HASH函數(shù)與消息認(rèn)證課件

HASH函數(shù)與消息認(rèn)證§7-1HASH函數(shù)安全HASH函數(shù)的一般結(jié)構(gòu)壓縮函數(shù)HASH填充§7－2散列演算法SHA-1演算法邏輯輸入：最大長度為264位的消息；輸出：160位消息摘要；處理：輸入以512位數(shù)據(jù)塊為單位處理；SHA-1演算法邏輯步驟2：添加長度。一個64位塊，表示原始消息長度步驟3：初始化MD緩衝區(qū)。160位，表示為5個32位的寄存器

(A,B,C,D,E)。初始化為：

A=67452301 B=EFCDAB89 C=98BADCFE D=10325476 E=C3D2E1F0

big-endianformat步驟1：添加填充位。使數(shù)據(jù)位的長度

448mod512步驟4：以512位數(shù)據(jù)塊為單位處理消息。四輪，每輪20步。 四個基本邏輯函數(shù)：f1,f2,f3,f4.步驟5：輸出。全部L個512位數(shù)據(jù)塊處理完畢後，輸出160位消息摘要。步數(shù)16進(jìn)制0<=t<=19Kt=5A82799920<=t<=39Kt=6ED9EBA140<=t<=59Kt=8F1BBCDC60<=t<=79Kt=CA62C1D6SHA-1總結(jié)CV0=IVCVq+1=SUM32(CVq,ABCDEq)MD=CVL其中：IV=ABCDE的初始值

ABCDEq=第q輪消息數(shù)據(jù)塊處理最後一輪所得的結(jié)果

L=數(shù)據(jù)塊的個數(shù)

SUM32=對每一個輸入對的字求加模232

MD=最後的消息摘要值SHA－1壓縮函數(shù)SHA-1壓縮函數(shù)－單輪邏輯

A,B,C,D,E

(E+f(t,B,C,D)+S5(A)+Wt+Kt),A,S30(B),C,D其中，

A,B,C,D,E=緩衝區(qū)的5個字

t =步數(shù)，0<=t<=79 f(t,B,C,D)=步t的基本邏輯函數(shù)

Sk =迴圈左移k位給定的32位字

Wt=一個從當(dāng)前512數(shù)據(jù)塊導(dǎo)出的32位字

Kt=一個用於加法的常量，四個不同的值如前定義

+ =加模232SHA－1邏輯函數(shù)的真值表BCDf1f2f3f400000000011101010010101110101000101101001011010101111111Step FunctionName FunctionValue(0t19) f1=f(t,B,C,D) (BC)(BD)(20t39) f2=f(t,B,C,D) BCD(40t59) f3=f(t,B,C,D) (BC)(BD)(CD)(60t79) f4=f(t,B,C,D) BCDWt=S1(Wt-16

Wt-14Wt-8Wt-3)如何計(jì)算Wt?SHA-1演算法舉例見教材

例7－1§7－3消息認(rèn)證網(wǎng)路系統(tǒng)安全要考慮:用密碼保護(hù)傳送的資訊使其不被破譯就是防止對手對系統(tǒng)進(jìn)行主動攻擊認(rèn)證則是防止主動攻擊的重要技術(shù)，分為實(shí)體認(rèn)證和消息認(rèn)證消息認(rèn)證的目的：驗(yàn)證資訊來源的真實(shí)性，即信源識別驗(yàn)證資訊內(nèi)容的完整性竄擾者信宿信源認(rèn)證編碼器認(rèn)證解碼器通道安全通道密鑰源一個純認(rèn)證系統(tǒng)的模型系統(tǒng)中：發(fā)送者：通過一個公開的無擾通道將消息送給接收者接收者：不僅想收到消息本身，而且還要驗(yàn)證消息是否來自合法的發(fā)送者及消息是否經(jīng)過篡改攻擊者：不僅要截收和破譯通道中傳送的密報(bào)，而且可偽造密文送給接收者進(jìn)行欺詐實(shí)際認(rèn)證系統(tǒng)還要防止收方、發(fā)方之間的相互欺詐認(rèn)證系統(tǒng)的功能層次底層的認(rèn)證函數(shù)：產(chǎn)生一個用來認(rèn)證消息的認(rèn)證標(biāo)識上層的認(rèn)證協(xié)議：基於認(rèn)證標(biāo)識提供了一種能使接收方驗(yàn)證消息真實(shí)性的機(jī)制

認(rèn)證函數(shù)分類資訊加密函數(shù)(Messageencryption)

用完整資訊的密文作為對資訊的認(rèn)證資訊認(rèn)證碼MAC(MessageAuthenticationCode)

是對信源消息的一個編碼函數(shù)散列函數(shù)(HashFunction)

