???? 博主 libin9iOak帶您 Go to New World.???
?? 個人主頁——libin9iOak的博客??
?? 《面試題大全》 文章圖文并茂??生動形象??簡單易學(xué)！歡迎大家來踩踩~??
?? 《IDEA開發(fā)秘籍》學(xué)會IDEA常用操作，工作效率翻倍~??
???? 希望本文能夠給您帶來一定的幫助??文章粗淺，敬請批評指正！????

第五章 簽名

5.1消息認(rèn)證的概述

消息認(rèn)證又叫報(bào)文認(rèn)證，是消息的接收者驗(yàn)證消息的真實(shí)性和完整性的過程與技術(shù)。真實(shí)性就是驗(yàn)證消息發(fā)送者他是真實(shí)的而非假冒的。也就是說假如消息的發(fā)送者聲稱是張三，我們要驗(yàn)證一下這個張三他是否是真的張三，這個又叫做信源鑒別，就是信息的源頭鑒別它的真?zhèn)?。另外還要驗(yàn)證消息的完整性，就是驗(yàn)證消息在傳送或者存儲過程當(dāng)中沒有被篡改，存放、亂序或者延遲等攻擊。這個消息認(rèn)證是防止主動攻擊的重要技術(shù)，這個主動攻擊主要針對真實(shí)性和完整性進(jìn)行攻擊，主要包括假冒，假冒某個合法的實(shí)體發(fā)送一個消息。另外就是內(nèi)容修改，對消息的內(nèi)容進(jìn)行篡改，包括插入、刪除、轉(zhuǎn)換或者修改。還有順序的修改，對消息的順序進(jìn)行修改，因?yàn)橄⑼赡苡卸鄠€報(bào)文組成，這個時候?qū)ο⒌捻樞蜻M(jìn)行重新排列，也構(gòu)成了攻擊。即時修改是從時間的角度對消息進(jìn)行延遲，影響消息的時效性，或者截獲了消息之后重新來發(fā)送產(chǎn)生重放攻擊。

消息認(rèn)證的核心思路是什么樣？從兩個方面要保障真實(shí)性，可以使用數(shù)字簽名，跟我們現(xiàn)實(shí)生活當(dāng)中的簽名是一樣的。我們發(fā)送方在發(fā)送一個消息之前先對他做簽名，然后再發(fā)送，接收方收到之后就可以憑借這個簽名來驗(yàn)證這個消息的發(fā)送方它是否是真實(shí)的。采用數(shù)字簽名除了能夠保障真實(shí)性之外，還能夠抗抵賴，因?yàn)檫@個簽名簽好之后，白紙黑字簽字畫押，它是不能抵賴的。還可以使用對稱密碼體制，我們使用對稱密鑰，假設(shè)發(fā)送方接收方分別是a和b他們共享了一個密鑰k，如果接收方b收到了一個用k加密的密文，并且能夠用這個 K來正確的解密，這個時候接收方b它就可以斷定這個消息是來自于a的，因?yàn)槌怂?，只有a有這個密鑰k它才能夠產(chǎn)生這個密文。第二個方面保證完整性，保障這個完整性就是消息發(fā)送方假設(shè)他發(fā)送了一個消息m經(jīng)過了網(wǎng)絡(luò)的傳輸，有可能這個網(wǎng)絡(luò)會造成一些差錯，或者在傳輸過程當(dāng)中受到了攻擊。這個時候我們就把這個接收方收到的消息標(biāo)記為m一撇，這個保障完整性就是接觸方他去驗(yàn)證這個他接收到的消息m一撇與發(fā)送方發(fā)送的消息m它是否是一樣的一致的。如果不一致的話，就說明這個網(wǎng)絡(luò)可能產(chǎn)生了差錯或者受到了攻擊，如果一致的話就說明這個傳輸是沒有問題的，消息是完整的。這個消息認(rèn)證我們可以類比成快遞和外賣，今天想必同學(xué)們都在使用快遞或者點(diǎn)外賣，前段時間我看到過一些新聞報(bào)道，我們這個外賣員在運(yùn)送外賣的時候，破壞了外賣的完整性，在傳輸過程當(dāng)中把這個外賣打開了，然后做了一些這個品鑒工作。如何來保障這個外賣的真實(shí)性和完整性？從真實(shí)性的角度，外賣可以采用這個獨(dú)特的包裝，讓這個偽造很困難或者說這個成本很高。比如說我們這個點(diǎn)的鄉(xiāng)村雞的外賣，它就采用鄉(xiāng)村機(jī)自己獨(dú)特的包裝，讓別的商家或者攻擊者或者其他什么人難以去偽裝他的這個包裝，如何來保障這個外賣的完整性？同學(xué)們可以思考一下。

第一種方式，我覺得我們可以使用一個比較堅(jiān)固的一個盒子，然后把這個外賣給封裝起來，并且給它上一個鎖。這個鑰匙只有這個什么？呀商家和用戶手里面有，商家把這個外賣封裝在這個盒子里面之后，我們快遞員在傳輸過程當(dāng)中，它是沒有辦法打開這個盒子，然后做品鑒工作的。只有客戶收到這個外賣之后，用他手里的鑰匙把這個外賣打開才能夠去品嘗這個外賣。當(dāng)然這種方式的話，它的最大缺點(diǎn)就是什么？呀這個成本太高了。

另外需要在商家和客戶之間事先來傳遞這個鑰匙，這個挺麻煩的。另外一種方式就是可以采用特征標(biāo)簽的方式，什么叫特征標(biāo)簽？大家在使用快遞的時候，快遞上面是不是都有一個清單？包裹上面有一個紙條，上面通常是一個表單，上面通常會寫上這個快遞的發(fā)件人收件人，還有就是這快遞的一些特征，快遞的什么東西，我們就可以采用這樣的思路來保障我們消息的完整性。我們在發(fā)送消息之前，由發(fā)送方對消息產(chǎn)生一個標(biāo)簽，然后我們接收方接收到這個消息之后再去對這個接收到消息產(chǎn)生一個標(biāo)簽，然后這兩個標(biāo)簽我們來做一個對比，我們就可以判定這個消息它是否是完整的。

回到我們外賣這個例子當(dāng)中的話，我們使用特征標(biāo)簽，比如說我們這個有一個用戶今天點(diǎn)的午飯是二兩餃子，這個時候商家就可以事先對這個二兩餃子做一個標(biāo)簽，進(jìn)行特征標(biāo)簽，標(biāo)注上這是一份餃子，總共有多少個？比如說是10個，然后我們再給它稱一個比較精確的重量，它有多少克，然后這個時候就產(chǎn)生了一個標(biāo)簽，這個標(biāo)簽就記錄上我們這個外賣這份餃子有多少個有多少克。這個時候我們快遞員在運(yùn)送過程當(dāng)中，如果對它進(jìn)行了品鑒的話，勢必會影響這份餃子它的什么？它的數(shù)量和它的重量。

接收方接收到之后，然后就可以憑借這個標(biāo)簽來判定這個這一份的外賣有沒有被外賣員給攻擊，有沒有破壞它的完整性。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-pYq1IEQU-1687880835254)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image002.jpg)]

