數(shù)據(jù)完整性與數(shù)字簽名.ppt
《數(shù)據(jù)完整性與數(shù)字簽名.ppt》由會(huì)員分享,可在線閱讀,更多相關(guān)《數(shù)據(jù)完整性與數(shù)字簽名.ppt(74頁(yè)珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。
1,第三章數(shù)據(jù)完整性與數(shù)字簽名,3.1消息認(rèn)證與認(rèn)證系統(tǒng)3.2消息鑒別碼3.3散列函數(shù)3.4數(shù)字簽名3.5數(shù)字簽名算法,2,消息認(rèn)證是一個(gè)過(guò)程,用于驗(yàn)證接收消息的真實(shí)性和完整性,同時(shí)還用于驗(yàn)證消息的順序性和時(shí)間性(未重排、重放、延時(shí))。消息認(rèn)證機(jī)制和數(shù)字簽名機(jī)制都有一個(gè)產(chǎn)生認(rèn)證符的基本功能,認(rèn)證符是用于認(rèn)證消息的數(shù)值。產(chǎn)生的方法分為消息加密,消息認(rèn)證碼,散列函數(shù)。,3.1消息認(rèn)證與認(rèn)證系統(tǒng),3,網(wǎng)絡(luò)通信的攻擊威脅,泄露:把消息內(nèi)容發(fā)布給任何人或沒(méi)有合法密鑰的進(jìn)程流量分析:發(fā)現(xiàn)通信雙方之間信息流的結(jié)構(gòu)模式,可以用來(lái)確定連接的頻率、持續(xù)時(shí)間長(zhǎng)度;還可以發(fā)現(xiàn)報(bào)文數(shù)量和長(zhǎng)度等偽裝:從一個(gè)假冒信息源向網(wǎng)絡(luò)中插入消息內(nèi)容篡改:消息內(nèi)容被插入、刪除、變換、修改順序修改:插入、刪除或重組消息序列時(shí)間修改:消息延遲或重放否認(rèn):接受者否認(rèn)收到消息;發(fā)送者否認(rèn)發(fā)送過(guò)消息,4,鑒別和認(rèn)證,鑒別:authentication真?zhèn)涡?1)用來(lái)驗(yàn)證發(fā)送的數(shù)據(jù),特別是一個(gè)信息的完整性的過(guò)程(2)在用戶開(kāi)始使用系統(tǒng)時(shí)對(duì)其身份進(jìn)行的確認(rèn)認(rèn)證:Certification資格審查計(jì)算安全學(xué)用語(yǔ),指為了鑒定一個(gè)計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)的設(shè)計(jì)和它提供的手段在多大程度上能滿足預(yù)定的安全要求而進(jìn)行的技術(shù)評(píng)估,5,鑒別的結(jié)構(gòu),任何消息認(rèn)證或數(shù)字簽名機(jī)制可以看到兩個(gè)層次:底層必須有某種函數(shù)產(chǎn)生一個(gè)認(rèn)證標(biāo)識(shí):一個(gè)用于認(rèn)證一個(gè)報(bào)文的值高層認(rèn)證協(xié)議以底層函數(shù)為原語(yǔ),使接收者完成報(bào)文的鑒別,6,鑒別的目的,信源識(shí)別:驗(yàn)證信息的發(fā)送者是真正的,而不是冒充的驗(yàn)證信息的完整性,在傳送或存儲(chǔ)過(guò)程中未被篡改,重放或延遲等,7,鑒別模型,8,鑒別系統(tǒng)的組成,鑒別編碼器和鑒別譯碼器可抽象為鑒別函數(shù)一個(gè)安全的鑒別系統(tǒng),需滿足(1)指定的接收者能夠檢驗(yàn)和證實(shí)消息的合法性、真實(shí)性和完整性(2)消息的發(fā)送者和接收者不能抵賴(lài)(3)除了合法的消息發(fā)送者,其它人不能偽造合法的消息,9,鑒別函數(shù)分類(lèi),消息加密:整個(gè)消息的密文作為認(rèn)證標(biāo)識(shí)消息鑒別碼(MAC):公開(kāi)函數(shù)+密鑰產(chǎn)生一個(gè)固定長(zhǎng)度的值作為認(rèn)證標(biāo)識(shí)散列函數(shù):一個(gè)公開(kāi)函數(shù)將任意長(zhǎng)度的消息映射到一個(gè)固定長(zhǎng)度的哈希值,作為認(rèn)證標(biāo)識(shí),10,消息加密,11,對(duì)稱(chēng)加密-保密和鑒別,A,B,12,對(duì)稱(chēng)加密-保密和鑒別,13,公鑰加密-保密性,A,B,14,公鑰加密-鑒別和簽名,A,B,15,公鑰加密-保密、鑒別和簽名,A,B,16,消息鑒別碼MAC,17,消息鑒別碼,使用一個(gè)密鑰生成一個(gè)固定大小的小數(shù)據(jù)塊,并加入到消息中,稱(chēng)MAC,或密碼校驗(yàn)和(cryptographicchecksum)1、接收者可以確信消息M未被改變2、接收者可以確信消息來(lái)自所聲稱(chēng)的發(fā)送者3、如果消息中包含順序碼,則接收者可以保證消息的正常順序MAC函數(shù)類(lèi)似于加密函數(shù),但不需要可逆性。