基于Android的电子身份证件管理系统设计与实现外文翻译资料

英语原文共 53 页，剩余内容已隐藏，支付完成后下载完整资料

数字签名：背景和定义

1.1数字签名方案：一个快速简介

严格意义上，一个数字签名方案提供的加密模拟手写签名，事实上，提供了更强大的安全保障。数字签名作为一个强大的工具，如法律上现在公认的具有约束力在许多国家;它们可以用于证明合同或公证文件，为个人或公司的认证，并作为一个以上组件复杂的协议。数字签名也使公共密钥的安全分发和传输，因此，在一个非常现实的意义，作为所有的基础

公共密钥加密。

ifiers。 （我们这里的讨论将是比较正规的，我们推迟正式定义直到后来）签名人开始通过运行一些关键的生成算法产生一对密钥（PK，SK），其中PK将被称为签名者的公钥 - 原因次也被称为它的秘密密钥）。然后，签名人宣扬其公钥，我们将假设任何潜在验证是在拥有（或可以获得）的的签名者是如何传播其公钥的具体细节;为了具体一这个目录以这样一种方式，它是不可行有人登记在别人的名字公钥施用。然而，我们强调的是，大体有不仅必须知道该组有效的公共密钥，而且还包括这些公开密钥的所属的签名他感兴趣的验证签名者。

一旦签名者已经建立了公共密钥pk如上所讨论的，数字签名方案允许以这样的方式签署者“证明”（或“标志”）的消息谁知道PK其他任何一方可以验证该消息源于签名者并没有以任何方式被修改。更详细地说，对于任何消息m（即我们只是查看一个位串）签名者可以使用其私有密钥SK应用签名算法米;这导致了签名sigma;可以由任何人来验证谁知道峰使用相应的验证算法。这将是有用的这一点来考虑的数字签名的一个典型的使用方案：考虑到要发布软件补丁/升级软件公司在经过身份验证的方式;也就是说，当公司需要发布一个软件补丁应该可以为任何客户认识到补丁是正宗的，而恶意的第三方不应该是能够骗过一个客户到接受这到底是不是由该公司发布了一个补丁。要做到这一点，该公司可以产生一个私有密钥sk沿着一个公共密钥pk，然后分发峰在一些可靠的方式向它的客户（也许捆绑沿公钥该软件的初始分布）。当发布一个补丁米，公司可以然后使用它的私有密钥sk，和后计算m上的数字签名sigma;（M，sigma;）上它的网页。每个客户端可以通过下载前验证m的真实性检查sigma;是相对于该公开密钥PK对微米的合法签名。恶意方可能会试图通过假冒发出假补丁公司网页和张贴（M0，sigma;0），其中m0表示从未发布了一个补丁由该公司。这M0可能是以前的一些贴剂微米的修改后的版本，也可能是完全新的和无关的先前的补丁。如果签名方案是“安全的”（在我们将更加仔细很快定义的意义上），那么当客户端试图验证sigma;0它会发现，这是M0一个无效的签名与关于PK，因此将拒绝签名。注意，在本申请中它至关重要的是，如果伪造补丁M0为仅略微修改的客户端拒绝连从真正的补丁米上面没有数字签名的只是理论上的应用程序，而是一个今天广泛使用。 （例如，微软正是使用这种方法时发放更新的Windows操作系统）。假设双方都能够获得签名者的合法副本公钥意味着该签名者能够传输的至少一个消息（即，峰本身）以可靠和认证方式。鉴于此，人们可能想知道为什么签名方案都需要在所有！的一点是，峰的可靠分布是一个困难的任务，但使用一个签名方案意味着这​​种需要仅进行出一次，在这之后的消息的数量不受限制随后可以发送可靠。此外，签名方案本身用于确保可靠其他公共密钥的分配作为公共密钥基础设施（PKI）的一部分。

