【文章內(nèi)容簡(jiǎn)介】 向陷門函數(shù) 設(shè) f是一個(gè)函數(shù)， t 是與 f有關(guān)的一個(gè)參數(shù)，對(duì)于任一給定的 x。計(jì)算 y，使得 y=f(x)是容易的。如果當(dāng)不知道參數(shù) t 是，計(jì)算的 f 逆函數(shù)是難解的，但但 知道參數(shù) t 時(shí)，計(jì)算 f 的逆函數(shù)是容易的，則稱 f 是一個(gè)單向陷門函數(shù)，參數(shù)稱為陷門。 [5] 對(duì)稱加密體制 對(duì)稱加密算法，又稱私鑰加密算法，就是加密密鑰能夠從解密密鑰中推出來(lái)，反過(guò)來(lái)也成立，在大多數(shù)對(duì)稱算法中，加密解密密鑰是相同的。對(duì)稱算法的加密和解密表示為： MCDCME kk ?? )(,)( （ 21） 對(duì)稱加密算法的典型代表有 :DES， AES， 3DES， RC2， RC4， RCS， RC6，IDEA 等。以 DES 為代表的對(duì)稱密鑰加密 算法的設(shè)計(jì)原則主要基于信息論的混亂和擴(kuò)散?；靵y指的是密鑰和明文及密文之間的依賴關(guān)系應(yīng)該盡量復(fù)雜，以破壞分組間的統(tǒng)計(jì)規(guī)律，通常依靠多輪迭代來(lái)實(shí)現(xiàn)；擴(kuò)散則應(yīng)使密鑰和明文的每一位影響密文中盡可能多的位數(shù)，這樣可以防止逐段破譯，并通過(guò) S 盒的非線性變換來(lái)實(shí)現(xiàn)。實(shí)際上，所有的對(duì)稱密鑰加密算法都采用 Feistel網(wǎng)、 S 盒及多次迭代等思河北工程大學(xué)畢業(yè)設(shè)計(jì)論文 7 想。 對(duì)稱加密有速度上的優(yōu)點(diǎn)，用軟件實(shí)現(xiàn)，對(duì)稱密鑰比非對(duì)稱密鑰快 1001000倍。然而，如果一個(gè)消息想以密文的形式傳到接收者，我們應(yīng)該找到一個(gè)方法安全傳輸密鑰。對(duì)稱加密系統(tǒng)用鍵長(zhǎng)來(lái)衡量加密 強(qiáng)度， 40 比特的鍵長(zhǎng)被認(rèn)為比較脆弱， 128 比特比較健壯。 對(duì)稱加密算法的缺點(diǎn)則是密鑰分發(fā)困難，密鑰管理難，無(wú)法實(shí)現(xiàn)數(shù)字簽名。 對(duì)稱加密算法的優(yōu)點(diǎn)是保密強(qiáng)度高，加解密速度快，適合加密大量數(shù)據(jù)。攻擊 者如果對(duì)加密后的數(shù)據(jù)進(jìn)行破譯，唯一的辦法就是對(duì)每個(gè)可能的密鑰執(zhí)行窮搜索。而采用這種加密技術(shù)，即使使用最快的計(jì)算機(jī)執(zhí)行這種搜索，耗費(fèi)的時(shí)間也是相當(dāng)?shù)拈L(zhǎng)。如果使用較大的密鑰，破譯將會(huì)更加的困難。 [6] 河北工程大學(xué)畢業(yè)設(shè)計(jì)論文 8 3 數(shù)字簽名的基本概念和理論 數(shù)字簽名概念 數(shù)字簽名是一 種類似寫在紙上的普通的物理簽名，但是使用了公鑰加密領(lǐng)域的技術(shù)實(shí)現(xiàn)，用于鑒別數(shù)字信息的方法。一套數(shù)字簽名通常定義兩種互補(bǔ)的運(yùn)算，一個(gè)用于簽名，另一個(gè)用于驗(yàn)證。 數(shù)字簽字由公鑰密碼發(fā)展而來(lái)，它在網(wǎng)絡(luò)安全，包括身份認(rèn)證、數(shù)據(jù)完整性、不可否認(rèn)性以及匿名性等方面有著重要應(yīng)用。特別是在大型網(wǎng)絡(luò)安全通信中的密鑰分配、認(rèn)證以及電子商務(wù)系統(tǒng)中都有重要的作用，數(shù)字簽名的安全性日益受到高度重視。 數(shù)字簽名是指用戶用自己的私鑰對(duì)原始數(shù)據(jù)的哈希摘要進(jìn)行加密所得的數(shù)據(jù)。