接下來我們來看一下消息認(rèn)證的模型，我們消息認(rèn)證的模型，大家看這樣一個圖，它類似于消息加密的模型，這里有信源、信速，信源要傳送一個消息給信速，信宿它要驗(yàn)證這個消息的完整性，消息的真實(shí)性，這個時候就需要信源事先對這個消息做一個認(rèn)證編碼，產(chǎn)生一個標(biāo)簽，然后把這個標(biāo)簽附加在，消息的上面或者后面，通過公開信道進(jìn)行傳輸，迅速收到了這個帶有認(rèn)證標(biāo)簽的信息之后，通過標(biāo)簽來進(jìn)行一個密碼工作，根據(jù)譯碼出來這個標(biāo)簽這個消息的特征信息，我們來驗(yàn)證消息它的真實(shí)性和完整性。通常這個消息的編碼和消息的密碼都需要借助密鑰，都需要使用一個密鑰k就需要有一個密鑰圓，然后還需要有一個安全的信道來傳輸這個密鑰。這個模型可以表達(dá)為一個三元組KTV，不是唱歌KTV，這k代表的是密鑰生成算法， t代表的是標(biāo)簽算法，也就是認(rèn)證編碼器產(chǎn)生一個標(biāo)簽，v是驗(yàn)證算法，也就是我們這個模型當(dāng)中認(rèn)證密碼器，要進(jìn)行一個驗(yàn)證工作。

5.2 認(rèn)證函數(shù)

我們剛才看到的消息認(rèn)證模型當(dāng)中的核心就是認(rèn)證編碼器和認(rèn)證譯碼器，這兩個東西我們把它抽象為認(rèn)證函數(shù)，那么這個認(rèn)證函數(shù)負(fù)責(zé)為發(fā)送方產(chǎn)生一個認(rèn)證的標(biāo)識或者標(biāo)簽，接收方憑借認(rèn)證標(biāo)識，完成對消息的鑒別和認(rèn)證。這個產(chǎn)生標(biāo)簽以及憑借標(biāo)簽來進(jìn)行我們消息的鑒別的過程，就是認(rèn)證協(xié)議，它是一套規(guī)程。

認(rèn)證函數(shù)分為三類，第一類是消息加密函數(shù)，就是用我們消息的密文作為我們消息的認(rèn)證標(biāo)簽，我們把一個消息加密，產(chǎn)生密文，然后把這個密文作為消息認(rèn)證的標(biāo)簽。

第二類就是消息認(rèn)證碼MAC，注意這個MAC不是我們講網(wǎng)絡(luò)當(dāng)中的物理地址，那么這個消息認(rèn)證碼是對信源消息的一個編碼函數(shù)，那么它通常憑借公開的呃函數(shù)或者公開的算法，然后和密鑰結(jié)合產(chǎn)生一個固定長度的一個認(rèn)證標(biāo)簽。

第三類是最常見的是散列函數(shù)，就通過散列函數(shù)又叫做數(shù)字指紋，然后產(chǎn)生一個固定長度的一個信息，或者說指紋，或者叫摘要，用這個固定長度的指紋或摘要作為我們消息認(rèn)證的這個認(rèn)證碼，用我們這個固定長度的消息指紋或者摘要作為我們消息認(rèn)證的標(biāo)識。

5.2.1 認(rèn)證函數(shù)

我們接下來看前兩類認(rèn)證函數(shù)，消息加密函數(shù)與認(rèn)證碼。

首先消息加密函數(shù)，消息加密函數(shù)是用消息自身的密文作為消息認(rèn)證標(biāo)簽，這個要求消息的發(fā)送方和接收方，他們事先約定一個密鑰，這個時候有了事先約定的共享密鑰k之后，信源首先發(fā)送這個消息m加上它的密文，這個密文就是用密鑰k來對明文m來做一個加密，然后把這個密文c作為消息的認(rèn)證標(biāo)簽，迅速接收到消息以及它的密文。這里由于這個消息經(jīng)過了網(wǎng)絡(luò)傳輸，同樣我們把這個消息經(jīng)過網(wǎng)絡(luò)傳輸之后標(biāo)記為m‘，也就是說迅速接收到的是m’和這個密文c.這里為什么c是不變？因?yàn)橹挥邪l(fā)送方和接收方他們才有、這個密鑰攻擊者沒有這個密鑰，所以它不能對這個密文做修改，而且即便對密文做修改，由于它沒有這個密鑰，所以這個很容易被檢測出來

通過用這個密文自身作為我們消息認(rèn)證碼，信宿怎么樣來進(jìn)行驗(yàn)證，信宿就可以把這個密文作為一個解密操作，就可以把它對應(yīng)的明文給恢復(fù)出來，也就是說恢復(fù)出m，這個m是我們發(fā)送之前的消息，這個時候接收方手里面它就有m和m一撇，他就可以把這兩個來作為一個比對，如果這兩者它是一致的一樣的，這個時候說明消息的傳遞過程當(dāng)中沒有發(fā)生攻擊或者網(wǎng)絡(luò)的差錯，如果這兩者不一樣，說明存在攻擊或者傳輸錯誤。

另外一種方法就是我們不用解密，用加密的操作，把接收到的消息m’做一個加密運(yùn)算，產(chǎn)生一個c’，這個同樣我們可以把這個 c’跟接觸方收到的 c拿來做比對，如果是一樣的，這名消息它是完整的，不一樣則證明消息不完整。把消息的密文作為我們消息認(rèn)證的標(biāo)簽，它的缺點(diǎn)也是很明顯的。缺點(diǎn)是什么？就是我們這個認(rèn)證標(biāo)簽通常與消息是等長的，因?yàn)椴捎眉用艿姆绞剑ǔ＿@個密文與明文是等長的，也就是說消息如果是n位的話，它滅亡也是n位的。這個時候要進(jìn)行消息認(rèn)證的傳輸，除了傳m還要傳這個 C，本來應(yīng)該只穿n位的消息，結(jié)果要穿什么？二n位的消息，也就是說本身消息m占了n位，現(xiàn)在還要穿它的密文又是n位，所以總共的傳輸開銷是二n位，所以開銷是倍增了。

接下來我們來看消息認(rèn)證碼，消息密碼也需要借助共享密鑰，假設(shè)通信雙方共享了密鑰k發(fā)送方使用密鑰k生成一個固定大小的短數(shù)據(jù)塊，然后將這個短數(shù)據(jù)塊附加在我們消息的后面作為消息的認(rèn)證標(biāo)簽，這個認(rèn)證標(biāo)簽如何來產(chǎn)生？MAC=Ck(m)也就是說對消息m用密鑰k來產(chǎn)生一個它的短的認(rèn)證碼，發(fā)送的時候，發(fā)送方將 m和這個附加的認(rèn)證標(biāo)簽MAC一起發(fā)送給接收方。同樣接收方收到消息標(biāo)記為m’和附帶的消息認(rèn)證碼MAC，這個時候我們接收方如何來進(jìn)行驗(yàn)證？這個消息認(rèn)證碼它類似于加密函數(shù)，但是它是不可逆的，因?yàn)樗幸粋€壓縮的作用在里頭，他把這個這個消息m把它壓縮成了一個固定大小的數(shù)據(jù)塊，所以它不具備可逆性，也就是說我們不能從這個 mac當(dāng)中把這個消息m給恢復(fù)出來，如何來驗(yàn)證？這個時候接收方它可以用密鑰k，用同樣的函數(shù)來產(chǎn)生一個新的認(rèn)證碼，MAC’，然后將這個產(chǎn)生的MAC’與接收到的附加的這個消息認(rèn)證碼MAC這兩個認(rèn)證碼來做一個比對。如果是相同的，說明這個消息傳遞過程當(dāng)中它是完整的，如果不相同說明這個消息它的完整性受到了破壞，這里是MAC的基本用法。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-p9HPgFm5-1687880835256)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image004.jpg)]

