【正文】 為 M， 0Mp。 2023/2/25 49 Ch5消息認證與數(shù)字簽名 仲裁數(shù)字簽名 ? (1) A?T： M || EKAT[IDA || H(M)] ? (2) T?B： EKTB[IDA || M || EKAT[IDA || H(M)] || T] ? (1) A?T： IDA || EPRA[IDA || EPUB(EPRA[M])] ? (2) T?B： EPRT[IDA || EPUB[EPRA[M]] || T] 2023/2/25 50 Ch5消息認證與數(shù)字簽名 盲簽名 ? 盲簽名是 Chaum在 1982年首次提出的，并利用盲簽名技術提出了第一個電子現(xiàn)金方案。 ? 盲性 ：簽名者雖然對某個消息進行了簽名，但他不可能得到消息的具體內(nèi)容。 2023/2/25 58 Ch5消息認證與數(shù)字簽名 盲簽名的條件 ? 假設 A委托 B進行代理簽名，則簽名必須滿足三個最基本的條件： ? （ 1）簽名接收方能夠像驗證 A的簽名那樣驗證 B的簽名； ? （ 2） A的簽名和 B的簽名應當完全不同，并且容易區(qū)分； ? （ 3） A和 B對簽名事實不可否認。這個概念是由 Mambo， Usada和Okamoto于 1996年首先提出的，并且給出了一個代理簽名方案。 – 2. 簽名消息不可追蹤，即當簽名消息被公布后，簽名者無法知道這是他哪次的簽署的。 – 首先檢查 r和 s是否屬于 [0, q]，若不是，則 (r, s)不是簽名值。 –計算： – r’ = gsre mod p –檢查 H(r’, M) = e是否正確，若是，則 (e,s)為 M的合法簽名。 2023/2/25 41 Ch5消息認證與數(shù)字簽名 數(shù)字簽名的典型使用 ? (1) 消息發(fā)送方式與散列函數(shù)對消息進行計算，得到消息的散列值。至此，產(chǎn)生了一個長度為 1024整數(shù)倍的擴展消息。 2023/2/25 29 Ch5消息認證與數(shù)字簽名 MD5算法步驟 續(xù) ? 4） 以 512位的分組為單位對消息進行循環(huán)散列計算 ：經(jīng)過處理的消息，以 512位為單位，分成 N個分組，用 Y0， Y1， … ， YN1。 ? 2023年 8月，在美國召開的國際密碼學會議（ Crypto’2023）上，王小云教授給出破解 MD HAVAL12 MD4和RIPEMD算法的報告。 ? (3) 任意產(chǎn)生 232個不同的 X，對每個 X計算EX[hN2]。 2023/2/25 24 Ch5消息認證與數(shù)字簽名 Yuval的生日攻擊（續(xù)） ? (3) 攻擊者在上述兩個消息集合中找出可以產(chǎn)生相同散列值的一對消息。對于生成 64位散列值的散列函數(shù) ， 平均需要嘗試 263次以找到 M’。 2023/2/25 13 Ch5消息認證與數(shù)字簽名 基于 DES的消息認證碼 D1( 6 4 位 ) D2( 6 4 位 )D E S 加 密 D E S 加 密O1( 6 4 位 )K ( 5 6 位 )+O2( 6 4 位 )D1( 6 4 位 ) D2( 6 4 位 )D E S 加 密 D E S 加 密ON 1K+ON?+KK2023/2/25 14 Ch5消息認證與數(shù)字簽名 Hash函數(shù) ? Hash函數(shù) (也稱散列函數(shù)或雜湊函數(shù) )是將任意長的輸入消息作為輸入生成一個固定長的輸出串的函數(shù)，即 h=H(M)。 ? 攻擊者可以按此方法不斷對密鑰進行測試 ， 直到將匹配數(shù)縮寫到足夠小的范圍 。 2023/2/25 10 Ch5消息認證與數(shù)字簽名 對 MAC的攻擊 ?第一輪 2023/2/25 3 Ch5消息認證與數(shù)字簽名 認證的目的 ? 第一 ， 驗證消息的發(fā)送者是合法的 ， 不是冒充的 ， 這稱為實體認證 ， 包括對信源 、信宿等的認證和識別； ? 第二 ， 驗證信息本身的完整性 ， 這稱為消息認證 ， 驗證數(shù)據(jù)在傳送或存儲過程中沒有被篡改 、 重放或延遲等 。 – 順序修改： 對通信雙方消息順序的修改，包括插入、刪除和重新排序。 ? 在這種方法中假定通信雙方 A和 B共享密鑰 K。給定 M2, MAC2＝ CK(M2) 2023/2/25 12 Ch5消息認證與數(shù)字簽名 MAC的性質(zhì) ? 一個安全的 MAC函數(shù)應具有下列性質(zhì)： – 若攻擊者知道 M和 Ck(M)，則他構(gòu)造滿足Ck(M’)= Ck(M)的消息 M’在計算上是不可行的。 ? 2． 抗弱碰撞性 ：對任何給定的消息 x，找到滿足 y≠x且 H(x)=H(y)的 y在計算上是不可行的。這樣，k個人有不同生日的排列數(shù)為： ? 因此， k個人有不同生日的概率為不重復的排列數(shù)除以總書目，得到： ? 則， k個人中，至少找到兩個人同日出生的概率是： 2023/2/25 23 Ch5消息認證與數(shù)字簽名 Yuval的生日攻擊 ? (1) 合法的簽名方對于其認為合法的消息愿意使用自己的私鑰對該消息生成的 m位的散列值進行數(shù)字簽名。 2023/2/25 25 Ch5消息認證與數(shù)字簽名 中間相遇攻擊法（ Meet in the Middle Attack） ? (1) 根據(jù)已知數(shù)字簽名的明文，先產(chǎn)生散列函數(shù)值 h。 2023/2/25 27 Ch5消息認證與數(shù)字簽名 MD5 ? MD5（ MessageDigest Algorithm 5）是由Ronald L. Rivest（ RSA算法中的“ R”）這 90年代初開發(fā)出來的，經(jīng) MD MD3和 MD4發(fā)展而來。這時經(jīng)過處理后的消息長度正好是 512位的倍數(shù)。即使原始消息已經(jīng)滿足上述長度要求，仍然需要進行填充，因此填充位數(shù)在 1到1024之間。數(shù)字簽名的應用過程