網絡安全-10-密碼學Hash函數

單純的加解密算法無法保證抵抗下述攻擊偽裝內容修改順序修改計時修改發(fā)送方否認接收方否認消息認證碼數字簽名不屬于機密性范疇,屬于數據完整性范疇

Chapter11

密碼學Hash函數《計算機與網絡安全》

哈希函數（雜湊函數）（1）Hash編碼；（2）Hash函數；（3）散列編碼：（4）散列函數；（5）單向壓縮函數。哈希函數在公鑰密碼的內容中，已經介紹了“單向函數”的概念。而哈希函數是一類特殊的單向函數。設數據文件是任意長度的比特串x

。在密碼應用中，希望有這樣的函數y=H(x)，滿足：（1）將x壓縮成為固定長度的比特串y。（2）不同的x一定要生成不同的y。（一般情況）（3）由y的值無法倒算x的值。2023/2/2西安電子科技大學計算機學院5Hash函數濃縮任意長的消息M到一個固定長度的取值h=H(M)

通常假設hash函數是公開的且不使用密鑰（MAC使用密鑰）Hash函數用戶檢測對消息的改變密碼學Hash函數2023/2/2西安電子科技大學計算機學院7哈希函數的應用消息認證數字簽名Hash函數用于消息認證2023/2/2西安電子科技大學計算機學院8Hash函數用于消息認證2023/2/2西安電子科技大學計算機學院9Hash函數用于數字簽名2023/2/2西安電子科技大學計算機學院10Hash函數的其他用途給明文增加結構特征以保護密文從口令衍生密鑰挑戰(zhàn)-應答認證協議中用來產生隨機數2023/2/2西安電子科技大學計算機學院11密碼學Hash函數的基本性質單向性：對于預先給定的Hash值找不到對應的數據塊抗碰撞性：找不到不同的數據塊對應相同的Hash值2023/2/2西安電子科技大學計算機學院12Hash函數h=H(x)的安全性要求函數參數輸入：可以任意長度輸出：必須固定長度n比特，一般n=128、160bits函數特性效率：給定x，計算H(x)＝h是容易的單向性：給定h，要找x使H(x)＝h是困難的弱抗碰撞特性： 對于給定的y，找x，使H(x)＝H(y)是困難的強抗碰撞特性（生日攻擊）：找(x1,x2)，x1≠x2，H(x1)=H(x2)是困難的偽隨機性：輸出滿足偽隨機測試標準2023/2/2西安電子科技大學計算機學院13找碰撞：生日攻擊最多嘗試2n＋1個報文，必有至少一對碰撞問：平均嘗試多少個報文，可以以1/2的概率找到一對碰撞？

~2n/2類比問題（生日問題）最多找365+1個人，則必有至少兩個人生日相同問：平均找多少個人，能以1/2的概率找到兩人生日相同？

23如果采用64-bit的Hash碼，以一半概率找到碰撞的代價的數量級是2322023/2/2西安電子科技大學計算機學院14生日悖論2023/2/2西安電子科技大學計算機學院15Hash安全特性之間的關系抗原像攻擊抗弱碰撞攻擊抗強碰撞攻擊2023/2/2西安電子科技大學計算機學院16Hash函數設計考慮奇偶校驗異或XOR（或者累加）只能檢出奇數個比特錯誤CRC常用在幀校驗仍有很高的比率不能檢出傳輸比特錯誤*不能滿足單向性和抗碰撞性復雜的密碼學用散列函數MD2/MD5SHA/SHA12023/2/2西安電子科技大學計算機學院17基于分組密碼的散列函數的缺點不利于隨機化因為加密是可逆的，分組密碼存在規(guī)則性分組密碼通常很慢分組密碼分組長度小于散列值長度通常64位或128位vs.128/160/256/384/5122023/2/2西安電子科技大學計算機學院19Hash算法Hash函數和分組密碼的發(fā)展變化具有相似性窮舉攻擊能力的增強算法的不斷改進分組密碼：從DES到AESHash算法:從MD4、MD5到SHA-1、RIPEMD-160、SHA-512、Whirlpool2023/2/2西安電子科技大學計算機學院20§12.1MD5消息摘要算法由RonaldRivest設計MD2(1989),MD4(1990),MD5(1991)

