第08章 消息鉴别与数字签名

信息认证网络系统安全要考虑两个方面：–用密码保护传送的信息使其不被破译–防止对手对系统进行主动攻击如伪造篡改信息等认证(authentication)是防止主动攻击的重要技术，它对于开放的网络中的各种信息系统的安全性有重要作用认证的主要目的有二–信源识别：验证信息的发送者是真正的而非冒充–完整性：验证信息在传送或存储过程中未被篡改、重放或延迟等保密和认证同时是信息系统安全的两个方面,但又是两个不同属性的问题–认证不能自动提供保密性–保密性也不能自然提供认证功能一个纯认证系统的模型如下图所示消息认证是使预定的消息接收者能够检验收到的消息是否真实的方法。检验内容应包括(1)证实报文的源和宿(2)报文内容是否曾受到偶然的或有意的篡改(3)报文的序号和时间栏总之，消息认证使接收者能识别消息的源、内容的真伪、时间性和意定的信宿这种认证只在相应通信的双方之间进行，而不允许第三者进行上述认证认证不一定是实时的信息的认证和保密是不同的两个方面，一个认证码可具有保密功能也可没有保密功能使用MAC的过程只提供了认证，保密性需要在使用MAC算法之前或之后另外采用加密算法来实现同时，这种方法还存在与用对称加密方法提供认证同样的问题，即收发双方共享一个密钥，导致接收方可以伪造报文，而发送方也可以因此否认发过报文散列函数(HashFunction)把可变输入长度报文M转换成固定长度（通常比输入短）的输出串（hash值）从M的值很容易计算其Hash值，但要产生一个报文M’的值使其Hash值等于一个特殊值却很难典型的多对一的函数，不能用它来确定两个串一定相同，但可用它确定两个串一定不相同Hash函数是公开的，对处理过程不用保密，其安全性在于单向性用于报文鉴别的散列函数具有下列性质：–能用于任何长度的数据分组–能产生定长的输出–对任何给定的分组，散列值容易计算–单向性，即对任何给定散列值，求其输入值在计算上不可能–防止弱抗冲突：对任何给定的分组，要找一个不同的分组且与之有相同的散列值在计算上不可能–防止强抗冲突：寻找任意两个分组对，使其散列值相同在计算上不可行两种重要的散列函数：–MD5–SHA-1SHA-1与MD5的最大区别在于其摘要比MD5摘要长32比特对于强行攻击，产生任何一个报文使之摘要等于给定报文摘要的难度：MD5是2128数量级的操作，SHA-1是2160数量级的操作；产生具有相同摘要的两个报文的难度：MD5是264数量级的操作，SHA-1是280数量级的操作。因而，SHA-1对抗强行攻击的强度更大。但由于SHA-1的循环步骤比MD5多（80∶64）且要处理的缓存大（160比特∶128比特），SHA-1的运行速度比MD5慢单纯使用散列函数产生报文摘要，攻击者和接收方都可以伪造报文和摘要，不能保证报文数据的完整性，而发送方也可以因此否认发出过报文报文H报文报文H比较单纯使用散列函数3种报文验证方式报文HE报文K报文HDK比较a使用常规加密报文HE报文sk报文HD比较b使用非对称密钥加密（签名）pk报文报文报文H比较c使用保密数值H无碰撞的散列函数散列函数用以认证之安全性分析签名对象由完整消息变成消息摘要，有可能出现伪造伪造方式一：Oscar以一个有效签名(x,y)开始，此处y=sigk(h(x))，首先他计算Z=h(x)，并企图找到一个异于x的x‘，满足h(x’)=h(x)。若他做到这一点，则(x‘,y)也将为有效签名。为防止这一点，要求函数h具有无碰撞特性–定义1(弱无碰撞)：散列函数h称为是弱无碰撞的，是指对给定消息xX，在计算上几乎找不到异于x的x‘X使h(x)=h(x')伪造方式二：Oscar首先找到两个消息x和x‘,满足h(x)=h(x’),然后Oscar把x给Bob，且使他对x的摘要h(x)签名，从而得到y,那么(x',y)是一个有效的伪造–定义2(强无碰撞)：散列函数h被称为是强无碰撞的,是指在计算上几乎不可能找到相异的x、x‘，使得h(x)=h(x')–注：强无碰撞自然包含弱无碰撞伪造方式三：在某种签名方案中，可伪造一个随机消息摘要Z的签名，若h的逆函数h-1是易求的，可算出h-1(Z)=x,满足Z=h(x)则(x,y)(其中y=sigk(h(x)))为合法签名–定义3(单向的)：称散列函数h为单向的，是指计算h的逆函数h-1在计算上不可行生日攻击任找23人，从中总能选出两人具有相同生日的概率至少为1/2–假设h:X→Z是一个散列函数，X和Z是有限的，且|X|=2|Z|，记|X|=m和|Z|=n，易见至少有n个碰撞－－问题是如何找到它们–自然的方法是选择k个随机的不同元素x1,x2,…,xkX，计算Zi=h(xi)1=i=k，然后确定一个碰撞是否已发生（例如通过分类Zi的值）–这个过程类似于随机抛k个球进入n个箱子，然后检查一下是否有一些箱子包含了至少两个球（这k个球对应于k个随机值Xi，且n个箱子对应于Z中n个元素）数字签名物理签名具有的特点：①签名是可信的。签名使文件的接收者相信签名者是慎重地在文件上签字的②签名是不可伪造的。签名证明是签字者而不是其他人慎重地在文件上签字③签名是不可重用的。签名是文件的一部分，不可能将签名移到不同的文件上④签名的文件是不可改变的。在文件签名后，文件不能改变⑤签名是不可否认的。签名和文件是物理存在的，签名者事后不能声称他没有签过名数字签名–采用加密技术，可同时保证真实性、完整性和不可否认性–可基于对称密钥，也可基于非对称密钥数字签名必须具有如下性质：①签名必须用可确定签名者的唯一信息，所以签名者及其签名时间可以证实②签名之前必须能够鉴别报文的内容③签名必须能被第三方验证以解决争端数字签名中包含了鉴别的功能，可防止–伪造、篡改信息–冒用别人名义发送信息–发出（收到）信件后又加以否认电子和数字签名的立法很多国家都已经或即将制订有关数字签名方面的立法以推动电子商务的进行。这些立法可分为以下三类：–限制立法模式：将电子与数字签名的范围限制得很窄，可能仅仅包括诸如政府通信、出生l死亡证书、医药记录和选民登记。这是一种可扩展模式。很多已经制定了这类法律的国家正在考虑制订其他两种法律模式。–全面立法模式：使电子和数字签名适用于所有通信的规则，它至少包括以下内容：管理CA、规定CA及其用户各自的责任、发布授权和责任条款；从技术层面规定了数字签名的法律效应、调解有关纷争、建立全国性的CA管理局并规定每个成员的义务。此类法律中最为著名的是美国的Uath数字签名法和德国的SigG/SigV法。–最小化立法模式：也适用于所有的通信。但它是与技术无关的，只是规定了电于签名与电子记录的法律效应。1997年经过最后修订被公布的麻省电于记录与签名条例就是这方面的例子。至于以上三种模式中哪种最适合电子商务及相关应用的需要，还需要时间的检验。