本文共 4112 字,大约阅读时间需要 13 分钟。
在OMA-DRM-v2中定义了一系列算法。这些算法并不被标准jdk的jce支持,因而需要单独实现。比如签名算法,使用的是RSA-PSS-Default(即PKCS#1v2.1中新增的RSASSA-PSS算法),而不是jce中常用的RSAwithSHA1对于的URI为, ----------------------------------------------------- 【参考】OMA-TS-DRM-DRM-V2_0-20060303-A.pdf OMA-DRM-v2中要求RI和Device必须支持的算法如下: Hash algorithms: 【SHA-1】: MAC algorithms: 【HMAC-SHA-1】: Signature algorithms: 【RSA-PSS-Default】: (*)注:RSA-PSS-Default is RSASSA-PSS with all parameters having default values (see [PKCS-1] Appendix C). Key transport algorithms: 【RSAES-KEM-KDF2-KW-AES128】: Key wrapping algorithms: 【AES-WRAP】: Canonicalization algorithms: 【Exclusive Canonicalization】: # ----------------------------------------------------- 【参考】欧洲银行标准委员会-加密算法使用与密钥管理指南(Tr406v2-2001年9月)北京江南歌盟科技有限公司PKCS#1描述了一个可用于附属数字签名的,并可与RSA算法同用的数字签名方案.
PKCS#1 的1.5版与2.0版描述了相同的数字签名格式,因为至今仍未有针对此签名格式的攻击发表. PKCS#1 的2.1版在2001年1月发表,该版本的PKCS在保持1.5版方案的同时,引进了新的PSS方案,以便适应新的应用.此版本的PKCS也被称为RSASSA-PSS.我们建议你考虑将原方案转换成PSS方案,因为PSS方案具有可证明的,相当有吸引力的安全特性,虽然现行的PKCS#1签名方案并没有证明可攻破. IEEE标准P1363-2000[100]详细阐述了采用PSS签名的RSA. 最近正被起草的ISO/IEC9796-2,将极有可能将PSS作为被认可的非对称数字签名算法包含进去.(参见5.1.3.1)ECBS建议:
-在进行数字签名之前,应在Hash值上增加冗余功能(假定Hash值的大小与数字签名的大小允许的情况下). -在需要进行不完全或完全信息恢复时,我们极力推荐您使用ISO 9796-2 [30] (带有Hash功能的)数字签名标准. -在不需要进行任何信息恢复的情况,我们推荐您使用PKCS#1 RSASSA-PSS [81](尽管现在它仍只是草案文件).PKCS #1的版本:目前所知的PKCS#1[81]文件的版本共有三个,这些版本的文件阐述了各种加密方案与数字签名方案. 下表阐明了2001年度各方案的推荐情况:
-PKCS#1(1.5版) 加密RSAES-PKCS1-v1_5(不推荐) 数字签名 RSASSA-PKCS1-v1_5(仍然推荐*) -PKCS#1(2.0版) 加密RSAES-OAEP(推荐) 数字签名 RSASSA-PKCS1-v1_5(仍然推荐*) -PKCS#1(2.1版) 加密RSAES-OAEP(推荐) 数字签名 RSASSA-PSS(推荐,记住,里边还有RSASSA-PKCS1-v1_5算法, 网上有pkcs1_v2.1.ppt和pkcs-1v2-1.doc对此进行介绍) ,具体网址: http://www.rsa.com(*)目前,还未发现有任何可针对RSASSA-PKCS1-v1_5的有效攻击,因而仍可将此方案应用于新的应用,但在未来的几年里,RSASSA-PSS极有可能会成为事实标准.
