信息安全原理與應(yīng)用第五章

信息安全原理與應(yīng)用第五章第一頁，共七十三頁，2022年，8月28日2

內(nèi)容提要消息鑒別數(shù)字簽名第二頁，共七十三頁，2022年，8月28日3消息鑒別消息鑒別的概念鑒別函數(shù)消息加密消息鑒別碼MAC散列函數(shù)第三頁，共七十三頁，2022年，8月28日4

通信系統(tǒng)典型攻擊竊聽業(yè)務(wù)流分析消息篡改內(nèi)容修改：消息內(nèi)容被插入、刪除、修改。順序修改：插入、刪除或重組消息序列。時間修改：消息延遲或重放。冒充：從一個假冒信息源向網(wǎng)絡(luò)中插入消息抵賴：接受者否認收到消息；發(fā)送者否認發(fā)送過消息。第四頁，共七十三頁，2022年，8月28日5基本概念消息鑒別（MessageAuthentication)：是一個證實收到的消息來自可信的源點且未被篡改的過程。

第五頁，共七十三頁，2022年，8月28日6鑒別的目的鑒別的主要目的有二：第一，驗證信息的發(fā)送者是真正的，而不是冒充的，此為信源識別；第二，驗證信息的完整性，在傳送或存儲過程中未被篡改，重放或延遲等。第六頁，共七十三頁，2022年，8月28日7消息鑒別消息鑒別的概念鑒別函數(shù)消息加密消息鑒別碼MAC散列函數(shù)第七頁，共七十三頁，2022年，8月28日8鑒別模型一個單純鑒別系統(tǒng)的模型第八頁，共七十三頁，2022年，8月28日9鑒別系統(tǒng)的組成鑒別編碼器和鑒別譯碼器可抽象為鑒別函數(shù)。一個安全的鑒別系統(tǒng)，需滿足（1）意定的接收者能夠檢驗和證實消息的合法性、真實性和完整性（2）消息的發(fā)送者和接收者不能抵賴（3）除了合法的消息發(fā)送者，其它人不能偽造合法的消息首先要選好恰當?shù)蔫b別函數(shù)，該函數(shù)產(chǎn)生一個鑒別標識，然后在此基礎(chǔ)上，給出合理的鑒別協(xié)議(AuthenticationProtocol)，使接收者完成消息的鑒別。第九頁，共七十三頁，2022年，8月28日10鑒別函數(shù)用于產(chǎn)生鑒別符的鑒別函數(shù)分為三類：(1)消息加密函數(shù)(Messageencryption)

用完整信息的密文作為對信息的鑒別。(2)消息鑒別碼MAC(MessageAuthenticationCode)

公開函數(shù)+密鑰產(chǎn)生一個固定長度的值作為鑒別標識(3)散列函數(shù)(HashFunction)

一個散列函數(shù)以一個變長的報文作為輸入，并產(chǎn)生一個固定長度的散列碼，有時也稱報文摘要，作為輸出。是一個公開的函數(shù)。第十頁，共七十三頁，2022年，8月28日11消息鑒別消息鑒別的概念鑒別函數(shù)消息加密消息鑒別碼MAC散列函數(shù)第十一頁，共七十三頁，2022年，8月28日12消息加密消息的自身加密可以作為一個鑒別的度量。對稱密鑰模式和公開密鑰模式有所不同。第十二頁，共七十三頁，2022年，8月28日13(a)對稱加密：保密性與鑒別如果用對稱密鑰加密提供保密提供鑒別僅來自A傳輸中沒有被更改需要某種結(jié)構(gòu)或冗余不提供簽名如何自動確定是否收到的明文可解密為可懂的明文?一種解決辦法是強制明文有某種結(jié)構(gòu).第十三頁，共七十三頁，2022年，8月28日(b)公鑰加密如果使用公開密鑰加密提供保密不提供鑒別用私鑰對信息數(shù)字簽名提供鑒別和簽名僅A有Kra可以進行加密傳輸中沒有被更改需要某種結(jié)構(gòu)或冗余任何一方均可以使用Kua驗證簽名如果既要提供保密性，又要提供鑒別，用戶A就需要先用自己的私鑰簽名，再用用戶B的公鑰加密，KUb提供保密性，Kra提供鑒別和簽名。14第十四頁，共七十三頁，2022年，8月28日15消息鑒別消息鑒別的概念鑒別函數(shù)消息加密消息鑒別碼MAC散列函數(shù)第十五頁，共七十三頁，2022年，8月28日16消息鑒別碼MAC使用一個密鑰生成一個固定大小的小數(shù)據(jù)塊，并加入到消息中，稱MAC，或密碼校驗和（cryptographicchecksum）接收者可以確信消息M未被改變。接收者可以確信消息來自所聲稱的發(fā)送者；如果消息中包含順序碼，則接收者可以保證消息的正常順序；MAC函數(shù)類似于加密函數(shù)，但不需要可逆性。因此在數(shù)學上比加密算法被攻擊的弱點要少。