這有一張圖，假設(shè)信源是Bob，信數(shù)是Alice，這個時候抱抱就產(chǎn)生了消息m然后并且用這個認(rèn)證碼的算法c在密鑰的作用下面，我們產(chǎn)生了它的認(rèn)證碼，然后把這個認(rèn)證碼附加在這個消息的后面，一起傳輸給迅速Alice。我們愛麗絲收到這個附加的認(rèn)證碼的消息之后，首先把消息來用相同的方法，相同的密鑰k來產(chǎn)生一個新的認(rèn)證碼，然后將這個新的認(rèn)證碼與消息附帶的傳輸過來的認(rèn)證碼進(jìn)行一個比對操作，根據(jù)比對的結(jié)果來判斷消息它是否是完整的。

這個基本用法它只能提供認(rèn)證的功能，它是不保密的，因?yàn)橄它是明文傳輸?shù)?，如果我們既要?shí)現(xiàn)這個認(rèn)證，又需要保密的話，就需要在剛才那個過程當(dāng)中，在后面再加一個加密過程，這個時候就需要雙方有兩個共享密鑰，一個密鑰，k一用來產(chǎn)生認(rèn)證碼，另外一個密鑰k二就用來加密信息。這個過程前面的部分是一樣的，信源bub產(chǎn)生了消息m之后，用CAy一產(chǎn)生它的認(rèn)證碼，然后把認(rèn)證碼附加在消息的后面，然后再用k二來對這個附加了認(rèn)證碼的消息做一個加密預(yù)算，然后把它發(fā)送給Alice。X收到之后，這個消息最后是經(jīng)過加密的，所以它首先要用相同的密鑰k二來做一個減運(yùn)算，解密完了之后把這個消息當(dāng)中的消息和認(rèn)證碼這兩部分，分別分割開來，然后用這個消息m用k一來產(chǎn)生新的認(rèn)證碼，然后再把這個新產(chǎn)生的認(rèn)證碼跟我們消息附帶傳輸過來的認(rèn)證碼做一個對比。這兩個認(rèn)證碼，一個是消息傳輸之前產(chǎn)生的認(rèn)證碼，一個消息傳輸之后的認(rèn)證碼，兩個認(rèn)證碼一比對，如果是相同的代表消息是完整的，如果它是不相同的，代表消息完整性受到了破壞，可能有網(wǎng)絡(luò)傳輸?shù)牟铄e或者是攻擊的存在。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-zoTTwoYX-1687880835256)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image006.jpg)]

這種用法提供了消息認(rèn)證，又提供了消息的保密性，這種用法它是將認(rèn)證碼與明文進(jìn)行連接的，也就是說我們對明文產(chǎn)生認(rèn)證碼，然后再附加在明文的后面，我們也可以將認(rèn)證碼跟密文進(jìn)行連接，認(rèn)證碼跟密文進(jìn)行連接又怎么來操作？這個圖就是我們認(rèn)證碼與密文連接的用法，信源 Bob首先用這個 k二來對消息做一個加密，產(chǎn)生蜜丸，然后再用k一來對我們這個密文產(chǎn)生一個認(rèn)證碼，把這個產(chǎn)生的認(rèn)證碼跟我們密文附加在一起，然后這個時候再把這個附加了認(rèn)證碼的密文發(fā)送給接收方，接收方收到之后，先要用 k二來對這個密文做一個簡明運(yùn)算，然后再用k一對密文產(chǎn)生一個新的認(rèn)證碼，然后再把這個新產(chǎn)生認(rèn)證碼跟這個附帶的認(rèn)證碼兩個來進(jìn)行一個比對。如果是相同的，就驗(yàn)證了消息是完整的，不相同的話就說明消息的完整性受到了破壞，這就是我們消息認(rèn)證碼與密文連接的用法。

我們再來討論一下MAC消息認(rèn)證碼它的安全要求，這個MAC它使用了密鑰，這個跟我們對稱密碼體制當(dāng)中密鑰的用法是一樣的，這個密鑰就很重要了，如果密鑰泄露了或者被攻擊了，MAC的安全性就無法保障了。假設(shè)攻擊者也掌握了信源和信宿的密鑰的話，它就可以什么？呀對消息進(jìn)行一個篡改，或者直接偽造一個消息，然后用這個密鑰來產(chǎn)生一個這個然后用這個他掌握的這個密鑰k來產(chǎn)生一個針對這個偽造消息或者修改后消息匹配的一個認(rèn)證碼，然后發(fā)送給接收方信宿。這個時候由于這個攻擊者它掌握了密鑰，它生成的這個認(rèn)證碼跟我們篡改后的這個消息是匹配的，所以這種情況下面，迅速它就不能依據(jù)認(rèn)證碼來進(jìn)行這個完整性的檢驗(yàn)。

這里我們來看一下，使用我們前面介紹的DES算法如何來產(chǎn)生認(rèn)證碼，大家可以回憶一下我們前面講的這個對稱密碼體制的加密模式，我們講過有一種模式叫做密碼塊鏈模式，這個基于代式算法的消息認(rèn)證碼的產(chǎn)生，就是使用這個代式算法，采用密碼快聯(lián)模式來生成認(rèn)證碼的，它的具體過程就是把我們要產(chǎn)生認(rèn)證碼的消息分成若干個分組，第一第二到第n個，然后把這些分組分別輸入DES算法來進(jìn)行加密。首先是第一個分組來進(jìn)行加密加密完產(chǎn)生的這個密文，產(chǎn)生的密文分組o1，然后把它與第二個分組第二來做一個e或運(yùn)算進(jìn)行這個連接，把這個抑或之后的結(jié)果再輸入d s加密算法來進(jìn)行加密，同樣加密后的結(jié)果又與下一個分組來進(jìn)行一個異或運(yùn)算來進(jìn)行連接，抑或的結(jié)果再來進(jìn)行加密。如此反復(fù)迭代下去，直到最后一個分組加密完，最后一個分組加密完得到的密文分組就是認(rèn)證碼MAC由于這種密碼塊鏈模式，它就將這個藥進(jìn)行加密或者說藥產(chǎn)生認(rèn)證碼的這個消息的所有的分組都串聯(lián)起來了，所以最后一個分組它就包含了全部消息的內(nèi)容在里頭，所以最后一個分組就可以作為我們這個消息的認(rèn)證碼。這種方式產(chǎn)生的認(rèn)證碼，它只有一個密文的長度，也就是說可以把我們不管這個消息有多長，可以把這個不定長的任意長度的消息把它壓縮成一個固定長度的一個消息認(rèn)證碼。

我們再來看一下消息認(rèn)證碼它的優(yōu)缺點(diǎn)，它的優(yōu)點(diǎn)是可以產(chǎn)生一個固定長度的一個短的消息認(rèn)證標(biāo)簽，短的標(biāo)簽不增加額外的傳輸開銷，就像快遞一樣，附加一個小的一個清單，并不會加大這個快遞傳輸?shù)倪@個開銷。它也是有缺點(diǎn)的，缺點(diǎn)它就是它需要使用對稱密鑰。有沒有不需要密鑰就能生成固定長度的而且短的一個認(rèn)證標(biāo)簽，這個方法就是哈希函數(shù)。

5.2.2哈希函數(shù)

哈希函數(shù)又叫散列函數(shù)、數(shù)字摘要、數(shù)字指紋或者雜湊函數(shù)，通常用這個 h來表示大h表示這個函數(shù)，小h表示哈希函數(shù)產(chǎn)生的結(jié)果也就是指紋，它是對任意長度的消息來做處理，采指紋，然后輸出是一個固定長度的，而且很短的一個散列值，也就是我們一個很短的指紋。哈性函數(shù)它是一個單向的函數(shù)，所謂單向函數(shù)就是正向計(jì)算容易反向計(jì)算困難。

