密碼學基礎介紹

1、密碼學基礎介紹目目 錄錄消息鑒別與散列函數(shù)消息鑒別與散列函數(shù)散列算法散列算法1.數(shù)字簽名數(shù)字簽名 網(wǎng)絡通信的攻擊威網(wǎng)絡通信的攻擊威脅脅泄露：把消息內容發(fā)布給任何人或沒有合法密鑰的進程泄露：把消息內容發(fā)布給任何人或沒有合法密鑰的進程流量分析：發(fā)現(xiàn)通信雙方之間信息流的結構模式，可以用來確流量分析：發(fā)現(xiàn)通信雙方之間信息流的結構模式，可以用來確定連接的頻率、持續(xù)時間長度；還可以發(fā)現(xiàn)報文數(shù)量和長度等定連接的頻率、持續(xù)時間長度；還可以發(fā)現(xiàn)報文數(shù)量和長度等偽裝：從一個假冒信息源向網(wǎng)絡中插入消息偽裝：從一個假冒信息源向網(wǎng)絡中插入消息內容篡改：消息內容被插入、刪除、變換、修改內容篡改：消息內容被插入、刪除、變換

2、、修改順序修改：插入、刪除或重組消息序列順序修改：插入、刪除或重組消息序列時間修改：消息延遲或重放時間修改：消息延遲或重放否認：接受者否認收到消息；發(fā)送者否認發(fā)送過消息否認：接受者否認收到消息；發(fā)送者否認發(fā)送過消息鑒別和認證鑒別和認證鑒別：鑒別：authentication 真?zhèn)涡哉鎮(zhèn)涡?(1) A process used to verify the integrity of transmitted data, especially a message 用來驗證發(fā)送的數(shù)據(jù),特別是一個信息的完整性的過程 (2) The act of establishing the identity of u

3、sers when they start to use the system 在用戶開始使用系統(tǒng)時對其身份進行的確認認證：認證：Certification 資格審查資格審查 In computer security, the technical evaluation made as part of and in support of the accreditation process, that established the extent to which a particular computer system or network design and implementation me

4、et prespecified security requirements 計算安全學用語,指為了鑒定一個計算機系統(tǒng)或網(wǎng)絡的設計和它提供的手段在多大程度上能滿足預定的安全要求而進行的技術評估鑒別的結構鑒別的結構任何消息認證或數(shù)字簽名機制可以看到兩個層次：任何消息認證或數(shù)字簽名機制可以看到兩個層次：底層必須有某種函數(shù)產(chǎn)生一個認證標識：一個用底層必須有某種函數(shù)產(chǎn)生一個認證標識：一個用于認證一個報文的值于認證一個報文的值高層認證協(xié)議以底層函數(shù)為原語，使接收者完成高層認證協(xié)議以底層函數(shù)為原語，使接收者完成報文的鑒別報文的鑒別鑒別的目的鑒別的目的信源識別：驗證信息的發(fā)送者是真正的，而不是信源識別：驗證信

5、息的發(fā)送者是真正的，而不是冒充的冒充的驗證信息的完整性，在傳送或存儲過程中未被篡驗證信息的完整性，在傳送或存儲過程中未被篡改，重放或延遲等改，重放或延遲等鑒別模型鑒別模型鑒別系統(tǒng)的組成鑒別系統(tǒng)的組成鑒別編碼器和鑒別譯碼器可抽象為鑒別函數(shù)鑒別編碼器和鑒別譯碼器可抽象為鑒別函數(shù)一個安全的鑒別系統(tǒng)，需滿足一個安全的鑒別系統(tǒng)，需滿足（1）指定的接收者能夠檢驗和證實消息的合法性、真實性和完）指定的接收者能夠檢驗和證實消息的合法性、真實性和完整性整性（2）消息的發(fā)送者和接收者不能抵賴）消息的發(fā)送者和接收者不能抵賴（3）除了合法的消息發(fā)送者，其它人不能偽造合法的消息）除了合法的消息發(fā)送者，其它人不能偽造合法