第十六頁，共七十三頁，2022年，8月28日MAC的基本用法MAC直接附加在消息之后

AB：M||MACK(M)MAC直接附加在消息之后，并對整體進行加密AB:EK2[M||MACK1(M)]先對消息加密，再對密文生成鑒別碼AB:EK2[M]||MACK1(EK2[M])17第十七頁，共七十三頁，2022年，8月28日18CBC-MACANSIX9.9、FIPSPUB113和ISO/IEC9797O1=Ek(D1)Oi=Ek(DiOi-1)(1<i<N)第十八頁，共七十三頁，2022年，8月28日19CFB-MAC

第十九頁，共七十三頁，2022年，8月28日20HMAC設(shè)計目標無需修改地使用現(xiàn)有的散列函數(shù)當出現(xiàn)新的散列函數(shù)時,要能輕易地替換保持散列函數(shù)的原有性能不會導致算法性能的降低使用和處理密鑰的方式簡單對鑒別機制的安全強度容易分析，與hash函數(shù)有同等的安全性第二十頁，共七十三頁，2022年，8月28日21符號H=嵌入散列函數(shù)M=消息（包括散列函數(shù)所需填充位）Yi=M的第i個數(shù)據(jù)塊，0iL-1L=M的數(shù)據(jù)塊數(shù)b=數(shù)據(jù)塊的位數(shù)n=嵌入散列函數(shù)產(chǎn)生的散列碼長度位數(shù)K=保密密鑰。如果密鑰長度大于b,則密鑰送入散列函數(shù) 形成一個n位的密鑰；推薦程度大于等于nK+=K在左部添加0使得其長度為b位ipad=00110110重復(fù)b/8次opad=01011010重復(fù)b/8次第二十一頁，共七十三頁，2022年，8月28日22HMAC的定義與特征對密鑰K左邊補0以產(chǎn)生一個hash用塊K+K+每個字節(jié)與ipad(00110110)作XOR以產(chǎn)生Si對(Si||M)進行hashK+每個字節(jié)與opad(01011010)作XOR以產(chǎn)生So

