第五章安全協(xié)議技術(shù)-數(shù)字簽名協(xié)議計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)數(shù)字簽名協(xié)議簽名（Signature），即自己寫自己的名字，尤其為表示同意、認(rèn)可、承擔(dān)責(zé)任或義務(wù)。傳統(tǒng)簽名的基本特點(diǎn)簽名是可信的：能與被簽的文件在物理上不可分割簽名是不可抵賴的：簽名者不能否認(rèn)自己的簽名簽名不能被偽造：除了合法者外，其他任何人不能偽造其簽名簽名是不可復(fù)制的：對(duì)一個(gè)消息的簽名不能通過復(fù)制的方式變?yōu)榱硗庖粋€(gè)消息的簽名簽名是不可改變的：經(jīng)簽名的消息不能被篡改容易被驗(yàn)證什么是簽名？安全協(xié)議技術(shù)數(shù)字簽名協(xié)議數(shù)字簽名：DigitalSignature：就是附加在數(shù)據(jù)上的一些特殊數(shù)據(jù)，或是對(duì)數(shù)據(jù)所作的密碼變換。這種特殊數(shù)據(jù)或密碼變換允許接收者用以確認(rèn)數(shù)據(jù)的來源、完整性等數(shù)字簽名是傳統(tǒng)簽名的數(shù)字化能與所簽文件“綁定”簽名者不能否認(rèn)自己的簽名容易被自動(dòng)驗(yàn)證簽名不能被偽造什么是數(shù)字簽名？安全協(xié)議技術(shù)數(shù)字簽名協(xié)議數(shù)字簽名是一個(gè)五元組(P,A,K,S,V)：P是所有消息組成的有限集A是所有可能的簽名組成的有限集K是所有可能的密鑰組成的有限集S簽名算法D驗(yàn)證算法數(shù)字簽名的形式化描述安全協(xié)議技術(shù)數(shù)字簽名協(xié)議可分為兩類：直接數(shù)字簽名方案（directdigitalsignature）：簽名者直接對(duì)需要簽名的消息進(jìn)行簽名。基于仲裁的數(shù)字簽名方案（arbitrateddigitalsignature）：有一個(gè)可信第三方對(duì)消息進(jìn)行簽名

。數(shù)字簽名的分類安全協(xié)議技術(shù)數(shù)字簽名協(xié)議五元組(P,A,K,S,V)P：是所有消息組成的有限集A：是所有可能的簽名組成的有限集K：一對(duì)密鑰，一個(gè)公開，一個(gè)保密S：簽名算法，用私鑰產(chǎn)生一個(gè)消息對(duì)應(yīng)的簽名消息D：驗(yàn)證算法，用公鑰驗(yàn)證簽名消息與消息的對(duì)應(yīng)關(guān)系基于非對(duì)稱密碼算法的數(shù)字簽名安全協(xié)議技術(shù)數(shù)字簽名協(xié)議哈希函數(shù)是一種特殊的單向函數(shù)單向函數(shù)：正向計(jì)算容易，反向計(jì)算困難：x

f(x)容易，f(x)

x困難抗碰撞性：已知x1

f(x)，找到另外一個(gè)x2

f(x)不容易哈希函數(shù)特征：輸入任意長輸出固定長度抗碰撞性：輸入不同，輸出也不同哈希函數(shù)常用的哈希函數(shù)：MD5：輸出128位SHA-1：輸出256位安全協(xié)議技術(shù)數(shù)字簽名協(xié)議基于RSA的數(shù)字簽名利用RSA公鑰算法實(shí)現(xiàn)數(shù)字簽名標(biāo)準(zhǔn)（DSS）利用數(shù)字簽名算法（DSA）實(shí)現(xiàn)數(shù)字簽名的實(shí)現(xiàn)方法安全協(xié)議技術(shù)基于非對(duì)稱加密算法RSA的數(shù)字簽名相關(guān)標(biāo)準(zhǔn)包括：CCITTX.509ANSIX9.31ISO9796數(shù)字簽名協(xié)議基于RSA的數(shù)字簽名安全協(xié)議技術(shù)數(shù)字簽名協(xié)議基于RSA的數(shù)字簽名RSA算法函數(shù)表示：f(x)=xemodn其中n=pq,

