數(shù)字簽名與信息隱藏(0002)課件

2024/1/71第六講數(shù)字簽名與信息隱藏王志偉Email:zhwwang@2024/1/72課程內(nèi)容數(shù)字簽名原理鑒別協(xié)議數(shù)字簽名算法信息隱藏41235數(shù)字水印數(shù)字簽名及其應(yīng)用公鑰密碼體制為解決計算機信息網(wǎng)中的安全提供了新的理論和技術(shù)基礎(chǔ)。公鑰密碼體制的最大特點是采用兩個密鑰將加密和解密能力分開，使得通信雙方無需事先交換密鑰就可進行保密通信，從而大大減少了多實體通信網(wǎng)實體之間通信所需的密鑰量，便于密鑰管理。此外，公鑰體制的一個重要的特性是可用于實現(xiàn)數(shù)字簽字。數(shù)字簽名在信息安全，包括身份認證、數(shù)據(jù)完整性、不可否認性以及匿名性等方面有著重要的應(yīng)用，特別是在大型網(wǎng)絡(luò)安全通信中的密鑰分配、認證以及電子商務(wù)系統(tǒng)安全性等方面具有非常重要的作用。2024/1/74數(shù)據(jù)的易復制性2024/1/75簽名2024/1/76考慮兩種情形Bob可以偽造一條消息并稱該消息發(fā)自Alice使用Bob和Alice共享的密鑰產(chǎn)生認證碼，并附于消息之后Alice可以否認曾發(fā)送某條消息因為Bob可以偽造，所以無法證明Alice確實發(fā)送過消息

最吸引人的解決方案是數(shù)字簽名數(shù)字簽名應(yīng)滿足的要求收方能夠確認或證實發(fā)方的簽名，但不能偽造，簡記為R1-條件（unforgeablity）。發(fā)方發(fā)出簽名的消息給收方后，就不能再否認他所簽發(fā)的消息，簡記為S-條件(non-repudiation)。收方對已收到的簽名消息不能否認，即有收報認證，簡記作R2-條件。第三者可以確認收發(fā)雙方之間的消息傳送，但不能偽造這一過程，簡記作T-條件。2024/1/710數(shù)字簽名傳統(tǒng)簽名的基本特點:能與被簽的文件在物理上不可分割簽名者不能否認自己的簽名簽名不能被偽造容易被驗證數(shù)字簽名是傳統(tǒng)簽名的數(shù)字化,基本要求:能與所簽文件“綁定”簽名者不能否認自己的簽名簽名不能被偽造容易被驗證數(shù)字簽名體制一個簽名體制可由量(M,S,K,V)其中M是明文空間，S是簽名的集合，K

是密鑰空間，V

是證實函數(shù)的值域，由真、偽組成。(1)簽名算法：對每一M

M和k

K，易于計算對M的簽名S=Sigk(M)

S

簽名密鑰是秘密的，只有簽名人掌握；

(2)驗證算法：Verk(S,M)

{真，偽}={0，1}（顯著的概率）驗證算法應(yīng)當公開，已知M，S易于證實S是否為M的簽名，以便于他人進行驗證。

2024/1/712問題公鑰的管理，公鑰與身份的對應(yīng)關(guān)系簽名的有效性，私鑰丟失？2024/1/713數(shù)字證書數(shù)字簽名用來保證信息傳輸過程中信息的完整和提供信息發(fā)送者的身份的確認。數(shù)字證書采用公開密鑰體制（例如RSA）。每個用戶設(shè)定一僅為本人所知的私有密鑰，用它進行解密和簽名；同時設(shè)定一公開密鑰，為一組用戶所共享，用于加密和驗證簽名。2024/1/714數(shù)字證書的作用采用數(shù)字證書，能夠確認以下兩點：(1)保證信息是由簽名者自己簽名發(fā)送的，簽名者不能否認或難以否認。(2)保證信息自簽發(fā)后到收到為止未曾做過任何修改，簽發(fā)的信息是真實信息。2024/1/715課程內(nèi)容數(shù)字簽名原理鑒別協(xié)議數(shù)字簽名算法信息隱藏41235數(shù)字水印2024/1/716鑒別協(xié)議報文鑒別往往必須解決如下的問題：(1)報文是由確認的發(fā)送方產(chǎn)生的。(2)報文的內(nèi)容是沒有被修改過的。(3)報文是按傳送時的相同順序收到的。(4)報文傳送給確定的對方。2024/1/717鑒別方法一種方法是發(fā)送方用自己的私鑰對報文簽名，簽名足以使任何人相信報文是可信的。另一種方法常規(guī)加密算法也提供了鑒別。但有兩個問題，一是不容易進行常規(guī)密鑰的分發(fā)，二是接收方?jīng)]有辦法使第三方相信該報文就是從發(fā)送方送來的，而不是接收方自己偽造的。因此，一個完善的鑒別協(xié)議往往考慮到四方面的鑒別。報文源報文宿報文內(nèi)容報文時間性2024/1/718Needham—Schroeder協(xié)議Needham—Schroeder協(xié)議--利用常規(guī)加密方法進行雙向鑒別采用了常規(guī)加密體制和密鑰分配中心KDC技術(shù)。盡管這個協(xié)議本身存在一定的安全漏洞，但是后來發(fā)展的很多鑒別協(xié)議都是在NSNeedham—Schroeder協(xié)議的基礎(chǔ)上擴展而成的。2024/1/719在該協(xié)議中，網(wǎng)絡(luò)中通信的各方與密鑰分配中心KDC共享一個主密鑰這個主密鑰已通過其他安全的渠道傳送完成。密鑰分配中心KDC為通信的雙方產(chǎn)生短期通信所需的會話密鑰并通過主密鑰來保護這些密鑰的分發(fā)。2024/1/720（1）AKDC:（IDa，IDb，Ra）通信方A將由自己的名字IDa，通信方B的名字IDb和隨機數(shù)Ra組成的報文傳給KDC。

