密碼學課件：九、散列函數(shù)和消息鑒別

1、散列函數(shù)主要內(nèi)容概述散列函數(shù)針對的攻擊類型、散列函數(shù)的定義、性質(zhì)、分類和應用散列函數(shù)的構造與設計MD算法SHA消息鑒別概述散列函數(shù)概述散列函數(shù)又稱為哈希（Hash）函數(shù)、雜湊函數(shù)、消息摘要函數(shù)、單向函數(shù)、壓縮函數(shù)、縮短函數(shù)等是一種壓縮函數(shù)：將任意長的輸入消息（message）壓縮為某一個固定長度的摘要（message digest,MD）的函數(shù)。摘要又稱為散列碼。只有加密過程，不能解密。用于生成文件或數(shù)據(jù)塊的“數(shù)字指紋”。散列函數(shù)通常應用于消息鑒別中對抗主動攻擊。概述攻擊的類型被動攻擊和主動攻擊示意圖：概述攻擊的類型概述攻擊的類型偽造：包括身份偽造和內(nèi)容偽造。冒充是指冒充接收者或發(fā)送者，實際是

2、身份偽造。篡改：將消息的標簽、內(nèi)容、屬性、接受者和始發(fā)者等信息進行修改。插入：在消息中插入新的消息刪除：刪除原消息或其部分重排：將原消息的順序變換后發(fā)送重放：將竊取的整條合法信息保存，在適當?shù)臅r機再次發(fā)送。延遲：將原消息延遲發(fā)送。概述攻擊的類型業(yè)務拒絕：通過正常的方式惡意耗盡系統(tǒng)資源。參與方抵賴：發(fā)送方否認發(fā)送過消息，接收方否認接收過消息。獲取消息內(nèi)容（竊取）：通過電磁輻射偵收或在信息存儲和處理過程中竊取等。業(yè)務流分析（推斷）：將竊取到的信息進行統(tǒng)計分析，通過了解信息流大小的變化、信息交換頻繁的程序，再結(jié)合其他方面的信息，推斷出有價值的內(nèi)容。概述攻擊的防范通過加密技術可抵抗被動攻擊。通過消息鑒

3、別可抵抗攻擊分類中的大部分主動攻擊，具體介紹如下：概述消息鑒別的具體功能驗證消息來源的真實性：的確是有它所聲稱的實體發(fā)來的，無冒充驗證消息的完整性：未被篡改、插入、刪除驗證消息的實際順序和時間性：未經(jīng)重排、重放、延遲驗證消息的抗抵賴性：防止通信雙方對所傳輸?shù)南⒌姆裾J，通過數(shù)字簽名實現(xiàn)，數(shù)字簽名也是一種認證。概述消息鑒別的具體技術基于散列函數(shù)(Hash)基于消息認證碼（MAC）基于加密技術消息鑒別在有的資料上稱為消息認證或報文鑒別。下面先介紹Hash函數(shù)。散列函數(shù)的定義定義：將一個任意長的二進制串映射為一個定長的二進制串（長為k），即h:0,1* 0,1 k。給定m0,1*，計算h(m)容易。

4、散列函數(shù)的性質(zhì)散列函數(shù)h(m)，具有以下特性（1）具有單向性。給定h(m)，要得到m在計算上不可行。（2）具有弱抗碰撞性。對任何給定的消息m，尋找與m不同的消息m，使得他們的散列值相同，即h(m)=h(m)，在計算上不可行。（3）具有強抗碰撞性。尋找任意兩個不同的消息m和m，使得h(m)=h(m)，在計算上不可行。散列函數(shù)的性質(zhì)散列函數(shù)h(m)，具有以下特性（4）嚴格雪崩準則（strict avalanche criteria,SAC）：當一個輸入位發(fā)生改變時，要求輸出位中將有至少一半發(fā)生改變。（5）Hash率：對于基于分組密碼E構建的Hash函數(shù)，如果處理每個消息分組需要進行s次E操作，那么

