1、第十讲 数字签名 这一讲考虑设计用于模拟手写签名的数字签名技术。一条消息的数字签名是一个依赖于仅签名者知晓的秘密而产生的数字,并需附加被签名的消息。数字签名必须可以被验证:如果任何一方对文件的签名的真实性产生争议(导致的原因可能是不诚实的签名者想否认自己产生的签名,或者是认证者提出欺诈的权利要求),一个公正的第三方就可以公平的解决这一问题,而不需要获得签名者的秘密 (秘密密钥)。 数字签名有很多应用,包括:认证,数据真实性,和不可否认。数字签名的一个非常重要应用是在大规模网络上的公钥数字证书。数字证书是可信第三方将用户身份与其的公开密钥绑定的方法,在此之后,其它实体认证公开密钥的时候都不需要可
2、信第三方的协助。 数字签名的概念和用途在实用数字签名技术产生之前就为人们所认识。第一个数字签名方法是RSA数字签名方案,它至今仍然是最为实用数字签名技术。后续的研究也给出非常丰富的各种数字签名方法。这些技术常常在功能性和执行性方面提供了相当大的改进。本讲提要q RSA签名方案q ElGamal族签名方案q 生日攻击1 RSA数字签名方案1.1 算法描述。的秘密密钥是;,的公开密钥是。满足,算法计算唯一一个整数使用扩展。,满足,选择一个随机整数。和计算同。,两个素数规模大约相和素数产生两个大的不同随机做如下步骤:每个实体密钥。公开密钥和对应的秘密个摘要:每个实体产生一生数字签名方案的密钥产dAe
3、nAdeddeeeqpqpnqpA) ( (5) 1(mod 1 Euclidean (4)1) ( 1 (3)1)1)( (2) (1) RSARSA 算法1算法11.1 算法描述(续)。恢复消息。,如果非法,拒绝签名认证。计算。,的真实公开密钥得到做如下步骤:,并恢复出消息的签名为了认证的签名。对就是。计算上的整数。,是区间,这里计算做如下步骤:。出消息的签名并从签名中恢复可以验证签名。任何实体对一条消息摘要:实体签名产生和认证)( = (4) (3) (mod (2) ( (1) (3)(mod (2)1 0 )( (1) RSA 1mRmsmnsmenABmsAmAs nmsnmmRm
4、AmABmAed 认证.认证.签名产生.签名产生.算法2算法21.1 算法描述(续)。最终,。由于,这里的一个签名,则是对消息如果合法签名的可能性。生者通过随机选择数字产函数可以部分降低攻击公开选择产生。这个和它的逆函数函数mmRRmR nmmsdemRmnmsmsRRdeed )( = )()(mod ) (mod 1)( ) (mod 冗余 冗余 111 签名认证正确性证明.签名认证正确性证明.评述.评述.1.2 例子。可以恢复消息接受签名并符合冗余函数要求,最终,由于。计算。,并且计算签名计算,为了签名消息。是一个单位映射数为了简单,假设冗余函。密钥是的秘密;,的公开密钥是。,得到并且解
5、选择。和并且计算,选择素数实体31229978 )( 31229978 55465219) (mod 30729435) (mod 30729435 55465219) (mod 31229978) (mod 31229978 )( 31229978 )(44360237 5) 55465219 ( 4436023755450296) 1(mod5 5 55450296 6996 7926 = 55465219 69977927 1544360237mRmBm nsmBnmsmRmAmmmRRdAenAdddeeAqpnqpAed 签签名名认认证证. . 签签名名产产生生. .密密钥钥产产生生
6、. .例例子子1 11.3 RSA 签名的可能攻击1.3.1 整数分解在计算上不可能。使得分解和必须选择为了阻止这一攻击,名系统崩溃。这一方法就完全使签秘密密钥得到算法通过解同余式,并进而使用扩展那么攻击者就可以计算,的公开模解某个实体如果一个攻击者可以分nqpAddenA ) (mod 1Euclidean1.3.2 RSA的乘法特性定就是安全的。但满足这一条件并不一的这一条件是必须的,。对,有的对也就是,对于基本上所应该不具有乘法特性,余函数的合法签名。因此,冗就是对消息特性则也具有正确的冗余如果。有特性的签名,则和是对消息分别和如果同态特性。为法特性,有时候也称其签名方案具有如下的乘Rb