（2）KDCA:EKa(Ra,IDb,Ks,EKb(Ks,IDa))。KDC產(chǎn)生一隨機會話密鑰Ks。他用與通信方B共享的秘密密鑰Kb對隨機會話密鑰Ks和通信方A名字組成的報文加密。然后用他和通信方A共享的秘密密鑰Ka對通信方A的隨機值、通信方B的名字、會話密鑰Ks和已加密的報文進行加密，最后將加密的報文傳送給通信方A。（3）AB:EKb(Ks,IDa)。通信方A將報文解密并提取Ks。他確認Ra與他在第(1)步中發(fā)送給KDC的一樣。然后他將KDC用通信方B的密鑰Kb加密的報文發(fā)送給通信方B。協(xié)議步驟2024/1/721（4）BA:EKs(Rb)通信方B對報文解密并提取會話密鑰Ks，然后產(chǎn)生另一隨機數(shù)Rb。他使用會話密鑰Ks加密它并將它發(fā)送給通信方A。（5）AB:EKs(Rb-1)通信方A用會話密鑰Ks將報文解密，產(chǎn)生Rb-1并用會話密鑰Ks對它加密，然后將報文發(fā)回給通信方B。（6）通信方B用會話密鑰Ks對信息解密，并驗證它是Rb-12024/1/722

盡管Needham—Schroeder協(xié)議已經(jīng)考慮了重放攻擊，但是設(shè)計一個完美的沒有漏洞的鑒別協(xié)議往往是很困難的?？紤]一下這種情況：如果一個對手已經(jīng)獲得了一個舊的會話密鑰，那么在第(3)步中就可冒充通信方A向通信方B發(fā)送一個舊密鑰的重放報文，而此時通信方B無法確定這是—個報文的重放。NS協(xié)議的問題2024/1/723Denning對Needham—schroeder協(xié)議進行了修改，防止這種情況下的重放攻擊，其過程如下：（1）AKDC:（IDa，IDb）。（2）KDCA:EKa(T,IDb,Ks,EKb(T,Ks,IDa))。（3）AB:EKb(T,Ks,IDa)。（4）BA:EKs(Rb)。（5）AB:EKs(Rb-1)。在這個過程中，增加了時間戳T，向通信方A和B確保該會話密鑰是剛產(chǎn)生的，使得通信方A和B雙方都知道這個密鑰分配是一個最新的。Denning的改進2024/1/724單向鑒別第一個需求是電子郵件，報文的首部必須是明文的，以便報文能被SMTP處理，而郵件報文內(nèi)容應(yīng)該加密。第二個需求是鑒別。典型的是，收方想得到某種保證，即該報文確實是來自被認為的發(fā)方。如果使用常規(guī)加密方法進行發(fā)方和收方的直接鑒別，密鑰分配策略是不現(xiàn)實的。這種方案需要發(fā)方向預期的收方發(fā)出請求，等待包括一個會話密鑰的響應(yīng)，然后才能發(fā)送報文。？？考慮到應(yīng)該避免要求收方B和發(fā)方A同時在線，如下基于常規(guī)加密方法的方案解決了鑒別。2024/1/725（1）AKDC:（IDa，IDb,Ra）。（2）KDCA:EKa(IDb,Ks,Ra,EKb(Ks,IDa))。（3）AB:EKb(Ks,IDa)EKs(M)。這個常規(guī)加密方案提供了對A的認證，并且保證只有B可以看到明文，但是會遭到重放攻擊。另外，如果在報文中加入時間戳，由于電子郵件潛在的時延，時間戳的作用非常有限。

2024/1/726公開密鑰加密方法適合電子郵件AB:EKUb[Ks]||Eks[M]關(guān)心機密，比使用公鑰加密全文更高效AB:M||EKRa[H(M)]關(guān)心鑒別，可能換簽名AB:EKUb[M,EKRa[H(M)]]機密＋鑒別2024/1/727課程內(nèi)容數(shù)字簽名原理鑒別協(xié)議數(shù)字簽名算法信息隱藏41235數(shù)字水印2024/1/728數(shù)字簽名標準數(shù)字簽名算法主要有兩個算法組成簽名算法驗證算法目前已有大量的數(shù)字簽名算法RSA數(shù)字簽名算法EIGamal數(shù)字簽名算法橢圓線數(shù)字簽名算法……2024/1/729兩種數(shù)字簽名方案全局公鑰組KUG 簽名隨機數(shù)k 發(fā)送方私鑰KRaRSA簽名體制(1)體制參數(shù)：令n=p1p2，p1和p2是大素數(shù)，令M=C=Zn，選e并計算出d使ed