5.3.7 算法OID(对象标识符)
本问题可以变得比较复杂,因为一个OID既可以标志一个加密原语(如RSA),也可以标志一个数字签名方案(如RSASSA-PKCS1-v1_5),还可以标志一个算法组(如带RSA加密的SHA1). RSA {joint-iso-ccitt(2)ds(5)module(1) algorithm(8) encryptionAlgorithm(1)1}。。。RSA被用作加密原语.RSA加密 {iso(1)member-body(2) us(840)rsadsi(113549) pkcs(1)pkcs-1 1}。。。。。。它可精确识别一个数字签名方案,如RSASSA-PKCS1-v1_5. 带RSA加密的SHA1 {iso(1)member-body(2) us(840)rsadsi(113549) pkcs(1)pkcs-1(1)5}。。。。。它可以识别一个算法组. 带SHA1的Id-DSA {iso(1)member-body(2) us(840)x9-57(10040)x9cm(4)3}。。。。。。。。。。。它可以识别一个算法组. Id-DSA {iso(1)identified-organization(3) oiw(14) secsig(3) algorithm(2) 26}。。SHA-1被用作加密原语. RIPEMD160 {iso(1)identified-organization(3) teletrust(36) algorithm(3) digestAlgorithm(2)1}。。。RIPEMD160被用作加密原语. MD5 {iso(1)member-body(2) US(840) rsadsi(113549) digestAlgorithm(2)5}。。。MD5被用作加密原语.-----------------------------------------------------【参考】 (索引)【参考】
使用 OPENSSL API 进行安全编程 作者: bergwolf 发表日期: 2007-04-22 19:21 复制链接【参考】
2. HMAC的定义。定义HMAC需要一个加密用散列函数(表示为H)和一个密钥K。我们假设H是一个将数据块用一个基本的迭代压缩函数来加密的散列函数。我们用B来表示数据块的字长。(以上说提到的散列函数的分割数据块字长B=64),用L来表示散列函数的输出数据字长(MD5中L=16,SHA?1中L=20)。鉴别密钥的长度可以是小于等于数据块字长的任何正整数值。应用程序中使用的密钥长度若是比B大,则首先用使用散列函数H作用于它,然后用H输出的L长度字符串作为在HMAC中实际使用的密钥。一般情况下,推荐的最小密钥K长度是L个字长。(与H的输出数据长度相等)。更详细的信息参见第三部分。我们将定义两个固定且不同的字符串ipad,opad:(‘i','o'标志内部与外部)ipad = the byte 0x36 repeated B timesopad = the byte 0x5C repeated B times.计算‘text'的 HMAC:= H( K XOR opad, H(K XOR ipad, text)) 即为以下步骤:(1) 在密钥K后面添加0来创建一个子长为B的字符串。(例如,如果K的字长是20字节,B=60字节,则K后会加入44个零字节0x00)(2) 将上一步生成的B字长的字符串与ipad做异或运算。(3) 将数据流text填充至第二步的结果字符串中。(4) 用H作用于第三步生成的数据流。(5) 将第一步生成的B字长字符串与opad做异或运算。(6) 再将第四步的结果填充进第五步的结果中。(7) 用H作用于第六步生成的数据流,输出最终结果基于MD5的相关代码将作为附录提供【参考】
1 HMAC的算法原理 1.1 HMAC算法定义 用公式表示如下:HMAC=H(key xor opad,H(key xor ipad,text)) H(X,Y)代表对X+Y的消息进行一种Hash运算; ipad代表重复B次的单字节十六进制常数0x36; opad代表重复B次的单字节十六进行常数0x5c; key代表64字节的字符串,由密钥组成,不足的补0; text代表任意长度文本。 密钥≥L字节。当大于B时,先经Hash计算形成L字节的秘钥(B是Hash算法中一次迭代运算的数据块字节数;L是Hash算法形成报文摘要的字节数)。 HMAC协议定义了迭代两次的Hash加密算法,最终形成报文摘要(DIGEST)值就是认证码。基于算法的可靠性、安全性和易于计算机实现特性,先用Hash中的MD5算法实现HMAC,其B=64,L=16。转载地址:http://apnfb.baihongyu.com/