【现代密码学】消息认证码的定义和使用方式.pptVIP

第七章 消息认证和杂凑算法 Message Authentication and Hash Algorithms 消息认证和杂凑算法 消息认证用于抗击主动攻击 验证接收消息的真实性和完整性 真实性 的确是由所声称的实体发过来的 完整性 未被篡改、插入和删除 验证消息的顺序性和时间性（未重排、重放和延迟） 消息认证码(MAC) Message Authenticaion Code 消息认证码的定义和使用方式 消息被一密钥控制的公开函数作用后产生的、用于认证符的、固定长度的数值，也称为密码校验和。 通信双方共享密钥K 消息认证码的定义和使用方式 认证性和保密性-对明文认证 消息认证码的定义和使用方式 认证性和保密性-对密文认证 产生MAC函数应满足的要求 产生MAC的函数一般为多到1映射。nbit长的MAC共有2n个可能的取值，可能的消息数远大于2n。 密钥长度为kbit，可能的密钥数为2k。 敌手可获得明文和MAC,敌手可穷举攻击密钥。如果kn,很多密钥.(2k-n个)可产生相同的MAC,敌手无法确定，还需要在这2k-n个密钥中继续试验。 对消息认证码的穷举攻击代价大于攻击加密算法。 敌手有可能不直接攻击密钥，而伪造能够通过检验的MAC和M。 产生MAC函数应满足的要求 假定敌手知道函数C，不知道K 如果敌手得到M和CK(M)，则构造一满足CK(M’)= CK(M)的新消息在计算上不可行 CK(M)在以下意义下是均匀分布的：随机选两个M,M’,Pr[CK(M)=CK(M’)]=2-n 若M’是M的某个变换， Pr[CK(M)=CK(M’)]=2-n CBC-MAC 基于CBC模式的DES算法，初始向量取为零。 杂凑函数 Hash Functions 杂凑函数的定义 杂凑函数H是一个公开函数，将任意长的消息映射为较短的、固定长度的一个值H(M) H(M)称为杂凑值、消息摘要，是消息中所有bit的函数，提供了错误检测的能力 杂凑函数的使用方式 消息于杂凑连接后用单钥加密，密钥为A,B共享，保证消息来自A并且不被篡改 杂凑函数的使用方式 单钥加密函数仅对hash值加密 杂凑函数的使用方式 使用发送方秘密钥加密杂凑值 杂凑函数的使用方式 用发送方秘密钥加密hash，再用单钥加密整个数据 杂凑函数的使用方式 通信双方共享一个秘密值S 杂凑函数的使用方式 在上一方式基础上加上加密 杂凑函数应满足的条件 函数的输入可以是任意长 函数的输出是固定长 已知x,求H(x)较为容易 已知h，求H(x)＝h的在计算上不可行，即单向杂凑函数，如果满足这一性质，称为弱单向杂凑函数 找出任意两个不同的x,y，是H(x)=H(y)在计算上不可行，满足这一性质，称为强单向杂凑函数 生日攻击 （第I类生日攻击）H有n个输出，H(x)是一个特定的输出，如果对H随机取k个输入，至少有一个y使H(y)=H(x)的概率为0.5时，k有多大？ H(y)=H(x)的概率为1/n，不等的概率为1-1/n.取k个值都不等的为[1-1/n]k.至少有一个等的概率为1－ [1-1/n]k，近似等于k/n。所以概率为0.5，k为n/2。 生日悖论 在一个会场参加会议的人中，问使参会人员中至少有两个同日生的概率超过0.5的参会人数仅为23人。 t个人都不同时生日概率为 ，因此，至少有两人于同日生的概率为 解之，当t?23时，p0.5。对于n比特杂凑值的生日攻击，由上式可计算出，当进行2n/2次的选择明文攻击下成功的概率将超过0.63。 迭代型杂凑函数的一般结构 西安电子科技大学 * M || C K M CK(M) C K 比较 消息认证 接收方相信发送方发来的消息未受篡改。 接收方相信发送方不是冒充的 M || C K1 C M CK(M) K1 比较 E K2 D K2 M || C K1 C K1 比较 E K2 D K2 D1 DES加密 O1 K 第1次 D2 DES加密 O2 K 第2次 + D2 DES加密 ON K 第N次 + ON-1 M || H H M H(M) 比较 E K D K