HMACK=H[K+opad)||H(K+ipad)||M]]第二十二頁，共七十三頁，2022年，8月28日23通過加密得到信息真實性:問題保密性與真實性是兩個不同的概念根本上,信息加密提供的是保密性而非真實性加密代價大(公鑰算法代價更大)鑒別函數(shù)與保密函數(shù)的分離能提供功能上的靈活性在目標系統(tǒng)中延長保護時間某些信息只需要真實性,不需要保密性廣播的信息難以使用加密(信息量大)網(wǎng)絡(luò)管理信息等只需要真實性政府/權(quán)威部門的公告第二十三頁，共七十三頁，2022年，8月28日24消息鑒別消息鑒別的概念鑒別函數(shù)消息加密消息鑒別碼MAC散列函數(shù)第二十四頁，共七十三頁，2022年，8月28日散列函數(shù)散列函數(shù)的概念散列函數(shù)的用法散列函數(shù)的特性散列函數(shù)的構(gòu)造散列算法25第二十五頁，共七十三頁，2022年，8月28日26散列函數(shù)HashFunctionH(M):輸入為任意長度的消息M;輸出為一個固定長度的散列值，稱為消息摘要MessageDigest）。這個散列值是消息M的所有位的函數(shù)并提供錯誤檢測能力：消息中的任何一位或多位的變化都將導致該散列值的變化。第二十六頁，共七十三頁，2022年，8月28日散列函數(shù)散列函數(shù)的概念散列函數(shù)的用法散列函數(shù)的特性散列函數(shù)的構(gòu)造散列算法27第二十七頁，共七十三頁，2022年，8月28日散列函數(shù)的基本用法AB：EK[M||H(M)]AB：M||EK[H(M)]AB：M||EKRa[H(M)]AB：EK[M||EKRa[H(M)]]AB：M||EK[H(M||S)]]AB：EK[M||H(M||S)]]28第二十八頁，共七十三頁，2022年，8月28日29方法⑤的優(yōu)點加密軟件很慢加密硬件的開銷很大加密是對大長度數(shù)據(jù)進行優(yōu)化的加密算法可能受專利保護加密算法可能受出口的限制.第二十九頁，共七十三頁，2022年，8月28日30散列函數(shù)的用途消息的完整性檢測數(shù)字簽名第三十頁，共七十三頁，2022年，8月28日31使用Hash函數(shù)進行完整性檢測的模型第三十一頁，共七十三頁，2022年，8月28日32RSA簽名算法的弱點任何人能通過對某一y計算x=EkUB(y)偽造一個B對隨機消息x的簽名，因為y=SigkRB(x)如果消息x1,x2的簽名分別是y1和y2，則擁有x1,x2,y1,y2的任何人可偽造B關(guān)于消息x1x2的簽名y1y2,因為SigkRB(x1x2)=SigkRB(x1)SigkRB(x2)modn簽名者每次只能簽log2n比特長的消息，獲得同樣長的簽名。如果消息很長，需要逐組簽名。然而，這樣，速度慢，簽名長。第三十二頁，共七十三頁，2022年，8月28日33解決辦法解決辦法：引入可公開的密碼散列函數(shù)(Hashfunction)。它將取任意長度的消息做自變量，結(jié)果產(chǎn)生規(guī)定長度的消息摘要。[如，使用數(shù)字簽名標準DSS，消息摘要為160比特]，然后簽名消息摘要。對數(shù)字簽名來說，散列函數(shù)h是這樣使用的：消息：x任意長消息摘要：Z=h(x)160bits

簽名：y=sigk(Z)320bits(簽名一個消息摘要)驗證簽名:(x,y),其中y=sigk(h(x))，使用公開的散列函數(shù)h，重構(gòu)作Z=h(x)。然后Verk(y)=Z,來看Z=Z'第三十三頁，共七十三頁，2022年，8月28日34使用Hash函數(shù)進行數(shù)字簽名的好處提高數(shù)字簽名的速度無需泄露簽名所對應(yīng)的消息，可將簽名泄露，如對消息x的簽名是y=Sigk(z)，其中z=h(x),可將(z,y)公開，而保密x.可將簽名變換和加密變換分開，可以在OSI的不同層提供消息的完整性和機密性。第三十四頁，共七十三頁，2022年，8月28日散列函數(shù)散列函數(shù)的概念散列函數(shù)的用法散列函數(shù)的特性散列函數(shù)的構(gòu)造散列算法35第三十五頁，共七十三頁，2022年，8月28日36新的問題用以鑒別的散列函數(shù)，能否減弱鑒別方案的安全性？這個問題是要分析的。簽名的對象由完整消息變成消息摘要，這就有可能出現(xiàn)偽造。第三十六頁，共七十三頁，2022年，8月28日37安全威脅一(a)偽造方式一：Oscar以一個有效簽名(x,y)開始，此處y=sigk(h(x))。首先他計算Z=h(x)，并企圖找到一個x'滿足h(x')=h(x)。若他做到這一點，則(x',y)也將為有效簽名。為防止這一點，要求函數(shù)h具有無碰撞特性。

定義1(弱無碰撞)，散列函數(shù)h稱為是弱無碰撞的，是指對給定消息x∈X，在計算上幾乎找不到異于x的x'∈X使h(x)=h(x')。第三十七頁，共七十三頁，2022年，8月28日38安全威脅二(b)偽造方式二：Oscar首先找到兩個消息xx',滿足h(x)=h(x'),然后Oscar把x給Bob且使他對x的摘要h(x)簽名，從而得到y(tǒng),那么(x',y)是一個有效的偽造。

