課件-第2.5章密碼學(xué)基礎(chǔ)

消息認(rèn) 體制2MAC 2.1 2.23數(shù)字簽AuthenticationistheactofconfirmingthetruthofanattributeofasinglepieceofdataorMessage Method-1:Message Method-2:Messageauthentication Method-3:DigitalIdentity消息認(rèn) 體制2MAC 2.1 2.23數(shù)字簽如何實(shí)現(xiàn)消息認(rèn)加–消息內(nèi)容只有加密者和擁 密鑰者才知道確保消息 性–對(duì)稱加密優(yōu)點(diǎn)：計(jì)算速度缺點(diǎn)：事先必 好共同密公鑰加密系優(yōu)點(diǎn)：不需要事先必 好共同密缺點(diǎn)：計(jì)算速度慢需要認(rèn)證公鑰來(lái)源的正確Messagemessageencryptionbyitselfalsoprovidesameasureofauthenticationifsymmetricencryptionisusedreceiverknowsendermusthavecreatedsinceonlysenderandreceiverknowkeyknowcontentcannotofbeenifmessagehassuitablestructure,redundancyorchecksumtodetectanyMessageifpublic-keyencryptionisencryptionprovidesnoconfidenceofsinceanyonepotentiallyknowspublic-however sendersignsmessageusingtheirprivate- thenencryptswithrecipientspublic havebothsecrecyandagainneedtorecognizecorruptedbutatcostoftwopublic-keyuseson消息認(rèn) 體制2MAC 2.1 2.23數(shù)字簽如何實(shí)現(xiàn)消息認(rèn)發(fā)送

發(fā)送 方都知道的密鑰計(jì)算MMAC值，并連同消息MM–Step1:用與發(fā)送方共享的密鑰算MM’的MAC–Step2:比較算出來(lái)的MAC值是否消息認(rèn)證碼MAC的基本利用事先約定 ，加密生成一個(gè)固定長(zhǎng)度的短數(shù)據(jù)塊MAC，并MAC附加到消息之后，一起發(fā)送給接收者接收者使用相 對(duì)消息原文進(jìn)行加密得到新的MAC，比較新MAC和隨消息一同發(fā)來(lái)的MAC，如果相同則未受到篡改messageauthenticationcode(oftenMAC)isashortpieceofinformationusedtoauthenticateamessageandtoprovideintegrityandauthenticityassurancesonthePrerequisite:AandBsharesakeyCanbeasessionMAC:ashortfixed-sizedatablock,dependingonmessageMandthesharedkeySender:Receiver:onreceivingComputeCheckwhetherMAC:OnlyAandBwhoshareakeycancreateavalidcodeforamessageOnlythedesignatedreceiverAorBcanauthenticatethereceivedmessageAnattackercannotmodifyMwithoutre-theMAC:MAC:消息認(rèn) 體制2MAC 2.1 2.23數(shù)字簽Hash函數(shù)定消息是任意有限長(zhǎng)度，哈希值是固定長(zhǎng)Hash的概念 于156年，Dume用來(lái)解symboltablequestion(使、在平均常數(shù)時(shí)間完。Thisisaninputtoacrypto-graphichashfunction.Thisisaninputtoacrypto-graphichashfunction.Theinputisaverylongstring,thatisreducedbythehashfunctiontoastringoffixedlength.Thereareadditionalsecurityconditions:itshouldbeveryhardtofindaninputhashingtoagivenvalue(apreimage)ortofindtwocollidinginputs(acollision).Hash函數(shù)的定散列函數(shù)（HashFunction）的目 將任意長(zhǎng)的消息映射成一個(gè)固定長(zhǎng)度的散列值（hash值）稱為消 。消 可以作為認(rèn)證符，完成消息認(rèn)證性 單向性（抗原像）：對(duì)干任意給定的消息，計(jì)算其哈希值容易.但是于給定的哈希值h，要找到M使得H(M)＝h在計(jì)算上是不可行 弱抗碰撞（抗二次原像）：對(duì)于給定的消息M1，要發(fā)現(xiàn)另一個(gè)消息M2，足H(M1)＝H(M2)在計(jì)算上是不可 強(qiáng)抗碰撞：找任意一對(duì)不同的消息M1，M2，使H(M1)＝H(M2計(jì)算上可行的散列值的安全長(zhǎng)“生日悖論 有23或23，人的生日相同的概要大于50%。對(duì)60或者 的人，種概率要大于99%。生日悖論對(duì)于散列函數(shù)的意 n位長(zhǎng)度的散列值，可能發(fā)生一次碰撞的測(cè)試次數(shù)不是2n而是大約2n/2次 一個(gè)40位的散列值將是不安全的，因?yàn)榇蠹s100列值中將找到一個(gè)碰撞的概率為 消 的長(zhǎng)度不低于為128位Hash函數(shù)的用消息完整性檢消息完整性和消息源認(rèn)證數(shù)字簽名（速度快；防止消 ；見(jiàn)數(shù)字簽名Hash鏈用于口令認(rèn)證 鑒別Hash函數(shù)的定Hash函數(shù)的分改動(dòng)檢測(cè)碼MDC(ManipulationDetection主要用于消息完消息認(rèn)證碼MAC(MessageAuthentication帶密鑰的哈希主要用于消息源認(rèn)證和消息完不帶密鑰的哈希函數(shù)的發(fā)llffllffnnnlfnnStepstepfunctionStepStepStep??不帶密鑰的哈希函數(shù)的發(fā)散列算法MD族是在90年代初由mitlaboratoryforcomputerscience和RSAdatasecurityinc （message-digest）.md2、md4和md5都產(chǎn)生一個(gè) 1990年開(kāi)發(fā)出md4算法.Denboer和bosselaers以及其他人很快的發(fā)現(xiàn)了 .dobbertin向大家演示了如何利用一部普通的個(gè)人電腦在幾分鐘內(nèi)找到 不帶密鑰的哈希函數(shù)的發(fā)SHA系列算法是NIST根據(jù)Rivest設(shè)計(jì)的MD4和MD5開(kāi)發(fā)的算法.國(guó)家安 布SHA作 標(biāo)準(zhǔn).SHA表示安全散列算法 SHA-SHA-0正式地稱作SHA，這個(gè)版本 后不久 存在弱點(diǎn) SHA-SHA-1是NIST于1994年發(fā)布的，它與MD4和MD5散列算法非常相似，被認(rèn)MD4MD5的后繼 SHA-SHA-2實(shí)際上分為SHA-224、SHA-256、SHA-384和SHA-512不帶密鑰的哈希函數(shù)的發(fā)1992年YuliangZhengHAVAL散列函數(shù)不Gost是一 不帶密鑰的哈希函數(shù)的發(fā)