我們前面提到過，也就是說對一個消息，也就是說我們對一個消遣，我們產(chǎn)生它的指紋很容易，但是反過來要從這個指紋再把這個消息恢復(fù)出來，它是困難的，或者說不可行的，因?yàn)檫@個哈希函數(shù)它是一個壓縮函數(shù)，他把任意長度的消息把它壓成一個很短的一個數(shù)據(jù)塊，壓縮自然就存在這個信息的一個丟失，這個跟我們?nèi)说闹讣y是類似的，我們?nèi)丝梢院茌p松的采集一個指紋出來，但是你要想從指紋把一個人給恢復(fù)出來，這個是不可行的很困難的。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-KZld4i4n-1687880835256)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image008.jpg)]

這個哈希它具有這樣特點(diǎn)就是說不同的消息它會有不同的指紋，跟我們?nèi)艘粯?，不同的人有不同的指紋，這個時候我們就可以把這個指紋作為我們消息的標(biāo)識，跟我們?nèi)说闹讣y一樣，可以把指紋用來作為我們?nèi)说倪@個標(biāo)識。這是因?yàn)槲覀冞@個哈希函數(shù)它是消息所有謂的一個函數(shù)，也就是說消息當(dāng)中的任何一位或者多位的變化都會導(dǎo)致它的散裂指或者說指紋的變化。

接下來我們來看哈希函數(shù)的要求，我們剛才看到它是針對任意長度的數(shù)據(jù)塊產(chǎn)生固定長度的，閃電詞它是單向的，也就是說單項(xiàng)給任意一個m我們計(jì)算它的指紋容易，但是反過來給一個指紋h要把這個m找出來是不可行的。

哈希函數(shù)它的安全性是怎么樣？從理論上來講，哈希函數(shù)它是存在沖突的，而且沖突是一定存在的，但是他發(fā)現(xiàn)困難，為什么哈希函數(shù)從理論上來講，它是一定存在沖突的？因?yàn)樗脑砭褪菍θ我忾L度的數(shù)據(jù)，我們把它映射到一個固定長度的散列值里面去，任意長度的數(shù)據(jù)它的這個空間是可以說是無窮大的，而我們固定長度的指紋，它的空間是有限的。比如說這個 MD5，它的指紋是512位的，它的空間就是2的512次方，這個雖然很大，但是它還是有限的，我們要把一個無限的空間當(dāng)中的數(shù)據(jù)映射到一個有限的空間當(dāng)中，勢必會存在多個數(shù)據(jù)映射到統(tǒng)一一個散列值的情況。當(dāng)多個數(shù)據(jù)映射到同一個散列值，這個時候就產(chǎn)生了碰撞，也就是說多個數(shù)據(jù)它們的指紋是相同的，如果類比我們?nèi)说闹讣y的話，就是多個人他的指紋是相同的，那這個時候這個指紋就產(chǎn)生了碰撞了，產(chǎn)生了碰撞就會帶來一系列的安全問題。比如說我們?nèi)粘Ｉ町?dāng)中我們用指紋來進(jìn)行鑒別，我們來簽字，那這個時候如果多個人的指紋是相同的，這個簽字往往就是無效的，因?yàn)椴荒茉儆眠@個存在沖突的指紋來進(jìn)行這個真實(shí)性的一個鑒別了。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-hLf42m9q-1687880835257)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image010.jpg)][外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-pLXteM7d-1687880835257)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image012.jpg)]

既然哈希函數(shù)它的沖突一定是存在的，它還能用嗎？他還能用這個哈希函數(shù)產(chǎn)生的指紋來對我們消息進(jìn)行一個標(biāo)識嗎？是可以的，因?yàn)檫@個沖突存在，但是安全的哈希函數(shù)它的沖突是很難被發(fā)現(xiàn)的也就是說任意給另一個消息m一要找出另外一個跟它不相同的消息，m二，而且滿足m1和m2它的指紋是相同的，這個在計(jì)算上面是不可行的，這個時候我們哈希函數(shù)它就是安全的，或者說我們可以任意的找一對消息，m一m二使他們的指紋是相同的，這在計(jì)算上是不可行的。

這兩種情況下面，哈希函數(shù)都是安全的，我們都可以用這個哈希函數(shù)來進(jìn)行我們消息的認(rèn)證，產(chǎn)生消息認(rèn)證碼。這里我們來看一個簡單的哈希算法，這個哈希算法對輸入的消息序列以迭代的方式，每次處理一個分組，然后怎么樣來處理，核心的處理操作就是一個易貨操作。假設(shè)我們要處理的消息為m我們把它分成n個定長的分組，m1、m2、m3、m4直到mn然后這個時候我們就可以把這些消息連起來，迭代的取e或首先m11或m2，然后結(jié)果在進(jìn)一步e或m3再來e或m4，再來e或m5，直到最后e或mn，由于這個抑或操作，所以這個消息的長度是不變的，也就是一個分組的長度。所以經(jīng)過這一系列的易貨操作之后，我們就得到了一個分組長度的最后的結(jié)果，最后這個疑惑的結(jié)果就可以作為我們這個消息的指紋，這個操作就可以作為一個簡單的哈希算法。由于這個哈希的結(jié)果它是包含了，我們這個消息當(dāng)中每一位的數(shù)據(jù)在里頭，每一位都參與了一伙，所以它實(shí)際上是可以作為我們這個消息的指紋的。

我們再來看一下哈希函數(shù)的分類，我們可以從安全水平的角度把哈希函數(shù)分為弱無碰撞和強(qiáng)物碰撞，若無碰撞就是給另一個消息，小x它屬于大x這個集合，在計(jì)算上面幾乎找不到另外一個x一撇，使這個 x和x一撇它們的指紋相同，這個就是弱物碰撞，在計(jì)算上幾乎找不到。

強(qiáng)物碰撞就是在計(jì)算上面幾乎不可能找到不同的消息，它們具有相同的哈希，這里這個槍物碰撞它自然是包含肉碰撞的。

5.2.3哈希函數(shù)的構(gòu)造

哈希函數(shù)的構(gòu)造有幾種思路，一種是基于數(shù)學(xué)難題，而基于數(shù)學(xué)難題，類似于我們前面講的rac算法，它的計(jì)算速度慢不適用。第二種方法就是利用對稱密碼體制，采用類似的置換和代換的方法來產(chǎn)生哈希，也可以直接來設(shè)計(jì)。

我們來看一下哈希函數(shù)的一個通用結(jié)構(gòu)，幾乎現(xiàn)在所有的哈希函數(shù)都使用這樣一個通用結(jié)構(gòu)，這個結(jié)構(gòu)首先會把原始藥采集哈希的消息m分成固定長度的若干個分塊，然后最后一塊如果不足這個固定長度的話會把它進(jìn)行填充，然后需要有一個初始的一個向量CV0，

然后核心是一個壓縮函數(shù)f，f實(shí)現(xiàn)當(dāng)前的這個向量跟我們當(dāng)前的這個分組，然后作為輸入產(chǎn)生一個輸出cvi最后一個分組對應(yīng)的這個輸出就是哈希值。

