課件-第2.5章密碼學基礎

消息認 體制2MAC 2.1 2.23數(shù)字簽AuthenticationistheactofconfirmingthetruthofanattributeofasinglepieceofdataorMessage Method-1:Message Method-2:Messageauthentication Method-3:DigitalIdentity消息認 體制2MAC 2.1 2.23數(shù)字簽如何實現(xiàn)消息認加–消息內容只有加密者和擁 密鑰者才知道確保消息 性–對稱加密優(yōu)點：計算速度缺點：事先必 好共同密公鑰加密系優(yōu)點：不需要事先必 好共同密缺點：計算速度慢需要認證公鑰來源的正確Messagemessageencryptionbyitselfalsoprovidesameasureofauthenticationifsymmetricencryptionisusedreceiverknowsendermusthavecreatedsinceonlysenderandreceiverknowkeyknowcontentcannotofbeenifmessagehassuitablestructure,redundancyorchecksumtodetectanyMessageifpublic-keyencryptionisencryptionprovidesnoconfidenceofsinceanyonepotentiallyknowspublic-however sendersignsmessageusingtheirprivate- thenencryptswithrecipientspublic havebothsecrecyandagainneedtorecognizecorruptedbutatcostoftwopublic-keyuseson消息認 體制2MAC 2.1 2.23數(shù)字簽如何實現(xiàn)消息認發(fā)送

發(fā)送 方都知道的密鑰計算MMAC值，并連同消息MM–Step1:用與發(fā)送方共享的密鑰算MM’的MAC–Step2:比較算出來的MAC值是否消息認證碼MAC的基本利用事先約定 ，加密生成一個固定長度的短數(shù)據(jù)塊MAC，并MAC附加到消息之后，一起發(fā)送給接收者接收者使用相 對消息原文進行加密得到新的MAC，比較新MAC和隨消息一同發(fā)來的MAC，如果相同則未受到篡改messageauthenticationcode(oftenMAC)isashortpieceofinformationusedtoauthenticateamessageandtoprovideintegrityandauthenticityassurancesonthePrerequisite:AandBsharesakeyCanbeasessionMAC:ashortfixed-sizedatablock,dependingonmessageMandthesharedkeySender:Receiver:onreceivingComputeCheckwhetherMAC:OnlyAandBwhoshareakeycancreateavalidcodeforamessageOnlythedesignatedreceiverAorBcanauthenticatethereceivedmessageAnattackercannotmodifyMwithoutre-theMAC:MAC:消息認 體制2MAC 2.1 2.23數(shù)字簽Hash函數(shù)定消息是任意有限長度，哈希值是固定長Hash的概念 于156年，Dume用來解symboltablequestion(使、在平均常數(shù)時間完。Thisisaninputtoacrypto-graphichashfunction.Thisisaninputtoacrypto-graphichashfunction.Theinputisaverylongstring,thatisreducedbythehashfunctiontoastringoffixedlength.Thereareadditionalsecurityconditions:itshouldbeveryhardtofindaninputhashingtoagivenvalue(apreimage)ortofindtwocollidinginputs(acollision).Hash函數(shù)的定散列函數(shù)（HashFunction）的目 將任意長的消息映射成一個固定長度的散列值（hash值）稱為消 。消 可以作為認證符，完成消息認證性 單向性（抗原像）：對干任意給定的消息，計算其哈希值容易.但是于給定的哈希值h，要找到M使得H(M)＝h在計算上是不可行 弱抗碰撞（抗二次原像）：對于給定的消息M1，要發(fā)現(xiàn)另一個消息M2，足H(M1)＝H(M2)在計算上是不可 強抗碰撞：找任意一對不同的消息M1，M2，使H(M1)＝H(M2計算上可行的散列值的安全長“生日悖論 有23或23，人的生日相同的概要大于50%。對60或者 的人，種概率要大于99%。生日悖論對于散列函數(shù)的意 n位長度的散列值，可能發(fā)生一次碰撞的測試次數(shù)不是2n而是大約2n/2次 一個40位的散列值將是不安全的，因為大約100列值中將找到一個碰撞的概率為 消 的長度不低于為128位Hash函數(shù)的用消息完整性檢消息完整性和消息源認證數(shù)字簽名（速度快；防止消 ；見數(shù)字簽名Hash鏈用于口令認證 鑒別Hash函數(shù)的定Hash函數(shù)的分改動檢測碼MDC(ManipulationDetection主要用于消息完消息認證碼MAC(MessageAuthentication帶密鑰的哈希主要用于消息源認證和消息完不帶密鑰的哈希函數(shù)的發(fā)llffllffnnnlfnnStepstepfunctionStepStepStep??不帶密鑰的哈希函數(shù)的發(fā)散列算法MD族是在90年代初由mitlaboratoryforcomputerscience和RSAdatasecurityinc （message-digest）.md2、md4和md5都產(chǎn)生一個 1990年開發(fā)出md4算法.Denboer和bosselaers以及其他人很快的發(fā)現(xiàn)了 .dobbertin向大家演示了如何利用一部普通的個人電腦在幾分鐘內找到 不帶密鑰的哈希函數(shù)的發(fā)SHA系列算法是NIST根據(jù)Rivest設計的MD4和MD5開發(fā)的算法.國家安 布SHA作 標準.SHA表示安全散列算法 SHA-SHA-0正式地稱作SHA，這個版本 后不久 存在弱點 SHA-SHA-1是NIST于1994年發(fā)布的，它與MD4和MD5散列算法非常相似，被認MD4MD5的后繼 SHA-SHA-2實際上分為SHA-224、SHA-256、SHA-384和SHA-512不帶密鑰的哈希函數(shù)的發(fā)1992年YuliangZhengHAVAL散列函數(shù)不Gost是一 不帶密鑰的哈希函數(shù)的發(fā)