6、的消息鑒別函數(shù)分類鑒別函數(shù)分類消息加密：整個消息的密文作為認證標識消息加密：整個消息的密文作為認證標識消息鑒別碼消息鑒別碼(MAC)：公開函數(shù)：公開函數(shù)+密鑰產(chǎn)生一個固密鑰產(chǎn)生一個固定長度的值作為認證標識定長度的值作為認證標識散列函數(shù)：一個公開函數(shù)將任意長度的消息映射散列函數(shù)：一個公開函數(shù)將任意長度的消息映射到一個固定長度的哈希值，作為認證標識到一個固定長度的哈希值，作為認證標識鑒別函數(shù)分類鑒別函數(shù)分類消息加密：整個消息的密文作為認證標識消息加密：整個消息的密文作為認證標識消息鑒別碼消息鑒別碼(MAC)：公開函數(shù)：公開函數(shù)+密鑰產(chǎn)生一個固密鑰產(chǎn)生一個固定長度的值作為認證標識定長度的值作為認證標

7、識散列函數(shù)：一個公開函數(shù)將任意長度的消息映射散列函數(shù)：一個公開函數(shù)將任意長度的消息映射到一個固定長度的哈希值，作為認證標識到一個固定長度的哈希值，作為認證標識消息加密消息加密對稱加密保密和鑒別對稱加密保密和鑒別AB:():()kkABkA E MBB D MM與 共享密鑰，查看是否為有意義的明文對稱加密保密和鑒別對稱加密保密和鑒別A 提 供 保 密 僅 A 和 B 共 享 k 提 供 一 定 程 度 的 鑒 別 僅 來 自 傳 輸 中 不 會 被 更 改 需 要 某 種 結 構 和 冗 余 不 提 供 簽 名 接 收 人 可 以 偽 造 報 文 發(fā) 送 人 可 以 偽 造 報 文明文明文M的自

8、動確定的自動確定M定義為有意義的明文序列，便于自動識別定義為有意義的明文序列，便于自動識別強制定義明文的某種結構，這種結構是易于識別但又強制定義明文的某種結構，這種結構是易于識別但又不能復制且無需借助加密的不能復制且無需借助加密的可以在加密前對每個報文附加檢錯碼，即所謂的幀檢可以在加密前對每個報文附加檢錯碼，即所謂的幀檢驗序列號或檢驗和驗序列號或檢驗和FCS內部差錯控制和外部差錯控制內部差錯控制和外部差錯控制差錯控制差錯控制更難于構造更難于構造公鑰加密保密性公鑰加密保密性ABbKUb 提供保密 僅B有KR 能解密 不提供鑒別 任何一方均可以使用加密報文而假稱它是發(fā)自A的公鑰加密鑒別和簽名公鑰加

9、密鑒別和簽名ABaAa 提 供 鑒 別 和 簽 名 僅有 KR 可 進 行 加 密 傳 輸 中 不 會 被 更 改 需 要 某 種 結 構 或 冗 余 任 何 一 方 均 能 使 用 KU 驗 證 簽 名公鑰加密保密、鑒別和簽名公鑰加密保密、鑒別和簽名ABab KR 提供鑒別和簽名 KU 可提供保密性消息鑒別碼消息鑒別碼MAC消息鑒別碼消息鑒別碼使用一個密鑰生成一個固定大小的小數(shù)據(jù)塊，并加入到消息中，使用一個密鑰生成一個固定大小的小數(shù)據(jù)塊，并加入到消息中，稱稱MAC， 或密碼校驗和（或密碼校驗和（cryptographic checksum） 1、接收者可以確信消息接收者可以確信消息M未被改變

10、未被改變 2、接收者可以確信消息來自所聲稱的發(fā)送者、接收者可以確信消息來自所聲稱的發(fā)送者 3、如果消息中包含順序碼（如、如果消息中包含順序碼（如HDLC,X.25,TCP），則接收者），則接收者可以保證消息的正常順序可以保證消息的正常順序MACMAC函數(shù)類似于加密函數(shù)，但不需要可逆性。因此在數(shù)學上比函數(shù)類似于加密函數(shù)，但不需要可逆性。因此在數(shù)學上比加密算法被攻擊的弱點要少加密算法被攻擊的弱點要少消息鑒別消息鑒別ABkkMACC (M) kABMAB:MC (M)；為和 共享的密鑰，為明文 提供鑒別 僅A和B共享密鑰k 消息鑒別與保密，鑒別與明文連接消息鑒別與保密，鑒別與明文連接ABk 2k 1

