【正文】 （ 8）接收方將兩個(gè)摘要進(jìn)行比較，如果兩者一致，則說(shuō)明發(fā)送的信息原文在傳送過(guò)程中沒(méi)有被破壞或篡改過(guò)，從而得到準(zhǔn)確明文。得到數(shù)字簽名和信息原文。 （ 5）接收方收到發(fā)送方加密后的通信加密后，用自己的私用密鑰對(duì)其進(jìn)行解密，得到發(fā)送方的通信密鑰。 （ 3）發(fā)送方產(chǎn)生一個(gè)通信密鑰，并用它對(duì)帶有數(shù)字簽名的信息原文進(jìn)行加密后，傳送到接收方。 83 數(shù)字簽名 （ 1）發(fā)送方將要發(fā)送的信息原文用 SHA函數(shù)編碼，產(chǎn)生一段固定長(zhǎng)度的數(shù)字摘要。因?yàn)槌?A外沒(méi)有別人能具有 A的解密密鑰 SKA，所以除 A外沒(méi)有別人能產(chǎn)生密文 DSKA(X)。 發(fā)送者 A用其秘密解密密鑰 SKA對(duì)報(bào)文 X進(jìn)行運(yùn)算，將結(jié)果DSKA(X)傳送給接收者 B。但采用公開(kāi)密鑰算法比采用常規(guī)密鑰算法更容易實(shí)現(xiàn)。但在計(jì)算機(jī)網(wǎng)絡(luò)中傳送的文電又如何蓋章呢？這就是 數(shù)字簽名所要解決的問(wèn)題。 ?信息認(rèn)證服務(wù)采用 Hash函數(shù)和數(shù)字簽名相結(jié)合的方法。 例如： EFT中改大金額；股票交易指令虧損后抵賴。假定 A發(fā)送一個(gè)認(rèn)證的信息給 B，雙方之間的爭(zhēng)議可能有多種形式： B偽造一個(gè)不同的消息，但聲稱是從 A收到的。 報(bào)文鑒別碼 80 報(bào)文鑒別碼 K 報(bào) 文 報(bào) 文 報(bào) 文 加密算法 發(fā)送 加密算法 比較 MAC MAC K 發(fā)送方 接收方 使用報(bào)文鑒別碼進(jìn)行報(bào)文鑒別 81 數(shù)字簽名 ?因?yàn)?Hash函數(shù)是公開(kāi)的，所以非法用戶完全可以產(chǎn)生自己的消息，計(jì)算出該消息的 Hash值，從而將合法用戶發(fā)送真消息及相應(yīng)的 Hash值全部替換掉，收方也不會(huì)察覺(jué)，消息并非合法發(fā)方發(fā)送或消息被變動(dòng)過(guò)，這就涉及第二個(gè)問(wèn)題。區(qū)別是，鑒別計(jì)算不進(jìn)行反向計(jì)算。例如 DES算法就可以生成。并與收到的報(bào)文鑒別碼相比較，如一致，則鑒別此報(bào)文是真的。如果報(bào)文的內(nèi)容需要加密，則把報(bào)文內(nèi)容及附加的鑒別碼一起加密，然后發(fā)給收方。 發(fā)送方根據(jù)內(nèi)容，按一定的算法產(chǎn)生鑒別碼，并把鑒別碼附加到報(bào)文內(nèi)容的后面。 消息加密 79 使用一個(gè)密鑰生成一個(gè)固定大小的小數(shù)據(jù)塊，并追加到報(bào)文后面，稱 MAC， 或密碼校驗(yàn)和（ cryptographic checksum） . MAC函數(shù)類似于加密函數(shù)，但不需要可逆性。另外， A對(duì) RN施加函數(shù)變換 F，得到f(RN)，其中 f是某公開(kāi)的簡(jiǎn)單函數(shù)。 假定 A、 B是兩個(gè)通信站點(diǎn)，密鑰是 K， A是發(fā)方， B是收方。 