数字签名，密钥管理

nullnull2012年4月8日计算机安全技术与实践 数字签名，密钥管理为了承诺为了承诺数字签名是密码学发展过程中的最重要的概念之一。数字签名可以提供其他方法难以实现的安全性---抗抵赖。 抵抗内部攻击！数字签名 Digital Signature数字签名 Digital Signature加密 报文鉴别 数字签名 抵制通信双方的抵赖 对方(自己)否认发送过或收到过某个报文 向对方表明自己的身份 数字签名数字签名消息认证基于共享秘密，不能防止抵赖 只是2方合作抵抗第3方窜改/假冒 共享的秘密不具有排他性质 双方有同样的不分彼此地能力；因此对某个报文的存在和有效性，每一方都不能证明是自己所为，或者是和自己无关 特异性 要想实现类似签名的安全能力，必须使每个人使用独有的秘密 考察手写签名的特性考察手写签名的特性签名的含义 签名者慎重表达认可文件内容的意向的行为 主要形式 手写签名、签章、手指纹印(其他生物技术) 特性 不可伪造，特异性 不可重用，日期和时间相关性 不可改变，能发现涂改、转移意义或用途 不可抵赖，能够质证 可仲裁的，可做为法律证据数字签名: 要适应的新变化数字签名: 要适应的新变化数字签名 手写签名 数字文件 纸版文件 数字小文件 手写字（签章） 如何绑定? 同一页纸 关于扫描手写字迹、鼠标手写 No!手写签名的数字化改造手写签名的数字化改造数学支持－签名函数 被签署的是文件(大文件) 签名生成另外一个文件(小文件) 签名过程一定有签署人的身份和某种秘密(别人不知的)参与 简单易行 计算/存储 签名函数报文（大）报文签名（小）身份和秘密用私钥加密当作签名用私钥加密当作签名主要操作 输入 报文明文、私钥 m^d = s 输出 报文明文、报文密文(签名) (m, s) 验证 s^e =? m 是否满足签名要求的特性 讨论 私钥(其实是公钥)的管理: 和身份绑定、更新等 签名过程太慢: 启用散列函数 改进 对报文的散列值用私钥加密得到和n等宽的签名值数字签名的一般模型数字签名的一般模型数字签名过程机制数字签名过程机制无中心数字签名无中心数字签名直接使用自己的私钥加密作为签名 无中心 存在问题 声称私钥被偷窃而抵赖。虽然可以给报文添加时间戳，并要求用户必须及时挂失私钥，但是盗用者仍可以伪造较早期的签名。 引入中心可以有很多优点，同时也很多缺点。 有信任中心帮助的签名有信任中心帮助的签名优点：可以简化用户的考虑，甚至可以使用对称算法 缺点：中心的安全故障、在线瓶颈、可靠性等问题 13.1a PKCS#1V2.1 Outline13.1a PKCS#1V2.1 OutlineRSA public key ：(n，e) RSA private key：(n，d) ed≡1 mod λ(n) 其中λ是n的(素因子-1)的LCM I2OSP (Integer-to-Octet-String primitive) 给定正整数x，输出字节串X=X1X2X3… x＝2560X1＋2561X2＋2562X3＋… OS2IP (Octet-String-to-Integer primitive) 输入字节串，返回整数值RSA PrimitiveRSA Primitive RSAEP ((n, e), m) c = me mod n RSADP ((n,d), c) m = cd mod n RSASP1((n,d), m) s = md mod n RSAVP1((n,e), s) m = se mod nEncryption SchemesEncryption SchemesES RSAES-OAEP (Optimal Asymmetric Encryption Padding) new, recommended RSAES-PKCS1-v1_5 obsolete RSAES-OAEP EME-OAEP＋RSAEP/RSADP RSAES-PKCS1-v1_5 EME-PKCS1-v1_5＋RSAEP/RSADPRSAES-OAEPRSAES-OAEPRSAES-OAEP-ENCRYPT((n, e), M, L) Option: Hash of hLen-byte MGF mask generation function (output, an octet string) mLen <= k-2hLen-2 L optional label to be associated with the message |L| <= 2^61-1 octets for SHA-1 EME-OAEP encoding EM = 0x00 || maskedSeed || maskedDB m = OS2IP (EM) c = RSAEP ((n, e), m) C = I2OSP (c, k) RSAES-OAEP-DECRYPT (K＝(n, d), C, L)EME-OAEP encoding operation EME-OAEP encoding operation Signature schemes with appendixSignature schemes with appendixSS RSASSA-PSS (Probabilistic Signature Scheme) new, recommended RSASSA-PKCS1-v1_5 obsolete RSASSA-PSS EMSA-PSS＋RSASP1/RSAVP1 RSASSA-PKCS1-v1_5 EMSA-PKCS1-v1_5＋RSASP1/RSAVP1RSASSA-PSSRSASSA-PSSRSASSA-PSS-SIGN (K=(n,d), M) EM = EMSA-PSS-ENCODE (M, modBits – 1) m = OS2IP (EM) s = RSASP1 (K, m) S = I2OSP (s, k) RSASSA-PSS-VERIFY ((n, e), M, S) RSASSA-PKCS1-v1_5RSASSA-PKCS1-v1_5RSASSA-PKCS1-V1_5-SIGN (K＝(n, d), M) EM = EMSA-PKCS1-V1_5-ENCODE (M, k) m = OS2IP (EM) s = RSASP1 (K, m) S = I2OSP (s, k) RSASSA-PKCS1-V1_5-VERIFY((n, e), M, S) Encoding methods for signatures with appendixEncoding methods for signatures with appendixEM EMSA-PSS EMSA-PKCS1-v1_5 EMSA-PSS EMSA-PSS-ENCODE (M, emBits) EMSA-PSS-VERIFY (M, EM, emBits) EMSA-PKCS1-v1_5 EMSA-PKCS1-v1_5-ENCODE (M, emLen) EMSA-PSS encoding operationEMSA-PSS encoding operationEMSA-PKCS1-v1_5EMSA-PKCS1-v1_5EMSA-PKCS1-v1_5-ENCODE (M, emLen) Option: Hash of hLen-byte emLen at least tLen + 11 H = Hash (M) T = HashID＋H (ASN.1编码) DigestInfo ::= SEQUENCE { digestAlgorithm AlgorithmIdentifier, digest OCTET STRING } PS: emLen-tLen-3(8+B) octets with value 0xff EM = 0x00 || 0x01 || PS || 0x00 || T 对HASH的ASN.1编码 (in EMSA-PKCS1-v1_5)对HASH的ASN.1编码 (in EMSA-PKCS1-v1_5)MD2 ref layman’s guide 30 20 30 0c 06 08 2a 86 48 86 f7 0d 02 02 05 00 04 10 || H MD5 30 20 30 0c 06 08 2a 86 48 86 f7 0d 02 05 05 00 04 10 || H SHA-1 30 21 30 09 06 05 2b 0e 03 02 1a 05 00 04 14 || H SHA-256 30 31 30 0d 06 09 60 86 48 01 65 03 04 02 01 05 00 04 20 || H SHA-384 30 41 30 0d 06 09 60 86 48 01 65 03 04 02 02 05 00 04 30 || H SHA-512 30 51 30 0d 06 09 60 86 48 01 65 03 04 02 03 05 00 04 40 || H{回顾ElGamal加密体制}{回顾ElGamal加密体制}准备 素数p，Zp*中本原元g，公开参数 私钥a，公钥b=ga mod p 加密 对明文1<=m<=p-1，选随机数k 密文(c1, c2) c1=gk mod p, c2=mbk mod p 解密 m＝c2 (c1a)-1＝mbk ((gk)a)-1 ＝m(ga)k (g-ka) ＝m mod pnullZp满足离散对数问题难解，α是生成元 设P ＝ Zp* ，A＝ Zp*×Zp-1 K ＝{(p,α, a,β), β=αa (mod p) } 私钥是a 签名时，取秘密随机数k∈Zp-1*， 定义sig(x,k) = (γ,δ), ＝(αk mod p, (x-aγ)k-1 mod (p-1)) 验证 ver(x, (γ,δ))： βγγδ＝?αx mod p验证正确性证明验证正确性证明如果 (x,γ,δ)是真实签名 βγγδ＝αaγαkδ＝αaγ+kδ 而 δ ＝ (x-aγ) k-1 mod Φ(p) 即 aγ＝x-kδ mod Φ(p) 故 βγγδ ＝ αnΦ(p)+x-kδ+kδ ＝αnΦ(p)+x ＝αnΦ(p)αx ＝ αx mod p 其实δ就是签名时从 kδ＋aγ＝x解出来得签名计算实例签名计算实例p＝467，α＝2，a＝127，则 β＝αa mod p ＝ 2127 mod 467 ＝ 132 签名x＝100，取k＝213(注: k得和p-1互素)，则 k-1＝213-1 mod 466 = 431 γ＝αk mod p ＝ 2213 mod 467 ＝ 29 δ＝ (x-aγ) k-1 mod Φ(p) ＝ (100-127×29)×431 mod 466 ＝51 签名值：（100，(29,51)）验证计算实例验证计算实例p＝467，α＝2，a＝127, β＝ 132 （x,(γ,δ)）＝（100，(29,51)） 判断是否：βγγδ＝αx mod p 事实上 βγγδ＝13229×2951＝189 mod 467 αx＝2100＝189 mod 467 而且，如果（100，(29,51)）的任何改变都会导致验证失败 数字签名数字签名标准Digital Signature Standard （DSS） Digital Signature Algorithm （DSA） DSS标准－DSA FIPS 186 NIST 1991 1993 只能签名，不能加密 概念对比 RSA：M＋Eki(H(M))，ki是私钥 DSS：M＋Eki(H(M), k)，ki是私钥 k是随机数 图示 RSA vs. DSS图示 RSA vs. DSS DSADSA准备 素数p，约512＋比特； 素数q，约160比特，要求是p-1的因子 选择g＝h^(p-1/q) mod p 密钥 用户私钥x，x申请

关于撤销行政处分的申请关于工程延期监理费的申请报告关于减免管理费的申请关于减租申请书的范文关于解除警告处分的申请