11、AB : E MC( M ) 12 提 供 鑒 別 僅 A 和 B 共 享 密 鑰 k 提 供 保 密 僅 A 和 B 共 享 密 鑰 k 消息鑒別與保密，鑒別與密文連接消息鑒別與保密，鑒別與密文連接ABk 2k 1k 2AB :EMC(E(M )12 提 供 鑒 別 僅 A 和 B 共 享 密 鑰 k 提 供 保 密 僅 A 和 B 共 享 密 鑰 k 消息鑒別消息鑒別 VS 常規(guī)加密常規(guī)加密保密性與真實性是兩個不同的概念保密性與真實性是兩個不同的概念根本上根本上,信息加密提供的是保密性而非真實性信息加密提供的是保密性而非真實性加密代價大加密代價大(公鑰算法代價更大公鑰算法代價更大)鑒別函數(shù)

12、與保密函數(shù)的分離能提供功能上的靈活性鑒別函數(shù)與保密函數(shù)的分離能提供功能上的靈活性某些信息只需要真實性某些信息只需要真實性,不需要保密性不需要保密性 廣播的信息難以使用加密廣播的信息難以使用加密(信息量大信息量大) 網(wǎng)絡管理信息等只需要真實性網(wǎng)絡管理信息等只需要真實性 政府政府/權威部門的公告權威部門的公告散列函數(shù)散列函數(shù)Hash Function散列函數(shù)散列函數(shù)H(M): 輸入為任意長度的消息輸入為任意長度的消息M; 輸出為一個固定長度輸出為一個固定長度的散列值，稱為消息摘要的散列值，稱為消息摘要( (MessageDigest）H(M)是消息是消息M的所有位的函數(shù)并提供錯誤檢測能力：的所有位

13、的函數(shù)并提供錯誤檢測能力：消息中的任何一位或多位的變化都將導致該散列值的消息中的任何一位或多位的變化都將導致該散列值的變化變化H(M)又稱為：哈希函數(shù)、數(shù)字指紋（又稱為：哈希函數(shù)、數(shù)字指紋（Digital finger print)、壓縮（、壓縮（Compression)函數(shù)、數(shù)據(jù)鑒別碼函數(shù)、數(shù)據(jù)鑒別碼（Dataauthentication code）等）等散列函數(shù)基本用法散列函數(shù)基本用法(1)kAB :EMH (M ) 提 供 鑒 別 加 密 保 護 H ( M ) 提 供 保 密 僅 A 和 B 共 享 密 鑰 k 散列函數(shù)基本用法散列函數(shù)基本用法(2)kAB:ME H(M) 提供鑒別 加

14、密保護H(M)散列函數(shù)基本用法散列函數(shù)基本用法(3)aKR 提供鑒別和數(shù)字簽名 加密保護H(M) 僅A能生成E H(M)散列函數(shù)基本用法散列函數(shù)基本用法(4)akKRAB:E MEH(M ) 提 供 鑒 別 和 數(shù) 字 簽 名 提 供 保 密 僅 A和 B共 享 密 鑰 k 散列函數(shù)基本用法散列函數(shù)基本用法(5)AB: MH(MS) 提供鑒別 僅A和B共享消息S 散列函數(shù)基本用法散列函數(shù)基本用法(6)kAB : EMH (MS ) 提 供 鑒 別 僅 A 和 B 共 享 S 提 供 保 密 僅 A 和 B 共 享 密 鑰 k 消息鑒別碼消息鑒別碼MACMKMAC函數(shù)域：任意長度的報文函數(shù)域：任

15、意長度的報文值域：所有可能的值域：所有可能的MAC和所有可能的密鑰和所有可能的密鑰MAC一般為多對一函數(shù)一般為多對一函數(shù)函數(shù)域：任意長度的報文函數(shù)域：任意長度的報文值域：所有可能的值域：所有可能的MAC和所有可能的密鑰和所有可能的密鑰假設假設假設攻擊者使用強行攻擊，且已經(jīng)獲得報文的明文和相應的假設攻擊者使用強行攻擊，且已經(jīng)獲得報文的明文和相應的MAC,MAC,即即 222nnkMACnMACNNk長度為 比特個可能的個報文，其中密鑰的長度為個可能的密鑰對對MAC的強行攻擊的強行攻擊11(,)M MAC假設假設假設攻擊者已經(jīng)獲得報文的明文和相應的假設攻擊者已經(jīng)獲得報文的明文和相應的MAC,MAC