1

mod

(n)，公開n和e，將p1,p2和d保密。K=(n,p,q,e,d)。(2)

簽名過程：對消息M

Zn的簽名S=Sigk(M)=Mdmodn(3)驗證過程：對給定的M和

S，可按下式驗證：Verk(M,S)=真

M

Se

modn在Internet中所采用的PGP(PrettyGoodPrivacy)中將RSA作為傳送會話密鑰和數(shù)字簽字的標準算法。2024/1/735RSA的缺點兩個主要缺點：A)產(chǎn)生密鑰很麻煩，受到素數(shù)產(chǎn)生技術(shù)的限制，因而難以做到一次一密。B)分組長度太大，為保證安全性，n至少也要600bits以上，使運算代價很高目前，SET(SecureElectronicTransaction)協(xié)議中要求CA采用2048比特長的密鑰，其他實體使用1024比特的密鑰。2024/1/736美國的數(shù)字簽名標準/算法(DSS/DSA)美國國家標準技術(shù)學會(NIST)的一個標準它是ElGamal數(shù)字簽名算法的一個修改當選擇p為512比特的素數(shù)時，ElGamal數(shù)字簽名的尺寸是1024比特，而在DSA中通過選擇一個160比特的素數(shù)可將簽名的尺寸降低為320比特，這就大大地減少了存儲空間和傳輸帶寬。ElGamal簽名體制(1)體制參數(shù)

p：一個大素數(shù)，可使Zp中求解離散對數(shù)為困難問題；

g：是Zp中乘群Zp*的一個生成元或本原元素；

M：消息空間，為Zp*；

S：簽名空間，為Zp*×Zp－1；

x：用戶秘密鑰x

Zp*；y

gx

modpK=(p,g,x,y)：其中p，g，y為公鑰，x為秘密鑰。(2)簽名過程：給定消息M，發(fā)送者進行下述工作。

(a)選擇秘密隨機數(shù)k

Zp*；

(b)計算：H(M),r=gkmodp，s=(H(M)－xr)k-1mod(p－1)(c)將Sigk(M,k)=S=(r||s)作為簽名，將M，(r||s)送給對方。(3)驗證過程：接收者先計算H(M)，并按下式驗證

Verk(H(M),r,s)=真

yrrs

gH(M)modp

數(shù)字簽名的安全性安全性定義：存在（existential）/廣義（universal）偽造。必須注意的是，我們不考慮偽造消息的無意義性。攻擊類型：

1.直接攻擊（Forgefromscratch

）

2.選擇消息攻擊（CMA）

3.自適應(yīng)選擇消息攻擊（AdaptiveCMA

）安全模型：RandomOracleModel；StandardModel特殊性質(zhì)的簽名體制普通的數(shù)字簽名具有廣義可驗證性，即任何人都可驗證某個簽名是否是對某個消息的簽名。然而在某些情形下，特別是為了保護簽名者或接收者的隱私時，并不希望讓所有人都能驗證簽名--消息對。這就是數(shù)字簽名體制中廣義可驗證性和隱私性之間的矛盾。一些特殊的性質(zhì)使得數(shù)字簽名在不同的情形下有更多的應(yīng)用。可控制驗證的簽名不可否認簽名指定確認者簽名指定驗證者簽名廣義指定驗證者簽名廣義指定驗證者簽名證明限制驗證者簽名變色龍簽名匿名性的簽名盲簽名（完全盲簽名、部分盲簽名、限制性盲簽名、限制性部分盲簽名、公平盲簽名）群簽名群盲簽名環(huán)簽名其它性質(zhì)的簽名消息恢復簽名防失敗簽名基于群體的簽名：門限簽名、多簽名傳遞簽名短簽名在線-脫線簽名聚合簽名可驗證加密的簽名代理簽名前向（后向）安全的簽名……Pleasereferto.sg/staff/guilin/bible.htm2024/1/743課程內(nèi)容數(shù)字簽名原理鑒別協(xié)議數(shù)字簽名標準信息隱藏41235數(shù)字水印邊看邊思考P1422024/1/744信息隱藏技術(shù)和加密技術(shù)有何異同？數(shù)字水印有哪些算法？如何對數(shù)字水印進行攻擊？2024/1/745信息隱藏是一門近年來蓬勃發(fā)展、引起人們極大興趣的學科利用人類感覺器官對數(shù)字信號的冗余，將一個消息（通常為秘密消息）偽裝藏于另一個消息（通常為非機密的信息）不同于傳統(tǒng)的密碼學技術(shù)信息隱藏將自己偽裝隱藏在環(huán)境中2024/1/746信息隱藏系統(tǒng)模型2024/1/747信息隱藏技術(shù)的主要分支與應(yīng)用2024/1/748信息隱藏系統(tǒng)的特征魯棒性（