SHA-

Ext.Ext.RIPEMD-

不帶密鑰的哈希函數(shù)的發(fā)碰 復雜不帶密鑰的哈希函數(shù)的發(fā) Bruteforce:1millionPCsorUS$1000000

Brute碰 復雜不帶密鑰的哈希函數(shù)的發(fā) NESSIE工程推薦使用的hash算法有SHA-256/384/512和 ECRYPT也在hash算法研究方面舉辦了一系列活 2009年10月，第二輪評估開始，剩余14個算 目前剩下5個算法進入第MD5算Hash算法中M5(12位)和SHA(160位RonRivest于1990年設計了一個稱為MD4的Hash算法， 的廣泛親睞.但后來人們發(fā)現(xiàn)MD4存在安全性缺陷，于是，Ron例如，消息“例如，消息“abc”,其8比特的ASCII,,二進制，即可得一長度512位的消息1 填充一個1和若干個0及64比特的（未 消息長度，使 初“向初

“c”

MDh0= h1=MDh2=0x98BADCFEh3=壓縮函數(shù)的消息分組長度512比特，壓縮函數(shù)分為4輪16步，共64輸出散列值128MD5算MtMMtMM填充使分組恰好512ff初ff初始值f哈希值。。。注：填充方法是附一個1在消息后面，后接所要求的多0然后在其后附上64位的消息長度（填充前）1991年Rivest對MD4的進行改進升級，提出了DigestAlgorithm5）MD5具有更高的安全性，目前被廣泛LL512N32K消息100?0消 512YL-512 512 512 512位位位位位位位位位 位CVl-圖2.20MD5算 E（X，Y，Z）=（X∧Y）∨（(?X）∧ F（X，Y，Z）=（X∧Z）∨（Y G（X，Y，Z）=XY H（X，Y，Z）=Y（X EE(a,b,c,d,Mj,s,ti)：a=b+ FF(a,b,c,d,Mj,s,ti)：a=b+((a+(F(b,c,d)+Mj+ GG(a,b,c,d,Mj,s,ti)：a=b+((a+(G(b,c,d)+Mj+ HH(a,b,c,d,Mj,s,ti)：a=b+((a+(H(b,c,d)+Mj+MD5算xyxy000000010011100101111111F(X,Y,Zxyxy000000010011100101111111G(X,Y,Z)(XZ)(YZH(X,Y,Z)(XYZI(X,Y,Z)Y(XZxy非x0000101110xy非x0000101110101110其中i的單位是弧[x]表示取x的整數(shù)部MD5算對于MD4的幾從三輪改成四輪第二輪函數(shù)從F(x,y,z)=(xΛ ┐z)，以消弱對稱性