16、,即即 假設假設 222nnkMACnMACNNk長度為 比特個可能的個報文，其中密鑰的長度為個可能的密鑰對對MAC的強行攻擊的強行攻擊11(,)M MACkn對對MAC的強行攻擊的強行攻擊11111,()(),ikkMMACCMMACCMk(k-n)第1輪 給定： for i=1 to 2 : 試探 匹配數(shù)2無法確定真正的密鑰k22222,()(),ikkMMACCMMACCM(k-n)(k-2 n)第2輪 給定： for i=1 to 2: 試探 匹配數(shù)2無法確定真正的密鑰kka na 若，則需要進行 輪，比尋找等長度的解密密鑰強度還高對對MAC的強行攻擊的強行攻擊如果如果 knkn，則第

17、一輪就可以產(chǎn)生一個唯一對應。仍然可，則第一輪就可以產(chǎn)生一個唯一對應。仍然可以有多于一個以有多于一個keykey產(chǎn)生這一配對，這時攻擊者只需對一個新產(chǎn)生這一配對，這時攻擊者只需對一個新的的(message, MAC)(message, MAC)進行相同的測試進行相同的測試由此可見，強力攻擊企圖發(fā)現(xiàn)由此可見，強力攻擊企圖發(fā)現(xiàn)authentication keyauthentication key不小于不小于甚至大于對同樣長度的解密甚至大于對同樣長度的解密keykey的攻擊的攻擊對對MAC的其它攻擊的其它攻擊設設M = (X1 | X2 | | Xm) 是一個由是一個由64位位Xi數(shù)據(jù)塊連接而成數(shù)據(jù)

18、塊連接而成 定義定義 (M) = X1 X2 . Xm CK(M) = EK (M) 其中其中 為異或操作；為異或操作；E為為 ECB工作模式的工作模式的DES算法算法則則Key length = 56 bitMAC length = 64 bit強力攻擊需要至少強力攻擊需要至少256次加密來決定次加密來決定K對對MAC的其它攻擊的其它攻擊設設M = ( Y1 | Y2 | | Ym-1 | Ym) 其中其中 Y1, Y2, , Ym-1是替換是替換 X1, X2,Xm-1的任意值，而的任意值，而 Ym = Y1 Y2 , , Ym-1 (M) 則則 CK(M) = EK (M) = EKY1

19、 Y2 , , Ym-1 Ym = EKY1 Y2 , , Ym-1 (Y1 Y2 , , Ym-1 (M) = EK (M)這時消息這時消息M 和和 MAC= CK(M) = EK (M)是一對可被接收者認證的消息是一對可被接收者認證的消息用此方法，任何長度為用此方法，任何長度為64 (m-1)位的消息可以被插入任意的欺騙性位的消息可以被插入任意的欺騙性信息信息MAC應具備的性質應具備的性質 如果一個攻擊者得到如果一個攻擊者得到M和和CK(M)，則攻擊者構造一個消息，則攻擊者構造一個消息M使使得得CK(M)=CK(M)應具有計算復雜性意義下的不可行性應具有計算復雜性意義下的不可行性 CK(M

20、)應均勻分布，即：隨機選擇消息應均勻分布，即：隨機選擇消息M和和M， CK(M)= CK(M)的概率是的概率是2-n，其中，其中n是是MAC的位數(shù)的位數(shù) 令令M為為M的某些變換，即：的某些變換，即：M=f(M)，（例如：，（例如：f可以涉及可以涉及M中中一個或多個給定位的反轉），在這種情況下，一個或多個給定位的反轉），在這種情況下，PrCK(M)= CK(M) = 2-n基于基于DES的報文鑒別碼的報文鑒別碼基于基于DES的報文鑒別碼的報文鑒別碼算法來源算法來源FIPS publication (FIPS PUB 113)ANSI standard (X9.17)使用使用CBC(Cipher