因此在數(shù)學(xué)上比加密算法被攻擊的弱點(diǎn)要少,18,消息鑒別,A,B,||,19,消息鑒別與保密,鑒別與明文連接,A,B,||,20,消息鑒別VS常規(guī)加密,保密性與真實(shí)性是兩個(gè)不同的概念根本上,信息加密提供的是保密性而非真實(shí)性加密代價(jià)大(公鑰算法代價(jià)更大)鑒別函數(shù)與保密函數(shù)的分離能提供功能上的靈活性某些信息只需要真實(shí)性,不需要保密性–廣播的信息難以使用加密(信息量大)–網(wǎng)絡(luò)管理信息等只需要真實(shí)性–政府/權(quán)威部門(mén)的公告,21,散列函數(shù)HashFunction,22,散列函數(shù),H(M):輸入為任意長(zhǎng)度的消息M;輸出為一個(gè)固定長(zhǎng)度的散列值,稱(chēng)為消息摘要(MessageDigest)H(M)是消息M的所有位的函數(shù)并提供錯(cuò)誤檢測(cè)能力:消息中的任何一位或多位的變化都將導(dǎo)致該散列值的變化H(M)又稱(chēng)為:哈希函數(shù)、數(shù)字指紋(Digitalfingerprint)、壓縮(Compression)函數(shù)、數(shù)據(jù)鑒別碼(Dataauthenticationcode)等,23,散列函數(shù)基本用法,||,24,散列函數(shù)基本用法,25,散列函數(shù)基本用法,||,26,3.2消息鑒別碼MAC,27,M,K,MAC,函數(shù)域:任意長(zhǎng)度的報(bào)文值域:所有可能的MAC和所有可能的密鑰MAC一般為多對(duì)一函數(shù),28,MAC應(yīng)具備的性質(zhì),如果一個(gè)攻擊者得到M和CK(M),則攻擊者構(gòu)造一個(gè)消息M’使得CK(M’)=CK(M)應(yīng)具有計(jì)算復(fù)雜性意義下的不可行性CK(M)應(yīng)均勻分布,即:隨機(jī)選擇消息M和M’,CK(M)=CK(M’)的概率是2-n,其中n是MAC的位數(shù)令M’為M的某些變換,即:M’=f(M),(例如:f可以涉及M中一個(gè)或多個(gè)給定位的反轉(zhuǎn)),在這種情況下,Pr[CK(M)=CK(M’)]=2-n,29,基于DES的報(bào)文鑒別碼,30,基于DES的報(bào)文鑒別碼,算法來(lái)源FIPSpublication(FIPSPUB113)ANSIstandard(X9.17)使用CBC(CipherBlockChaining)方式,初始向量為IV=0,31,基于DES的報(bào)文鑒別碼,將數(shù)據(jù)按64位分組,D1,D2,…,DN,必要時(shí)最后一個(gè)數(shù)據(jù)塊用0向右填充運(yùn)用DES算法E,密鑰K數(shù)據(jù)認(rèn)證碼(DAC)的計(jì)算如下:O1=EK(D1)O2=EK(D2?O1)O3=EK(D3?O2)…ON=EK(DN?ON-1),32,FIPSPUB113,,33,3.3散列函數(shù),34,散列函數(shù)的定義,散列函數(shù):M:變長(zhǎng)報(bào)文H(M):定長(zhǎng)的散列值主要用于為文件、報(bào)文或其它分組數(shù)據(jù)產(chǎn)生指紋,35,散列函數(shù)的要求,H能用于任意大小的分組H能產(chǎn)生定長(zhǎng)的輸出對(duì)任何給定的x,H(x)要相對(duì)易于計(jì)算,使得硬件和軟件實(shí)現(xiàn)成為實(shí)際可能對(duì)任何給定的碼h,尋找x使得H(x)=h在計(jì)算上是不可行的,即單向性對(duì)任何給定的分組x,尋找不等于x的y,使得H(x)=H(y)在計(jì)算上是不可行的,即弱抗沖突性尋找對(duì)任何的(x,y)對(duì)使得H(x)=H(y)在計(jì)算上是不可行的,即強(qiáng)抗沖突性,36,HashvsMAC,MAC需要對(duì)全部數(shù)據(jù)進(jìn)行加密MAC速度慢