5、Hash率就為1/s。顯然，Hash率越高，算法運行越快。散列函數(shù)的性質(zhì)散列函數(shù)h(m)，具有以下特性碰撞的不可避免性：散列函數(shù)輸出的散列值的長度是固定的，如假設散列值長度為160位，顯然可能的散列值的總數(shù)為2160，但由于輸入的消息是任意的，所以不同的消息就有可能會產(chǎn)生相同的散列值，即散列函數(shù)具有碰撞的不可避免性。因此要求找到一個碰撞在計算上不可行。很多情況下弱抗碰撞已經(jīng)可以滿足安全要求，但有些情況需要強抗碰撞。散列函數(shù)的分類散列函數(shù)主要有兩類：帶密鑰的散列函數(shù)和不帶密鑰的散列函數(shù)。不帶密鑰的散列函數(shù)任何人都可以用來計算散列值，它僅僅是輸入串的函數(shù)；帶密鑰的散列函數(shù)是輸入串和密鑰的散列函數(shù)，

6、只有持有密鑰的人才能計算出散列碼。散列函數(shù)的構造與設計散列函數(shù)要求將任意長度的輸入值壓縮為一個定長的輸出值，由于很難直接構造出一個這樣的函數(shù)，實際設計的散列函數(shù)都是通過迭代處理固定長度的壓縮函數(shù)來構造的，通常稱為MD方法。迭代型散列函數(shù)的一般構造迭代型散列函數(shù)的一般構造MD方法如圖：對消息進行分組，最后部分按需要進行填充。F為壓縮函數(shù)，接收r位的輸入，產(chǎn)生n位的輸出（通常rn）。迭代型散列函數(shù)的一般構造目前使用的大多數(shù)散列函數(shù)，如MD5、SHA等的結(jié)構都是迭代型的。輸入消息M，將M分成t個分組（m1,m2,mt），每組b位。如果最后一個分組的長度不夠，需要對其他進行填充。迭代型散列函數(shù)的一般構

7、造函數(shù)f的輸入有兩項，一項是上一輪的輸出CVi-1，另一項是本輪分組mi。CVi-1稱為鏈接變量。函數(shù)f的輸出為n位的CVi。最后一輪輸出的鏈接變量CVi即為最終產(chǎn)生的散列值。通常分組長度b大于散列值長度n，f稱為壓縮函數(shù)。散列函數(shù)的設計方法散列函數(shù)不要求求逆，設計的空間比較大。有基于公開密鑰密碼算法的設計、基于對稱分組密碼算法的設計以及直接設計三種方式。散列函數(shù)的設計方法1.基于公開密鑰密碼算法設計散列函數(shù)CBC模式：密碼分組鏈接模式散列函數(shù)的設計方法1.基于公開密鑰密碼算法設計散列函數(shù)散列函數(shù)的邏輯關系表示為如果丟棄用戶的私鑰SK，產(chǎn)生的散列函數(shù)無法解密，滿足單向性要求。散列函數(shù)的設計方法

8、2.基于對稱分組密碼算法設計散列函數(shù)基于分組密碼的壓縮函數(shù)早前很少被采用，一方面是效率不高，另一方面是分組長度對Hash函數(shù)應用來說太短。AES的出現(xiàn)改變了現(xiàn)狀，它有足夠的分組長度，沒有弱密鑰，能抵抗差分攻擊。基于分組密碼的Hash函數(shù)體制，簡稱PGV體制。散列函數(shù)的設計方法2.基于對稱分組密碼算法設計散列函數(shù)壓縮函數(shù)f：0,1n0,1n0,1n，一般表達如下：f(h,x)=Ea(b)c其中a,b,ch,x,hx,v，v是一個固定的n位常量，|h|=|x|=n。如圖所示：散列函數(shù)的設計方法2.基于對稱分組密碼算法設計散列函數(shù)針對f(h,x)=Ea(b)c，a,b,ch,x,hx,v，有444=