21、Block Chaining)方式，初始向方式，初始向量為量為IV=0基于基于DES的報文鑒別碼的報文鑒別碼算法來源算法來源FIPS publication (FIPS PUB 113)ANSI standard (X9.17)使用使用CBC(Cipher Block Chaining)方式，初始向方式，初始向量為量為IV=0基于基于DES的報文鑒別碼的報文鑒別碼將數(shù)據(jù)按將數(shù)據(jù)按64位分組，位分組，D1, D2, , DN，必要時最后一個數(shù)據(jù)塊用，必要時最后一個數(shù)據(jù)塊用0向右填向右填充充運用運用DES算法算法E，密鑰，密鑰K數(shù)據(jù)認證碼數(shù)據(jù)認證碼(DAC)的計算如下：的計算如下：O1 = EK(

22、D1)O2 = EK(D2O1)O3 = EK(D3O2)ON = EK(DNON-1)FIPS PUB 113目目 錄錄消息鑒別與散列函數(shù)消息鑒別與散列函數(shù)散列算法散列算法1.數(shù)字簽名數(shù)字簽名散列函數(shù)散列函數(shù)散列函數(shù)的定義散列函數(shù)的定義散列函數(shù)：散列函數(shù)：M:變長報文變長報文H(M):定長的散列值定長的散列值主要用于為文件、報文或其它分組數(shù)據(jù)產(chǎn)生指紋主要用于為文件、報文或其它分組數(shù)據(jù)產(chǎn)生指紋()hH M散列函數(shù)的要求散列函數(shù)的要求H能用于任意大小的分組能用于任意大小的分組H能產(chǎn)生定長的輸出能產(chǎn)生定長的輸出對任何給定的對任何給定的x，H(x)要相對易于計算，使得硬件和軟件實現(xiàn)成為實際要相對易于

23、計算，使得硬件和軟件實現(xiàn)成為實際可能可能對任何給定的碼對任何給定的碼h，尋找，尋找x使得使得H(x)=h在計算上是不可行的，即單向性在計算上是不可行的，即單向性對任何給定的分組對任何給定的分組x，尋找不等于，尋找不等于x的的y，使得，使得H(x)=H(y)在計算上是不在計算上是不可行的，即弱抗沖突性可行的，即弱抗沖突性尋找對任何的尋找對任何的(x,y)對使得對使得H(x)=H(y)在計算上是不可行的，即強抗沖突在計算上是不可行的，即強抗沖突性性Hash vs MACMAC需要對全部數(shù)據(jù)進行加需要對全部數(shù)據(jù)進行加MAC速度慢速度慢Hash是一種直接產(chǎn)生鑒別碼的方法是一種直接產(chǎn)生鑒別碼的方法Has

24、h函數(shù)通用結構函數(shù)通用結構由由Ron Rivest于于1990年提出年提出MD4幾乎被所有幾乎被所有hash函數(shù)使用函數(shù)使用具體做法具體做法: 把原始消息把原始消息M分成一些固定長度的塊分成一些固定長度的塊Yi 最后一塊最后一塊padding并使其包含消息并使其包含消息M長度長度 設定初始值設定初始值CV0 壓縮函數(shù)壓縮函數(shù)f, CVi=f(CVi-1,Yi-1) 最后一個最后一個CVi為為hash值值MD5MD5描述描述Merkle于于1989年提出年提出hash function模型模型Ron Rivest于于1990年提出年提出MD41992年年, Ron Rivest 完成完成MD5

25、(RFC 1321) 在最近數(shù)年之前在最近數(shù)年之前,MD5是最主要的是最主要的hash算法算法現(xiàn)行美國標準現(xiàn)行美國標準SHA-1以以MD5的前身的前身MD4為基礎為基礎MD5描述描述 輸入：任意長度的報文輸入：任意長度的報文輸入分組長度：輸入分組長度：512 bit 輸出：輸出：128 bit 報文報文MD5描述描述step 1 附加長度值附加長度值對報文進行填充，使其比特數(shù)與對報文進行填充，使其比特數(shù)與448模模512同余，即填同余，即填充長度為充長度為512的整數(shù)倍減去的整數(shù)倍減去64填充方法：填充比特串的最高位為填充方法：填充比特串的最高位為1，其余各位均為，其余各位均為011| 448