這里是哈希函數(shù)通用結(jié)構(gòu)的示意圖，首先我們把藥采集哈希的消息分為L個固定長度的分組，每個分組長度為b，然后需要有一個初始向量CV0，這個向量它的長度是為n位，這個時候我們就把這個初始向量與我們d零個分組，然后輸入到壓縮函數(shù)f當(dāng)中，然后進(jìn)行一個運(yùn)算，這個運(yùn)算得到結(jié)果，c飛機(jī)也是n位的，然后再把這個 Cv一跟我們第一個分組y一再作為輸入輸入到函數(shù)f當(dāng)中去產(chǎn)生一個輸出，CV2，這樣一直迭代下去，到了最后一個分組，這個函數(shù)f就把這個 yl-1和這個cvl-1作為輸入輸入的函數(shù)當(dāng)中產(chǎn)生一個n位的輸出cvl，這個 cvl就是我們這個哈希它的結(jié)果，它產(chǎn)生的指紋。

5.2.4常用的哈希算法

接下來我們來介紹一下，常用的哈希算法主要由MD5，Sha，MD5，SHA。

我們來看MD5，Merkel在1989年提出了哈希function模型，然后我們rac算法作者當(dāng)中的reversed于90年提出了MD4算法，然后在92年基于MD4算法的MD5紋絲，它的輸入是512比特，也就是說它輸入的數(shù)據(jù)分組的長度是512比特，然后產(chǎn)生的輸出是128比特的這個指紋。MD5算法是2004年前最主要的哈希算法在國內(nèi)外有著廣泛的應(yīng)用，曾一度被認(rèn)為非常的安全。2004年發(fā)生了什么？我們下面會看，現(xiàn)在的美國的標(biāo)準(zhǔn)的Sha-1，它就是以MD5的前4MD4為基礎(chǔ)來設(shè)計(jì)的。2004年國際密碼學(xué)會議上面，當(dāng)時還在山東大學(xué)的王曉云教授做了破譯了MD5，哈佛128MD4 repair and repair gnd算法的報(bào)告，這個報(bào)告當(dāng)中展示了他的最新研究成果，可以很快的找到MD5的碰撞，也就是說兩個文件兩個消息可以產(chǎn)生相同的MD5指紋，而且可以很快速的找到兩個文件產(chǎn)生相同的指紋。這就意味著在網(wǎng)絡(luò)上面電子簽署的一份合同后，然后還可以找到另外一份具有相同簽名，但是內(nèi)容迥異的合同，這樣兩份合同它的真?zhèn)尉蜔o從辨別了，這就會產(chǎn)生混亂。這份研究報(bào)告宣告這個固若金湯的世界通行的密碼標(biāo)準(zhǔn)，哈希算法 MD5它的堡壘轟然倒塌，引發(fā)了密碼學(xué)界的軒然大波，這個研究成果也直接宣告MD5它的生命周期到此終止了。

接下來我們再來看Sha

Sha算法是由美國國家標(biāo)準(zhǔn)與技術(shù)研究院，nst和美國國家安全局 nsa設(shè)計(jì)它包括了5個算法，分別是Sha-1，-224-256-384和-512。后面4個算法有時候又并稱為Sha-2。 Sha-1在許多的安全協(xié)議當(dāng)中廣為使用，比如說這個 tlssslpgp SS h sshipc等等，這個 Sha-1它是建立在MD四算法之上的，基本的框架都與MD4是類似的，它對長度小于2的64次方的輸入產(chǎn)生長度為160比特的一個散列值，因此它這個抗窮舉性更好。

5.2.5哈希函數(shù)的基本用法

下來我們來看哈希函數(shù)的基本用法，如何把它應(yīng)用于消息認(rèn)證？那么這里我們參考前面我們消息認(rèn)證碼的用法，我們看一下，同樣信源信宿是bob和Alice，bob產(chǎn)生消息m，然后用哈希函數(shù)，然后對這個消息產(chǎn)生一個指紋，然后把這個指紋作為我們消息的認(rèn)證碼，附加在消息的后面發(fā)送給接收方Alice。那么Alice收到之后跟剛才相同的流程，針對消息產(chǎn)生一個新的指紋，用相同的哈希函數(shù)產(chǎn)生新的指紋，然后把新產(chǎn)生的指紋跟消息附帶的指紋兩個來做一個比對，用它來驗(yàn)證我們消息的完整性。

大家思考一下這個方法是否是可行的？這個方法是不可行的，會被攻擊，因?yàn)楣：瘮?shù)是不使用密鑰的，且是一個公開的算法，所以攻擊者可以采用相同的算法來對消息產(chǎn)生指紋。

圖中這種用法我們攻擊者就可以對消息做一個篡改，然后把這個篡改后的消息再計(jì)算一個指紋，把它附加在消息的后面，把這個篡改后的消息跟對應(yīng)的指紋一起發(fā)送給接收方。接收方收到之后做驗(yàn)證的時候就會發(fā)現(xiàn)這個收到的消息的指紋跟這個附帶的這個指紋是一致的，驗(yàn)證不出消息的完整性，那么這個就是這個方法存在的問題。

這有一個例子，假設(shè)攻擊者對消息做了修改，把這個消息變成m1，攻擊者用哈希算法對這個 m1取一個指紋，然后把它附加在m1的后面?zhèn)魉徒o接收方。這個時候接收方是可以通過驗(yàn)證的，從而沒辦法驗(yàn)證消息的完整性。剛才直接把消息的散列值指紋作為我們消息的認(rèn)證碼認(rèn)證標(biāo)簽是不可行的。

我們就結(jié)合加密算法，我們來看一下如何來認(rèn)證。同樣信源信速分別是Bob和alice，那么bob產(chǎn)生消息m，然后取指紋，然后把這個指紋附加在消息的后面，作為認(rèn)證碼，然后再用一個共享密鑰k加密這個消息，把這個加密后的消息發(fā)送給信宿愛麗絲，愛麗絲收到之后首先進(jìn)行解密，用密鑰k來解密，還原出消息和他附帶的指紋，然后再對這個消息以及指紋來做一個完整性的驗(yàn)證，把這個消息做一個哈希運(yùn)算得到一個新的指紋，跟消息本身攜帶的指紋來做一個比對，這種用法就可以保證完整性，接收方Alice它就可以驗(yàn)證消息是完整的，因?yàn)檫@個過程當(dāng)中我們使用了密鑰k對這個消息進(jìn)行了加密，消息經(jīng)過加密后，攻擊者沒有密鑰則不能篡改消息。攻擊者如果對這個傳輸?shù)倪@個經(jīng)過加密后的密文進(jìn)行篡改的話，那么接收方愛麗絲收到這個消息并解密時，如果解密出的消息不具備可讀性，則表明消息的完整性受到破壞，存在攻擊。

剛才的用法既提供了消息認(rèn)證，又提供了保密，那么這里我們還可以有另外一種用法，僅對消息的指紋來做加密。首先Bob產(chǎn)生消息，然后把這個消息來做一個指紋，作為一個哈希運(yùn)算得到指紋，然后用密鑰k來對這個指紋來加密，然后把這個加密的指紋附加在消息的后面，一起傳輸給信宿Alice。我們Alice收到這個消息之后，首先對這個消息用相同的哈希算法產(chǎn)生一個新的指紋，然后再把攜帶的指紋的密文拿過來做一個解密算得到這個發(fā)送前Bob產(chǎn)生的指紋，把這兩個指紋來比對，就可以驗(yàn)證消息的完整性。