9、64種方案，其中有12種方案被證明具有足夠的安全性。散列函數(shù)的設計方法2.基于對稱分組密碼算法設計散列函數(shù)前5種方案：散列函數(shù)的設計方法2.基于對稱分組密碼算法設計散列函數(shù)前5種方案：散列函數(shù)的設計方法3.直接設計散列函數(shù)不基于任何假設和密碼體制，通過直接構造復雜的非線性關系達到單向性要求來設計單向性散列函數(shù)。典型的有：MD2，MD4，MD5，SHA系列等算法。下面介紹MD和SHA系列算法。消息摘要（MD）概述MD(Message Digest，消息摘要)算法是由Ron Rivest（ Rivest是RSA公司的科學家，MIT博士）在1990年10月提出，通常稱之為MD4。MD4是一種單獨設計

10、的散列算法，不基于任何密碼體制和已知的單向函數(shù)，產(chǎn)生128位的消息摘要。針對MD4可能存在的安全性問題，Ron Rivest對MD4進行改進，在1991提出MD5。1992年提出SHA，1993年5月采納作為標準。MD系列和SHA系列都源于同一思想，下面介紹MD4和MD5。MD4MD4算法中涉及的基本運算：（1）XY：邏輯與運算（2）XY：邏輯或運算（3）XY：邏輯異或運算（4）X ：邏輯非運算（5）X+Y：模232加法運算（6）Xs：X循環(huán)左移s位，0s31MD4MD4算法的具體過程：預處理：首先對輸入消息x分組，每個分組M長為512位，再將M分成長為32位的16塊：M=M0M1Mn-1其中

11、，|Mi|=32，0in-1，n0 mod 16。按需要對最后一組進行填充。MD4MD4算法的具體過程：散列函數(shù)h(x)構造如下：（1）給定4個32位寄存器A,B,C,D，賦初值(十六進制)：A=67452301B=efcdab89C=98badcfeD=10325476MD4MD4算法的具體過程：（2）將x的各個分組M的值裝入到X：Xj=M16i+j其中，i為分組的序號，j為分組中塊的序號， 0i(n/16)-1， 0j15，Xj共512位。（3）將已有的4個寄存器A,B,C,D中的數(shù)組分別存放到另外4個寄存器AA,BB,CC,DD中。MD4MD4算法的具體過程：（4）執(zhí)行第一輪操作，每次處

12、理4個塊，16個塊4次處理完，具體內(nèi)容包括：A=(A+F(B,C,D)+X4k)3D=(D+F(A,B,C)+X4k+1)7C=(C+F(D,A,B)+X4k+2)11B=(B+F(C,D,A)+X4k+3)19其中，0k3，F(xiàn)(X,Y,Z)=(XY)(XZ)MD4MD4算法的具體過程：（5）執(zhí)行第二輪操作，具體內(nèi)容包括：A=(A+G(B,C,D)+Xk+5a827999)3D=(D+G(A,B,C)+X4+k+5a827999)5C=(C+G(D,A,B)+X8+k+5a827999)9B=(B+G(C,D,A)+X12+k+5a827999)13其中，0k3,G(X,Y,Z)=(XY)(X

13、Z)(YZ)MD4MD4算法的具體過程：（6）執(zhí)行第三輪操作，具體內(nèi)容包括：A=(A+H(B,C,D)+X0+6ed9ebal)3D=(D+H(A,B,C)+X8+6ed9ebal)9C=(C+H(D,A,B)+X4+6ed9ebal)11B=(B+H(C,D,A)+X12+6ed9ebal)15A=(A+H(B,C,D)+X2+6ed9ebal)3D=(D+H(A,B,C)+X10+6ed9ebal)9C=(C+H(D,A,B)+X6+6ed9ebal)11B=(B+H(C,D,A)+X14+6ed9ebal)15MD4MD4算法的具體過程：（6）執(zhí)行第三輪操作，具體內(nèi)容包括：A=(A+H(

