是否vr,其中vgu1yu2 mod p mod qu1H(M)s-1 mod qu2rs-1 mod q,DSA Figure,“公开”

15、密钥?这太简单了!,错!曾经使用对称密码体制时,一个非常烦人的问题是如何协商会话密钥。公钥体制中只需公开发布公钥(切保守私钥),因此通常被认为是减轻了密钥管理的负担。但当认真考虑如何发布公钥时,你会发现:原来可靠地发布公钥其实也很难。公钥的发布体制-证书体系(CA),是PKI的核心和基础。事实上,证书体系的过于复杂阻碍了PKI的普及。,密钥管理,公钥的分配公钥体制用于传统密码体制的密钥分配,公钥的分配方法,1.临时索要公钥/自由的扩散/PGP的公钥环2.公开的目录服务(在线方式)3.公钥授权(在线中心方式)4.通过证书中心CA(离线中心方式),1.自由方式,当要通信时向对方索要其公钥没有先验知

16、识,不能确定对方的身份,不能提供鉴别特性只能用在不究身份时的加密,如萍水相逢的两人之间的防偷听聊天扩散通过可信的朋友之间的辗转交换PGP中即有此种公钥交换机制朋友并不总可信问题:相信阁下的人品,但是不相信阁下的智商,2.公开目录,公开的目录服务目录的维护得由信得过的机构执行每个用户在目录里有一项 身份信息,其公钥 面对面的审核和注册可以更新或废止提供网络的访问手段,可公开查询目录中心的安全负担太重,也是性能瓶颈,3.公钥授权:在线中心,有在线中心帮助的公钥交换A请求中心给B的公钥,带时间戳中心用私钥签署的消息,包括:原始请求和时间戳,B的公钥,A用B的公钥加密:自己的身份IDa和会话标识号N1

17、B也如法取得A的公钥B用A的公钥加密:N1和N2A用B的公钥加密N2,以最后确认会话在线中心容易成为单点故障和性能瓶颈,公钥授权:在线中心,4.证书:离线中心,Certificate Authentication CA是受信任的权威机构,有一对公钥私钥。每个用户自己产生一对公钥和私钥,并把公钥提交给CA申请证书。CA以某种可靠的方式核对申请人的身份及其公钥,并用自己的私钥“签发”证书。证书主要内容:用户公钥,持有人和签发人的信息,用途,有效期间,签名等。证书在需要通信时临时交换,并用CA的公钥验证。有了经CA签名保证的用户公钥,则可进行下一步的身份验证和交换会话密钥等。,CA,使用公钥传递会话

18、密钥,公钥算法太慢对称算法一般几十兆字节/秒1024位RSA解密约100多次/秒(加密快10倍以上)100*128B=10KB/s只用来传递会话密钥(假设B已经有A的公钥KeA)A发起和B的通信B产生会话密钥Ks,并用KeA加密后传给AA能用自己的私钥KdA解开他人不会知道Ks,Merkle方案,因为B临时获取A的公钥,所以存在“中间人攻击”的问题,NEED78方案,(事先拥有对方公钥),14.2 X.509/CA,X509定义了公钥认证服务框架。Certificate 证书印象PKI/X.509CA in Win2kEJBCA,Certificate 证书印象,证书是可靠发布公钥的载体公钥及

19、其持有人信息其他信息(用途、有效期、)签发人及其签名(对上面信息),X.509,分发公钥证书格式内容、格式和编码、签名鉴别协议X509中推荐的协议应用IPSec、SSL/TLS、SET、S/MIME、PGP、RFC 2459,从公钥到证书,审核,证书格式,版本序列号签名算法标识其参数签发者名字不早于,不迟于主题名(持有人名)算法标识其参数公钥签发人标识(重名)持有人标识扩展签名算法参数签名,X509v3 扩展,V3以可选扩展项的形式体现(扩展名字,值,是否可忽略)密钥标识符密钥用途签名、加密、密钥交换、CA等组合私钥使用期限对应的公钥一般有更长的期限以用于验证策略信息等颁发者和持有人的更多信息

20、证书路径的约束信息,证书中心:CA,CA权威的证书签发者接受请求、审核、(收费)、签发商业CA机构申请证书申请人产生自己的公钥(私钥)提交PKCS#10格式的申请公钥、自己的身份信息,用户自己的签名审核颁发面对面的交涉;代理RA证书发布X500目录;在线交换,证书的获得等问题,证书是公开的,不需保密这很好信任对证书的信任基于对中心的信任CA是分层次的以减轻负载和压力(尤其是审核)对多个中心的信任分散了风险,也引入了风险,证书的自证明和应用,前提:已经有CA的公钥CA公钥一般是自签名证书的形式必须可靠的获得,离线手工取得对方的证书证书是公开的,不需保密查目录;在线交换判断证书是否有效验证证书中的

21、签名是否是CA的真实签名(只是说这个证书是有效的)公钥应用加密(PGP);鉴别(SSL),信任关系,信任信任CA信任CA的签名信任CA签发的证书信任该持有人拥有这个公钥 层次CA组织成为层次关系信任链信任某CA则信任其子CA及其子CA签发的证书CA之间的相互信任相互给对方的公钥签署一个证书,CA Tree,A和B之间如何达成相互信任,证书的撤销,证书中的有效期证书提前作废的原因私钥泄密用户自己的、CA的持有人身份变化CRL-certificate revocation list 由CA定期公布的证书黑名单作废证书的序列号的表(序列号,撤销时间)表的创建日期其他信息CRL位置、下次CRL更新时间签名,在线证书状态协议,OCSP 在线证书状态协议可以用在线方式查询指定证书的状态RFC 2560 OCSP,使用证书进行身份鉴别,前提:已经有某人的真实证书(公钥)查目录或在线交换鉴别鉴别对方是否是真实的持有人(某人)看对方是否拥有证书中公钥对应的私钥使用挑战应答机制举例SSL协议,使用证书的鉴别过程,A要和B通信,A要弄清楚B是否是他所期望的真的BAB:A向B请求证书AB:A给B一个随机报文,让B签个名来看看B:B签名,在签名之前可施加自己的影响成分AB:B的签名A:检验是否通过了B的证书里的公钥的验证,14.3PKI,PKIX,IETF PKIX charter,

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号