7、RaRbaRbaRmsmmm nmmsnsssmm nms nm sddd)()()( )(mod )( ) (mod )(mod )(mod RSA2121212122111.3.2 RSA的乘法特性(续)将都不具有乘法特性。下,模。在绝大多数的比特全为制表示的最末的二进义为上的整数。冗余函数定,为在区间并令消息。令满足数,是一个固定长度的正整的比特长度,并且令是为秘密密钥。令,的模为令RntmRmmRnmwkttnnkdnttt )0 )(2 = )( 12 1 2/2 log RSA 2例子2例子21.3.2 RSA的乘法特性(续)。,计算如果;计算,如果签名如下:的,则攻击者可以计算对
8、和获得签名如果可以从合法签名者都符合冗余的规则。和在每种情况下,。和,构造整数。如果和,构造整数的情况。如果和满足和次可能存在某。从这里可以看出,在满足和,都会得到整数算法时,算法。在每次应用扩展应用扩展和的签名。对假定攻击者想伪造消息续) (mod )( 0 ) (mod 0 ) (mod ) (mod 0 0 | EuclideanEuclidean 2)( )( 323232323322323232nmyrwywrmmssynmyrwywrmmssymnmsnmsmmwymwrmywymwrmyn/wrn/wyryrmn + yxryxwmmmRmnmddddddddddddt例子2例子
9、21.4 RSA 签名的执行1.4.1 分块问题消息。有可能不能正确恢复出,则的公开密钥。如果和分别是,和,。假定息给希望签名再加密一条消长度。假定的执行这一过程时两个模结果加密。必须考虑在消息再对签名的常用方法是签名一条一种对BnnBAenenBABABBAA )( ) (RSA1.4.1分块问题(续)。大于是。发生这个问题的原因注意。做如下计算:名,为了恢复消息并认证签。计算的过程为:密钥加密。的公开的秘密密钥签名再用符合冗余规则,先用假定消息。注意,以及;,和,令BAeBdBeAdBABBBAAAnsmm nsm ncsBnscnmsABAmnndendenABBA54383568 62
10、894113) (mod4382681 )(mod (2)4382681 55465219) (mod 38842235 )(mod (1) 38842235 55465219) (mod 59847900 ) (mod (2)5984790062894113) (mod 1368797 ) (mod (1) 1368797 . 44360237 = 5 55465219 377269375 62894113 74998387 544360237537726937 例子3例子31.4.1分块问题(续)决方法。好的解此,调换顺序并不是最者十分有利的情形。因对攻击签名的内容,这仍然是然攻击者并不知
11、道具体虽名。该签名而换上自己的签签名,攻击者可以移除先加密再签名,原因是如果常是先签名消息再加密顺序通息。当然,最好的操作秘密密钥签名加密的消再用自己的的公开密钥加密消息,应该先使用实体则,现。也就是说,如果确解密的问题将不会出不正模操作再做大模操作,调换顺序。如果先做小块问题。有几种方法可以克服分 (1)ABAnnBA1.4.1分块问题(续)比特的数来实现。模使用比特的数,而签名密的模使用种方法可以通过要求加发生。这确解密的情况将不再会用来加密的模,则不正统中所有体的签名的模都小于系的模分开。如果每个实加密实体把用于签名的模和每个实体两个模。每个tt 1 + (2)1.4.1分块问题(续)。