p

和q

都是大的隨機(jī)素?cái)?shù)，e

是（p-1）和（q-1）互素上述RSA函數(shù)被猜想是一個(gè)陷門單向函數(shù)，其中的陷門是：f-1(x)=xdmodn，其中：安全協(xié)議技術(shù)數(shù)字簽名協(xié)議基于RSA的數(shù)字簽名X.509中關(guān)于p、q的要求：p、q必須隨機(jī)選擇p、q必須足夠大p、q必須為素?cái)?shù)p－q的絕對(duì)值必須足夠大（p＋1）必須具有一個(gè)大的素因子（q＋1）必須具有一個(gè)大的素因子（p－1）必須具有一個(gè)大的素因子：r（q－1）必須具有一個(gè)大的素因子：s（r－1）必須具有一個(gè)大的素因子（s－1）必須具有一個(gè)大的素因子安全協(xié)議技術(shù)數(shù)字簽名協(xié)議基于RSA的數(shù)字簽名X.509中關(guān)于e的選擇e必須符合整個(gè)公鑰基礎(chǔ)設(shè)施的要求，從而減少傳輸和變換的復(fù)雜性e必須足夠大，但是又要保證在計(jì)算時(shí)間和存儲(chǔ)空間上的高效性如果允許公用的e，則可以考慮采用費(fèi)馬（Fermat）數(shù)：安全協(xié)議技術(shù)數(shù)字簽名協(xié)議M||K’bDK’b(H(M))HHM比較DEBobAliceKb基于RSA的數(shù)字簽名安全協(xié)議技術(shù)數(shù)字簽名協(xié)議數(shù)字簽名標(biāo)準(zhǔn)（DSS：DataSignatureStandard）美國國家標(biāo)準(zhǔn)技術(shù)研究所（NIST）公布的美國聯(lián)邦信息處理標(biāo)準(zhǔn)FIPSPUB186DSS最早發(fā)表于1991年，并于1993年和1996年進(jìn)行了修改。DSS基于安全散列算法（SHA）并設(shè)計(jì)了一種新的數(shù)字簽名技術(shù)，即DSA（數(shù)字簽名算法）。數(shù)字簽名標(biāo)準(zhǔn)安全協(xié)議技術(shù)數(shù)字簽名協(xié)議DSA具有一組全局參數(shù)

(p,q,g):p：大素?cái)?shù)2L-1<p<2L

其中

L=512～1024bits，且是64的整數(shù)倍q：長度大于160bit的素?cái)?shù)q是

p-1的一個(gè)素因子2159<q<2160

g：g=h(p-1)/q(modp)其中h是一個(gè)整數(shù)，且滿足1<h<p-1（因此h(p-1)/q(modp)>1

）DSS的參數(shù)安全協(xié)議技術(shù)數(shù)字簽名協(xié)議參數(shù)

p,q,g的確定:第一步：確定一個(gè)160位的素?cái)?shù)q第二步：選擇一個(gè)長度在512～1024間的一個(gè)素?cái)?shù)p，要求（p－1）能夠被q整除第三步：選擇一個(gè)大于1且小于（p－1）的整數(shù)h，并計(jì)算g=h(p-1)/q(modp)(其中g(shù)>1)DSS參數(shù)如何確定？安全協(xié)議技術(shù)數(shù)字簽名協(xié)議用戶密鑰對(duì)私鑰：用戶的私有密鑰x必須是一個(gè)1~(p-l)之間的隨機(jī)數(shù)或偽隨機(jī)數(shù)（即1<x<p）公鑰：公開密鑰y利用私有密鑰計(jì)算出來的：y=gxmodp

用戶密鑰對(duì)的產(chǎn)生：選擇x，計(jì)算yDSS的密鑰安全協(xié)議技術(shù)數(shù)字簽名協(xié)議DSS的簽名過程簽名過程：輸入：全局參數(shù)：p,q,g私鑰：x待簽名消息：MHash函數(shù)：H＝SHA-1一個(gè)隨機(jī)數(shù)或偽隨機(jī)數(shù)k輸出：安全協(xié)議技術(shù)數(shù)字簽名協(xié)議DSS的簽名過程MHf1f2pqgkqxsr||MsrH：哈希函數(shù)，SHA-1f1：哈希函數(shù)，SHA-1f2：哈希函數(shù)，SHA-1安全協(xié)議技術(shù)數(shù)字簽名協(xié)議DSS的驗(yàn)證過程驗(yàn)證過程：輸入：全局參數(shù)：p,g公鑰：y待驗(yàn)證消息：M’簽名r’，s’Hash函數(shù)：H＝SHA-1一個(gè)隨機(jī)數(shù)或偽隨機(jī)數(shù)k輸出：操