定義2(強無碰撞)散列函數(shù)h被稱為是強無碰撞的,是指在計算上幾乎不可能找到相異的x，x'使得h(x)=h(x')。

注：強無碰撞自然含弱無碰撞！第三十八頁，共七十三頁，2022年，8月28日39安全威脅三(c)偽造方式三：在散列函數(shù)的用法(e)中,秘密值S本身并不發(fā)送,如果散列函數(shù)不是單向的,攻擊者截獲到M和H(M||S).然后通過某種逆變換獲得M||S,因而攻擊者就可以得到S.

定義3(單向的)稱散列函數(shù)h為單向的，是指計算h的逆函數(shù)h-1在計算上不可行。第三十九頁，共七十三頁，2022年，8月28日40HASH函數(shù)的要求滿足：1、h可以作用于一個任意長度的數(shù)據(jù)塊；2、h產(chǎn)生一個固定長度的輸出；3、對任意給定的x,h(x)計算相對容易，無論是軟件還是硬件實現(xiàn)。4、對任意給定碼H，找到x滿足h(x)=H具有計算不可行性；（單向性）5、對任意給定的數(shù)據(jù)塊x，找到滿足h(y)=h(x)的yx具有計算不可行性。6、找到任意數(shù)據(jù)對(x,y)，滿足h(x)=h(y)是計算不可行的。前三條要求具有實用性，第4條是單向性質(zhì)，即給定消息可以產(chǎn)生一個散列碼，而給定散列碼不可能產(chǎn)生對應(yīng)的消息。第5條性質(zhì)是保證一個給定的消息的散列碼不能找到與之相同的另外的消息。即防止偽造。第6條是對已知的生日攻擊方法的防御能力。目的：“fingerprint”ofmessgae第四十頁，共七十三頁，2022年，8月28日41生日攻擊假定使用64位的散列碼，是否安全?如果采用傳輸加密的散列碼和不加密的報文M，對手需要找到M，使得H(M)=H(M)，以便使用替代報文來欺騙接收者。一種基于生日悖論的攻擊可能做到這一點.第四十一頁，共七十三頁，2022年，8月28日42生日悖論生日問題：一個教室中，最少應(yīng)有多少學生，才使至少有兩人具有相同生日的概率不小于1/2？概率結(jié)果與人的直覺是相違背的.實際上只需23人,即任找23人，從中總能選出兩人具有相同生日的概率至少為1/2。對長度為m位的散列碼，共有2m個可能的散列碼，若要使任意的x,y有h(x)=h(y)的概率為0.5,只需