12、,二进制表示为,则。如果选择二进制表示为,则如果选择。和的可能选择为。之间任选择一个素数到在。比特的素数。开始任意选择一个位为下来连续接,满足最高位为比特的模一个假定希望找到就具有需要的形式。,这样内找一个素数区间到,在比特的素数选择一个。随机具有需要形式应该满足对于可以这样产生。比特的模具有这种形式的。位都是连续接下来的位为具有特殊的形式:最高以使它们的乘积,和种方法是仔细选择素数预先设定模的形式。这011000110100 2257 61 37 61 111000100001 2183 59 37 59 = 61 59 62)22( 56 /2 376 0 31 12 /2 +2 /22
13、2 +2 2 0 1 (3)81111111111nqnqqq/p + ppknqpnqpppt/nnntknqpktttkttt 例子4例子41.4.1分块问题(续)忽略。的时候,这一概率可以择选。当的概率不超过比特位中首位为的最高结果。在小于一般形式模产生的,因此,为的最高必须,应该小于,而不是首位。由于为比特位中有一位在最高的的签名。进一步假定是对消息是模并且忽略。假定可以不正确解密情况的概率密问题,但是可使出现解决不正确解的这一选择并不能完全对模续100)21 (1101 1 ) (mod )( (3)k/k +sssnsk +smnmsnnkAAdAA 1.4.2 短消息与长消息 由
14、于签名和消息的规模相当,这在消息长的情况下非常不利。为了解决这一问题,通常采用hash函数。签名方案只作用于消息的hash函数值,而不是消息的本身。在这种情况下,使用冗余函数R保障签名方案安全就不再需要。1.4.2 短消息与长消息 (续)数字签名更好。的比特时,不使用度小于值签名。而当消息的长数字签名对办法是使用,最有效的时,在原始消息的长度。由于是比特,这里名数据是值签名。这样产生的签值,再对的计算得到比特长度为进行对消息比特。另一种办法是签名数据是进行签名。这样产生的,然后分别对每一块比特的分组消息分成就是将比特的消息。一种办法期望签名的消息。假定实体比特名比特的模,算法用于签的用于是假定
15、RSAhashhashRSA2 222 hashhash hash2| |2 RSA 21ktkkt+kttkkt+kk lmAtkmmmmktkAkknt2 2 算法算法1.4.3 签名产生和认证的执行特征个实体多次认证。则可以反复为各一次签名产生,而签名钥证书,这个证书只要产生公为实体况。例如,可信第三方需要认证在线完成的情而仅名操作可以预先完成,签名方案非常适合于签因此,。或践中选择在实指数次比特操作。建议公开签名操作,而仅需要作将明显快于公开指数,那么认证操如果认证操作选择小的次比特操作。,需要计算一个签名对消息比特的素数。都是和模,这里比特的是令AekOkO n msmkq pkqp
16、ndRSA1 + 2 3)()()mod( RSA 2 1623 1.4.4 参数选择 当需要的签名有长的生命周期或关系到整个网络安全时,模的长度应该至少为1024比特。慎重的态度是关注分解整数的进展,以便随时调整相应参数的选择。 目前,没有RSA签名方案选择小公开指数e,如3或216+1存在安全漏洞的报道。但不推荐通过限制秘密指数d来达到改善签名操作效率的方法。 1.4.5 关于系统参数 每个实体必须使用不同的RSA模进行签名;在整个系统中使用一个模的方法不安全。但是,在很多应用中,整个系统可以选择相同的公开指数e。2 ElGamal族签名方案 有一大类签名方案是在mod p 算术结构上建立
17、的,这里p是大素数,但是所有这些机制都可以推广到有限乘法群。这里讨论的所有方法都是随机数字签名方案。所有方案安全的基本要求是mod p上的离散对数问题不可计算。但是,这一条件并不是保证这些方案安全的充分条件。 2.1 数字签名算法 1991年8月,美国国家标准与技术研究所(NIST)提出了数字签名算法(DSA)。DSA成为美国联邦信息处理标准(FIPS 186)称为数字签名标准(DSS),这是第一个为政府所认可的数字签名方案。DSA是ElGamal数字签名方案的一种形式。2.1.1 算法描述。的秘密密钥为;,的公开密钥为。计算。满足选择一个随机整数步。转到第,则如果。并计算选择一个元。的元上选