v(xΛz)v(yΛz)改為(xΛ改變第二輪和第三 消息子分組的順序，使其形式更不似改變每輪移位量以實現(xiàn)更快的雪崩效應每步有唯一的加法常數(shù)ti，消除任何輸入數(shù)據(jù)的每一步與上一步的結果相加，這將引起更快的雪崩效應消息認 體制2MAC 2.1 2.23數(shù)字簽HMAC的設計目Hash函數(shù)不使用密鑰，不能直接用于HMAC要 可不經(jīng)修改使用現(xiàn)有hash函 其中嵌入的hash函數(shù)可易于替換為更快和更安全的hash函 保持嵌入的hashHAMC低 以簡單方式使用和處理密 在對嵌入的hash函數(shù)合理假設的基礎上，易于分HMAC用于認證時 強HMAC算HashMessageAuthenticationCodeRFC2104可嵌入多種雜湊函數(shù)算法：MD4、MD5SHA-加入 密鑰發(fā)送 接

密鑰

密鑰MAC操作模 明文MACMMMMK1=MMMAC操作模 明文MAC密后傳M [M||MM

消消MK2

1

=算 =2KK2K1MAC操作模密文與MACM MMK1

算

=?=算

K2MAC操作模密文計MAC傳M EK1MK1 K

EK1EK1K

MK==?HMACknowthatthesecurityofHMACrelatestothatofattackingHMACrequiresbruteforceattackonkeybirthdayattack(butsincekeyedwouldneedtoobserveaverylargenumberofmessages)choosehashfunctionusedbasedonspeedverses消息認 體制2MAC 2.1 2.23數(shù)字簽數(shù)字簽名的基數(shù)字簽名和消息認證碼消息認證的作用是保護通信雙方以防 不能保護通信雙方中的一方防止另一方 一個消息并使用與A共享的密鑰產(chǎn)生該消息的認證碼聲稱該消息來自于②由于B有可 A發(fā)來的消息，所以A就可以對自己發(fā)過的消息以否認數(shù)字簽名的基本概手寫簽名與數(shù)字簽名的手寫簽名是一種傳統(tǒng)的確認方式，如寫信、簽訂協(xié)議、付確認 文件等 手寫簽名是所簽文件的物理組成部分；數(shù)字簽名必須與所簽文 在一起 手寫簽名通過與標準簽名比較或檢查筆跡來驗證 簽名比較容易；數(shù)字簽是通過公開的驗證算法來驗證。好的數(shù)字簽名算法應 簽名十 手寫簽名不 ；數(shù)字簽名是一個二進制信息，十分容 ，所以必須防數(shù)字簽名重復使用數(shù)字簽名的基本概 簽名是可以被確認--使用某些對發(fā)送方來說是唯一的信息能夠核實對消息的簽名. 簽名是不 --除了發(fā)送者，任何人（包括接受者）不 消息的簽名既包括對一個已有的數(shù)字簽名構造新的消息，也包括對一個給定消 個數(shù)字 簽名是不可重用--同一消息不同時刻其簽名是有區(qū) 簽名是不可抵賴--發(fā)送者事后不能抵賴對消息的簽名，出現(xiàn)爭議可解決爭端數(shù)字簽名 中提供數(shù)據(jù)完整性、數(shù)據(jù)源認證性數(shù)據(jù)不可否認性等數(shù)字簽名Digital在ISO7498-2標準定“附加在數(shù)據(jù)單元上的一些數(shù)據(jù)或是對數(shù)據(jù)單元所作的來確認據(jù)單元源數(shù)據(jù)單完整，保護數(shù)會 者） 。一般來說，數(shù)字簽名可以被理解通過某種 數(shù)字簽名基于兩條基本的假設：一是私鑰是安全的，只有擁有者才能獲得；二是產(chǎn)生數(shù)字簽名的惟一途徑是使用數(shù)字簽名的基本概1976，WDiffie和M man在“NewDirectionsinCryptography”,首先提出了數(shù)字簽名的思想并猜測1978，RRivestAShamir,LAdlemanRSA算1984,SGoldwasserSMicali,RRivest略提出了數(shù)字簽名算法的安全性要2004，中國頒布電子數(shù)字簽名的基