由于這里對消息做了這個加密運(yùn)算，所以攻擊者也不能產(chǎn)生這個加密后的指紋的，所以這種方法同樣可以保證消息的完整性，同樣可以進(jìn)行消息認(rèn)證。另外我們還可以使用公鑰密碼體制來進(jìn)行這個消息認(rèn)證，發(fā)送方Bob產(chǎn)生消息，用哈希函數(shù)產(chǎn)生指紋，然后再用他自己的私鑰公鑰密碼體制的私鑰，對這個指紋做一個簽名預(yù)算，也就做一個解密，得到一個數(shù)字簽名，然后把這個數(shù)字簽名附加在消息的后面，一起發(fā)送給接收方，發(fā)給迅速Alice，我們Alice同樣也是用同樣的哈希算法產(chǎn)生一個新的指紋，然后再把這個經(jīng)過簽名的指紋再恢復(fù)出來，用這個簽名者Bob的公鑰，對這個通過簽名的指紋做一個加密運(yùn)算，然后就把這個指紋恢復(fù)了，然后同樣把這個新舊兩個指紋做一個比對。那么這種方法就是使用公鑰密碼體制在進(jìn)行這個認(rèn)證的同時提供了這個數(shù)字簽名，可以保證這個信源的認(rèn)證和這個抗抵賴。

那么接下來我們再來看這個完整的模型，也就是說在一個通信過程當(dāng)中，既保證了保密性，又提供了這個消息認(rèn)證，還有數(shù)字簽名.這個模型當(dāng)中，發(fā)送方Bob同樣產(chǎn)生消息m，然后對這個消息取指紋，然后接下來再用他的私鑰對這個指紋做一個簽名，把這個簽名后的指紋附加在消息的后面。然后接下來要進(jìn)行保密，用一個共享密鑰k把這個附加了簽名后的指紋的消息，一起來做一個加密運(yùn)算，算得到這個密文，密文把它發(fā)送給接收方，接收方首先來做一個解密運(yùn)算，解密出來的結(jié)果再把這個消息作為一個同樣的哈希運(yùn)算，得到一個新的指紋，然后同時再把這個消息當(dāng)中附帶的經(jīng)過簽名后的這個指紋用這個簽名者的公鑰做一個加密運(yùn)算，把這個指紋給恢復(fù)出來，那么這前后兩個指紋再來一個比對，從而實(shí)現(xiàn)這個消息的認(rèn)證。那么在這個模型當(dāng)中，由于最后施加了這個加密屬于它提供了保密性，那么同時由于這個發(fā)送方，然后在指紋上面做了簽名運(yùn)算，所以他提供了數(shù)字簽名，然后由于使用了這個呃哈希指紋作為消息認(rèn)證的碼，所以它又可以實(shí)現(xiàn)這個消息認(rèn)證，這是一個完整的模型，完整的用法。

5.3 數(shù)字簽名

5.3.1 數(shù)字簽名概述

下面我們來學(xué)習(xí)數(shù)字簽名。我們在前面介紹公鑰密碼體制的時候，用公開密碼體制實(shí)現(xiàn)鑒別的過程如下圖所示。首先簽名者準(zhǔn)備好要簽名的信息，用他自己的私鑰對這個信息做一個解密，算得到簽名，將這個簽名通過網(wǎng)絡(luò)發(fā)送給接收方，驗(yàn)證者，驗(yàn)證者首先去獲取簽名者他的公鑰，當(dāng)然也可以事先把這個簽名者的公鑰獲取回來，放到自己的公鑰緩上面。然后第二步就是用這個簽名者他的公鑰對這個簽名做一個加密算，如果這個加密算能夠把這個簽名信息給還原出來，就驗(yàn)證了這個簽名它是真實(shí)的，而不是假冒的。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-zOYPelej-1687880835257)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image014.jpg)]

我們再來看數(shù)字簽名的需求，我們前面介紹的消息認(rèn)證，它可以保證這個消息傳輸它的完整性和真實(shí)性，可以保證通信雙方數(shù)據(jù)交換不被第三方侵犯，但是它沒辦法保證不可否認(rèn)性，沒辦法防止通信雙方的相互欺騙。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-3xmIHtUk-1687880835257)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image016.jpg)]

比如接收者b偽造了一個信息，聲稱是從a收到的，或者 b收到a發(fā)送過的信息，然后 a否認(rèn)發(fā)過這樣的信息。例如一個股票玩家通過郵件向股票經(jīng)紀(jì)人發(fā)出了執(zhí)行某項(xiàng)交易的命令，結(jié)果股票交易虧損后，他抵賴否認(rèn)發(fā)送過這樣的命令，要這個股票經(jīng)紀(jì)人賠償他的損失。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-4jlPE5WZ-1687880835257)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image018.jpg)]

如何杜絕這樣的問題，杜絕通信雙方來相互的欺騙，就采用數(shù)字簽名機(jī)制。數(shù)字簽名是防止通信的原點(diǎn)或終點(diǎn)否認(rèn)或抵賴的一種認(rèn)證技術(shù)。它是傳統(tǒng)簽名，比如說筆記簽名的一種模擬，傳統(tǒng)簽名有什么樣的特點(diǎn)？首先能夠與被簽的文件在物理上不可分割，簽名者不能否認(rèn)自己的簽名，簽名不能偽造，容易被驗(yàn)證。數(shù)字簽名既然是傳統(tǒng)簽名的模擬，它也應(yīng)該滿足如下一些類似的要求，比如能夠與所簽的文件綁定，簽名者不能否認(rèn)自己的簽名，簽名不能被偽造，而且簽名容易被自動的驗(yàn)證。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-pNnaHZsk-1687880835258)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image020.jpg)]

數(shù)字簽名可以表達(dá)為一個5元組，類似加密算法的5元組-mcksv，m代表所有消息組成的有限集，也就是所謂要簽名的消息的有限集。c代表所有可能的簽名組成的有限集，而k則是所有可能的密鑰組成的有限集，s代表簽名算法，v代表驗(yàn)證算法。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-jb6cWeWC-1687880835260)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image022.jpg)]

這個簽名通常表達(dá)為sig_K:M→C，用密鑰k來做一個簽名預(yù)算。簽名是從消息的有限集m到這個簽名有限集c的這樣一個映射，而驗(yàn)證實(shí)際上就是結(jié)合消息和簽名來做一個比對工作，這個比對的結(jié)果可以是真也可能是假。

具體的驗(yàn)證，就是從這個簽名當(dāng)中，通過驗(yàn)證運(yùn)算去提取出這個消息出來，然后將這個消息與原來的簽名消息做一個比對。如果這兩者是相等的，說明這個簽名是真實(shí)的，如果這兩者不相等，說明這個簽名是一個虛假的。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-Uuu5tt4P-1687880835260)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image024.jpg)]

結(jié)合前面數(shù)字簽名的要求，我們來看一下數(shù)字簽名的設(shè)計(jì)要求。簽名是被簽名信息的一個相關(guān)的二進(jìn)制串，簽名必須使用簽名者唯一的信息，容易生成數(shù)字簽名，同時容易驗(yàn)證數(shù)字簽名。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-Zewf1GPH-1687880835261)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image026.jpg)]

偽造簽名在計(jì)算上面不可行。偽造包括兩個方面，一個是已有簽名偽造一個新的消息來與簽名進(jìn)行吻合。另外就是給定一個消息，然后偽造這個消息對應(yīng)的數(shù)字簽名，還有就是這個簽名要在存儲器當(dāng)中進(jìn)行保存，它是可行的。我們來看一下數(shù)字簽名的算法，主要的數(shù)字簽名算法就包括了前面介紹的RSA、EIGamal、DSS/DSA等等這些算法，具體算法這里就不再詳細(xì)介紹。