1.1.1数字签名的属性

刚才我们看到，数字签名提供身份验证信息的一种方式通过公共通道发送。签名方案提供更强的性能，以及，我们通过与消息验证的比较阐明这些属性码，数字签名的对称密钥类似物。

一个消息认证码的实例是由共享的密钥已定义（单）发送者和（单个）接收器之间。发送者能够证明消息米乘使用共享密钥s施加的消息认证算法来米;这个结果在“标签”吨。接收器，由于M和T，可以通过验证m的真实性具有相同密钥s沿着一个相应的验证过程。与数字签名，由消息认证码所提供的安全保障是没有恶意的第三方，谁不知道S，可伪造一个有效的前瞻性标签T0任何消息M0没有明确由发送者进行身份验证。 （我们指的读者为消息认证码的更深入的讨论。）因此，无论消息认证码和数字签名方案可以是用于保证传输信息的完整性（或真实性）。一个明显差，但是，是相对于该初始密钥建立阶段。数字签名下跌公钥密码学的范畴，其中一方（即下，在这种情况下，签名者）只需分发一些关键在一个公共的，但验证，信道。具有消息认证码，另一方面，发送方必须共享在一个秘密和认证信道的密钥。签名方案还有一个决定性的优势，当发送者希望发出同样的消息到多个收件人。当使用数字签名方案中，这将通过分发一个单一的公共密钥和计算，可以通过验证一个签名来完成任何潜在的接受者;与此相反，与消息认证码发送必须建立与每个可能的接收器的单独的密钥，并且将必须计算一个单独的标签（相对于相应的共享密钥）为每个收件人为好。

定性优势数字签名具有相对于消息认证码的是，签名是公开验证。这意味着，如果一个接收器验证在给定的消息签名是合法的，那么就放心，谁收到此签名邮件的其他各方也将验证它作为合法。此功能不是由消息认证码来实现，其中一个签名者共享与每个接收器的单独的密钥：在这样的设置恶意发件人可以计算出正确的标签相对于接收机的共享密钥，但相对于不同的用户B的共享密钥不正确的标签。在这种情况下，A知道该他收到了来自发件人的真实消息，但不能保证其他收件人会同意的。

公开验证意味着签名转移：一个签名sigma;上由一个特定的签名者的供求信息M可以显示给第三方，谁可以再验证自己说是sigma;M上给S的公钥合法的签名就（在这里，我们假设这个第三方也知道的s公钥）。通过副本签名，该第三方就可以显示签名给另一方，并说服他们了S认证男，等等。转让和公开验证对于数字签名的应用证书和公钥至关重要基础设施。

数字签名方案还提供认可的非常重要的属性。那就是 - 假设一个签名者，深入人心宣扬他的公钥第一名 - 一旦小号签署的消息，他以后不能否认曾经这样做。这个数字签名的方面是，其中一个收件人需要证明的情况下至关重要第三方（比如法官），一个签名者的确“证明”一个特定的消息（例如，合同）：假设的s公钥已知的判断，或以其他方式可公开获得，在一个消息的有效签名是足以说服法官S所签署确实该消息。消息认证码，根本无法提供此功能。看到这一点，说用户S和R一键分享SSR和S​​发送消息m至R与（有效）MAC标签T一起使用SSR计算的。由于法官不知道SSR（的确，这密钥是保密的由S和R），也没有办法对裁判判定T是否是一个有效的标签或没有。若R是揭示关键SSR来法官，仍然会有没有办法让法官知道这是否是“实际的”密钥S和R共享，还是很有些“假”键制造，后即使是事实，由R.假设法官被赋予实际的键SSR和能以某种方式确信这个事实，这仍然不会提供不可抵赖性因为没有办法对R证明它呈S谁产生笔 - 张女士该消息认证码是对称的（使事情S能做到，R可以也一样）暗示的R可能产生自身吨，所以没有办法法官对双方的行为区分开来。因为他们是不可否认和公开验证，数字签名经常使用的签订合同，公证文件等通过因特网，并被赋予法律效力，在许多国家。