14、B,C,D)+X1+6ed9ebal)3D=(D+H(A,B,C)+X9+6ed9ebal)9C=(C+H(D,A,B)+X5+6ed9ebal)11B=(B+H(C,D,A)+X13+6ed9ebal)15A=(A+H(B,C,D)+X3+6ed9ebal)3D=(D+H(A,B,C)+X11+6ed9ebal)9C=(C+H(D,A,B)+X7+6ed9ebal)11B=(B+H(C,D,A)+X15+6ed9ebal)15其中，H(X,Y,Z)=XYZMD4MD4算法的具體過程：（7）A=A+AA，B=B+BB，C=C+CC，D=D+DD（8）輸出h(x)=A|B|C|D得到128位的消

15、息摘要。MD5與MD4相同，MD5算法的分組長度也是512位，每個分組再被劃分成16個32位的塊。輸出的散列值也為128位。預處理：對消息x進行預處理，按需要進行填充后使得長度是512位的整數(shù)倍。另外，最后一個512位分組的后64位用于存放消息x的長度length(x)，如果消息x的長度值不足64位，在長度前填充0。MD5MD5算法的具體過程：（1）給定4個寄存器A,B,C,D，賦初值(十六進制)：A=01234567B=89abcdefC=fedcba98D=76543210MD5MD5算法的具體過程：（2）循環(huán)中的4輪操作將以上的寄存器A,B,C,D的值賦給變量AA,BB,CC,DD。然后

16、對所有的512位的分組中的每個塊循環(huán)進行4輪操作（MD4中只有3輪）。4輪操作中的4個非線性函數(shù)分別定義為：F(X,Y,Z)=(XY)(X)Z)G(X,Y,Z)=(XZ)(Y(Z)H(X,Y,Z)=XYZI(X,Y,Z)=Y(X(Z)MD5MD5算法的具體過程：（2）循環(huán)中的4輪操作另外定義FF、GG、HH、II函數(shù)：AA=FF(AA,BB,CC,DD,Mj,s,tj)=BB+(AA+F(BB,CC,DD)+Mj+tj)S)AA=GG(AA,BB,CC,DD,Mj,s,tj)=BB+(AA+G(BB,CC,DD)+Mj+tj)S)AA=HH(AA,BB,CC,DD,Mj,s,tj)=BB+(A

17、A+H(BB,CC,DD)+Mj+tj)S)AA=II(AA,BB,CC,DD,Mj,s,tj)=BB+(AA+I(BB,CC,DD)+Mj+tj)S)其中，tj是常數(shù)。MD5MD5算法的具體過程：（2）循環(huán)中的4輪操作四輪操作具體如下。第一輪(16次操作)：FF(AA,BB,CC,DD,M0,7,d76aa478)FF(DD,AA,BB,CC,M1,12,e8c7b756)FF(BB,CC,DD,AA,M15,22,49b40821)MD5MD5算法的具體過程：（2）循環(huán)中的4輪操作四輪操作具體如下。第二輪(16次操作)：GG(AA,BB,CC,DD,M1,5,f61e2562)GG(DD,

18、AA,BB,CC,M6,9,c040b340)GG(BB,CC,DD,AA,M12,20,8d2a4c8a)MD5MD5算法的具體過程：（2）循環(huán)中的4輪操作四輪操作具體如下。第三輪(16次操作)：HH(AA,BB,CC,DD,M5,4,fffa3942)HH(DD,AA,BB,CC,M8,11,8771f681)HH(BB,CC,DD,AA,M2,23,c4ac5665)MD5MD5算法的具體過程：（2）循環(huán)中的4輪操作四輪操作具體如下。第四輪(16次操作)：II(AA,BB,CC,DD,M0,6,f4292244)II(DD,AA,BB,CC,M7,10,432aff97)II(BB,CC