Hash是一種直接產(chǎn)生鑒別碼的方法,37,Hash函數(shù)通用結(jié)構(gòu),由RonRivest于1990年提出MD4幾乎被所有hash函數(shù)使用具體做法:–把原始消息M分成一些固定長(zhǎng)度的塊Yi–最后一塊padding并使其包含消息M長(zhǎng)度–設(shè)定初始值CV0–壓縮函數(shù)f,CVi=f(CVi-1,Yi-1)–最后一個(gè)CVi為hash值,38,39,MD5,40,MD5描述,Merkle于1989年提出hashfunction模型RonRivest于1990年提出MD41992年,RonRivest完成MD5(RFC1321)在最近數(shù)年之前,MD5是最主要的hash算法現(xiàn)行美國(guó)標(biāo)準(zhǔn)SHA-1以MD5的前身MD4為基礎(chǔ),41,MD5描述,輸入:任意長(zhǎng)度的報(bào)文輸入分組長(zhǎng)度:512bit輸出:128bit報(bào)文,42,43,MD5描述-step1,附加長(zhǎng)度值對(duì)報(bào)文進(jìn)行填充,使其比特?cái)?shù)與448模512同余,即填充長(zhǎng)度為512的整數(shù)倍減去64填充方法:填充比特串的最高位為1,其余各位均為0,44,MD5描述-step2,附加長(zhǎng)度值|M2|為512的倍數(shù):Y0,Y1,…,YL-1,45,MD5描述-step3,初始化MD緩存MD為128bit,用于存放散列函數(shù)的中間及最終結(jié)果MD可表示為4個(gè)32bit的寄存器(A,B,C,D),初始化如下:A=0 x01234567,B=0 x89ABCDEF,C=0 xFEDCBA98,D=0 x76543210。,46,MD5描述-step4,47,單個(gè)512bit分組的MD5處理過(guò)程(MD5壓縮函數(shù)),,,48,每步操作形式,49,,50,單個(gè)512bit分組的MD5處理過(guò)程(MD5壓縮函數(shù)),,Yq經(jīng)過(guò)四輪的處理,每一輪經(jīng)過(guò)16次迭代,每次迭代加上報(bào)文分組的第i個(gè)32位的字。在不同的輪,使用報(bào)文的分組順序是不同的,,51,MD5的安全性,Berson表明,對(duì)單循環(huán)MD5,使用不用的密碼分析可能在合理的時(shí)間內(nèi)找出能夠產(chǎn)生相同摘要的兩個(gè)報(bào)文,這個(gè)結(jié)果被證明對(duì)四個(gè)循環(huán)中的任意一個(gè)循環(huán)也成立,但作者沒(méi)有能夠提出如何攻擊包含全部4個(gè)循環(huán)MD5的攻擊Boer和Bosselaers顯示了即使緩存ABCD不同,MD5對(duì)單個(gè)512bit分組的執(zhí)行將得到相同的輸出(偽沖突)Dobbertin的攻擊技術(shù):使MD5的壓縮函數(shù)產(chǎn)生沖突,即尋找MD5被認(rèn)為是易受攻擊的,逐漸被SHA-1和RIPEMD-160替代,52,其它常用Hash算法,SHA-1,RIPEMD-160,HMAC,53,Hash小結(jié),Hash函數(shù)把變長(zhǎng)信息映射到定長(zhǎng)信息Hash函數(shù)不具備可逆性Hash函數(shù)速度較快Hash函數(shù)與對(duì)稱(chēng)密鑰加密算法有某種相似性對(duì)Hash函數(shù)的密碼分析比對(duì)稱(chēng)密鑰密碼更困難Hash函數(shù)可用于消息摘要Hash函數(shù)可用于數(shù)字簽名,54,3.4數(shù)字簽名,傳統(tǒng)簽名的基本特點(diǎn)能與被簽的文件在物理上不可分割簽名者不能否認(rèn)自己的簽名簽名不能被偽造容易被驗(yàn)證數(shù)字簽名是傳統(tǒng)簽名的數(shù)字化能與所簽文件“綁定”簽名者不能否認(rèn)自己的簽名容易被自動(dòng)驗(yàn)證簽名不能被偽造,55,數(shù)字簽名的性質(zhì),必須能夠驗(yàn)證作者及其簽名的日期時(shí)間必須能夠認(rèn)證簽名時(shí)刻的內(nèi)容簽名必須能夠由第三方驗(yàn)證,以解決爭(zhēng)議,56,數(shù)字簽名的設(shè)計(jì)要求,簽名必須是依賴(lài)于被簽名信息的一個(gè)位串模板簽名必須使用某些對(duì)發(fā)送者是唯一的信息,以防止雙方的偽造與否認(rèn)必須相對(duì)容易生成該數(shù)字簽名必須相對(duì)容易識(shí)別和驗(yàn)證該數(shù)字簽名偽造該數(shù)字簽名在計(jì)算復(fù)雜性意義上具有不可行性,既包括對(duì)一個(gè)已有的數(shù)字簽名構(gòu)造新的消息,也包括對(duì)一個(gè)給定消息偽造一個(gè)數(shù)字簽名在存儲(chǔ)器中保存一個(gè)數(shù)字簽名副本是現(xiàn)實(shí)可行的,57,數(shù)字簽名分類(lèi),簽名方式直接數(shù)字簽名directdigitalsignature仲裁數(shù)字簽名arbitrateddigitalsignature安全性無(wú)條件安全的數(shù)字簽名計(jì)算上安全的數(shù)字簽名可簽名次數(shù)一次性的數(shù)字簽名多次性的數(shù)字簽名,58,直接數(shù)字簽名,59,直接數(shù)字簽名,60,直接數(shù)字簽名,61,直接數(shù)字簽名的缺點(diǎn),驗(yàn)證模式依賴(lài)于發(fā)送方的保密密鑰–發(fā)送方要抵賴(lài)發(fā)送某一消息時(shí),可能會(huì)聲稱(chēng)其私有密鑰丟失或被竊,從而他人偽造了他的簽名–通常需要采用與私有密鑰安全性相關(guān)的行政管理控制手段來(lái)制止或至少是削弱這種情況,但威脅在某種程度上依然存在–改進(jìn)的方式例如可以要求被簽名的信息包含一個(gè)時(shí)間戳(日期與時(shí)間),并要求將已暴露的密鑰報(bào)告給一個(gè)授權(quán)中心X的某些私有密鑰確實(shí)在時(shí)間T被竊取,敵方可以偽造X的簽名及早于或等于時(shí)間T的時(shí)間戳,62,仲裁數(shù)字簽名,63,仲裁數(shù)字簽名,引入仲裁者–所有從發(fā)送方X到接收方Y(jié)的簽名消息首先送到仲裁者A–A將消息及其簽名進(jìn)行一系列測(cè)試,以檢查其來(lái)源和內(nèi)容–A將消息加上日期并與已被仲裁者驗(yàn)證通過(guò)的指示一起發(fā)給Y仲裁者在這一類(lèi)簽名模式中扮演敏感和關(guān)鍵的角色–所有的參與者必須極大地相信這一仲裁機(jī)制工作正常,64,仲裁數(shù)字簽名-單密鑰加密方式1,65,仲裁數(shù)字簽名-單密鑰加密方式,66,仲裁數(shù)字簽名-單密鑰加密方式2,67,仲裁數(shù)字簽名-雙密鑰加密方式,68,仲裁數(shù)字簽名-雙密鑰加密方式,69,3.5數(shù)字簽名算法,普通數(shù)字簽名算法–EIGamal–RSA–DSS/DSA不可否認(rèn)的數(shù)字簽名算法群簽名算法盲簽名算法,70,數(shù)字簽名算法DSA,71,DSA,q,72,DSA,73,DSA,s,M,H,||,M,H,,,比較,,Sig,,Ver,,,k,,,,,,PKG,SKA,,,r,,,,,,,,,,,,,PKG,PKA,DSA簽字,K為隨機(jī)數(shù),Sig為簽字算法,Ver為驗(yàn)證算法;PKG全局公鑰,74,DSA分析,基于離散對(duì)數(shù)的難度,對(duì)手通過(guò)r恢復(fù)k,或通過(guò)s恢復(fù)x都很難簽名產(chǎn)生的計(jì)算任務(wù)僅是計(jì)算另一個(gè)需要完成的工作只是確定逆元,- 1.請(qǐng)仔細(xì)閱讀文檔,確保文檔完整性,對(duì)于不預(yù)覽、不比對(duì)內(nèi)容而直接下載帶來(lái)的問(wèn)題本站不予受理。
- 2.下載的文檔,不會(huì)出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請(qǐng)點(diǎn)此認(rèn)領(lǐng)!既往收益都?xì)w您。
下載文檔到電腦,查找使用更方便
14.9 積分
下載 |
- 配套講稿:
如PPT文件的首頁(yè)顯示word圖標(biāo),表示該P(yáng)PT已包含配套word講稿。雙擊word圖標(biāo)可打開(kāi)word文檔。
- 特殊限制:
部分文檔作品中含有的國(guó)旗、國(guó)徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計(jì)者僅對(duì)作品中獨(dú)創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- 數(shù)據(jù) 完整性 數(shù)字簽名
鏈接地址:http://www.3dchina-expo.com/p-12866423.html