一 中间人攻击
对数字签名的中间人攻击,具体来说就是主动攻击者Mallory介入发送者和接收者的中间,对发送者伪装成接受者,对接收者伪装成发送者,从而能够在无需破解数字签名算法的前提下完成攻击。
要防止中间人攻击,就需要确认自己得到的公钥是否真的属于自己的通信对象。例如,我们假设Bob需要确认自己所得到的是否真的是Alice的公钥,Bob可以给Alice打个电话,问一下自己手上的公钥是不是真的(如果电话通信也被Mallory控制,那这个方法就行不通了)。
要在电话中把公钥的内容都念一遍实在是太难了,这里有一个简单的方法,即Alice和Bob分别用单向散列函数计算出散列值,然后在电话中相互确认散列值的内容即可。实际上,涉及公钥密码的软件都可以显示公钥的散列值,这个散列值称为指纹。指纹的内容就是像下面这样的一串字节序列。
二 对单向散列函数攻击
数字签名中所使用的单向散列函数必须具备抗碰撞性,否则攻击者就可以生成另外一条不同的消息,是其与签名绑定的消息具有相同的散列值。
三 利用数字签名攻击公钥密码
在RSA中,生成签名的公式是:
签名 = 消息的D次方 mod N
这个公式和公钥密码的解密操作是等同的,也就是说可以将“请对消息签名”这一请求理解为“请解密消息”。利用这一点,攻击者可以发动一种巧妙的攻击,即利用数字签名来破译密文。
我们假设现在Alice和Bob正在通信,主动攻击者Mallory正在窃听。Alice用Bob的公钥加密消息后发送给Bob,发送的密文是用下面公式计算出来的。
密文 = 消息的E次方 mod N
Mallory窃听到Alice发送的密文并将其保存下来,由于Mallory想要破译这段消息,因此它给Bob写了这样一封邮件。
Mallory将刚刚窃听到的密文作为上述邮件的附件一起发送给Bob,即:
附件数据 = 密文
Bob看到了Mallory的邮件,发现附件中的数据的确只是随机数据(但其实这是Alice用Bob的公钥加密的密文)。
于是Bob对附件数据进行签名
签名= 附件数据 的D次方 mod N
= 密文的D次方 mod N
= 消息
Bob的本意是对随机的附件数据施加数字签名,但结果却无意中解密了密文。如果不小心将上述签名的内容(=消息)发送给Mallory,那么Mallory不费吹灰之力就可以破译密文了。这种诱使接收者本人来解密的方法实在是非常大胆。
对于这样的攻击,我们应该采取怎样的对策呢?首先,不要直接对消息进行签名,对散列值进行签名比较安全;其实,公钥密码和数字签名最好分别使用不同的密钥对。
然而,最重要的是绝对不要对意思不清楚的消息进行签名,尤其是对看起来只是随机数据的消息进行签名。从签名的目的来说,这一点应该是理所当然的,因为谁都不会在自己看不懂的合同上签字盖章的。