19、,DD,AA,M9,21,eb86d391)MD5MD5算法的具體過程：（3）A=A+AA，B=B+BB，C=C+CC，D=D+DD（4）輸出h(x)=A|B|C|D得到128位的消息摘要MD5MD5與MD4進行比較，MD5的改進如下：（1）增加主循環(huán)中的操作次數(shù)，由三輪改為四輪（2）操作的每一步都有唯一的加法常數(shù)（3）為了減弱函數(shù)G的對稱性，函數(shù)定義由(XY)(XZ)(YZ)改為(XZ)(Y(Z)。（4）改變第二輪和第三輪中消息分組訪問的次序，使得形式的不相似程度更大（5）每一輪中的循環(huán)移位量各不相同，進行了優(yōu)化。對MD5的攻擊對散列函數(shù)的攻擊是指攻擊者找到一對產(chǎn)生碰撞的消息的過程。2004

20、年8月17日，美國加州圣巴巴拉的國際密碼學會議（Crypto2004），山東大學的王小云教授做了破譯MD5、HAVAL-128、MD4和RIPEMD算法的報告。在會場上，當她公布MD系列算法的破解方法和結(jié)果之后，報告被激動的掌聲打斷。王小云教授的報告轟動了全場，得到了與會專家的贊嘆。并證明了160位的SHA-1只需要計算大約269次就能找到碰撞，而理論值是280次。對MD5的攻擊Rivest說：“MD5函數(shù)十幾年來經(jīng)受住了眾多密碼學專家的攻擊，而王小云教授卻成功破解，這實在是一種令人印象極深的卓越成就，是高水平的世界級研究成果。”安全散列算法SHA概述SHA（Secure Hash Algor

21、ithm）最初由NIST（美國國家標準與技術研究所）作為聯(lián)邦信息處理標準FIPS PUB 180在1993年發(fā)布。SHA-1是1995年發(fā)布，對FIPS PUB 180版本的修訂，版本號為FIPS PUB 180-1SHA-1在數(shù)字簽名標準DSS中使用，能夠處理最大長度264位的輸入數(shù)據(jù)，輸出160位的散列值。安全散列算法SHA-11.基本操作和元素（1）逐位邏輯運算安全散列算法SHA-11.基本操作和元素（2）加法運算安全散列算法SHA-11.基本操作和元素（3）移位操作安全散列算法SHA-12.SHA-1的散列過程（1）消息分割和填充SHA-1算法的分組大小為512位，當消息的長度大于51

22、2位時，需要對消息進行分割與填充。將消息x按照每塊512位，分割成x1,x2,xn，最后一個塊進行填充。length(x)表示消息的總長度，為64位，如果length(x)不足64位，在其左邊補0。數(shù)據(jù)部分與填充部分用1分開。安全散列算法SHA-12.SHA-1的散列過程（1）消息分割和填充當消息x分割成x1,x2,xn后，將每個512位的xi分成16個字，每個字32位，記為：以下具體分析消息塊xi的處理過程。安全散列算法SHA-12.SHA-1的散列過程（2）初始化緩沖區(qū)SHA-1的緩沖區(qū)為160位，5個32的數(shù)據(jù)塊H0,H1,H2,H3,H4，最后的散列結(jié)果為H(i)=(H0(i),H1(

23、i),H2(i),H3(i),H4(i)。在實現(xiàn)時另外設置5個32位的寄存器A,B,C,D,E保存中間結(jié)果，初始化如下：安全散列算法SHA-12.SHA-1的散列過程（3）對xi進行處理包含4個循環(huán)模塊，每個循環(huán)20個處理步驟，共80步，用t表示。每個循環(huán)的輸入是512位的xi和160位的ABCDE值。 ABCDE的初始值為：A=H0(i-1), B=H1(i-1), C=H2, (i-1) D=H3(i-1), E=H4(i-1)。安全散列算法SHA-12.SHA-1的散列過程（3）對xi進行處理每個循環(huán)的Kt，0t79，取值如下：安全散列算法SHA-12.SHA-1的散列過程（3）對xi進