SHA-

Ext.Ext.RIPEMD-

不帶密鑰的哈希函數(shù)的發(fā)碰 復(fù)雜不帶密鑰的哈希函數(shù)的發(fā) Bruteforce:1millionPCsorUS$1000000

Brute碰 復(fù)雜不帶密鑰的哈希函數(shù)的發(fā) NESSIE工程推薦使用的hash算法有SHA-256/384/512和 ECRYPT也在hash算法研究方面舉辦了一系列活 2009年10月，第二輪評(píng)估開(kāi)始，剩余14個(gè)算 目前剩下5個(gè)算法進(jìn)入第MD5算Hash算法中M5(12位)和SHA(160位RonRivest于1990年設(shè)計(jì)了一個(gè)稱為MD4的Hash算法， 的廣泛親睞.但后來(lái)人們發(fā)現(xiàn)MD4存在安全性缺陷，于是，Ron例如，消息“例如，消息“abc”,其8比特的ASCII,,二進(jìn)制，即可得一長(zhǎng)度512位的消息1 填充一個(gè)1和若干個(gè)0及64比特的（未 消息長(zhǎng)度，使 初“向初

“c”

MDh0= h1=MDh2=0x98BADCFEh3=壓縮函數(shù)的消息分組長(zhǎng)度512比特，壓縮函數(shù)分為4輪16步，共64輸出散列值128MD5算MtMMtMM填充使分組恰好512ff初ff初始值f哈希值。。。注：填充方法是附一個(gè)1在消息后面，后接所要求的多0然后在其后附上64位的消息長(zhǎng)度（填充前）1991年Rivest對(duì)MD4的進(jìn)行改進(jìn)升級(jí)，提出了DigestAlgorithm5）MD5具有更高的安全性，目前被廣泛LL512N32K消息100?0消 512YL-512 512 512 512位位位位位位位位位 位CVl-圖2.20MD5算 E（X，Y，Z）=（X∧Y）∨（(?X）∧ F（X，Y，Z）=（X∧Z）∨（Y G（X，Y，Z）=XY H（X，Y，Z）=Y（X EE(a,b,c,d,Mj,s,ti)：a=b+ FF(a,b,c,d,Mj,s,ti)：a=b+((a+(F(b,c,d)+Mj+ GG(a,b,c,d,Mj,s,ti)：a=b+((a+(G(b,c,d)+Mj+ HH(a,b,c,d,Mj,s,ti)：a=b+((a+(H(b,c,d)+Mj+MD5算xyxy000000010011100101111111F(X,Y,Zxyxy000000010011100101111111G(X,Y,Z)(XZ)(YZH(X,Y,Z)(XYZI(X,Y,Z)Y(XZxy非x0000101110xy非x0000101110101110其中i的單位是弧[x]表示取x的整數(shù)部MD5算對(duì)于MD4的幾從三輪改成四輪第二輪函數(shù)從F(x,y,z)=(xΛ ┐z)，以消弱對(duì)稱性