是一個公開的函數(shù)，它將任意長的資訊映射成一個固定長度的資訊一、基於消息加密的認(rèn)證

困難性：接收方需要確定解密消息的合法性確定消息來源的真實(shí)性特點(diǎn)：①提供機(jī)密性②提供認(rèn)證③不能提供數(shù)字簽名基於公鑰密碼體制：提供認(rèn)證

特點(diǎn)：能實(shí)現(xiàn)數(shù)字簽名提供認(rèn)證基於公鑰密碼體制：實(shí)現(xiàn)簽名、加密和認(rèn)證

特點(diǎn)：提供機(jī)密性數(shù)字簽名認(rèn)證缺點(diǎn)：一次完整的通信需要執(zhí)行公鑰演算法的加密、解密操作各兩次二、基於消息認(rèn)證碼(MAC)的認(rèn)證

特點(diǎn)：MAC函數(shù)無需可逆收發(fā)雙方使用相同的密鑰，MAC不能提供數(shù)字簽名只提供消息認(rèn)證，不能提供機(jī)密性改進(jìn)方案特點(diǎn)：提供機(jī)密性三、基於散列函數(shù)(HASH)的認(rèn)證

認(rèn)證協(xié)議單向認(rèn)證(one-wayauthentication)雙方認(rèn)證(mutualauthentication)單向認(rèn)證E-mail傳統(tǒng)加密方法：1、AKDC：IDA||IDB||N12、KDCA：EKa[Ks||IDB||N1||EKb[Ks||IDA]]3、AB：

EKb[Ks||IDA]||EKs[M]公鑰加密方法：

AB：EKUb[Ks]||EKs[M]AB：M||EKRa[H(M)]AB：EKUb[M||EKRa[H(M)]]One-WayAuthentication雙向認(rèn)證協(xié)議最常用的協(xié)議該協(xié)議使得通信各方互相認(rèn)證鑒別對方的身份，然後交換會話密鑰認(rèn)證的成功取決於：聲稱者與它的密鑰間綁定的證實(shí)聲稱者基於亂數(shù)的數(shù)字簽名的證實(shí)雙向認(rèn)證原理傳統(tǒng)加密方法1、AKDC：IDA||IDB||N12、KDCA：EKa[Ks||IDB||N1||EKb[Ks||IDA]]3、AB：

EKb[Ks||IDA]4、BA：EKs[N2]5、AB：

EKs[f(N2)]本協(xié)議的目的就是要安全地分發(fā)一個會話密鑰Ks給A和BNeedham/SchroederProtocol[1978]安全漏洞……

假定攻擊方C已經(jīng)掌握A和B之間通信的一個老的會話密鑰。C可以在第3步冒充A利用老的會話密鑰欺騙B。除非B記住所有以前使用的與A通信的會話密鑰，否則B無法判斷這是一個（舊密鑰）重放攻擊。如果C可以中途阻止第4步的握手資訊，則可以冒充A在第5步回應(yīng)。從這一點(diǎn)起，C就可以向B發(fā)送偽造的消息而對B來說認(rèn)為是用認(rèn)證的會話密鑰與A進(jìn)行的正常通信。安全漏洞……DenningProtocol[1982]改進(jìn)：1、AKDC：IDA||IDB2、KDCA：EKa[Ks||IDB||T||EKb[Ks||IDA||T]]3、AB：

EKb[Ks||IDA||T]4、BA：

EKs[N1]5、AB：

EKs[f(N1)]|Clock-T|<

t1+

t2

其中：

t1

是KDC時鐘與本地時鐘（A或B）之間差異的估計(jì)值；

t2是預(yù)期的網(wǎng)路延遲時間。新的問題……

必須依靠各時鐘均可通過網(wǎng)路同步如果發(fā)送者的時鐘比接收者的時鐘要快，攻擊者就可以從發(fā)送者竊聽消息，並在以後當(dāng)時間戳對接收者來說成為當(dāng)前時重放給接收者（抑制重放攻擊）強(qiáng)制各方定期檢查自己的時鐘是否與KDC的時鐘同步採用“臨時數(shù)”握手協(xié)議解決辦法？KEHN921、AB：IDA||Na2、BKDC：IDB||Nb||EKb[IDA

||Na||Tb]3、KDCA：EKa[IDB||Na||Ks||Tb]||EKb[IDA

||Ks||Tb]||Nb4、AB：

EKb[IDA

||Ks||Tb]||EKs[Nb]同時解決了抑制重放攻擊和用舊密鑰的重放攻擊公鑰加密方法：一個使用時間戳的方法是：1、AAS：IDA||IDB2、ASA：EKRas[IDA||KUa||T

]||EKRas[IDB||KUb||T

]3、AB：EKRas[IDA||KUa||T]||EKRas[IDB

||KUb||T]||EKUb[EKRa[Ks||T]]一個基於臨時值握手協(xié)議：WOO92b1、AKDC：IDA||IDB2、KDCA：EKRauth[IDB||KUb]3、AB：

EKUb[Na||IDA]4、B

KD