现代密码学第六章：单向函数和散列函数2.pptVIP

HASH函数和MAC（二） 上节内容回顾 单向函数 Hash函数的定义 hash函数的用途 MD5算法 SHA-256算法 本节主要内容 消息鉴别码定义 CBC-MAC HMAC CCT认证加密标准 消息鉴别码 消息鉴别码又称为带密钥的hash 消息鉴别码 消息认证码MAC(Message Authentication Code)是一种消息认证技术。 发送方A和接收方B共享密钥K，若A向B发送消息M，则A计算利用C=F (K, M)计算MAC值；然后将原始消息M和C一起发送给接收方。 接收方B对收到的消息M用相同的密钥K进行相同的计算得出新的MAC值C’。并将接收到的C与其计算出的C’进行比较 ，若相等，则： (1) 接收方可以相信消息未被修改。 (2) 接收方可以确信消息来自真正的发送方。 F是MAC函数，它利用密钥K和任意长度的消息M来生成一个固定长度的短数据块C。 消息鉴别码 攻击目的 1 伪造攻击: 攻击者在没有密钥K的情况下，伪造一个未经过认证的（M，Mac)对. 存在性伪造: 如果攻击者只能够对一个不由他控制的消息进行伪造，那么这种伪造攻击称为存在性伪造攻击. 选择性伪造: 如果攻击者能够对由他选择的消息进行伪造，那么这种伪造攻击称为选择性伪造攻击. 2 密钥恢复攻击: 攻击者通过分析一系列（M，Mac）对，找到控制这些（M，Mac）对的密钥. 非自适应选择明文攻击: 敌手在使用Mac设备之前，必须已经选定要测试的消息； 自适应选择明文攻击：敌手可以根据Mac设备的输出，自行选择下一次要测试的消息. 消息鉴别码 MAC的构造 用hash函数构造MAC 用分组密码构造MAC 用伪随机函数构造MAC 其他构造方法。。。 消息鉴别码 研究进展 1985年， 基于DES的MAC，ISO 8731-1/ ANSI X9.9 2002年，NIST发布标准HMAC，ANSIX9.71 NESSIE工程推荐使用的MAC算法有TTMAC，UMAC，CBC-MAC，HMAC CBC-MAC 美国国家标准技术研究所（National Institute of Standards and Technology）于1985年5月30日发布了《计算机信息认证标准》（FIPS PUB 113 Federal Information Processing Standards Publication 113），这个标准制定了一个基于DES数据认证算法（Data Authentication Algorithm （DAA））。这个算法也被用在ISO 8731-1和美国国家标准局（American National Standards Institute (ANSI)）发布的金融机构信息认证的标准ANSI X9.9中。 CBC-MAC 如果在计算CBC-MAC的过程中没有使用选择处理和截断过程，直接输出最后一步的输出密文作为最后MAC，是否安全？ CBC-MAC 课堂练习： 如果使用填充方法1，上述攻击是否存在？ 如果使用填充方法2，上述攻击是否存在？ 如果使用填充方法3，上述攻击是否存在？ 使用选择处理，上述攻击是否存在？ CBC-MAC 标准中规定了两种具体的选择处理方法： 选择一个密钥K*，计算O’ q=ek*(Oq). 选择一个密钥k*，计算O’’ q=ek(dk*(Oq))。 选择处理过程除了避免”cut and paste”攻击之外，还可以增加密码分析者穷搜索密钥K的难度 截断方法 在选择处理后，取n比特组的最左边的m比特构成MAC HMAC HMAC是由Mihir Bellare，Ran Canetti和Hugo Krawczyk于1996年首先提出 2002年3月6日美国国家标准技术研究所（National Institute of Standards and Technology）发布了The Keyed-Hash Message Authentication Code(HMAC)，用来认证消息的起源及其完整性；这个算法也被用在美国国家标准局（American National Standards Institute (ANSI)）发布的X9.71中 HMAC HMAC的基本观点是： 使用Hash函数H，K1和K2（K1≠K2）计算MAC=H(K1 ‖ H (K2 ‖ m))，其中K1和K2由同一个密钥K导出 HMAC CCT认证加密标准 消息认证方式 1）SSL：认证加密 2）IPSec：加密认证 3）SSH：加密、认证 CCT认证加密标准 先认证后加密：接受方解密和验证程序都完成后才能确定消息是否有效。 具有密文隐藏功能； 先加密后认证：传送信道不安全，传送信息被篡改（或