信息接收方使用信息發(fā)送方的公鑰對(duì)附在原始信息后的數(shù)字簽名進(jìn)行解密后獲 得哈希摘要，并通過(guò)與自己用收到的原始數(shù)據(jù)產(chǎn)生的哈希摘要對(duì)照，便可確信原始數(shù)據(jù)信息是否被篡改。這樣就保證了消息來(lái)源的真實(shí)性和數(shù)據(jù)傳輸?shù)耐暾浴?[7] 數(shù)字簽名理論 數(shù)字簽名的實(shí)現(xiàn)通常采用非對(duì)稱密碼與對(duì)稱密碼體系。不同的是，非對(duì)稱密碼體系的加密和解密過(guò)程分別通過(guò)兩個(gè)不同的密鑰來(lái)實(shí)現(xiàn)，其中一個(gè)密鑰以公開，稱為公開密鑰，簡(jiǎn)稱公鑰，另一個(gè)有用戶自己秘密保管，稱為保密密鑰，簡(jiǎn)稱私鑰。只有相應(yīng)的公鑰能夠?qū)τ盟借€加密的信息進(jìn)行解密，反之亦然。以現(xiàn)在的計(jì)算機(jī)運(yùn)算能力，從一把密鑰推算出另一把密鑰是不大可能的。所以，數(shù)字 簽名具有很大的安全性，這是它的一個(gè)優(yōu)點(diǎn)。 數(shù)字簽名的基本方式主要是：信息發(fā)送方首先通過(guò)運(yùn)行散列函數(shù)生成一個(gè)欲發(fā)送報(bào)文的信息摘要，然后用其私鑰對(duì)這個(gè)信息摘要進(jìn)行加密以形成發(fā)送方的數(shù)列簽名，這個(gè)數(shù)字簽名將作為報(bào)文的附件和報(bào)文一起發(fā)送給報(bào)文的接收方。接收方在收到信息后首先運(yùn)行和發(fā)送相同的散列函數(shù)生成接收?qǐng)?bào)文的信息摘要，然后再用發(fā)送方的公鑰進(jìn)行解密，產(chǎn)生原始報(bào)文的信息摘要，通過(guò)比較兩個(gè)信息摘要是否相同就可以確認(rèn)發(fā)送方和報(bào)文的準(zhǔn)確性。當(dāng)然，上述過(guò)程只是對(duì)報(bào)文進(jìn)行了簽名，對(duì)其傳送的報(bào)文本身并未保密。為了同時(shí)實(shí)現(xiàn)數(shù)字簽名 和秘密通信，發(fā)送者可以用接收方的公鑰對(duì)發(fā)送的信息進(jìn)行加密，這樣，只有接收方才能通過(guò)自己的私鑰對(duì)報(bào)文進(jìn)行接么，其它人即使獲得報(bào)文并知道發(fā)送者 的身份，由于沒(méi)有河北工程大學(xué)畢業(yè)設(shè)計(jì)論文 9 接收方的密鑰也無(wú)法理解報(bào)文。 數(shù)字簽名過(guò)程 為了實(shí)現(xiàn)網(wǎng)絡(luò)環(huán)境下的身份鑒別、數(shù)據(jù)完整性認(rèn)證和抗否認(rèn)的功能，數(shù)字簽名應(yīng)滿足以下要求： （ 1）簽名者發(fā)出簽名的消息后，就不能再否認(rèn)自己所簽發(fā)的消息； （ 2） 接收者能夠確認(rèn)或證實(shí)簽名者的簽名，但不能否認(rèn)； （ 3） 任何人都不能偽造簽名； （ 4） 第三方可以確認(rèn)收發(fā)雙方之間的消息傳送，但不能偽造這一過(guò)程，這樣，當(dāng)通信 的雙方關(guān)于簽名的真?zhèn)伟l(fā)生爭(zhēng)執(zhí)時(shí)，可由第三方來(lái)解決雙方的爭(zhēng)執(zhí)。 [8] 對(duì)于一個(gè)典型的數(shù)字簽名體系而言，它必須包含 2 個(gè)重要的組成部分：即簽名算法 (Signature Algorithm)和驗(yàn)證算法 (Verification Algorithm)。為了滿足上述 4點(diǎn)要求，數(shù)字簽名體系必須滿足 2 條基本假設(shè)： （ 1）簽名密鑰是安全的，只有其擁有者才能使用。 （ 2）使用簽名密鑰是產(chǎn)生數(shù)字簽名的唯一途徑。 （ 1）為保證簽名的速度， A 先將原文進(jìn)行單向 HASH 運(yùn)算生成定長(zhǎng)的消息摘要 A 圖 31 生產(chǎn)摘要 （ 2）利用自己的私鑰加密消息摘要得到數(shù)字簽名 A，并將數(shù)字簽名附在原消息后面 圖 32 加密摘要 用戶 A 原文 消息摘要 單向哈希值運(yùn)算 用戶 A 原文 數(shù)字簽名 A 用戶 B 用戶 A 原文 數(shù)字簽名 A 用戶 B 河北工程大學(xué)畢業(yè)設(shè)計(jì)論文 10 （ 3）通訊時(shí)用戶 A 將自己的名文一起通過(guò)網(wǎng)絡(luò)送給通訊對(duì)方即用戶 B 圖 33 發(fā)送原文和摘要 接收方 B 接收到發(fā)送方Ａ的簽名消息后，對(duì)Ａ的簽名消息進(jìn)行驗(yàn)證的過(guò)程如下： （ 1）將消息中的原消息與數(shù)字簽名分離出來(lái) 圖 34 分離明文和數(shù)字簽名 （ 2）使用 A 的公鑰解密數(shù)字簽名得到摘要 圖 35 得到摘要 （ 3）利用與發(fā)送方 A 相同的散列函數(shù)重新計(jì)算原消息的摘要 圖 36 接受方計(jì)算摘要 （ 4）比較解密后獲得的消息摘要 A 與重新計(jì)算產(chǎn)生的消息摘要 B，若相等數(shù)字簽名 A 消 息摘要A A 的私鑰 實(shí)現(xiàn)簽名 用戶 B 分離 數(shù)字簽名 A 原文 原文 數(shù)字簽名A 解密 消息摘要 A 數(shù)字簽名A A 的私鑰 A 的摘要 用戶 B 原文 消息摘要 B 單向哈希值運(yùn)算 河北工程大學(xué)畢業(yè)設(shè)計(jì)論文 11 則說(shuō)明消息在傳輸過(guò)程中沒(méi)有被篡改，否則消息不可靠。 圖 37 驗(yàn)證數(shù)字簽名 數(shù)字簽名過(guò)程 圖 38 數(shù)字簽名流程圖 驗(yàn)證失敗 驗(yàn)證成功 相等嗎 消息摘要 B 消息摘要 A A的私鑰 加密后的摘要 加密后的摘要 散列函數(shù) 消息 散列函數(shù) 摘要 加密后的摘要 消息 解密后的摘要 解密算法 摘要 加密算法 消息 A的私鑰 河北工程大學(xué)畢業(yè)設(shè)計(jì)論文 12 4 數(shù)字簽名常見的算法及其數(shù)字簽名 數(shù)字簽名的方法有很多，現(xiàn)在主要應(yīng)用的 數(shù)字簽名主要有： RSA， DSA 以及橢圓曲線數(shù)字簽名。 DSA 數(shù)字簽名算法 .DSA 是 SChnorr 和 ELGAmal簽名算法的變種，被美 NIST 作為 DSS 是一種公開密鑰算法，它不能用作加密，只能用作數(shù)字簽名。 DSA 使用公開公鑰，為接受者驗(yàn)證數(shù)據(jù)的完整性和數(shù)據(jù)發(fā)送者的身份。它也用作于由第三方去確定簽名和所簽收數(shù)據(jù)的真實(shí)性。信息交流中，接受方希望收到的信息未被篡改，還希望收到的信息確實(shí)是自己認(rèn)定的發(fā)送方所發(fā)，那么接受方和發(fā)送方就可以約定，共同使用 DSA 來(lái)實(shí)現(xiàn)。 DSA 數(shù)字簽名實(shí)現(xiàn)的三個(gè)步驟 （ 1）參數(shù)與密鑰生成 （ 2）簽名的算法 （ 3）簽名的驗(yàn)證算法 （ 1） 系統(tǒng)參數(shù) :大素?cái)?shù) p, q 且 q 為 p1 的因子 , 并滿足 2^511p2^1024, 2^159q2^160 ,以確保在 Zp 中求解離散對(duì)數(shù)的困難性 。 g ∈ Zp , 且滿足 g =h ^(p1)/q mod p,其中 h 是一整數(shù) , 1 h p1 且h^(p1)/q modp1 。 p,q,g 作為系統(tǒng)參數(shù) ,供所有用戶使用 ,在系統(tǒng)內(nèi)公開 ? （ 2）用戶私鑰 :用戶選取一個(gè)私鑰 x,1x q,保密 ? （ 3）用戶公鑰 :用戶的公鑰 y,y = g^x mod p,公開 ? 對(duì)待簽消息 m,設(shè) 0mp?簽名過(guò)程如下 : （ 1）生成一隨機(jī)整數(shù) k, k ∈ Zp* 。 （ 2）計(jì)算 r = (g^k mod p) mod q。 （ 3）計(jì)算 s = k^1*(h(m)+x*r) mod q?則 (r,s)為簽名人對(duì) m的簽名 ? 3. 驗(yàn)證過(guò)程 （ 1）首先檢查 r 和 s 是否屬于 [0,q],若不是 ,則 (r,s)不是簽名 。 （ 2）計(jì)算 t= s^1mod q , r’=(g^h(m) t mod q (y^r*t mod q )mod p) mod q 。 （ 3）比較 r’= r 是否成立 ?若成立 ,則 (r,s) 為合法簽名 ,則 (r,s) 為簽名人對(duì) m的河北工程大學(xué)畢業(yè)設(shè)計(jì)論文 13 簽名 DSA 的安全性 DSA 的安全性主要依賴于整數(shù)有限域離散對(duì)數(shù)難題。其安全性與 RSA 相比差不多， DSA 的一個(gè)重要特點(diǎn)是兩個(gè)素?cái)?shù)公開，這樣，當(dāng)使用別人的 P 和 Q 是，即使不知道私鑰，你也能確認(rèn)他們是否是隨機(jī)產(chǎn)生的，還是做了手腳的。 RSA算法是做不到的。素?cái)?shù) P 必須足夠大，且 p1 至少包含一個(gè)大素?cái)?shù)因子以抵抗Pohligamp。hellman 算法的攻擊。 M 一般都應(yīng)采用信息 HASH 的值。 DSA 安全性主要依賴于 p 和 g，若選取不當(dāng)則簽名容易偽造，應(yīng)保證 g 對(duì)于 p1 的大素?cái)?shù)因子不可約。 DSA 的一個(gè)主要特點(diǎn)是兩個(gè)素?cái)?shù)公開，這樣，當(dāng)使用別人的 p 和 g，即使不知道私鑰，你也能確認(rèn)他們是隨機(jī)產(chǎn)生的。 [9] 橢圓曲線代理簽名體制 橢圓曲線數(shù)字簽名 ECDSA 橢圓曲線簽名算法 ECDSA 是基于橢圓曲線密碼體制 (ECC)的數(shù)字簽名算法。 DSA 是美國(guó)國(guó)家標(biāo)準(zhǔn)局制定的數(shù)字簽名算法，他是建立在有限域乘法群上的。對(duì)于有限域上的橢圓曲線密碼系統(tǒng)， 數(shù)字簽名標(biāo)準(zhǔn)建議采用橢圓曲線數(shù)字簽名算法 ECDSA，下面給出該算法的過(guò)程。 假設(shè)一組橢圓曲線的參數(shù)組為 (q， FR， a， b， G， n， h)。其中 q 是域的階，F(xiàn)R 指示域中元素的表示方法， a， b 是兩個(gè)系數(shù)， G 是基點(diǎn)， G 的階為 n，余因子 h=E(Fq)／ n，他是一個(gè)小的素?cái)?shù)。 1 ECDSA 密鑰對(duì)生成過(guò)程 （ 1）選擇一個(gè)隨機(jī)數(shù) d,d∈ (1,n1)? （ 2）計(jì)算 Q,Q=d*G? （ 3）那么公鑰為 Q,私鑰為整數(shù) d? 2 ECDSA 簽名過(guò)程 假設(shè)待簽名的消息為， m； （ 1）選擇一個(gè)隨機(jī)數(shù) k， k∈ (1， n1)。 （ 2）計(jì) 算 k*G=(x1,y1)。 （ 3）計(jì)算 r=x1 mod n；如果 r=O，則返回到步驟 (1)。 （ 4）計(jì)算 s=k^1(e+d*r) mod n，如果 s=O，則返回到步驟 (1)。 （ 5）對(duì)消息的簽名為 (r， s)，最后簽名者把消息 m和簽名 (r， s)發(fā)送給接收者。 河北工程大學(xué)畢業(yè)設(shè)計(jì)論文 14 3 ECDSA 密鑰對(duì)驗(yàn)證過(guò)程 獲得發(fā)送者的公鑰 Q 開始驗(yàn)證： （ 1）檢查 r， s，要求 r， s∈ (1， n1)。 （ 2）計(jì)算 e=SHA1(m)。 （ 3）計(jì)算 w=s1mod n。 （ 4）計(jì)算 u1=e*w mod n； u2=r*w mod n。 （ 5）計(jì)算 X=u1G+u2Q。 （ 6）如果 X=O，表示簽名無(wú)效；否則， X=(x1， y1)，計(jì)算 v=x1 mod n。 （ 7）如果 v=r，表示簽名無(wú)效；否則表示簽名有效。 [10] 橢圓曲線數(shù)字簽名的安全性 ECDSA 在安全性方面的目標(biāo)是能抵抗選擇明文（密文）攻擊。而攻擊 A 的攻擊者的目標(biāo)是在截獲 A 的簽名后，可以生成對(duì)任何消息的合法簽名。盡管ECDSA 的理論模型很堅(jiān)固，但是人們?nèi)匝芯亢芏啻胧┮蕴岣?ECDSA 的安全性。在 ECDLP 不可