26、mod512| 448mod512,| | 512MifMthen MMMD5描述描述step 2 附加長度值附加長度值|M2|為為512的倍數(shù)的倍數(shù): Y0,Y1,YL-1216464|mod2 ,2MMLengthMMPadding LengthLengthM低位字節(jié)優(yōu)先,表示為64bit長若初始長度大于，僅使用該長度的低64bitMD5描述描述step 3初始化初始化MD緩存緩存MD為為128bit，用于存放散列函數(shù)的中間及最終結果，用于存放散列函數(shù)的中間及最終結果MD可表示為可表示為4個個32bit的寄存器的寄存器(A,B,C,D)，初始化如下：，初始化如下：MD5描述描述step 4

27、壓縮：壓縮：4個循環(huán)的壓縮算法個循環(huán)的壓縮算法MD5描述描述step 5輸出輸出HMD5單個單個512bit分組的分組的MD5處理過程處理過程(MD5壓縮函數(shù)）壓縮函數(shù)）當前正在處當前正在處理的理的512比特分組比特分組128bit的緩存值的緩存值更新緩存更新緩存T0,16432(2(sin( ),0(sin( )13232iiTINTabsiiabsiTbitbit的單位為弧度能用表示，提供了隨機化的模式，消除了規(guī)律性每步操作形式每步操作形式單個單個512bit分組的分組的MD5處理過程處理過程(MD5壓縮函數(shù)）壓縮函數(shù)）116( )(15 ) mod16( )(53 ) mod16( )5

28、 mod16iiiiiii234X0.15:保存當前保存當前512bit待處理輸入分組的值待處理輸入分組的值Xk = Mq16 + k = 在第在第q個個512位數(shù)據(jù)塊中的第位數(shù)據(jù)塊中的第k個個32位字位字每次循環(huán)每次循環(huán)(4)的每步的每步(16)內，內，Xi的使用循序各不相同的使用循序各不相同MD5的安全性的安全性Berson表明，對單循環(huán)表明，對單循環(huán)MD5，使用不用的密碼分析可能在合理的時，使用不用的密碼分析可能在合理的時間內找出能夠產(chǎn)生相同摘要的兩個報文，這個結果被證明對四個循間內找出能夠產(chǎn)生相同摘要的兩個報文，這個結果被證明對四個循環(huán)中的任意一個循環(huán)也成立，但作者沒有能夠提出如何攻擊

29、包含全環(huán)中的任意一個循環(huán)也成立，但作者沒有能夠提出如何攻擊包含全部部4個循環(huán)個循環(huán)MD5的攻擊的攻擊Boer和和Bosselaers顯示了即使緩存顯示了即使緩存ABCD不同，不同，MD5對單個對單個512bit分分組的執(zhí)行將得到相同的輸出組的執(zhí)行將得到相同的輸出(偽沖突）偽沖突）Dobbertin的攻擊技術：使的攻擊技術：使MD5的壓縮函數(shù)產(chǎn)生沖突，即尋找的壓縮函數(shù)產(chǎn)生沖突，即尋找MD5被認為是易受攻擊的，逐漸被被認為是易受攻擊的，逐漸被SHA-1和和RIPEMD-160替代替代,( )( )xy xyH xH y、但其它常用其它常用Hash算法算法SHA-1 RIPEMD-160 HMACH

30、ash小結小結Hash函數(shù)把變長信息映射到定長信息函數(shù)把變長信息映射到定長信息Hash函數(shù)不具備可逆性函數(shù)不具備可逆性Hash函數(shù)速度較快函數(shù)速度較快Hash函數(shù)與對稱密鑰加密算法有某種相似性函數(shù)與對稱密鑰加密算法有某種相似性對對Hash函數(shù)的密碼分析比對稱密鑰密碼更困難函數(shù)的密碼分析比對稱密鑰密碼更困難Hash函數(shù)可用于消息摘要函數(shù)可用于消息摘要Hash函數(shù)可用于數(shù)字簽名函數(shù)可用于數(shù)字簽名目目 錄錄消息鑒別與散列函數(shù)消息鑒別與散列函數(shù)散列算法散列算法1.數(shù)字簽名數(shù)字簽名報文鑒別的局限性報文鑒別的局限性用于保護通信雙方免受第三方攻擊用于保護通信雙方免受第三方攻擊無法防止通信雙方的相互攻擊無法防