24、行處理每個循環(huán)的ft，0t79，輸入是3個32位的字，如下：安全散列算法SHA-12.SHA-1的散列過程（3）對xi進行處理80步中，需要80個不同的32位字Wt作為輸入?yún)?shù)。安全散列算法SHA-12.SHA-1的散列過程（4）4輪循環(huán)共80步完成后，保存散列中間結(jié)果，再與第一輪的輸入相加（模232）H0(i)=H0(i-1)+AH1(i)=H1(i-1)+BH2(i)=H2(i-1)+CH3(i)=H3(i-1)+DH4(i)=H4(i-1)+E安全散列算法SHA-12.SHA-1的散列過程（5）然后以H0(i),H1(i),H2(i),H3(i),H4(i)作為寄存器初值，用于對xi+1

25、進行處理.當對最后一個數(shù)據(jù)分組xn處理完成后，既得整個輸入消息x的160位的散列值：SHA-1(x)=H(n)=(H0(n)|H1(n)|H2(n)|H3(n)|H4(n)安全散列算法SHA-13.SHA-1的壓縮操作壓縮函數(shù)操作過程如圖，是處理一個512位分組的4次循環(huán)中每一循環(huán)的基本壓縮操作流程。安全散列算法SHA-13.SHA-1的壓縮操作表示為：A(E+ft(B,C,D)+A5+Wt+Kt)BACB0.5的最小k值。首先考慮k個數(shù)中，任意兩個取值都不相同的概率，記為Q(365,k)。如果k365，則使得任意兩個數(shù)都不相同是不可能的，因此假設k0.5，解得生日攻擊生日悖論類似的集合相交問

26、題：設取整數(shù)的隨機變量服從1n之間的均勻分布，另有兩個含有k個如此隨機變量的集合，若使兩個集合中至少有一個元素取值相同的概率大于0.5，則k至少多大？用相同的分析方法，可得生日攻擊生日攻擊散列函數(shù)的生日攻擊問題：給定一個散列函數(shù)h，輸出長度為m位，則共有2m個可能的散列值。構造散列函數(shù)的兩個輸入集合X和Y，集合元素的個數(shù)都是k。問k必須多大才能使兩個集合產(chǎn)生相同的散列值的概率大于0.5？根據(jù)結(jié)論：n= 2m，kn1/22m/2這種尋找散列函數(shù)的具有相同散列值，但是是不同輸入的攻擊方式稱為生日攻擊。對于160位的SHA-1，產(chǎn)生碰撞的概率大于0.5的次數(shù)為280.山東大學教授理論證明只需269次

27、。生日攻擊生日攻擊舉例：Alice是一家公司的經(jīng)理，要從Bob的公司購買一批計算機。經(jīng)過雙方協(xié)商，確定為每臺5000元。于是賣方Bob將合同的電子文本發(fā)給買方Alice征得其同意，并讓其進行電子簽名。Alice收到合同后，確認是每臺5000元，并計算出該合同電子文本的散列值，用自己的私鑰進行數(shù)字簽名后發(fā)回給Bob，以此作為Alice對合同的認可。下面Bob要偽造另外一份合同，但合同中價格比5000元高（比如每臺10000元），但是偽造的合同的散列值與Alice 保存的價格是每臺5000元的合同的散列值相同。生日攻擊生日攻擊舉例：Bob在發(fā)給Alice合同樣本之前，首先寫好一份正確的合同，合同中

28、的價格為5000元，然后標出這份合同中無關緊要的地方。由于一份合同中總是有許許多多的句子可采用其他不同的表達方式，但是 表達的意思卻相同?，F(xiàn)在Bob把這些意思相同但表達方式不同的合同都列出來，組成一個集合，Bob再把合同中的價格5000元改成10000元后組成另外一個集合，接著Bob把所有的合同的散列值都計算一遍，挑出一對散列值相同的合同。把5000元的合同作為樣本發(fā)給Alice，10000元的合同自己保存。生日攻擊生日攻擊舉例：根據(jù)生日攻擊方法，假設散列函數(shù)的輸出為64位，那么Bob只要找到合同中32個無關緊要的地方，來分別構造5000元和10000元的兩組合同，兩個組各自的合同數(shù)都為232

