PPT《第二部分 密码学》

如果di为ei的逆,解密则通过mi=Ddi(ci)完成. 2.1.4 现代密码学主要技术(续) 公钥加密 定义7 一个由加密函数集{Ee: e?K}和解密函数集{Dd: d?K}组成加密方案,每一个相关联的加/解密密钥对(e, d),加密密钥e公开,称为公开密钥,而解密密钥d保密,称为秘密密钥. # 显然安全公钥密码系统要求从e计算d为不可能. 2.1.4 现代密码学主要技术(续) 公钥加密实例 Ee(m1)=c1 A1 Ee(m2)=c2 A2 Ee(m3)=c3 A3 Dd(c1)=m1 Dd(c2)=m2 Dd(c3)=m3 Bob e c1 e e c2 c3 # 因为存在替代攻击问题,公钥系统中公开密钥e必须认证,一般是建立PKI. 2.1.4 现代密码学主要技术(续) (2) 数字签名技术 基本术语 明文消息空间M:某个字母表中串的集合 签名空间S:可能的签名集合 签名密钥空间K:用于生成签名的可能密钥集,具体取值k需要保密 验证密钥空间K'

:用于验证签名的可能密钥集,具体取值k'

需要公开 签名函数SK(m?M):从M到S的有效变换 验证函数VK'

(m?M, s):一个从M?S到输出{True, False}的有效变换 2.1.4 现代密码学主要技术(续) 签名过程 签名(签名者完成) 1) 对一条需要签名的消息m?M计算签名s=Sk(m). 2) 将对消息m 的签名(m, s)发送出去. 验证 (验证者完成) 1) 得到对应签名者的验证算法Vk'

,计算u=Vk'

(m, s). 2) 如果u=True,接受签名;

如果u=False,拒绝签名. 2.1.4 现代密码学主要技术(续) 签名和认证函数必须满足的性质 1) 当且仅当Vk'

(m, s)=True时,s是消息m的合法签名. 2) 对于任何签名者以外的实体在计算上不可能得到任意的一组mf和sf满足Vk'

(mf , sf)=True. 数字签名的争议解决(不可否认) 如果签名者和验证者对签名发生争议,可由验证者带着签名(m, s)提交给可信任第三方(TTP),由TTP验证该签名,最后进行仲裁. 2.1.4 现代密码学主要技术(续) 数字签名技术在公钥基础设施(PKI)中的应用 除非对密钥产生的认证性和合法性有足够的信任,否则公钥密码的优势就十分有限.公钥基础设施或简称PKI是一个框架.这个框架主要由一组策略组成.策略确切定义了关于密码系统运行和密钥产生和发布与证书的规则. X.509是设计用来在大型计算机网络中提供目录认证服务的国际标准.由于它本身是ISO/ITU 的一个标准,很多实用产品都基于它开发出来.例如,X.509被用在Visa和Mastercard的安全电子交易标准中. 2.1.4 现代密码学主要技术(续) 图2.3 X.509的结构原理 2.1.4 现代密码学主要技术(续) 2.1.4 现代密码学主要技术(续) 图2.4 证书认证过程 A1 A6 认证VT(A6 || e6 , s6) 秘密密钥 d6 A2, e2, ST(A2 || e2)=s2 A3, e3, ST(A3 || e3)=s3 A4, e4, ST(A4 || e4)=s4 e6, s6 Dd6(c)=m c = Ee6(m) Public file A1, e1, ST(A1 || e1)=s1 A5, e5, ST(A5 || e5)=s5 A6, e6, ST(A6 || e6)=s6 A2, e2, ST(A2 || e2)=s2 # 证书权威负荷小(离线、非交互、存储证书),权限低 2.1.4 现代密码学主要技术(续) 公钥证书的产生 情况1 可信方产生密钥对.可信方为实体产生公钥算法的密钥对,并将公开密钥和绑定身份的公钥证书通过公共信道发给该实体.实体在证明了自己的身份(例如,出示身份证或个人可信照片)后,将通过安全信道得到对应的秘密密钥. 情况2 实体产生自己的密钥对.实体产生自己的公钥算法的密钥对,并安全地将公开密钥传送给可信方(例如,通过可信通道或派人送达),这里主要是保证公开密钥的真实性.在验证了公开密钥来源的真实性后,可信方为公开密钥生成证书. 2.1.4 现代密码学主要技术(续) 证书链和证书路径 图2.5 证书链 2.1.4 现代密码学主要技术(续) (3) 认证与鉴别技术 鉴别或实体认证 定义9 鉴别或........