v(xΛz)v(yΛz)改為(xΛ改變第二輪和第三 消息子分組的順序，使其形式更不似改變每輪移位量以實(shí)現(xiàn)更快的雪崩效應(yīng)每步有唯一的加法常數(shù)ti，消除任何輸入數(shù)據(jù)的每一步與上一步的結(jié)果相加，這將引起更快的雪崩效應(yīng)消息認(rèn) 體制2MAC 2.1 2.23數(shù)字簽HMAC的設(shè)計(jì)目Hash函數(shù)不使用密鑰，不能直接用于HMAC要 可不經(jīng)修改使用現(xiàn)有hash函 其中嵌入的hash函數(shù)可易于替換為更快和更安全的hash函 保持嵌入的hashHAMC低 以簡(jiǎn)單方式使用和處理密 在對(duì)嵌入的hash函數(shù)合理假設(shè)的基礎(chǔ)上，易于分HMAC用于認(rèn)證時(shí) 強(qiáng)HMAC算HashMessageAuthenticationCodeRFC2104可嵌入多種雜湊函數(shù)算法：MD4、MD5SHA-加入 密鑰發(fā)送 接

密鑰

密鑰MAC操作模 明文MACMMMMK1=MMMAC操作模 明文MAC密后傳M [M||MM

消消MK2

1

=算 =2KK2K1MAC操作模密文與MACM MMK1

算

=?=算

K2MAC操作模密文計(jì)MAC傳M EK1MK1 K

EK1EK1K

MK==?HMACknowthatthesecurityofHMACrelatestothatofattackingHMACrequiresbruteforceattackonkeybirthdayattack(butsincekeyedwouldneedtoobserveaverylargenumberofmessages)choosehashfunctionusedbasedonspeedverses消息認(rèn) 體制2MAC 2.1 2.23數(shù)字簽數(shù)字簽名的基數(shù)字簽名和消息認(rèn)證碼消息認(rèn)證的作用是保護(hù)通信雙方以防 不能保護(hù)通信雙方中的一方防止另一方 一個(gè)消息并使用與A共享的密鑰產(chǎn)生該消息的認(rèn)證碼聲稱該消息來(lái)自于②由于B有可 A發(fā)來(lái)的消息，所以A就可以對(duì)自己發(fā)過(guò)的消息以否認(rèn)數(shù)字簽名的基本概手寫簽名與數(shù)字簽名的手寫簽名是一種傳統(tǒng)的確認(rèn)方式，如寫信、簽訂協(xié)議、付確認(rèn) 文件等 手寫簽名是所簽文件的物理組成部分；數(shù)字簽名必須與所簽文 在一起 手寫簽名通過(guò)與標(biāo)準(zhǔn)簽名比較或檢查筆跡來(lái)驗(yàn)證 簽名比較容易；數(shù)字簽是通過(guò)公開(kāi)的驗(yàn)證算法來(lái)驗(yàn)證。好的數(shù)字簽名算法應(yīng) 簽名十 手寫簽名不 ；數(shù)字簽名是一個(gè)二進(jìn)制信息，十分容 ，所以必須防數(shù)字簽名重復(fù)使用數(shù)字簽名的基本概 簽名是可以被確認(rèn)--使用某些對(duì)發(fā)送方來(lái)說(shuō)是唯一的信息能夠核實(shí)對(duì)消息的簽名. 簽名是不 --除了發(fā)送者，任何人（包括接受者）不 消息的簽名既包括對(duì)一個(gè)已有的數(shù)字簽名構(gòu)造新的消息，也包括對(duì)一個(gè)給定消 個(gè)數(shù)字 簽名是不可重用--同一消息不同時(shí)刻其簽名是有區(qū) 簽名是不可抵賴--發(fā)送者事后不能抵賴對(duì)消息的簽名，出現(xiàn)爭(zhēng)議可解決爭(zhēng)端數(shù)字簽名 中提供數(shù)據(jù)完整性、數(shù)據(jù)源認(rèn)證性數(shù)據(jù)不可否認(rèn)性等數(shù)字簽名Digital在ISO7498-2標(biāo)準(zhǔn)定“附加在數(shù)據(jù)單元上的一些數(shù)據(jù)或是對(duì)數(shù)據(jù)單元所作的來(lái)確認(rèn)據(jù)單元源數(shù)據(jù)單完整，保護(hù)數(shù)會(huì) 者） 。一般來(lái)說(shuō)，數(shù)字簽名可以被理解通過(guò)某種 數(shù)字簽名基于兩條基本的假設(shè)：一是私鑰是安全的，只有擁有者才能獲得；二是產(chǎn)生數(shù)字簽名的惟一途徑是使用數(shù)字簽名的基本概1976，WDiffie和M man在“NewDirectionsinCryptography”,首先提出了數(shù)字簽名的思想并猜測(cè)1978，RRivestAShamir,LAdlemanRSA算1984,SGoldwasserSMicali,RRivest略提出了數(shù)字簽名算法的安全性要2004，中國(guó)頒布電子數(shù)字簽名的基