k=2m/2

第四十二頁，共七十三頁，2022年，8月28日43

生日攻擊攻擊者產(chǎn)生

一個有效消息的2m/2種變化，具有同樣的意義攻擊者也產(chǎn)生一個期望的欺騙性消息的2m/2種變化比較兩組消息，找到具有同樣hash值的消息對(probability>0.5bybirthdayparadox)讓用戶簽署有效的文件，然后進行替代，替代物也有效的簽名第四十三頁，共七十三頁，2022年，8月28日44散列函數(shù)的安全性強力攻擊：單向2n弱無碰撞2n強無碰撞2n/2第四十四頁，共七十三頁，2022年，8月28日散列函數(shù)散列函數(shù)的概念散列函數(shù)的用法散列函數(shù)的特性散列函數(shù)的構(gòu)造散列算法45第四十五頁，共七十三頁，2022年，8月28日46Hash函數(shù)的構(gòu)造基于數(shù)學難題的構(gòu)造方法：計算速度慢，不實用利用對稱密碼體制來設(shè)計Hash直接設(shè)計第四十六頁，共七十三頁，2022年，8月28日hash函數(shù)通用結(jié)構(gòu)由Merkle于1989年提出RonRivest于1990年提出MD4幾乎被所有hash函數(shù)使用具體做法:把原始消息M分成一些固定長度的塊Yi最后一塊padding并使其包含消息M長度設(shè)定初始值CV0壓縮函數(shù)f,CVi=f(CVi-1,Yi-1)最后一個CVi為hash值47第四十七頁，共七十三頁，2022年，8月28日48IV=initialvalue初始值CV=chainingvalue鏈接值Yi=ithinputblock(第i個輸入數(shù)據(jù)塊)f=compressionalgorithm(壓縮算法）n=lengthofhashcode(散列碼的長度)b=lengthofinputblock(輸入塊的長度)Merkle-Damg?rd結(jié)構(gòu)CV0=IV=initialn-bitvalueCVi=f(CVi-1,Yi-1)(1iL)H(M)=CVL第四十八頁，共七十三頁，2022年，8月28日散列函數(shù)散列函數(shù)的概念散列函數(shù)的用法散列函數(shù)的特性散列函數(shù)的構(gòu)造散列算法49第四十九頁，共七十三頁，2022年，8月28日50散列算法的發(fā)展過程RonRivest于1990年提出MD41992年,MD5(RFC1321)developedbyRonRivestatMIT，任意長度的消息，128位的消息摘要SHA由NIST制定，1993年提出SHA-0，1995年提出SHA-1（FIPSPUB180-1），最大長度為264-1位的消息，長度為160位的消息摘要90年代初，歐洲RACEIntegrityPrimitivesEvaluation(RIPE)Project的結(jié)果.RIPEMD-160，最大長度為264-1位的消息，長度為160位的消息摘要2001年5月30日，NIST發(fā)布了修訂版本FIPS180-2，稱為SHA-2系列第五十頁，共七十三頁，2022年，8月28日SHA參數(shù)第五十一頁，共七十三頁，2022年，8月28日散列算法的最新進展XiaoyunWang,XuejiaLai，DengguoFeng,HongboYu，CollisionsforhashfunctionsMD4,MD5,HAVAL-128andRIPEMD，Crypto’2004近年來密碼學界最具突破性的結(jié)果，攻擊的具體方法——比特追蹤法MD5已被破解，不能再被實際使用。對于SHA-1算法，碰撞攻擊所需要的運算次數(shù)從原來設(shè)計時估算的280次降為261次。2006年，NIST要求聯(lián)邦機構(gòu)在2010年之后必須停止使用SHA-1，使用SHA-2系列的版本2006年，NIST開始啟動為期6年的公開征集新散列算法標準SHA-3的計劃。目前，有14個候選算法進入了SHA-3公開征集的第二輪評估。52第五十二頁，共七十三頁，2022年，8月28日53

內(nèi)容提要消息鑒別數(shù)字簽名第五十三頁，共七十三頁，2022年，8月28日54內(nèi)容提要數(shù)字簽名數(shù)字簽名的功能與特性若干數(shù)字簽名方案第五十四頁，共七十三頁，2022年，8月28日55消息鑒別沒有解決的問題Messageauthentication用以保護雙方之間的數(shù)據(jù)交換不被第三方侵犯；但它并不保證雙方自身的相互欺騙。假定A發(fā)送一個認證的信息給B，雙方之間的爭議可能有多種形式：B偽造一個不同的消息，但聲稱是從A收到的。A可以否認發(fā)過該消息，B無法證明A確實發(fā)了該消息。例如：EFT中改大金額；股票交易指令虧損后抵賴。第五十五頁，共七十三頁，2022年，8月28日56手寫簽名手寫簽名具有的特性:簽名是可信的，接收者相信簽名者慎重簽署了該文件簽名是不能偽造的簽名是不可重用的簽名后的文件是不能更改的簽名是不可否認的第五十六頁，共七十三頁，2022年，8月28日57數(shù)字簽名數(shù)字簽名（digitalsignatures）可以

提供如下功能：簽名者事后不能否認自己的簽名接收者能驗證簽名，而任何其他人都不能偽造簽名。在有爭議時，可由第三方進行驗證對簽名的作者、日期和時間、簽名時刻消息的內(nèi)容提供驗證因此，數(shù)字簽名提供了鑒別之外的附加功能第五十七頁，共七十三頁，2022年，8月28日58手寫簽名與數(shù)字簽名的主要差別簽署文件方面手寫簽名與被簽的文件在物理上不可分割數(shù)字簽名能與所簽文件“綁定”驗證方面手寫簽名通過與一個真實的手寫簽名相比較數(shù)字簽名通過公開的驗證算法來驗證“拷貝”方面手寫簽名不易拷貝數(shù)字簽名容易拷貝第五十八頁，共七十三頁，2022年，8月28日59數(shù)字簽名一個簽名方案是一個滿足下列條件的五元組（P，A，K，S，V）：P是所有可能消息組成的一個有限集合A是由所有可能的簽名組成的一個有限集合K為密鑰空間，它是由所有可能密鑰組成的一個有限集合對每一個kK,有一個簽名算法sigk