18、择一个阶为在。,并有,这里,并选择一个素数满足选择一个参数。,满足选择一个素数做如下步骤:每个实体密密钥。于签名的公开密钥和秘摘要:每个实体产生用的密钥产生aAyqpA p y qaapggqppqppttqq Aa/qpt+t+ ) ( (6)(mod (5)11 (4)(3.1) 1 (3.2) (mod (3.1) ( (3)1|2 2 80 (2)22 (1)DSA )1(6451264511160159算法3算法32.1.1 算法描述 (续)绝签名。,接受签名;否则,拒如果。计算。和计算。和计算名。如果不成立,则拒绝签;和认证。,的真实公开密钥找到做如下步骤:,的签名对为了验证。,的
19、签名就是对对函数。为,这里计算。计算。,选择一个随机保密整数做如下步骤:实体。的公开密钥验证其签名通过可以任何实体签名。制消息对一个任意长度的二进摘要:实体签名产生和认证rv qpyvqwruqmhwumh qswqsqryqpABsrmAsrmAh qr+amhksq prqkkAABmAuuk (6)(mod ) (mod ( (5) (mod ) (mod )( (4)( )(mod (3) 00 (2) ( (1) )( ) ( (4)hash)()(mod)( (3) (mod ) )(mod( (2)0 (1) DSA 212111认证.认证.签名产生.签名产生.算法4算法42.1
20、.1 算法描述 (续)。这就是,为底可得:以。因此,方程两边同时这实际就是。并调整可以得到式两边乘上。同余的合法签名,则有对消息是实体,如果rv qp qpyqku+auqkwr +amhwwqskramhmAsrkuu)(mod ) ) (mod ( )(mod ) ) (mod ( ) (mod ) (mod )() (mod + )( )( 2121. .签名认证的正确性证明签名认证的正确性证明2.1.2 例子接受签名。,。由于接着计算。和,计算。,对的签名就是。对和,接着计算。并计算,选择一个随机整数,为了签名消息。的秘密密钥为,而,的公开密钥为。,并计算,满足随机选择一个整数接着的元
21、。是阶为,由于。并计算随机选择一个元。这里,满足和选择素数BrvqpyvBqwruqmhwu qswBsrm qramhksmhqkAqprkA ma AyqpApy qaaAqpggAqppqq pAuukaqp 34 17389) (mod 2703992917389) )(mod124540019) (mod119946265(10083255) (mod ) ) (mod ( 8999) (mod 12716) )(mod( 1799)(mod 13049) 34( 13049 )(mod )+)( 5246 )(7631 ) mod( 34 ) (mod ) ) (mod( 9557
22、 12496 119946265) 10083255 17389 124540019 ( 119946265 ) (mod1112496 1 10083255 ) mod(110217528 7162 )/1(1)( | 17389124540019 89991271621111)/1(21签名认证.签名认证.签名产生.签名产生.密钥产生.密钥产生. 例子5例子52.1.3 DSA的安全与执行问题比特。大于不允许特为倍数浮动。比比特之间以比特到的长度可以在然而比特,的长度固定为,根据上的离散对数问题。的循环子群个是阶为的离散对数问题,另一是模离散对数问题。一个的安全依赖两个不同的1024186
23、 FIPS641024 512160 186) FIPS ( (2)DSA (1)ppqqp算法3算法32.1.3 DSA的安全与执行问题(续)次模乘。需要开销方法,如果使用,平均模幂来减少模乘次数的步计算两个次模乘。有一些通过同次模乘,总共比特。平均每个需要是个模幂,每个的指数都于两签名认证的主要工作在案就不可能事先计算。签名方而言,签名产生时计算。比较需要等到以事先计算好而不的一个好处在于模幂可乘。次模模幂,平均需要签名产生主要需要一次280 804240160RSA DSA240 (3)2.1.3 DSA的安全与执行问题(续)。,可以换一个新的或如果签名者发现。生。签名者也需要检查这种情