5.3.2 數(shù)字簽名的分類

下面來介紹數(shù)字簽名的分類，數(shù)字簽名的分類可以分為如下的幾種，直接數(shù)字簽名、重餐數(shù)字簽名，群數(shù)字簽名和盲數(shù)字簽名。首先來看直接數(shù)字簽名，直接數(shù)字簽名又可以分為如下的4種子方案。

第一個方案是直接簽名，簽名者用自己的私鑰對消息進(jìn)行一個簽名運(yùn)算，產(chǎn)生簽名后將這個消息和簽名一起發(fā)送給接收方。這個方案當(dāng)中消息是明文傳送的，明文傳送就有不保密被泄露的風(fēng)險(xiǎn)。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-ikzaLsHE-1687880835262)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image028.jpg)]

第二方案為了保密，可以在剛才的這個方案上面再加一個加密的操作。這個時候簽名者愛麗絲在剛才的消息和他的簽名的基礎(chǔ)上面，用接收方bob的公鑰對整個消息和簽名作為一個加密算再發(fā)送給對方，對方收到之后，就首先要用自己的私鑰來解密，解密完了之后，然后再來驗(yàn)證這個簽名和這個消息是否是吻合的。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-IkhccprY-1687880835262)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image030.jpg)]

再來看第三個方案，哈希加簽名的方案。如果前邊簽名的消息，它的數(shù)據(jù)量比較大的話，這個時候直接在消息上面簽名，這個簽名運(yùn)算它的開銷是比較大的，這個時候就可以先對消息做一個哈希運(yùn)算，采集他的指紋，然后在這個消息的指紋上面來做簽名運(yùn)算。這個時候發(fā)送方就把這個消息、和在消息指紋上面的這個簽名一起發(fā)送給接收方，接收方收到這個消息之后來進(jìn)行相應(yīng)的驗(yàn)證。首先把這個消息用相同的哈希算法采集一個新的指紋，然后再從這個簽名當(dāng)中去把原來的指紋還原出來，兩個指紋來進(jìn)行一個比對，如果相同的話，說明這個簽名是真實(shí)的。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-gUz7Zdys-1687880835263)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image032.jpg)]

再來看第4個方案，第4個方案是加密簽名加哈希的方案，這個方案是在剛才第三個方案的基礎(chǔ)上面，加上這個保密性的措施，我們把剛才第三個方案當(dāng)中的完整的消息，用接收方的公鑰再做一個加密運(yùn)算，就可以實(shí)現(xiàn)保密了。接收方收到之后，首先也是做一個解密運(yùn)算，然后完了之后再做一個相同的一個簽名驗(yàn)證工作。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-tvK9lkuo-1687880835264)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image034.jpg)]

下面我們來看一下直接數(shù)字簽名它的缺點(diǎn)，簽名的有效性依賴于簽名私鑰的安全性，如果簽名者他的私鑰丟失或者被盜用了，這個時候獲得這個私鑰的攻擊者就可以偽造簽名。另外就是簽名者他可以抵賴，本身這個私鑰是沒問題的，沒有丟失或盜用，但是他聲稱這個私鑰丟失了或者盜用了，然后其他人偽造他的簽名，就抵賴自己的簽名。針對這樣一些問題如何來進(jìn)行改進(jìn)。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-IAAGobKI-1687880835264)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image036.jpg)]

可以參考信用卡，我們在使用信用卡的時候會有一個相應(yīng)的交易時間。同時銀行要求，用戶的信用卡一旦丟失了的情況下面，要及時的將這個情況報(bào)告給信用卡中心，將信用卡進(jìn)行這個相應(yīng)的掛失等處理。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-zhpvogPG-1687880835264)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image038.jpg)]

借鑒這種思想，可以在這個數(shù)字簽名的時候加一個時間戳，并且要求這個一旦簽名是要暴露了，及時的報(bào)告給授權(quán)中心，采用這樣的機(jī)制的話，仍然存在一些問題。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-mCQO0AWR-1687880835265)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image040.jpg)]

添加了時間戳之后，是否就徹底的解決了剛才直接數(shù)字簽名它的缺點(diǎn)了？并沒有，因?yàn)檫@個時間戳是由簽名者自己添加的，這個時間戳本身是并不可信的，敵方可以偽造早于或者等于真實(shí)簽名時間的一個時間戳來進(jìn)行一個欺騙。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-P24jQwrC-1687880835265)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image042.jpg)]

5.3.3 仲裁數(shù)字簽名

仲裁數(shù)字簽名引入仲裁者，發(fā)送方首先將簽名信息送到仲裁者，仲裁者測試信息及其簽名，然后檢查其來源和內(nèi)容，然后再將消息加上時間戳，并與仲裁驗(yàn)證通過的指示一起發(fā)送給接收者。仲裁者扮演敏感和關(guān)鍵的角色，所有參與者必須極大的相信這一仲裁機(jī)制它的正常工作。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-1ETrbadB-1687880835265)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image044.jpg)]

接下來我們來看公鑰密碼加密文傳送的仲裁簽名方案。如下圖所示，簽名者是愛麗絲，最終的驗(yàn)證者是Bob，中間是仲裁Trent。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-0Sgigafu-1687880835266)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image046.jpg)]

首先簽名者愛麗絲對消息做一個簽名預(yù)算，然后再用驗(yàn)證方Bob他的公鑰對這個簽名做一個加密算，然后再將自己的ID一起再做一個簽名預(yù)算，再添加自己的ID發(fā)送給仲裁。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-Dtz8yrjt-1687880835266)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image048.jpg)]

仲裁收到這個消息之后，首先通過ID確認(rèn)是Alice發(fā)送的這樣一個消息，然后就用愛麗絲對應(yīng)的公鑰來驗(yàn)證這個外層的簽名。如果這個簽名通過的話，仲裁再將這個簽名當(dāng)中的信息，也就是Alice的ID和這個經(jīng)過加密的簽名一起加上一個時間戳，用自己的私鑰來再做一個簽名發(fā)送給Bob。Bob驗(yàn)證者收到這個消息之后，首先要驗(yàn)證這個仲裁他的簽名，用仲裁的公鑰來驗(yàn)證這個簽名。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-2mMHX8iH-1687880835266)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image050.jpg)]

如果這個簽名通過了，這個時候再來通過里邊的時間戳里面的ID來確認(rèn)這個消息是來自于Alice的，然后再去驗(yàn)證這個經(jīng)過加密之后的這個簽名，用自己的私鑰把這個加密的信息解開，然后再來驗(yàn)證當(dāng)中的Alice的簽名。這個就通過密文傳送實(shí)現(xiàn)了對仲裁的保密。全程仲裁它只能去驗(yàn)證簽名的有效性，而不能獲得這個信息它的內(nèi)容。另外這里有兩層簽名，其中外層的簽名是讓仲裁去驗(yàn)證的，而內(nèi)存的簽名是交給接收方Bob他來進(jìn)行驗(yàn)證的。仲裁主要的作用就是去驗(yàn)證這個簽名的有效性，然后在簽名有效的情況下面然后加一個可信的時間戳，然后讓驗(yàn)證方去進(jìn)行驗(yàn)證，從而避免了這個時間戳不可信的問題。

這個方案簽名者是直接在這個消息m上面做的簽名，所以這個不用再另外傳遞這個 m進(jìn)行這個比對大。同學(xué)們這里可以思考一下，如果這個要簽名的信息比較長的話，如何來使用哈希算法來對這個方案進(jìn)行一個改進(jìn)。

