【正文】 ?抗偽造：偽造一個(gè)數(shù)字簽名在計(jì)算上不可行 (不可模仿性 ) ?可用性：數(shù)字簽名的生成和驗(yàn)證必須相對(duì)簡(jiǎn)單 . 102 兩種數(shù)字簽名方案 103 RSA的數(shù)字簽名 ?初始化： m：簽名的消息 簽名者的私鑰： d；公鑰： (e,n) ?簽名： 計(jì)算 m的哈希值 H(m). 簽名值 s=(H(m） )d mod n ?驗(yàn)證： 計(jì)算 H1=se mod n 判斷 H1=H(m)是否成立。 ?解決辦法 ? 不可否認(rèn)性 99 數(shù)字簽名 ?傳統(tǒng)簽名的基本特點(diǎn) : ? 能與被簽的文件在物理上不可分割 ? 簽名者不能否認(rèn)自己的簽名 ? 簽名不能被偽造 ? 容易被驗(yàn)證 ?數(shù)字簽名是傳統(tǒng)簽名的數(shù)字化 ,基本要求 : ? 能與所簽文件“綁定” ? 簽名者不能否認(rèn)自己的簽名 ? 簽名不能被偽造 ? 容易被驗(yàn)證 100 數(shù)字簽名 —— 抗抵賴性 用戶 A 用戶 B 數(shù)據(jù) 哈希值 哈希算法 用戶 A的私鑰 數(shù)據(jù) 哈希值 用戶 A的公鑰 哈希算法 哈希值 如果哈希值匹配，說(shuō)明該數(shù)據(jù)由該私鑰簽名。因此在數(shù)學(xué)上比加密算法被攻擊的弱點(diǎn)要少 95 MAC的動(dòng)機(jī) ?為了鑒別而加密整個(gè)報(bào)文不夠方便 ? 對(duì)稱加密整個(gè)報(bào)文是個(gè)浪費(fèi) ? 即使同時(shí)為了保密，也有另外的辦法和體制 ? 用非對(duì)稱加密速度太慢，每秒僅百來(lái)筆 ? 后來(lái)引入了簽名體制 ?鑒別和加密的分離帶來(lái)靈活性 ? 確實(shí)有時(shí)只要鑒別而不用 (或不能 )加密 ? 如法律文書、公開信、聲明、公告、公證、鑒定等 ? 如軟件鑒別 /防病毒、網(wǎng)絡(luò)管理報(bào)文等 96 97 MAC的用法 HMAC ?把 HASH值和一個(gè) Key結(jié)合起來(lái) ? 不需要可逆 ?目標(biāo) ? 既能使用當(dāng)前的 HASH函數(shù)，又可容易升級(jí)為新的 HASH函數(shù)，并能保持散列函數(shù)的安全性 ? 簡(jiǎn)單，并易進(jìn)行密碼學(xué)分析 98 MAC不能解決的問(wèn)題 ?發(fā)送者否認(rèn)發(fā)送過(guò)消息，聲稱是別人偽造。 ?輸入：最大長(zhǎng)度為 264位的消息； ?輸出： 160位消息摘要； ?處理：輸入以 512位數(shù)據(jù)塊為單位處理 . 91 比較 SHA1/ MD5 ?散列值長(zhǎng)度 ? MD5 128bits SHA1 160bits ?安全性 ? SHA1看來(lái)好些，但是 SHA1的設(shè)計(jì)原則沒(méi)有公開 ?速度 ? SHA1慢些 （ openssl speed md5/sha1） type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes md5 sha1 92 消息鑒別碼 93 ?在網(wǎng)絡(luò)通信中，有一些針對(duì)消息內(nèi)容的攻擊方法 ? 偽造消息 ? 竄改消息內(nèi)容 ? 改變消息順序 ? 消息重放或者延遲 ?消息認(rèn)證：對(duì)收到的消息進(jìn)行驗(yàn)證，證明確實(shí)是來(lái)自聲稱的發(fā)送方，并且沒(méi)有被修改過(guò)。 ? 對(duì)于給定的消息 x，要發(fā)現(xiàn)另一個(gè)消息 y滿足 H（ y）＝ H（ x）在計(jì)算上是不可行的。 ?對(duì)干任意給定的 x， H（ x）的計(jì)算相對(duì)簡(jiǎn)單。 ? 強(qiáng)抗碰撞性 : 尋求對(duì)任何的 (x, y)對(duì) , 使得 H(x)=H(y)在計(jì)算上不可行 . 86 Hash函數(shù)的特點(diǎn) ?H能夠應(yīng)用到任意長(zhǎng)度的數(shù)據(jù)上。 83 小結(jié) ? RSA ? 數(shù)學(xué)基礎(chǔ) : IFP(Integer Factorization Problem) ? 加 /解密、密鑰交換、數(shù)字簽名 ? 使用最廣泛 ?ECC ? 密鑰長(zhǎng)度短 ?DiffieHellman ? 密鑰交換算法 84 哈希函數(shù)和數(shù)字簽名 ?理解哈希函數(shù) 、數(shù)字簽名 特點(diǎn)和作用 ?了解 MD5算法、 SHA1算法的工作原理和特點(diǎn) ?理解消息鑒別碼特點(diǎn)和作用，了解 MAC、 HMAC的原理和應(yīng)用 ?理解數(shù)字簽名的原理和應(yīng)用，了解 DSA和 RSA簽名方案 85 Hash函數(shù) ?Hash函數(shù) 是將任意長(zhǎng)度的消息映射成一個(gè)較短的 定長(zhǎng)輸出報(bào)文的函數(shù) ,如下形式 : ? h = H(M), M是變長(zhǎng)的報(bào)文 ,h是定長(zhǎng)的散列值 . ?