第13章 认证理论 （数字签名与认证协议）.ppt

第13章认证理论 (数字签名与认证协议)

数字签名是认证的重要工具
为什么需要数字签名:
报文认证用以保护双方之间的数据交换不被第三方侵犯;但它并不保证双方自身的相互欺骗。假定A发送一个认证的信息给B,双方之间的争议可能有多种形式:
B伪造一个不同的消息,但声称是从A收到的。
A可以否认发过该消息,B无法证明A确实发了该消息。
数字签名应满足的要求
收方能确认或证实发方的签字,但不能伪造;
发方发出签名后的消息,就不能否认所签消息;
收方对已收到的消息不能否认;
第三者可以确认收发双方之间的消息传送,但不能伪造这一过程
数字签名应具有的性质
必须能够验证签名者及其签名的日期时间;
必须能够认证被签名消息的内容;
签名必须能够由第三方验证,以解决争议;
注:数字签名功能包含了认证的功能。
数字签名的设计要求
签名必须是依赖于被签名信息的比特模式;
签名必须使用某些对发送者是唯一的信息,以防止双方的伪造与否认;
必须相对容易生成该数字签名;
必须相对容易识别和验证该数字签名;
伪造该数字签名在计算复杂性意义上具有不可行性,既包括对一个已有的数字签名构造新的消息,也包括对一个给定消息伪造一个数字签名;
在存储器中保存一个数字签名备份是现实可行的。

直接数字签名
仅涉及通信双方
有效性依赖发方密钥的安全性
仲裁数字签名
使用第三方认证
(DDS)
(1) AB: EKRa[M]
提供了认证与签名:
只有A具有KRa进行加密;
传输中无法被篡改;
需要某些格式信息/冗余度;
任何第三方可以用KUa 验证签名
(1’) AB: EKUb [EKRa(M)]
提供了保密(KUb)、认证与签名(KRa):
(cont.)
(2) AB: M||EKRa[H(M)]
提供认证及数字签名
-- H(M) 受到密码算法的保护;
-- 只有 A 能够生成 EKRa[H(M)]
(2’) AB: EK[M||EKRa[H(M)]]
提供保密性、认证和数字签名。

验证模式依赖于发送方的保密密钥;
发送方要抵赖发送某一消息时,可能会声称其私有密钥丢失或被窃,从而他人伪造了他的签名。
通常需要采用与私有密钥安全性相关的行政管理控制手段来制止或至少是削弱这种情况,但威胁在某种程度上依然存在。
改进的方式例如可以要求被签名的信息包含一个时间戳(日期与时间),并要求将已暴露的密钥报告给一个授权中心。
如X的私有密钥确实在时间T被窃取,敌方可以伪造X的签名并附上早于或等于时间T的时间戳。

引入仲裁者。
通常的做法是所有从发送方X到接收方Y的签名消息首先送到仲裁者A,A将消息及其签名进行一系列测试,以检查其来源和内容,然后将消息加上日期并与已被仲裁者验证通过的指示一起发给Y。
仲裁者在这一类签名模式中扮演敏感和关键的角色。
所有的参与者必须极大地相信这一仲裁机制工作正常。(trusted system)