鑒別函數(shù) 78 消息的自身加密可以作為一個(gè)鑒別的度量。 鑒別系統(tǒng)的組成 77 可用來(lái)做鑒別的函數(shù)分為三類： (1)消息加密函數(shù) (Message encryption) 用完整信息的密文作為對(duì)信息的鑒別。 鑒別目的 75 76 ? 鑒別編碼器和鑒別譯碼器可抽象為鑒別函數(shù)。 .數(shù)字簽名（ Digital Signature） 是一種防止源點(diǎn)或終點(diǎn)抵賴的鑒別技術(shù) 。用戶認(rèn)證用于 : 報(bào)文鑒別（ Message Authentication)： 是一個(gè)證實(shí)收到的消息來(lái)自可信的源點(diǎn)且未被篡改的過(guò)程。它是一類重要的線性分組碼，編碼和解碼方法簡(jiǎn)單，檢錯(cuò)和糾錯(cuò)能力強(qiáng)，在通信領(lǐng)域廣泛地用于實(shí)現(xiàn)差錯(cuò)控制。 RIPEMD算法對(duì)任意長(zhǎng)度的報(bào)文，以 512位的分組為單位進(jìn)行處理，產(chǎn)生一個(gè)長(zhǎng)度為 160位的報(bào)文摘要。 70 其它散列函數(shù) ? 1．安全散列函數(shù) SHA： SHA是由美國(guó) NIST和 NSA共同設(shè)計(jì) , 是基于 MD4算法但比 MD4安全性高，與 MD5非常相似，對(duì)輸入的小于 264位長(zhǎng)的任意報(bào)文，以 512位的分組進(jìn)行處理，產(chǎn)生一個(gè) 160位長(zhǎng)的報(bào)文摘要。 (2)再對(duì)填充后的信息填充 64字節(jié)的信息長(zhǎng)度，這樣剛好使得信息總長(zhǎng)度為 512倍數(shù) (3)然后再對(duì)信息依次每次處理 512位，每次進(jìn)行 4輪每輪 16步共64步的信息變換處理，每次輸出結(jié)果為 128位，然后把前一次的輸出作為下一次信息變換的輸入初始值。 ?在最近數(shù)年之前 ,MD5是最主要的 hash算法 ?現(xiàn)行美國(guó)標(biāo)準(zhǔn) SHA1以 MD5的前身 MD4為基礎(chǔ) 69 MD5算法過(guò)程 (1)填充， MD5算法是對(duì) Hash壓縮信息塊按 512位進(jìn)行處理的，首先它對(duì) Hash信息進(jìn)行填充，使信息的長(zhǎng)度模 512等于 448，填充方法是用首位為 1，后面全為 0的填充信息填充，使經(jīng)過(guò)填充后的信息長(zhǎng)度模上 512等于 448。 （ 3）軟件的 Hash算法，利用計(jì)算機(jī)軟件系統(tǒng)的簡(jiǎn)單變化和函數(shù)，通過(guò)函數(shù)迭代，同樣可以得到安全的 Hash函數(shù)，例如著名的 MD4,MD5和 SHA，這類算法不依賴于密碼系統(tǒng)，可以和各種密碼系統(tǒng)聯(lián)合使用，便于軟件、硬件實(shí)現(xiàn)，因此，他們具有速度和安全上的雙重優(yōu)點(diǎn)。例如通過(guò) DES,IDEA和 LOKI等高強(qiáng)度的密 碼系統(tǒng)，可以實(shí)現(xiàn)性能較好的 Hash算法，但這類算法依賴于密鑰。由于其工程上的缺點(diǎn)，計(jì)算量大、速度慢，不能實(shí)用，因此目前工程上沒(méi)有采用這種技術(shù)。 