GE的组织沟通能力(简介).ppt

数字签名
曹天杰
中国矿业大学计算机学院
数字签名的基本概念
一个签名方案是一个满足下列条件的五元组( P, A, K, S, V ):
1)P是所有可能的消息组成的有限集。
2)A是所有可能的签名组成的有限集。
3)K是所有可能的密钥组成的有限集。
4)对每一个k∈K,有一个签名算法Sk∈S和一个相应的验证算法Vk∈V。对每一个消息x∈P和每一个签名y∈A,每一个签名算法Sk:PA和验证算法Vk:P×A{0, 1}都满足:当y=Sk ( x )时,Vk ( x, y )=1,否则Vk ( x, y )=0。
数字签名的基本概念
数字签名具备以下主要特点:
不可伪造性。
不可否认性。
保证消息的完整性。
RSA签名
签名者取两个随机大素数p和q(保密),计算公开的模数n=pq(公开),计算秘密的欧拉函数(n) =(p-1)(q-1)(保密)。
随机选取整数e,满足gcd(e, (n))=1(公开e,验证密钥)
计算d,满足de≡1(mod (n))(签名密钥)
签名:y=H(x)d (mod n), 把x||y发送给验证者
验证:检查下式是否成立yd=H(x) (mod n).
ye
H(x)d
比较
消息
x
消息
x
y
消息
x
y
H
H(x)
ye
RSA签名标准PSS
对RSA数字签名的攻击
(1)一般攻击
(2)利用已有的签名进行攻击
(3)利用签名进行攻击获得明文
(4)对先加密后签名方案的攻击
一般攻击
由于RSA密码的加密运算和解密运算具有相同的形式,都是模幂运算。设e和n是用户A的公开密钥,所以任何人都可以获得并使用e和n。攻击者首先随意选择一个数据Y,并用A的公开密钥计算X=Y e mod n,于是便可以用Y伪造A的签名。因为X是A对Y的一个有效签名。
这种攻击实际上的成功率是不高的。因为对于随意选择的Y,通过加密运算后得到的X具有正确语义的概率是很小的。
可以通过认真设计数据格式或采用Hash函数与数字签名相结合的方法阻止这种攻击。
利用已有的签名进行攻击
假设攻击者想要伪造A对M3的签名,他很容易找到另外两个数据M1和M2,使得
M3=M1 M2 mod n,
他设法让A分别对M1和M2进行签名:
S1=( M1 ) d mod n,
S2=( M2 ) d mod n。
于是攻击者就可以用S1和S2计算出A对M3的签名S3:
( S1 S2 ) mod n=( ( M1 ) d ( M2 ) d ) mod n
=( M3 ) d mod n=S3。
对付这种攻击的方法是用户不要轻易地对其他人提供的随机数据进行签名。更有效的方法是不直接对数据签名,而是对数据的Hash值签名。
利用签名进行攻击获得明文
设攻击者截获了密文C,C=M e mod n,他想求出明文M。于是,他选择一个小的随机数r,并计算
x=r e mod n,
y=x C mod n,
t=r–1 mod n。
因为x=r e mod n,所以x d=( r e ) d mod n,r=x d mod n。然后攻击者设法让发送者对y签名,于是攻击者又获得
S=y d mod n
攻击者计算
t S mod n=r−1 y d mod n
=r−1 x d C d mod n=C d mod n=M,
于是攻击者获得了明文M。
对付这种攻击的方法也是用户不要轻易地对其他人提供的随机数据进行签名。最好是不直接对数据签名,而是对数据的Hash值签名。