31、止通信雙方的相互攻擊信宿方偽造報文信宿方偽造報文信源方否認已發(fā)送的報文信源方否認已發(fā)送的報文引入數(shù)字簽名，是筆跡簽名的模擬引入數(shù)字簽名，是筆跡簽名的模擬數(shù)字簽名的性質數(shù)字簽名的性質傳統(tǒng)簽名的基本特點傳統(tǒng)簽名的基本特點 能與被簽的文件在物理上不可分割能與被簽的文件在物理上不可分割 簽名者不能否認自己的簽名簽名者不能否認自己的簽名 簽名不能被偽造簽名不能被偽造 容易被驗證容易被驗證數(shù)字簽名是傳統(tǒng)簽名的數(shù)字化數(shù)字簽名是傳統(tǒng)簽名的數(shù)字化 能與所簽文件能與所簽文件“綁定綁定” 簽名者不能否認自己的簽名簽名者不能否認自己的簽名 容易被自動驗證容易被自動驗證 簽名不能被偽造簽名不能被偽造數(shù)字簽名的性質數(shù)字簽

32、名的性質必須能夠驗證作者及其簽名的日期時間必須能夠驗證作者及其簽名的日期時間必須能夠認證簽名時刻的內容必須能夠認證簽名時刻的內容簽名必須能夠由第三方驗證，以解決爭議簽名必須能夠由第三方驗證，以解決爭議數(shù)字簽名的設計要求數(shù)字簽名的設計要求 簽名必須是依賴于被簽名信息的一個位串模板簽名必須是依賴于被簽名信息的一個位串模板 簽名必須使用某些對發(fā)送者是唯一的信息，以防止雙方的偽造與否簽名必須使用某些對發(fā)送者是唯一的信息，以防止雙方的偽造與否認認 必須相對容易生成該數(shù)字簽名必須相對容易生成該數(shù)字簽名 必須相對容易識別和驗證該數(shù)字簽名必須相對容易識別和驗證該數(shù)字簽名 偽造該數(shù)字簽名在計算復雜性意義上具有不

33、可行性，既包括對一個偽造該數(shù)字簽名在計算復雜性意義上具有不可行性，既包括對一個已有的數(shù)字簽名構造新的消息，也包括對一個給定消息偽造一個數(shù)已有的數(shù)字簽名構造新的消息，也包括對一個給定消息偽造一個數(shù)字簽名字簽名 在存儲器中保存一個數(shù)字簽名副本是現(xiàn)實可行的在存儲器中保存一個數(shù)字簽名副本是現(xiàn)實可行的數(shù)字簽名分類數(shù)字簽名分類簽名方式簽名方式直接數(shù)字簽名直接數(shù)字簽名direct digital signature仲裁數(shù)字簽名仲裁數(shù)字簽名arbitrated digital signature安全性安全性 無條件安全的數(shù)字簽名無條件安全的數(shù)字簽名 計算上安全的數(shù)字簽名計算上安全的數(shù)字簽名可簽名次數(shù)可簽名次數(shù)一次性的數(shù)字簽名一次性的數(shù)字簽名 多次性的數(shù)字簽名多次性的數(shù)字簽名直接數(shù)字簽名直接數(shù)字簽名直接數(shù)字簽名直接數(shù)字簽名直接數(shù)字簽名直接數(shù)字簽名直接數(shù)字簽名的缺點直接數(shù)字簽名的缺點驗證模式依賴于發(fā)送方的保密密鑰驗證模式依賴于發(fā)送方的保密密鑰 發(fā)送方要抵賴發(fā)送某一消息時，可能會聲稱其私有密鑰丟失或被竊，發(fā)送方要抵賴發(fā)送某一消息時，可能會聲稱其私有密鑰丟失或被竊，從而他人偽造了他的簽名從而他人偽造了他的