數字簽名是一個帶有密鑰的消息摘要算法,這個密鑰包括了公鑰和私鑰,用於驗證數據完整性、認證數據來源和抗否認,遵循OSI參考模型、私鑰簽名和公鑰驗證。也是非對稱加密算法和消息摘要算法的結合體,常見的數字簽名算法主要有RSA、DSA、ECDSA三種,本文對數字簽名算法進行詳細介紹。
Hash又譯散列、摘要等名,本文統一稱Hash。
1. RSA數字簽名算法
RSA是目前計算機密碼學中最經典算法,也是目前爲止使用最廣泛的數字簽名算法,RSA數字簽名算法的密鑰實現與RSA的加密算法是一樣的,算法的名稱都叫RSA。密鑰的產生和轉換都是一樣的,包括在售的所有SSL數字證書、代碼簽名證書、文檔簽名以及郵件簽名大多都採用RSA算法進行加密。
RSA數字簽名算法主要包括MD和SHA兩種算法,例如我們熟知的MD5和SHA-256即是這兩種算法中的一類,具體如下表格分佈
算法 | 輸出Hash長度 | 中繼Hash長度 | 數據區塊長度 | 最大輸入長度 | 循環次數 | 碰撞攻擊 | 性能示例(MiB/s) | |
---|---|---|---|---|---|---|---|---|
MD5 | 128 | 128 | 512 | 無限[4] | 64 | <64 (已碰撞) | 335 | |
SHA-0 | 160 | 160 | 512 | 264 − 1 | 80 | <80 (已碰撞) | - | |
SHA-1 | 160 | 160 | 512 | 264 − 1 | 80 | <80 (已碰撞) | 192 | |
SHA-2 | SHA-224 SHA-256 |
224 256 |
256 | 512 | 264 − 1 | 64 | 112 128 |
139 |
SHA-384 SHA-512 SHA-512/224 SHA-512/256 |
384 512 224 256 |
512 | 1024 | 2128 − 1 | 80 | 192 256 112 128 |
154 | |
SHA-3 | SHA3-224 SHA3-256 SHA3-384 SHA3-512 |
224 256 384 512 |
1600 | 1152 1088 832 576 |
無限 | 24 | 112 128 192 256 |
- |
SHAKE128 SHAKE256 |
d (arbitrary) d (arbitrary) |
1344 1088 |
min(d/2, 128) min(d/2, 256) |
- |
1.1. MD2、MD4、MD5算法
最常見的是我們熟知的MD5加密算法,MD5全稱Message-Digest Algorithm 5(信息-摘要算法 5),目前比較普遍的Hash算法,是散列算法的基礎原理,MD5的前身有MD2、MD3和MD4。MD5算法法是輸入任意長度字符,輸出固定長度128位的算法。經過程序流程,生成四個32位數據,最後聯合起來成爲一個128位Hash值,主要方式是通過求餘、取餘、調整長度、與鏈接變量進行循環運算進而得出結果。
1.2. SHA-1算法
SHA-1是由NIST NSA設計爲同DSA一起使用的,SHA-1設計時基於和MD4相同原理,並且模仿了該算法,SHA-1抗窮舉(brute-force)性更好,它產出160位的Hash值,對於非線性運算、移位和加法運算也與MD5類似。SHA-1也應用於包括TLS和SSL、PGP、SSH、S/MIME和IPsec等多種協議中,曾被視爲是MD5的後繼者。SHA-1的如今已經明確不具備安全性可言了。
在2016年1月1日後基於SHA-1簽發的SSL和代碼簽名的X.509證書已不具備安全性可言,多個操作系統、瀏覽器都建議將基於SHA-1而簽發的證書、代碼簽名替換至SHA-2的產品,但目前在Windows XP(官方已停更)操作系統上仍然只兼容基於SHA-1算法的SSL和代碼簽名產品。
就在2017年2月23日Google宣佈實現了對SHA-1算法的碰撞破解,所以SHA-1算法已經正式被宣佈爲不安全的算法,主流廠商對自身產品及安全要求都提升至了SHA-2算法。
1.3. SHA-2算法
SHA-224、SHA-256、SHA-384和SHA-512並稱爲SHA-2,發佈於2001年,目前比較廣泛應用的SSL數字證書和代碼簽名證書籤名算法均採用SHA-256算法,相較於SHA-1算法而言,至今SHA-2算法還未被破解,從某種意義上SHA-2延用了SHA-1算法,所以至少發文時間起是安全的。目前頂級CA和Google、蘋果等公司都採用基於SHA-256算法作爲SSL證書和代碼簽名證書的主流簽名算法。
1.4. SHA-3算法
SHA-3算法正式發佈於2015年,SHA-3並不是要取代SHA-2,因爲SHA-2目前並沒有出現明顯的弱點。由於對MD5、SHA-0和SHA-1出現成功的破解,NIST感覺需要一個與之前算法不同的,可替換的加密Hash算法,也就是現在的 SHA-3。
2. DSA數字簽名算法
