《现代密码学》课件第7章.ppt
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 现代密码学 现代 密码学 课件
- 资源描述:
-
1、第7章 数字签名与签密 7.1 数字签名的基本概念 7.2 标准化的数字签名方案 7.3 代理签名 7.4 群签名 7.5 签密 7.6 广义签密 第第7章章 数字签名与签密数字签名与签密 第7章 数字签名与签密 7.1.1 数字签名的定义数字签名的定义1 基本描述基本描述数字签名也叫签名、数字签字、签字、数位签字。在密码学的不同场合中它有不同含义,可表示一种密码体制(Digital Signature),也可表示一种密码操作(Sign),还可表示签名操作所生成的数据(Signature)。标准的数字签名是一个两方协议,由签名者(发送者)和验证者(接收者)两方参与。签名者用自己的私钥对一则给定
2、消息签名,然后将签名连同消息发送给验证者,验证者通过公开的方式获得签名者的公钥,对所收到的签名和消息进行验证。在发生争执时,可以由一个公正的(可信的)第三方出面,通过双方认可的方式对签名的有效性进行仲裁。通常签名者是一个特定的用户,验证者往往是任意的用户,但在一些特殊签名方案中,验证者也是特定的用户,仲裁者一般是任意的用户。第7章 数字签名与签密 2 形式化的定义形式化的定义对于数字签名的定义,有各种各样的表达,但其实质是相同的。以下给出几种关于数字签名的定义。定义定义7-1 签名方案=(Gen,SIG,VER)由三个算法组成:密钥生成算法Gen为用户U产生密钥对,(SDKU,VEKU)Gen
3、(U,T)。其中,T为安全参数;SDK为私钥;VEK为公钥。签名算法SIG为概率算法,对于消息mM,sSIG(m,SDKS),sS为数字签名。其中,M为消息空间;S为签名空间。第7章 数字签名与签密 验证算法VER为确定算法,对于数字签名s和消息m,TVER(s,m,VEKS)。其中,表示验证失败;T表示接受签名。定义定义7-2 数字签名方案包括三个主要过程:系统的初始化过程、签名产生过程和签名验证过程。第7章 数字签名与签密 1.系统的初始化过程系统的初始化过程此过程产生签名方案的基本参数(M,S,K,SIG,VER)。其中,M是消息集合;S是签名集合;K是密钥(公钥和私钥)集合;SIG是签
4、名算法集合;VER是签名验证算法集合。2.签名产生过程签名产生过程 对于密钥集合K,相应的签名算法为sigkSIG,sigk:MS,对任意的消息mM,有s=sigk(m),从而sS为消息m的数字签名。此过程将(s,m)传送给签名验证者。3.签名验证过程签名验证过程 对于密钥集合K,存在签名验证算法verk:MSTrue,False,verk(x,y)=True当且仅当y=sigk(x),否则verk(x,y)=False。第7章 数字签名与签密 7.1.2 对数字签名的攻击对数字签名的攻击要对一种密码体制的安全性进行分析,首先要明确“要保护什么,要防止什么”。对于数字签名来说,消息本身是公开的
5、,机密性对于攻击者来说是没有意义的,攻击者的目标就是要成功伪造(forge)合法的签名。所谓合法的签名,就是能够通过验证,并被签名验证者能够接受的签名。以下给出对数字签名的几种不同程度的攻击:(1)完全攻击(total break):攻击者能够通过计算获得签名者的私钥,或者能够得到一个等价于合法签名算法的伪造签名算法。也就是说,攻击者对任意的消息均能伪造出合法签名。第7章 数字签名与签密(2)选择性伪造攻击(selective forgery):攻击者能够对事先选定的一则消息或一组消息伪造出合法的签名。(3)存在性伪造攻击(existential forgery):攻击者能够对至少一则消息伪造
6、出合法签名,而无法对任意选择的消息伪造签名。第7章 数字签名与签密 从攻击的途径来看,类似于对加密系统的攻击,攻击者可以有两种不同类型的攻击:(1)唯密钥攻击(key-only attacks):攻击者在仅知道签名者公钥的情况下,对一个数字签名系统进行攻击。(2)消息攻击(message attacks):攻击者在获得并分析与已知或选定消息相关的签名之后,对数字签名系统进行攻击。根据攻击者所获得消息的程度不同,消息攻击可以进一步分为如下三类:(a)已知消息攻击(known-message attack):攻击者能够获得对一组已知消息的签名,但消息并不能由攻击者自己选择。第7章 数字签名与签密(
7、b)选择消息攻击(chosen-message attack):攻击者在伪造签名之前,能够获得对一组给定消息的合法签名。消息是在产生签名之前就已经选定的,因此这种攻击是非适应性的。(c)适应性选择消息攻击(adaptive chosen-message attack):签名者为攻击者提供预言机服务,攻击者可以询问与签名者公钥和事先已获得的签名或消息相关的签名。第7章 数字签名与签密 7.1.3 数字签名的安全性数字签名的安全性1 基本的安全属性基本的安全属性对于数字签名来说,最重要的安全性为不可伪造性。通常从数字签名的应用场合出发来考虑,如果数字签名能够实现身份认证和完整性验证的功能,那么应该
8、具备以下两个安全属性:(1)不可伪造性(Unforgeability):适应性攻击者(adaptive attacker)想要冒充签名者生成一组合法签名在计算上是不可行的。第7章 数字签名与签密(2)不可否认性(Non-repudiation):一个签名者想要否认他所产生的签名是不可行的,可以由一个可信的第三方来进行仲裁。这两个安全属性往往是相关的。可以这样认为,如果一个数字签名体制是不可伪造的,那么合法的签名只能由合法的签名者产生,因而签名者无法否认这则签名。因此,在很多情况下,讨论数字签名方案的安全性时只关注不可伪造性。常常认为,如果一个数字签名是不可伪造的,那么这个签名方案就是安全的。但
展开阅读全文