当然，相对于消息认证码数字签名的一个缺点是，后者是大致2-3个数量级比更有效前者。出于这个原因，在情况下公开验证的，可转让，和/或不可抵赖不需要，并且发件人将主要通信与单个接收者（与谁则能够共享一个秘密密钥），消息认证码是优选的。我们注意到也可能有设置，其中不可否认性和转移性专不希望：就是说，当一个签名者s想要得到保证，经证明的消息特定的收件人，但不希望此收件人能够这个事实证明给其他方。 （这有时称为抵赖的属性）。在这种情况下，消息认证要使用的代码（或一些更复杂的加密基元）将有。

1.2计算安全

消息认证码和数字签名之间的一个差异进一步方案是，存在是无条件的消息认证码

当消息的有限数量的认证的安全。数字安全签名方案，在另一方面，是固有的计算（即使我们结合被签名的消息的数量）。具体而言，没有签名方案可以安全对一个全能的对手（一个“全能对手”是一所具有无限的计算能力，或者等价地，无时间限制）。事实上，考虑对手，给定一个签名者的公钥PK和消息m，尝试所有可能的直到它找到一个sigma;的值，其中Vrfypk（男，sigma;）= 1（敌手知道峰，并且可以因此对他所选择的输入计算Vrfypk（·，·））。现在，至少1满足Vrfypk（M，sigma;）= 1sigma;存在，因为它必须是可能的合法签名者上生成微米的有效签名。但随后对手的描述将最终找到这样一个sigma;和伪造签名成功。

第二个观察是，没有签名，可以完全安全的，即使对一个很“弱”的对手。这一点插图甚至比简单前：考虑谁只是随机选择sigma;对手。显然，有一个非零概率从而选择将满足VRFY Pk的（M1（再次的值，使用至少一个这样的sigma;满足该条件存在的事实）。这个对手甚至不要求签名者的公钥的知识。请问上面的提示，安全签名方案是不可能的构造？一点也不。值得庆幸的是，希望不会丢失，如果一个人愿意放松安全要求和考虑安全性的计算概念，而不是一个完美的一。即，而不需要（如上所述），它为任何对手是不可能的，伪造签名，我们只好要求它，除非与不可能的“小”概率为任何有效的（即计算为界）的对手伪造签名;特别注意到，这排除了上面勾画了两起袭击事件。在这本书中，我们在正式标准的方式这些概念（见[72]为进一步的讨论），以及完整性，我们简要回顾现在的细节。

1.2.1安全计算的概念

在移动到计算环境，我们引入了安全参数kisin;N用于参数既对手以及签名方案本身;此安全参数可以被看作是量化得到的安全级别该计划的特定实例（虽然这不是很正式地真）。在一个一些详细信息，我们认为作为签名者选择生成计划键时，安全参数k;安全参数将作为输入提供给被传递密钥生成算法和公钥和私钥的长短将取决于日k。继理论加密标准的惯例，我们等同于“高效对手”，在概率多项式时间内运行的算法（其中运行时间作为k的函数）进行测定。由于对手将被限制在多项式时间运行才是公平，要求所有的算法执行通过诚实方（例如，签名验证）应在多项式时间运行好。我们简称“概率，多项式时间”为PPT。事件如果概率事件发生了“小概率”发生在k，其中此正式定义如下忽略不计：定义1.1。函数ε：N→[0,1]可忽略不计，如果为所有的Cge;0存在KCge;0使得ε（K）lt;1 / KC对于所有kgt; KC。改写，那么，签名满足安全性的计算概念方案将每一个概率多项式时间对手成功财产在伪造签名（相对于这个计划），只有微不足道的概率。换句话说，修正了一些攻击者A在多项式时间内运行，并且让εA（K）表示一个伪造有效的签名相对于一些签名方案的概率。 （我们将更加仔细，当我们推出正式指定这个实验安全定义。）然后该方案是安全如果εA（k）是在k-忽略不计，这意味着随着签名者增加k的值，在对手的“成功”的概率一个迅速下降。应该强调的是，这并未提及“绝对”对于k的特定值的方案的安全性;所有的担保只给出与对于方案的渐近性能。从某种意义上说，这时，一个更大ķ导致在实践中“更安全”计划的价值;正式，不过，方案可以是安全或不安全不参考k的任何特定值。这最好用一个例子来说明。