S和一個相應(yīng)的驗證算法verk

V。對每一個消息xP和每一個簽名yA，每一個sigk:PA和verk：PA{true,false}都是滿足下列條件的函數(shù)由xP和yA組成的數(shù)據(jù)對(x,y)稱為簽名消息。第五十九頁，共七十三頁，2022年，8月28日60對簽名方案的攻擊模型唯密鑰攻擊（key-onlyattack）攻擊者Oscar擁有Alice的公鑰，即驗證函數(shù)verk已知消息攻擊（knowmessageattack）Oscar擁有一系列以前由Alice簽名的消息（x1,y1）,(x2,y2),其中是xi消息，yi是Alice對消息的簽名選擇消息攻擊Oscar請求Alice對一個消息列表簽名.第六十頁，共七十三頁，2022年，8月28日61對簽名方案的攻擊目的完全破譯（totalbreak）攻擊者Oscar可以確定Alice的私鑰，即簽名函數(shù)Sigk,因此能對任何消息產(chǎn)生有效簽名。選擇性偽造(selectiveforgery)攻擊者能以某一不可忽略的概率對另外某個人選擇的消息產(chǎn)生一個有效的簽名。該消息不是以前Alice曾經(jīng)簽名的消息存在性偽造(existentialforgery)攻擊者至少能夠為一則消息產(chǎn)生一個有效的簽名，該消息不應(yīng)該是以前Alice曾經(jīng)簽名的消息。第六十一頁，共七十三頁，2022年，8月28日62數(shù)字簽名的設(shè)計要求簽名必須是依賴于被簽名信息的一個位串模式；簽名必須使用某些對發(fā)送者是唯一的信息，以防止雙方的偽造與否認；必須相對容易生成該數(shù)字簽名；必須相對容易識別和驗證該數(shù)字簽名；偽造該數(shù)字簽名在計算復(fù)雜性意義上具有不可行性，既包括對一個已有的數(shù)字簽名構(gòu)造新的消息，也包括對一個給定消息偽造一個數(shù)字簽名；在存儲器中保存一個數(shù)字簽名副本是現(xiàn)實可行的。第六十二頁，共七十三頁，2022年，8月28日63

內(nèi)容提要數(shù)字簽名數(shù)字簽名的功能與特性若干數(shù)字簽名方案第六十三頁，共七十三頁，2022年，8月28日64RSA簽名方案BA第六十四頁，共七十三頁，2022年，8月28日65簽名與加密簽名提供真實性(authentication)加密提供保密性(confidentiality)“簽名+加密”提供“真實性+保密性”兩種實現(xiàn)方式:(AB)先簽名，后加密:EKUb{M||SigA(M)}先加密，后簽名:{EKUb(M)||SigA(EKUb(M))}方式存在安全問題，不推薦。第六十五頁，共七十三頁，2022年，8月28日66DSS/DSADSS（數(shù)字簽名標準）是特別為簽名的目的而設(shè)計的。這個方案的改進1994年12月1日被美國NIST（國家標準和技術(shù)研究所）采納作為數(shù)字簽名標準(FIPS186)。DSS使用SHA作為散列函數(shù)DSS（DigitalsignatureStandard),DSA(Digitalsignaturealgorithm)安全性基于計算離散對數(shù)的困難性第六十六頁，共七十三頁，2022年，8月28日67DSS簽名方案BA第六十七頁，共七十三頁，2022年，8月28日68DSS算法說明--算法參數(shù)全局公開密鑰分量p素數(shù),其中2L-1<p<2L,512L<1024,且L為64的倍數(shù):即比特長度在512到1024之間,長度增量為64比特

q(p-1)的素因子,其中2159<q<2160g=h(p-1)/qmod