5.3.4 群數(shù)字簽名

下面來看群數(shù)字簽名，群數(shù)字簽名是由 charm和then hissed，群數(shù)字簽名是有charm和van hissed在1991年提出來的，群簽名方案是一個群體當(dāng)中的任意一個成員，可以以匿名的方式代表整個群體對消息進(jìn)行簽名。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-ZpFGyvfD-1687880835267)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image052.jpg)]

只有群成員能夠代表所在的群簽名，接受者能夠驗(yàn)證簽名所在的群，但是不知道是具體由誰簽名的，需要的時候可以借助群成員或者可信的機(jī)構(gòu)找到具體的簽名者。

群簽名方案在公共資源管理，重要軍事情報(bào)的簽發(fā)，重要領(lǐng)導(dǎo)人的選舉，電子商務(wù)等重要新聞的發(fā)布，金融合同的簽署等事務(wù)當(dāng)中，群簽名算都可以發(fā)揮重要的作用，群簽名都可以發(fā)揮重要的作用。

這里是群簽名過程的一個示意圖。首先群管理者創(chuàng)建群公鑰和群私鑰，然后頒發(fā)這個群證書，群成員以及所有其他的用戶都可以獲得這個群證書，然后群成員就可以使用群公鑰，然后群成員就可以使用群私鑰來進(jìn)行群簽名，然后驗(yàn)證者就可以憑借群證書去驗(yàn)證群簽名，群管理者可以去打開或者跟蹤群簽名。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-qyqLlzTm-1687880835267)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image054.jpg)][外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-nn7oH5tM-1687880835268)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image056.jpg)][外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-eZo5gOZB-1687880835268)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image058.jpg)]

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-AAbB649H-1687880835268)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image060.jpg)][外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-IZCN5kXz-1687880835269)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image062.jpg)]

5.3.5 盲數(shù)字簽名

下面來介紹盲數(shù)字簽名，盲數(shù)字簽名是保護(hù)消息的內(nèi)容，對簽名者不可見，也就是讓簽名者你只能簽名而不能獲取這個簽名信息的內(nèi)容。這個方案是 charm在1983年提出來的，在電子商務(wù)領(lǐng)域得到了廣泛的應(yīng)用。主要的場景有兩個，一個電子的貨幣，還有就是電子的選舉，電子的貨幣也就是現(xiàn)金，需要加上銀行的數(shù)字簽名才能夠生效，可以通過盲簽名來保護(hù)消費(fèi)者的匿名性，也就是銀行它只能簽名，但是不知道這個電子現(xiàn)金或者電子貨幣它的使用情況。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-tET2LSYi-1687880835269)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image064.jpg)]

再看電子選舉，選民提交的選票必須要蓋上選委會的數(shù)字簽名才合法。盲簽名可以保護(hù)選民的匿名性，讓這個選委會不知道選民投票的情況。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-xPk8WYim-1687880835269)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image066.jpg)]

再來看盲簽名的性質(zhì)，除了要滿足一般數(shù)字簽名的要求和條件外，還需要滿足下面兩條要求或者性質(zhì)。一個就是簽名者不知道其所簽消息的具體內(nèi)容。第二就是簽名信息不可追蹤，既當(dāng)簽名信息被公布之后，簽名者也無法知道這是他的哪一次簽署的這個簽名。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-9xTLleZz-1687880835270)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image068.jpg)]

再來看盲簽名的步驟，主要分成了三步，第一步盲化，消息發(fā)送者首先將消息盲化；第二步就是簽名，消息發(fā)送者將盲化后的消息發(fā)送給簽名者，讓簽名者在盲化后的消息上面進(jìn)行簽名。第三步去盲，就是消息擁有者對這個盲人簽名之后的消息，除去這個盲因子，得到簽名者關(guān)于原消息的這個簽名。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-VdpYlZOO-1687880835271)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image070.jpg)]

為了方便大家理解，這里舉一個現(xiàn)實(shí)生活當(dāng)中一個簡單的盲簽名方案，這個方案是針對傳統(tǒng)的信件的。首先來看盲化，首先將這個要盲簽的文件放到一個信封當(dāng)中，第二步簽名，先要在這個信封當(dāng)中放一個復(fù)寫紙，放到剛才要簽名的文件上面，這個時候簽名者隔著信封來簽名，由于有復(fù)寫紙的存在，他的簽名會被復(fù)印到這個要簽名的文件上面去。第三步去盲，就是打開信封把這個文件取出來，那這個時候這個文件就得到了簽名者的簽名。同時在簽名過程當(dāng)中，由于有信封的存在，所以簽名者他是不知道要簽名文件的內(nèi)容。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-UXgUxWRU-1687880835271)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image072.jpg)]

下面介紹一個基于RSA算法的盲簽名方案，有兩個用戶Bob和Alice，愛麗絲就是簽名者，他的公鑰是e和n然后私鑰是d，Bob要從愛麗絲這里得到一個盲簽名，他準(zhǔn)備他要簽名的消息m然后還要產(chǎn)生一個隨機(jī)數(shù)r，它就用這個 r來進(jìn)行盲化。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-LvaPCFh3-1687880835272)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image074.jpg)]

首先第一步盲化，就是首先將這個 r用愛麗絲的公鑰來做一個加密，也就是r的一次冪，然后再模除n，然后再將這個加密后的r乘上消息m，得到了t這個t就是盲化之后的消息，由于有這個 r的存在，所以Alice得到這個 t之后，并不能獲取消息m的內(nèi)容。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-iMwdxDD7-1687880835272)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image076.jpg)]

接下來第二步就是盲簽名，愛麗絲就對這個 t做一個簽名運(yùn)算，也就是t的d次冪，然后再來模除n，我們把剛才得到的t帶入到這個公式當(dāng)中，我們就得到了m乘上r的一次冪，然后括號再來d次冪，然后再來模除，再進(jìn)一步的計(jì)算，就得到了m的d次冪，然后乘上r再來模除來。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-6w21wgGO-1687880835272)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image078.jpg)]

學(xué)習(xí)了RSA算法，我們就知道最終要得到簽名，實(shí)際上就是m的d次冪，再模除n，這里多了一個r，于是接下來第三步就是要去盲，剛才我們看到盲簽名當(dāng)中其實(shí)就多了一個r如何來去盲？這里非常簡單了，我們就只需要再把這個r除去就可以了。所以就把剛才得到的t的低次冪模除n再來乘上r的-1次方，也就是除上一個r這個時候就可以把r去去除掉，這個時候就可以把這個隨機(jī)數(shù)r去除掉，然后得到最終的簽名，也就是m的第一次冪模除這個 n這個就通過r來進(jìn)行了漫畫，然后最后除去這個 r就實(shí)現(xiàn)了去盲，這就是基于rac的盲簽名方案。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-YDJtqpE4-1687880835272)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image080.jpg)]

原創(chuàng)聲明

=======

作者： [ libin9iOak ]

本文為原創(chuàng)文章，版權(quán)歸作者所有。未經(jīng)許可，禁止轉(zhuǎn)載、復(fù)制或引用。

作者保證信息真實(shí)可靠，但不對準(zhǔn)確性和完整性承擔(dān)責(zé)任。

未經(jīng)許可，禁止商業(yè)用途。

如有疑問或建議，請聯(lián)系作者。

感謝您的支持與尊重。

點(diǎn)擊下方名片，加入IT技術(shù)核心學(xué)習(xí)團(tuán)隊(duì)。一起探索科技的未來，共同成長。文章來源地址http://www.zghlxwxcb.cn/news/detail-740418.html

到了這里，關(guān)于《計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)安全》第五章 消息認(rèn)證與數(shù)字簽名的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！