產生128-bit的hash值直到現在仍是被廣泛使用的hash算法最近已受到窮舉攻擊和密碼分析攻擊作為互聯網的RFC1321標準2023/2/2西安電子科技大學計算機學院21MD5概覽增加填充位。使得填充后的消息長度比512的某整數倍少64位（即長度＝448mod512，64位用于存放消息的長度mod264的結果）填充長度（填充前消息的長度為K位，將mod264的結果填充到第一步的最后，最低有效位在前。）初始化MD緩沖區(qū)(A,B,C,D):4個字共128-bit，每字32bit.A=67452301B=EFCDAB89C=98BADCFED=10325476以16個字（512bits）為分組處理消息用4輪（64次迭代）以16位操作對消息分組和緩沖區(qū)進行處理把輸出與緩沖輸入相加作為新的緩沖值

把最后的緩沖值作為hash輸出值（128比特）2023/2/2西安電子科技大學計算機學院22MD5處理過程CV0=IVCVq+1=SUM32[CVq,RFI(Yq,RFH(Yq,RFG(Yq,RFF(Yq,CVq))))]MD=CVL-1其中：IV=第三步定義的緩沖區(qū)ABCD的初值Yq=消息的第q個512位分組L=消息分組的個數（包括填充位和長度域）CVq=處理消息的第q個分組時所使用的鏈接變量RFx=使用基本邏輯函數x的輪函數MD=消息摘要SUM32=對輸入字分別執(zhí)行模232加法2023/2/2西安電子科技大學計算機學院23MD5Overview2023/2/2西安電子科技大學計算機學院232023/2/2西安電子科技大學計算機學院242023/2/2西安電子科技大學計算機學院25MD5的強度MD5的hash值依賴于消息的所有比特位Rivest聲稱它對于已知攻擊安全性足夠好:Berson92采用差分的方法對單輪的攻擊Boer&Bosselaers93說明了如何找到碰撞Dobbertin96提出的攻擊對MD5最具威脅，可使MD5壓縮函數產生碰撞。結論是MD5似乎不久就會有風險2023/2/2西安電子科技大學計算機學院26§12.2安全Hash算法(SHA-1)SHA由NIST和NSA在1993年提出,修訂版于1995年發(fā)布，稱作SHA-1作為美國DSA數字簽名方案的標準FIPS180-11995,InternetRFC3174注意：算法是SHA,標準稱為SHS產生160-bithash值

現在作為建議的hash算法

基于MD4的設計2023/2/2西安電子科技大學計算機學院27SHA概覽增加填充位

填充長度初始化5個字(160-bit)緩沖區(qū)(A,B,C,D,E)為(67452301,efcdab89,98badcfe,10325476,c3d2e1f0)以16個字（512-bit）為分組處理消息:將分組的16個字擴充為80個字用于壓縮過程中4輪，每輪20步迭代把輸出和輸入相加以形成新的緩沖區(qū)取值將最后緩沖區(qū)的值作為hash值輸出2023/2/2西安電子科技大學計算機學院282023/2/2西安電子科技大學計算機學院29SHA-1壓縮函數2023/2/2西安電子科技大學計算機學院30SHA-1versesMD5窮舉攻擊更加困難（SHA-1:160,MD5:128）

對已知攻擊不存在風險(與MD4/5相比)（SHA-1的設計原則尚未公開）速度比MD5慢(80步，64步)兩者設計都很簡單緊湊2023/2/2西安電子科技大學計算機學院31SHA的修改NIST1981年已經發(fā)布了FIPS180-2除SHA-1外，新增加了3個hash算法：

SHA-256,SHA-384,SHA-512，消息摘要的長度分別為：256