【正文】 2023/2/25 54 Ch5消息認證與數字簽名 代理簽名 ? 代理簽名的目的是當某簽名人因某種原因不能行使簽名權力時，將簽名權委派給其他人替自己行使簽名權。簽名者將 M 連同 (r, s)一起存放，或發(fā)送給驗證者。 2023/2/25 40 Ch5消息認證與數字簽名 數字簽名 ? 數字簽名需要滿足以下條件： –簽名的結果必須是與被簽名的消息相關的二進制位串； –簽名必須使用發(fā)送方某些獨有的信息（發(fā)送者的私鑰），以防偽造和否認； –產生數字簽名比較容易； –識別和驗證簽名比較容易； –給定數字簽名和被簽名的消息，偽造數字簽名在計算上是不可行的。 ? 3） 初始值（ IV）的初始化 ： MD5中有四個 32位緩沖區(qū)，用（ A, B, C, D）表示，用來存儲散列計算的中間結果和最終結果，緩沖區(qū)中的值被稱為鏈接變量。 ? (2) 再根據意圖偽造簽名的明文，將其分成每個 64位長的明文分組： Q1, Q2,…, QN2。 ? 3． 抗強碰撞性： 找到任何滿足 H(x)=H(y)的偶對 (x,y)在計算上是不可行的。對循環(huán) 1中找到的 2(kn)個密鑰判斷 MACi＝ CKi (M2) – 計時修改： 對消息的延遲和重放。 ? 在基于算法的加密函數中 ， 攻擊者可以嘗試所有可能的密鑰以進行窮舉攻擊 ， 一般對 k位的密鑰 ， 窮舉攻擊需要 2(k1)步 。 – 設 M’是 M 的某個已知的變換，即 M’=f(M)，則Ck(M)= Ck(M’)的概率為 2n。然后，攻擊者再偽造一條具有不同意義的新的消息，并產生出該偽造消息的 2m/2種變化。其中， MD2是為 8位機器做過設計優(yōu)化的，而 MD4和 MD5卻是面向 32位的計算機。 ? 添加消息長度信息： 在填充后的消息后添加一個 128位的塊，用來說明填充前消息的長度，表示為一個無符號整數 (最高有效字節(jié)在前 )。 2023/2/25 44 Ch5消息認證與數字簽名 Schnorr數字簽名 ? 驗證 –驗證者獲得 M和 (e, s)，需要驗證 (e, s)是否是 M的簽名。 2023/2/25 51 Ch5消息認證與數字簽名 盲簽名的性質 ? 它除了滿足一般的數字簽名條件外，還必須滿足下面的兩條性質： – 1. 簽名者不知道其所簽名的消息的具體內容。 2023/2/25 59 Ch5消息認證與數字簽名 演講完畢，謝謝觀看！ 。盲簽名因為具有盲性這一特點，可以有效的保護所簽名的消息的具體內容，所以在電子商務等領域有著廣泛的應用。簽名者隨機選擇一整數 k， 1kq，并計算： – e = H(r, M) – s = k – xe mod q – (e, s)即為 M的簽名。即使原始消息已經滿足上述長度要求，仍然需要進行填充，因此填充位數在 1到1024之間。 2023/2/25 27 Ch5消息認證與數字簽名 MD5 ? MD5（ MessageDigest Algorithm 5）是由Ronald L. Rivest（ RSA算法中的“ R”）這 90年代初開發(fā)出來的，經 MD MD3和 MD4發(fā)展而來。這樣，k個人有不同生日的排列數為： ? 因此， k個人有不同生日的概率為不重復的排列數除以總書目，得到： ? 則， k個人中，至少找到兩個人同日出生的概率是： 2023/2/25 23 Ch5消息認證與數字簽名 Yuval的生日攻擊 ? (1) 合法的簽名方對于其認為合法的消息愿意使用自己的私鑰對該消息生成的 m位的散列值進行數字簽名。 2023/2/25 12 Ch5消息認證與數字簽名 MAC的性質 ? 一個安全的 MAC函數應具有下列性質： – 若攻擊者知道 M和 Ck(M)，則他構造滿足Ck(M’)= Ck(M)的消息 M’在計算上是不可行的。 ? 在這種方法中假定通信雙方 A和 B共享密鑰 K。 2023/2/25 3 Ch5消息認證與數字簽名 認證的目的 ? 第一 ， 驗證消息的發(fā)送者是合法的 ， 不是冒充的 ， 這稱為實體認證 ， 包括對信源 、信宿等的認證和識別； ? 第二 ， 驗證信息本身的完整性 ， 這稱為消息認證 ， 驗證數據在傳送或存儲過程中沒有被篡改 、 重放或延遲等 。 ? 攻擊者可以按此方法不斷對密鑰進行測試 ， 直到將匹配數縮寫到足夠小的范圍 。對于生成 64位散列值的散列函數 ， 平均需要嘗試 263次以找到 M’。 ? (3) 任意產生 232個不同的 X，對每個 X計算EX[hN2]。 2023/2/25 29 Ch5消息認證與數字簽名 MD5算法步驟 續(xù) ? 4） 以 512位的分組為單位對消息進行循環(huán)散列計算 ：經過處理的消息，以 512位為單位，分成 N個分組，用 Y0， Y1， … ， YN1。 2023/2/25 41 Ch5消息認證與數字簽名 數字簽名的典型使用 ? (1) 消息發(fā)送方式與散列函數對消息進行計算，得到消息的散列值。 – 首先檢查 r和 s是否屬于 [0, q]，若不是，則 (r, s)不是簽名值。這個概念是由 Mambo， Usada和Okamoto于 1996年首先提出的，并且給出了一個代理簽名方案。 ? 盲性 ：簽名者雖然對某個消息進行了簽名，但他不可能得到消息的具體內容。 2023/2/25 46 Ch5消息認證與數字簽名 DSS ? 簽名 –設要簽名的消息為 M， 0Mp。 2023/2/25 37 Ch5消息認證與數字簽名 HMAC的結構 SiY0Y1YL 1K+i p a dx o rb 位 b 位b 位? HI VH ( Si| | M )nSoK+o p a d