例1.1。想象一下，一个安全签名方案，其中私人密钥是长度为k的均匀随机字符串，并考虑天真的对手阿谁执行蛮力搜索私钥对K5的步骤。 （我们假设攻击者可以确定一个给的公钥相匹配的私钥。）的概率A发现正确的私钥是K5 / 2K。对于k = 30 2.4敌人运行·107的步骤和发现的概率是1/50asymp;私有密钥;这可能不会被认为是安全的实践中可接受的水平（虽然计划本身 - 查看渐近 - 仍然是“安全”）。通过“拨了”安全参数为k = 60我们已经获得一个合理的安全保障：即使7.7·108步运行，它发现私钥只与概率6.7·10-10。上面的例子说明了具体的安全分析的重要性即，量化任何对手运行特定的时间量，和攻击方案使用特定的最大成功可能性的分析安全参数的值除了渐近之一正式使用安全的定义。如已经指出的那样，一个方案被证明的安全使用渐近安全分析保证只有该概率任何多项式时间对手“打破”的计划变得微乎其微的安全参数为增加;它没有说在实践中使用的安全参数值为确保安全性，防止对手运行在特定的某个水平多少时间。这个问题将在第7章，其中具体的安全重新审视一些实际方案的分析将予以考虑。

1.2.2符号

在了解签名方案的安全性，我们将有兴趣在分析概率实验;先介绍一些符号（以下[61]）的将这样做提供有用的简写。设A是一个概率图灵机。然后A（X; r）表示当A上输入x和（足够长）随机带ř运行A的输出。在情况A需要多个输入X1，...，XN（即，当然，可以总是被编码为一个单一的输入），则A（X1，...，XN; r）表示A的输出当这些输入和随机带ř运行。在写一个多级的实验中，符号Y：= A（X; r）的仅仅意味着变量y赋值为A（X，R）。如果S是一个有限集，则ylarr;S表示分配到y的符号Y1，Y2larr;S为取自S.均匀的一种元素为是指Y1和Y2被指定的元素均匀地和独立地选择的来自酿酒泛化这种表示法，Ylarr;A（X）指的是实验，其中一个随机胶带R（适当长度的）在随机均匀地选择，然后y的分配值A（X，R）;因此，如果A使用长度的随机带（至多）`上长度的输入| X |，符号“Ylarr;A（X）”的简写：- [Rlarr;{0,1}`; Y：= A（X，R）。当A是确定性Y：= A（x）是等同于Ylarr;A（x）的，虽然我们将使用当我们想强调的是一位前符号是确定性的。一个特定的事件E的遵循一些实验的执行概率EXPT写为PR [EXPT：E]。一切向冒号左边表示实验本身（其成分按顺序执行，由左到右），和感兴趣的事件写入到结肠的右侧。事件可以表示作谓语，其中说，如果谓词是真实的事件发生。像往常一样，and;是“逻辑与”运算，or;代表“逻辑或”，{0,1} k表示集长度为k的二进制串，并且如果E是一个事件，然后E表示E的补（即，在事件E不发生）。

1.3定义签名方案

精确的定义是至关重要的，如果我们要了解所保证的安全之前，我们甚至可以希望有安全的严格证明了我们将制定计划，任何特定的建设，是必不可少的。为了完整性，我们与描述基本功能一个纯粹的功能性定义开始，任何签名方案应实现的;这之后是许多不同的安全的定义详细的弹性签名方

剩余内容已隐藏，支付完成后下载完整资料

资料编号：[154194]，资料为PDF文档或Word文档，PDF文档可免费转换为Word