24、况几乎不可能发。在实践中,的概率为是随机元,则假定;但是,如果名者需要检查为了避免这种情况,签不存在。,则,如果认证需要计算。供了更具吸引力的目标但这无疑给攻击者提。,和,整个系统选择一组参数允许。和不同的素数不需要为每个实体选择ksrrsssssqsqpqp0 00 ) 2(1/ 00 0 ) (mod (5) DSS (4)160112.2 ElGamal签名算法2.2.1 算法描述。的秘密密钥为;,的公开密钥为。计算。,选择一个随机整数。和一个生成元产生一个大随机素数做如下步骤:每个实体密密钥。于签名的公开密钥和秘摘要:每个实体产生用签名方案的密钥产生aAypA py paapAa )(
25、 (4)(mod (3)21 (2) (1) ElGamal 算法5算法52.2.1 算法描述 (续)绝签名。,接受签名;否则,拒如果。和计算。计算。如果不是,拒绝该签名,验证。,的真实公开密钥找到做如下步骤;,的签名对为了验证。,的签名就是对对。计算。计算。,满足,选择一个随机秘密整数做如下步骤:实体的公开密钥认证签名。可以通过体进行签名。任何实息对任意长度的二进制消摘要:实体签名的产生和认证21)(211 (5) (mod )( (4) (mod (3) 11 (2) ( (1) ) ( ) ( (4) 1( mod )( (3) (mod (2)1 ) 1(2 1 (1) ElGamal
26、 vvpvmhpryvprypABsrmAsrmApramhksprpkpkkAABmAmhsrk 认证.认证.签名产生.签名产生.算法6算法62.2.1 算法描述 (续)。这也就是,。这意味着:。,调换次序有得:。两边都乘以正确产生,则如果签名确实由21+ )(1) (mod)()( ) 1( )mod + ()( :) 1( mod ) )( ) 1( mod )(vvprypskramhpramhskkpramhksAsrskraskramh . .签签名名的的认认证证正正确确性性证证明明2.2.2 例子。接受签名,这是因为。和,计算。,的签名就是对对。计算最后,。,和,计算选择一个随机
27、整数进行签名,。为了对消息是单位函数函数在例子中也就是,整数并且为了说明简单,消息是。,的公开密钥就是。并计算秘密密钥选择。和生成元选择素数2114632177714901115291751 1072 2357 mod 2 1463)(1072 2357) (mod 1490 1185 1777) 1490 ( 1463 1777 2356) (mod )149017511463(245 245 ) 1( mod 1490 ) 2357 (mod 2) (mod15291463) hash ( )( 1185) 2 2357 ( 1185 2357) (mod 2 )(mod1751 2 23
28、57 vvBvmhvBsrmAsApkprkAmmmhypA pyaApAka签名认证.签名认证.签名产生.签名产生.密钥产生.密钥产生.例子6例子62.2.3 ElGamal签名安全导出来。常高的概率会被推;否则秘密密钥将有非不同的签名的时候,必须使用对每个不同的消息进行候可以忽略。很大的时,在仅约为方法,这时成功的概率更好的该没有比随机选择计算不可能,攻击者应。如果离散对数问题确定的签名。这需要攻击者对消息来试图伪造并计算数攻击者可能随机选择整kppspramhksmApr kk (2)/1 ) 1mod( )( ) (mod (1)12.2.3 ElGamal签名安全(续)。的合法签名,
29、这是因为就是对消息,。对和。计算,满足,意一个整数对伪造攻击方法。选择任的。攻击者可以使用下面函数,签名方程就是如果没有使用) (mod)() 1( mod )( ) 1( mod ) (mod) (mod1 = ) 1() ( ) 1( mod)(hash (3)11pyyyyrypusmsrp vrsppy r pvvup ramk smusrusrsvursrvu+avu2.2.3 ElGamal签名安全(续)。,即且应该被认证算法接受的签名,并就是消息,。对中国剩余定理计算出来。后面的部分可以用和,满足以及。这样就可以计算存在假定和并计算己的消息的签名。攻击者选择自产生对是由,假定选择
30、的其它消息签名。产生的签名,产生自己法由实体攻击者可以根据一条合果不做这样的验证,则。如步要求认证者验证的认证第在) (mod)()( )()mod( ) 1(mod ) 1( mod) 1( mod)()(1( mod)()( )( )(11(2) (4)()()()(111pryryrymsr pr rp u rrr pu sspmhpmhmhumhmmAsrAprmhmhmhmhusrusursr算法6算法62.2.3 ElGamal签名安全(续)离散对数攻击。阻止以因子应该有一个足够大的素使用,并且积分方法的有效应该足够大以阻止指数素数Hellman-Pohlig ) 1( (5)qp
31、 p2.2.4 ElGamal签名的效能问题 2.5 /8log151 )(mod /2log 9 /2log 3)() ) (mod (1)211)(122倍。三次模幂效率提高了约次模乘,比分别计算为改善效率,整体开销约模幂可以通过同步计算三个,接受签名。现在,当,当且仅算可以减少计算开销。计证计算模乘。通过略微修改认模乘,整体需要次平均需要使用基本方法开销较大。每次模幂模幂,因而。签名的认证需要三次生仅需要两次在线模乘在这种情况下签名产。模幂可以离线计算,快,主要需做一个模幂的签名产生速度相对较pvv pryvpppsrmhk算法6算法6 2.2.4 ElGamal签名的效能问题(续)为系
32、统参数。的一部分,而作可以不再作为公开密钥和这样,和生成元同的素数所有的实体可以选择相比特或更大的模。全考虑,应该使用安全要求。从长远的安是阻止各种攻击的一般模比特的离散对数计算的进展,根据目前模pppp (3)20481024 (2)2.2.5 ElGamal方案的变化形式2.3 Schnorr 签名方案2.3.1 算法描述 的长度。和除了没有限制完全一样,的密钥产生方案的密钥产生与签名。函数要使用素数。这一方法同样需是大阶子群,这里的一样,这一技术使用模和签名方案。方案变化是另一个非常著名的qphpqp)(DSASchnorr)(hashDSASchnorrElGamal算法3算法32.3
33、.1 算法描述(续)。因此,。所产生,则如果签名确实为绝签名。,接受签名;否则,拒如果。和计算。,的真实公开密钥找到做如下步骤:,的签名对为了验证。,的签名为对对。和,计算。,选择一个随机秘密整数做如下步骤:实体认证。的公开密钥对签名进行可以使用签名。任何实体息对任意长度的二进制消摘要:实体签名的产生与认证ee pryvAeevmhepyvyqpABesmAesmAqkeasrmheprqkkAABmAeakeaesesk )(mod (3)|() (mod (2) ( (1) ) ( ) ( (3) mod )+ ( )|( ) (mod (2)1 1 (1) Schnorr+ . .签名认
34、证的正确性证明签名认证的正确性证明认证.认证.签名产生.签名产生. 算法7算法72.3.2 例子接受签名。,。由于和计算。,的签名就是对。计算最后,。给出值在这个例子中被直接和,并计算满足选择一个随机数进行签名,为了对消息。,的公开密钥为。并计算密钥选择秘密的循环子群。接着,将产生一个阶为,由于。并计算选择一个随机整数。,这里和选择素数BeevmhepvBesmsArmhe prkkAmyqpApyaApgAqpqpA155 )|(49375) (mod 11591726 155) 431 ( 431 541) (mod 327) + 155(423 )(hash 155 = )|(= 493