單向散列函數(shù) HASH 65 消息摘要算法（ HASH算法） Hash算法是信息認(rèn)證技術(shù)中的關(guān)鍵技術(shù)，通常有三種實(shí)現(xiàn)方式： （ 1）數(shù)學(xué)上的單向函數(shù)。) 在計(jì)算上不可行。（ m39。 對(duì)任意給定的 m,計(jì)算 h=H(m)是容易的。散列函數(shù)表示為h=H(m).其中 m為原始報(bào)文， H為散列函數(shù)， h為散列值。據(jù)猜測(cè)，從一個(gè)密鑰和密文推斷出明文的難度等同于分解兩個(gè)大素?cái)?shù)的積。 RSA的安全性依賴于大數(shù)分解困難。 現(xiàn)在，人們已能分解 140多個(gè)十進(jìn)制位的大素?cái)?shù)。 60 (1)加密和解密運(yùn)算 ? 密鑰對(duì)（ KU, KR） : KU={e, n} , KR={d, n} ? 把待加密的內(nèi)容分成 k比特的分組， k≤ log2n，并寫(xiě)成數(shù)字， 若用整數(shù) X 表示明文，用整數(shù) Y 表示密文則加密和解密運(yùn)算為： 加密算法 加密： Y = Xe mod n 解密算法 解密： X = Yd mod n 61 RSA算法的安全性 目前， RSA的一些變種算法已被證明等價(jià)于大 數(shù)分解。 5. 尋找 d, 使得 de ≡1 mod ф(n) , ed =k ф(n) +1 (d,n) 作為私鑰保密。 3. 計(jì)算歐拉函數(shù) ф(n) =（ p1） (q1)； 4. 任意取一個(gè)與 ф(n) 互素的小整數(shù) e, 即 gcd (e, ф(n) )=1。 58 RSA算法操作過(guò)程 ? 密鑰產(chǎn)生 1. 取兩個(gè)大素?cái)?shù) p, q , 保密 。 ? n 為兩個(gè)大素?cái)?shù) p 和 q 之積（素?cái)?shù) p 和 q 一般為 100 位以上的十進(jìn)數(shù)）， e 和 d 滿足一定的關(guān)系。 ? 每個(gè)用戶有兩個(gè)密鑰：加密密鑰 PK ? {e, n} 和解密密鑰 SK ? {d, n}。 RSA算法得到更廣泛的使用。公鑰公開(kāi)，用于加密和驗(yàn)證簽名，私鑰保密，用作解密和簽名 ? A向 B 發(fā)送消息，用 B的公鑰加密 ? B收到密文后，用自己的私鑰解密 任何人向 B發(fā)送信息都可以使用同一個(gè)密鑰 (B的公鑰 )加密 沒(méi)有其他人可以得到 B 的私鑰，所以只有 B可以解密 明文 加密 算法 解密 算法 密文 A B A 的私鑰 明文 公鑰密碼系統(tǒng)的簽名原理 ? A向 B 發(fā)送消息，用 A的私鑰加密（簽名） ? B收到密文后，用 A的公鑰解密（驗(yàn)證） 55 對(duì)公鑰密碼算法的誤解 ? 公開(kāi)密鑰算法比對(duì)稱密鑰密碼算法更安全？ ? 任何一種算法都依賴于密鑰長(zhǎng)度、破譯密碼的工作量，從抗分析角度，沒(méi)有一方更優(yōu)越 ? 公開(kāi)密鑰算法使對(duì)稱密鑰成為過(guò)時(shí)了的技術(shù)？ ? 公開(kāi)密鑰很慢，只能用在密鑰管理和數(shù)字簽名，對(duì)稱密鑰密碼算法將長(zhǎng)期存在 ? 使用公開(kāi)密鑰加密，密鑰分配變得非常簡(jiǎn)單？ ? 事實(shí)上的密鑰分配既不簡(jiǎn)單，也不有效 56 2. RSA算法簡(jiǎn)介 ? 1977年由美國(guó)麻省理工學(xué)院 MIT(Massac