29、，就有0.5以上的概率在這兩組合同中找到散列值相同的兩份不同合同，實現(xiàn)詐騙行為。消息鑒別消息鑒別的定義：消息鑒別是一個過程，用以驗證接收到的消息的真實性（無身份冒充、重放、延遲），完整性（未被篡改、插入、刪除、重排）以及抗抵賴性（收發(fā)雙方無否認）。消息鑒別消息鑒別的三種實現(xiàn)方式：基于加密技術的消息鑒別基于散列函數(shù)的消息鑒別基于消息認證碼（MAC） 的消息鑒別基于加密技術的消息鑒別1.利用對稱加密體制實現(xiàn)消息鑒別目的：鑒別消息是否來自于發(fā)送方A（真實性），消息是否完整（完整性）。發(fā)送方A和接收方B共享密鑰k。A用密鑰k對消息M加密后通過公開信道傳送給B。B收到后，用密鑰k解密。如果能夠順利解密，

30、則說明確為A發(fā)送，解密后根據(jù)明文的語法結(jié)構判斷是否被插入、刪除、篡改。基于加密技術的消息鑒別1.利用對稱加密體制實現(xiàn)消息鑒別該方法的特點：（1）能提供機密性：只有用戶A和B知道密碼k（2）提供真實性、完整性：只能發(fā)自A，可確認密文在傳輸中未被改變。如果源文件就沒有語法結(jié)構，如二進制文件，則不能判斷是否被插入、刪除或篡改（3）無抗抵賴性：接收方可否認收到消息，并可偽造一條不同的消息；發(fā)送方可以抵賴發(fā)送過消息基于加密技術的消息鑒別1.利用對稱加密體制實現(xiàn)消息鑒別針對特點（2），一種可能的解決辦法是增加錯誤檢測碼FCS：在加密前使用公開的函數(shù)F產(chǎn)生消息M的錯誤檢測碼FCS，如圖，如果密文被修改，則計

31、算出來的FCS與收到的FCS無法匹配。基于加密技術的消息鑒別1.利用對稱加密體制實現(xiàn)消息鑒別針對特點（2），使用FCS進行鑒別的執(zhí)行順序很重要，如圖是一種錯誤的順序，攻擊者可構造正確的FCS，則無法實現(xiàn)鑒別。基于加密技術的消息鑒別2.利用公鑰密碼體制實現(xiàn)消息鑒別有兩種方式。（1）提供抗抵賴性、真實性（身份真實），無機密性發(fā)送方A用私鑰SKA對消息進行加密，結(jié)果通過公開的信道發(fā)送給B，B收到后用A的公鑰PKA進行解密。因A加密的私鑰SKA是私有的，解密的公鑰PKA 只有A才能產(chǎn)生，所以消息一定來自于A，無法抵賴，完成鑒別。此種情況完整性沒有意義。基于加密技術的消息鑒別2.利用公鑰密碼體制實現(xiàn)消息鑒別（2）提供抗抵賴性、真實性、完整性、機密性上一種方案只能提供抗抵賴性、真實性，不能提供機密性保護，因只要擁有公鑰就能解密。下一種方案可以兼顧兩種，缺點是一次完整的通信過程需要執(zhí)行兩次公鑰密碼算法的加、解密。基于消息認證碼的消息鑒別1.消息認證碼的概念消息認證碼（Message Authentication Code, MAC）：通過一個密鑰k和一種鑒別算法hk對消息進行處理得到。鑒別算法hk可以是帶密鑰的散列函數(shù)，也可以是其他的函數(shù)。基于消息認證碼的消息鑒別