35、75 )(mod26540 1 327 11101101 = 115917) = 26 = 541 = 129841 = (115917) (mod 26423 5411 26) (mod26346 26346 240 1)/(541 129841 155431327423 240签名认证.签名认证.签名产生.签名产生.密钥产生.密钥产生.例子7例子72.3.3 效能问题方案更短的签名。签名却可以提供比但是在相同安全强度下显改善计算效率,签名方案,虽然不能明的子群相对于次模幂。使用阶为法大约相当于的方同样可以采取同步计算模的模幂。这两次模幂为过程需要两次以需要时间相对少。认证算法,得到于仅使用
36、模幂可以离线计算。由为模的模幂,这个中签名产生需要一次以在ElGamalElGamal1.17)|(hashqprmhp算法7算法72.4 消息恢复与消息添加字签名方案。型数案常常可以转换为添加消息恢复型数字签名方数字签名方案。、例子有添加型数字签名机制的案。就是添加型数字签名方息作为认证算法输入的数字签名方案需要将消方案。数字签名机制的例子有提供消息恢复数字签名数字签名方案。要事先掌握消息内容的名方案是认证算法不需一个消息恢复型数字签 #Schnorr ElGamal DSARSA 定义2定义2 定义1定义13 生日攻击3.1 生日问题生日悖论或生日困惑。这一现象有时也被称为。同月同日的概率
37、是个人出现两个人生日是事实上,。也就是,将略大于生日是同月同日的概率两个人个人,那么出现其中有如果一个屋子里有89%40.507. 036522136521365111 50% 23 3.1生日问题(续)。个物体的概率为到同一,则有不同组两个人拿一个物体。如果令个人。每个组的人各选个物体和两组各有假定有。为拿到同一个物体的概率,则有两个人如果令每个人选择一个物体。人,取值非常大。有个物体,这里假定我们有enrrnenrrnn1 12 事实2事实2事实1事实13.2 签名方案的生日攻击前,做些许改变。在签署一个电子文件之倍。预料长度的两函数的输出长度应该是使用的预防措施签署好的版本。可以要求签名
38、者。攻击者发现了匹配就概率是大约值有相同的文件和一个错误的文件因此,存在一个正确的。我们有情况下的生日攻击问题和值。考虑个版本并存储它们的,他可以有词句稍加改动等。因此一个空格,对在每一行的结束位置加略微改动之处,例如,可以文件的比特。攻击者可以选择函数的输出为假定 (2)hash (1) 11hash22 2hash23050hash102410503030.enr3.3 离散对数的生日攻击。,因此,们就有如果存在一组匹配,我值。是随机选择的不同数这里,第二个表包含数据。是随机选择的不同数值,这里第一个表包含数据。约是每个的长度都大决这一问题。造两个表以一个非常高的概率解击。我们希望通过生日
39、攻我们想解离散对数问题) 1mod()()(mod )(mod (2) )(mod (1) )(mod plkxplpkppplklkx3.4 两次加密的中间人攻击匹配的密钥对。到可以决定唯一都可以密文对,直者可以试其它的明文如果有多组匹配,攻击组匹配。对比两个表,至少有一并分别存储于两个表。和计算所有可能密钥的。,了对假定攻击者得到这一想法并不是事实。提供足够的存储空间,只要计算机能但是,以下的攻击说明。这样做能提高安全强度,看似,这里加密可以使用两次加密 (3) )2()( )( (1)( ( AESDES)(1212cDmEmEEcmmEEckkkkkk3.4 两次加密的中间人攻击(续)次加密的安全强度。仅是我们原来期望的两三次加密,安全强度也类似地,如果我们使用。加密的所有密钥的方法穷举搜索一次次计算。这仅仅略多于远远小于次计算需要种可能的密钥,这里仅如果有 (2)2 (1) 2NNN评述.评述.谢谢!