數(shù)學(xué)性質(zhì)：對(duì)任意給定的 x, H(x) 易于 (軟硬件實(shí) 現(xiàn) )計(jì)算，且滿足： ? 單向性 : 對(duì)任意給定的碼 h, 尋求 x使得 H(x)=h 在計(jì)算上是不可行的 。 ? 對(duì)稱密碼算法將長(zhǎng)期存在。 79 基于公鑰密碼的加密過(guò)程 80 Alice Bob 基于公鑰密碼的鑒別過(guò)程 81 Alice Bob 公鑰密碼體制的優(yōu)缺點(diǎn) ?優(yōu)點(diǎn)： ? 解決密鑰傳遞的問(wèn)題 ? 大大減少密鑰持有量 ? 提供了對(duì)稱密碼技術(shù)無(wú)法或很難提供的服務(wù)（數(shù)字簽名） ?缺點(diǎn)： ? 計(jì)算復(fù)雜、耗用資源大 ? 非對(duì)稱會(huì)導(dǎo)致得到的密文變長(zhǎng) 82 對(duì)公鑰密碼算法的誤解 ?公鑰密碼算法比對(duì)稱密碼算法更安全？ ? 任何一種現(xiàn)代密碼算法的安全性都依賴于密鑰長(zhǎng)度、破譯密碼的工作量，從對(duì)抗分析角度，沒(méi)有一方更優(yōu)越。 ?橢圓曲線密碼體制是目前已知的公鑰體制中，對(duì)每比特所提供加密強(qiáng)度最高的一種體制。 73 運(yùn)算速度 ? 軟件實(shí)現(xiàn)比 DES 慢 100倍 ? 硬件實(shí)現(xiàn)比 DES慢 1000倍 橢圓曲線密碼體制 ?橢圓曲線上的離散對(duì)數(shù)問(wèn)題 ? 點(diǎn) Q和點(diǎn) P是有限域上的橢圓曲線的兩個(gè)點(diǎn)，在等式 mP=P+P+…+P=Q 中，已知 m和點(diǎn) P求點(diǎn) Q比較容易，反之已知點(diǎn) Q和點(diǎn) P求 m卻是相當(dāng)困難的，這個(gè)問(wèn)題稱為橢圓曲線上點(diǎn)群的離散對(duì)數(shù)問(wèn)題。 ? 數(shù)學(xué)攻擊：等效于對(duì)兩個(gè)素?cái)?shù)乘積 (n)的因子分解。 計(jì)算 d， 使得 ed ≡ 1 mod 96 , 即 ed= k*96+1, 取 k=4， 則 d= 77 公開 (e,n)=(5,119)， 將 d 保密 ， 丟棄 p, q。 5. 尋找 d， 使得： de ≡1 mod ф(n) , 作為私鑰保密，即 de =kф(n) +1。 3. 計(jì)算歐拉函數(shù) ф(n) =(p1)(q1)； 4. 任意取一個(gè)與 ф(n) 互素的小整數(shù) e， 即 gcd (e,ф(n) )=1。 68 (Left to Right: Ron Rivest, Adi Shamir, Len Adleman) 2022年圖靈獎(jiǎng)獲得者 RSA2022 69 RSA算法操作過(guò)程 密鑰產(chǎn)生 1. 取兩個(gè)大素?cái)?shù) p, q , 保密 。 ?該算法的數(shù)學(xué)基礎(chǔ)是初等數(shù)論中的 Euler（歐拉 )定理，并建立在大整數(shù)因子的困難性之上。 ?RSA是一種分組加密算法。 3. 兩個(gè)密鑰中任何一個(gè)都可以用作加密而另一個(gè)用作解密（不是必須的）。 ?同時(shí) ，要想由一個(gè)密鑰推知另一個(gè)密鑰， 在計(jì)算上是不可能的 。 ?與 只使用單一密鑰的傳統(tǒng)加密技術(shù)相比，它在 加解密 時(shí)，分別使用了兩個(gè)不同的密鑰 ： ? 一 個(gè)可對(duì)外界公開，稱為“公鑰” ； ? 一 個(gè)只有所有者知道，稱為“私鑰” 。 ?NIST對(duì) AES的評(píng)判標(biāo)準(zhǔn) ?安全性因素，包括：抗攻擊能力、數(shù)學(xué)基礎(chǔ)和分析、與其他算法安全性比較 ?成本因素，包括運(yùn)行速度、存儲(chǔ)空間、知識(shí)產(chǎn)權(quán) 59 AES特點(diǎn) 數(shù)據(jù)分組長(zhǎng)度 128bits； 密鑰長(zhǎng)度 128/192/256 bits； 加密過(guò)程是在一個(gè) 4 4的字節(jié)矩陣（ state）上實(shí)施 能有效 抵抗目前已知的攻擊算法 ? 線性 攻擊、差分攻擊 60 對(duì)稱密碼算法的優(yōu)缺點(diǎn) ? 優(yōu)點(diǎn)： ? 效率高，算法簡(jiǎn)單，系統(tǒng)開銷小 ? 適合加密大量數(shù)據(jù) ? 明文長(zhǎng)度與密文長(zhǎng)度相等 ? 缺點(diǎn)： ? 需要以安全方式進(jìn)行密鑰交換 ? 密鑰管理復(fù)雜 61 小結(jié) ?DES是應(yīng)用最廣泛的對(duì)稱密碼算法（由于計(jì)算能力的快速進(jìn)展， DES已不再被認(rèn)為是安全的）； ?IDEA在歐洲應(yīng)用較多； ?AES將是未來(lái)最主要，最常用的對(duì)稱密碼算法。 ?2022年 11月， NIST將 AES定為聯(lián)邦信息處理標(biāo)準(zhǔn)FIPS PUB197。 57 高級(jí)數(shù)據(jù)加