DSA全稱Digital Signature Algorithm,DSA只是一種算法,和RSA不同之處在於它不能用作加密和解密,也不能進行密鑰交換,只用於簽名,所以它比RSA要快很多,其安全性與RSA相比差不多。DSA的一個重要特點是兩個素數公開,這樣,當使用別人的p和q時,即使不知道私鑰,你也能確認它們是否是隨機產生的,還是作了手腳。RSA算法卻做不到。
DSA的整個簽名算法流程如下:
a. 發送方使用SHA-1和SHA-2編碼將發送內容加密產生的數字摘要;
b. 發送方用自己的專用密鑰對摘要進行再次加密得到數字簽名;
c. 發送方將原文和加密後的摘要傳給接收方;
d. 接收方使用發送方提供的密鑰對進行解密 ,同時對收到的內容用SHA-1/SHA-2編碼加密產生同樣的摘要;
e. 接收方再將解密後的摘要和d步驟中加密產生的摘要進行比對,如果兩者一至,則說明傳輸過程的信息沒有被破壞和篡改,否則傳輸信息則不安全。
3. ECDSA橢圓曲線數字簽名算法
ECDSA是用於數字簽名,是ECC與DSA的結合,整個簽名過程與DSA類似,所不一樣的是簽名中採取的算法爲ECC,最後簽名出來的值也是分爲r,s。而ECC(全稱Elliptic Curves Cryptography)是一種橢圓曲線密碼編碼學。
ECDH每次用一個固定的DH key,導致不能向前保密(forward secrecy),所以一般都是用ECDHE(ephemeral)或其他版本的ECDH算法。ECDH則是基於ECC的DH( Diffie-Hellman)密鑰交換算法。
ECC與RSA 相比,有以下的優點:
a. 相同密鑰長度下,安全性能更高,如160位ECC已經與1024位RSA、DSA有相同的安全強度。
b. 計算量小,處理速度快,在私鑰的處理速度上(解密和簽名),ECC遠 比RSA、DSA快得多。
c. 存儲空間佔用小 ECC的密鑰尺寸和系統參數與RSA、DSA相比要小得多, 所以佔用的存儲空間小得多。
d. 帶寬要求低使得ECC具有廣泛得應用前景。
下表是ECC和RSA安全性比較
攻破時間(MIPS年) | RSA/DSA(密鑰長度) | ECC密鑰長度 | RSA/ECC密鑰長度比 |
---|---|---|---|
104 | 512 | 106 | 5:1 |
108 | 768 | 132 | 6:1 |
1011 | 1024 | 160 | 7:1 |
1020 | 2048 | 210 | 10:1 |
1078 | 21000 | 600 | 35:1 |
下表是RSA和ECC速度比較
功能 | Security Builder 1.2 163位ECC(ms) |
BSAFE 3.0 1,023位RSA(ms) |
密鑰對生成 | 3.8 | 4,708.3 |
簽名 | 2.1(ECNRA) 3.0(ECDSA) |
228.4 |
認證 | 9.9(ECNRA) 10.7(ECDSA) |
12.7 |
Diffie—Hellman密鑰交換 | 7.3 | 1,654.0 |
在 ECDHE 密鑰交換中,服務端使用證書私鑰對相關信息進行簽名,如果瀏覽器能用證書公鑰驗證簽名,就說明服務端確實擁有對應私鑰,從而完成了服務端認證。密鑰交換和服務端認證是完全分開的。
可用於 ECDHE 數字簽名的算法主要有 RSA 和 ECDSA,也就是目前密鑰交換 + 簽名有三種主流選擇:
- RSA 密鑰交換(無需簽名);
- ECDHE 密鑰交換、RSA 簽名;
- ECDHE 密鑰交換、ECDSA 簽名;
4. 總結
對於SSL數字證書和代碼簽名證書以及其它非對稱加密產品來說,RSA目前普及度最高,以SHA-256簽名算法最廣,對於更高級基於ECC簽名算法是需要對證書請求文件CSR和根證書都有相應的要求。
SHA-2
自2016年1月1日起大多CA已停止簽發不安全的SHA-1簽名算法,所有CA目前簽發的證書都要求基於SHA-2簽名算法。
FULL SHA-2
與SHA-2選項類似,FULL SHA-2選項將爲您提供相同的SHA-2證書和中間證書,但根證書不再是基於SHA-1而是SHA-2。
ECC-FULL
和“FULL-SHA-2”選項類似,你將需要提供一個基於ECC算法的CSR,同時ECC-HYBRID ECC-HYBRID與ECC-FULL一樣,ECC的幾種算法都要求根證書是RSA。
參考文獻
非https網站將不再提供鏈接形式,請自行復制前往
- https://segmentfault.com/a/11...
- https://imququ.com/post/ecc-c...
- http://blog.sina.com.cn/s/blo...
- http://blog.csdn.net/xueyepia...
- http://blog.syscallx.com/2016...
- https://zh.wikipedia.org/wiki/SHA-2
- https://zh.wikipedia.org/wiki/SHA-3
- http://blog.csdn.net/zuiyuezh...
- http://blog.csdn.net/u0139915...
- https://technet.microsoft.com/library/security/2880823