第十章数字签名与鉴别协议

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

第十章数字签名与鉴别协议10.1数字签名原理10.2鉴别协议10.3数字签名标准本章重点和复习要点本章重点和复习要点通信方A、B的主密钥如何进行安全分配;通信方A和B共享的对话密钥如何进行安全分配D-H中有无KDC?D-H是对称加密算法还是公开加密算法?K是对称加密密钥还是公开加密密钥?该方案有无鉴别通信双方的功能,所以容易遭受什么攻击?N-S算法有无KDC?它是一个对称加密算法还是公开加密算法?KS是对称加密密钥还是公开加密密钥?N-S的密钥分配和相互鉴别过程为什么说CA相对KDC来说不容易形成瓶颈?返回首页10.1数字签名原理当通信双方发生了下列情况时,数字签名技术必须能够解决引发的争端:•否认,发送方不承认自己发送过某一报文。•伪造,接收方自己伪造一份报文,并声称它来自发送方。•冒充,网络上的某个用户冒充另一个用户接收或发送报文。•篡改,接收方对收到的信息进行篡改。返回首页10.1.1-2数字签名原理和流程公开密钥算法对信息直接加密(作为数字签名)非常耗时,因此:1)首先生成一个代表你的报文的简短的、独特的报文摘要;2)其次用发送方的私钥加密这个摘要,作为发送方对该报文的数字签名。数字签名流程:(1)采用散列算法对原始报文进行运算,得到一个固定长度的数字串,称为报文摘要(MessageDigest),保证了报文的不可更改性。(2)发送方用目己的私有密钥对摘要进行加密来形成数字签名。(3)这个数字签名将作为报文的附件和报文一起发送给接收方。(4)接收方首先对接收到的原始报文用同样的算法计算出新的报文摘要,再用发送方的公开密钥对报文附件的数字签名进行解密,比较两个报文摘要,如果值相同,接收方就能确认该数字签名是发送方的,否则就认为收到的报文是伪造的或者中途被篡改。10.2鉴别协议10.2.1报文鉴别1)一种方法是发送方用自己的私钥对报文签名,签名足以使任何人相信报文是可信的。2)另一种方法常规加密算法也提供了鉴别。但有两个问题,一是不容易进行常规密钥的分发,二是接收方没有办法使第三方相信该报文就是从发送方送来的,而不是接收方自己伪造的。返回首页10.2.2相互鉴别利用常规加密方法进行相互鉴别不得不从Needham—Schroeder协议谈起,它采用了常规加密体制和密钥分配中心KDC技术。尽管这个协议本身存在一定的安全漏洞,但是后来发展的很多鉴别协议都是在Needham—Schroeder协议的基础上扩展而成的。1)在该协议中,通信各方与KDC共享一个主密钥,它已通过其他安全渠道传送完成。2)KDC为通信的双方产生短期通信所需的会话密钥,并通过主密钥来保护这些密钥的分发。Needham—Schroeder协议步骤:(1)AKDC:(IDa,IDb,Ra)。通信方A将由自己的名字IDa,通信方B的名字IDb和随机数Ra组成的报文传给KDC。(2)KDCA:EKa(Ra,IDb,Ks,EKb(Ks,IDa))。KDC产生一随机会话密钥Ks,用Kb对Ks和通信方A名字加密。然后用Ka对通信方A的随机值、通信方B的名字、会话密钥Ks和已加密的报文进行加密,最后将它传送给通信方A。(3)AB:EKb(Ks,IDa)。通信方A将报文解密并提取Ks。他确认Ra与他在第(1)步中发送给KDC的一样。然后他将KDC用Kb加密的报文转发给通信方B。(4)BA:EKs(Rb)。通信方B对报文解密并提取Ks,然后产生另一随机数Rb。他使用Ks加密它并发送给通信方A。(5)AB:EKs(Rb-1)。通信方A用Ks将报文解密,产生Rb-1并用Ks对它加密,然后将报文发回给通信方B。(6)通信方B用Ks对信息解密,并验证它是Rb-1。——会话密钥分配和双向认证尽管Needham—Schroeder协议已经考虑了重放攻击,但是设计一个完美的没有漏洞的鉴别协议往往是很困难的。让我们考虑一下这种情况:如果一个对手已经获得了一个旧的会话密钥,那么在第(3)步中就可冒充通信方A向通信方B发送一个旧密钥的重放报文,而此时通信方B无法确定这是一个报文的重放……Denning对Needham—schroeder协议进行了修改,防止这种情况下的重放攻击,其过程如下:(1)AKDC:(IDa,IDb)。(2)KDCA:EKa(T,IDb,Ks,EKb(T,Ks,IDa))。(3)AB:EKb(T,Ks,IDa)。(4)BA:EKs(Rb)。(5)AB:EKs(Rb-1)。时间戳T向A和B确保该会话密钥是刚产生的。10.2.3单向鉴别第一个需求是电子邮件报文的首部必须是明文的,以便报文能被SMTP处理,而邮件报文内容应该加密。第二个需求是鉴别。典型的是,收方想得到某种保证,即该报文确实是来自被认为的发方。基于常规加密方法的方案实现鉴别:(1)AKDC:(IDa,IDb,Ra)。(2)KDCA:EKa(IDb,Ks,Ra,EKb(Ks,Da))。(3)AB:EKb(Ks,IDa)EKs(M)。1)这个方案会遭到重放攻击。2)如果在报文中加入时间戳,由于电子邮件潜在的时延,时间戳的作用非常有限。公开密钥加密方法适合电子邮件,如果发方和收方都知道对方的公开密钥,则可以同时提供机密性和鉴别。AB:EKUb(M,EKRa(H(M)))AB:EKUb(Ks),EKs(M,EKRa(H(M)))10.3数字签名标准目前已有大量的数字签名算法,如RSA数字签名算法、EIGamal数字签名算法、椭圆曲线数字签名算法等。•美国的数字签名标准/算法(DSS/DSA)美国国家标准技术学会(NIST)的一个标淮,它是ElGamal数字签名算法的一个修改。当选择p为512比特的素数时,ElGamal数字签名的尺寸是1024比特;而在DSA中通过选择一个160比特的素数可将签名的尺寸降低为320比特。返回首页•安全散列标准/算法(SHS/SHA)DSS签名使用FIPS80-1和安全hash标淮(SHS)产生和核实数字签名。许多加密者认为SHS所指定的安全散列算法(SHA)是最强劲的散列算法。DSS的安全性表现在如下的几个方面:1)对报文的签名不会引起私有密钥的泄漏。2)若不知私有密钥,没有人能够对给定的报文产生签名。3)没有人能够产生匹配给定签名的报文。4)没有人能够修改报文并使原有的签名依然有效。

1 / 20
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功