崔永泉 第二讲鉴别协议 20101025.ppt

泄露：把消息内容发布给任何人或没有合法密钥的进程 流量分析：发现通信双方之间信息流的结构模式，可以用来确定连接的频率、持续时间长度；还可以发现报文数量和长度等 伪装：从一个假冒信息源向网络中插入消息 内容篡改：消息内容被插入、删除、变换、修改 顺序修改：插入、删除或重组消息序列 时间修改：消息延迟或重放 否认：接受者否认收到消息；发送者否认发送过消息 1 鉴别的目的 信源识别：验证信息的发送者是真正的，而不是冒充的 验证信息的完整性，在传送或存储过程中未被篡改，重放或延迟等 3 鉴别的模型 3 鉴别的模型：鉴别系统的组成 鉴别编码器和鉴别译码器可抽象为鉴别函数 一个安全的鉴别系统，需满足 （1）指定的接收者能够检验和证实消息的合法性、真实性和完整性 （2）消息的发送者和接收者不能抵赖 （3）除了合法的消息发送者，其它人不能伪造合法的消息 3 鉴别的模型：鉴别函数分类 消息加密：整个消息的密文作为认证标识 消息鉴别码(MAC)：公开函数+密钥产生一个固定长度的值作为认证标识 散列函数：一个公开函数将任意长度的消息映射到一个固定长度的哈希值，作为认证标识 4 消息原发鉴别 4.1 明文M的自动确定 M定义为有意义的明文序列，便于自动识别 强制定义明文的某种结构，这种结构是易于识别但又不能复制且无需借助加密的 可以在加密前对每个报文附加检错码，即所谓的帧检验序列号或检验和FCS 内部差错控制和外部差错控制 4.1 差错控制 4 消息原发鉴别 4.2 消息鉴别码 使用一个密钥生成一个固定大小的小数据块，并加入到消息中，称MAC， 或密码校验和（cryptographic checksum） 1、接收者可以确信消息M未被改变 2、接收者可以确信消息来自所声称的发送者 3、如果消息中包含顺序码（如HDLC,X.25,TCP），则接收者可以保证消息的正常顺序 MAC函数类似于加密函数，但不需要可逆性。因此在数学上比加密算法被攻击的弱点要少 4.2消息鉴别 4.2消息鉴别与保密，鉴别与明文连接 4.2消息鉴别与保密，鉴别与密文连接 4.2 消息鉴别 VS 常规加密 保密性与真实性是两个不同的概念 根本上,信息加密提供的是保密性而非真实性 加密代价大(公钥算法代价更大) 鉴别函数与保密函数的分离能提供功能上的灵活性 某些信息只需要真实性,不需要保密性 – 广播的信息难以使用加密(信息量大) – 网络管理信息等只需要真实性 – 政府/权威部门的公告 4 消息原发鉴别 4.3 散列函数 H(M): 输入为任意长度的消息M; 输出为一个固定长度的散列值，称为消息摘要(MessageDigest） H(M)是消息M的所有位的函数并提供错误检测能力：消息中的任何一位或多位的变化都将导致该散列值的变化 H(M)又称为：哈希函数、数字指纹（Digital finger print)、压缩（Compression)函数、数据鉴别码（Dataauthentication code）等 4.3散列函数基本用法(1) 4.3散列函数基本用法(2) 4.3散列函数基本用法(3) 4.3散列函数基本用法(4) 4.3散列函数基本用法(5) 4.3散列函数基本用法(6) 4 消息原发鉴别 4.4 对MAC的强行攻击 如果 k≤n，则第一轮就可以产生一个唯一对应。仍然可以有多于一个key产生这一配对，这时攻击者只需对一个新的(message, MAC)进行相同的测试 由此可见，强力攻击企图发现authentication key不小于甚至大于对同样长度的解密key的攻击 4.4对MAC的其它攻击 设M = (X1 || X2 || … || Xm) 是一个由64位Xi数据块连接而成 定义 ?(M) = X1?X2?...?Xm CK(M) = EK[?(M)] 其中 ? 为异或操作；E为 ECB工作模式的DES算法 则 Key length = 56 bit MAC length = 64 bit 强力攻击需要至少256次加密来决定K 4.4对MAC的其它攻击 设 M’ = ( Y1 || Y2 || … || Ym-1 || Ym) 其中 Y1, Y2, …, Ym-1是替换 X1, X2,…,Xm-1的任意值，而 Ym = Y1?Y2 ?, …, ? Ym-1 ? ?(M) 则 CK(M’) = EK[?(M’)] = EK[Y1?Y2 ?, …, ? Ym-1 ? Ym ] = EK[Y1?Y2 ?, …, ? Ym-1 ? (Y1?