第7讲 杂凑函数和数字签名.ppt

手工签名的目的和作用（续） 签名的实现方式： 就是在原文件上追加一定的笔迹信息，并使二者形成一个整体。 对电子文档的签名也应达到同样的目的。 如何才能达到签名的目的? (1) 签名者对消息进行某种变换完成签名; (2) 识别和验证: 利用签名者的公开信息(签名识别密钥)和文件的公开性; (3) 它人不能伪造签名: 签名应与签名者独有的秘密信息(签名密钥)密切相关; (4) 可仲裁性: 靠法律解决.签名者的签名识别密钥应由可信的第三方的确认、公布和认可解决. 法律介入: ----两个中心: (1) 发证中心(发布签名识别密钥); (2) 认证中心(仲裁中心)。 -- * -- 第6讲 杂凑算法和数字签名 《信息安全概论》课程幻灯片 主 要 内 容 一、杂凑函数的概念和基本安全要求 二、MD5杂凑算法 三、数字签名 杂凑函数又称为Hash函数、报文摘要函数、散列函数等。其目的是将任意长度的报文m都压缩成指定长度的数据H(m) H(m)又称为m的指纹，代表了消息m的身份。如下图所示: 报文 报文摘要 杂凑函数H 一、 杂凑函数的概念和基本安全需求 长度是固定的，与报文的长度无关 杂凑函数的用途: (1) 完整性检验----利用二元对(m, H(m))的不可更改性实现。 此时，m 的变化将导致 H(m)的变化. (2) 提供文件的指纹.用于数字签名。 只要H(m)不可替换,就保证m不可能再更改 (3) 将杂凑值作为密钥，从而压缩掉密钥的冗余度; (4) 伪随机数生成. 一、杂凑函数的概念和基本安全需求(续) 杂凑函数技术----优缺点 由于报文摘要不包含报文持有者的秘密信息，故杂凑函数的： 优点: 任何人都可对报文的“指纹”进行检验； 缺点: 掌握报文的人都可生成报文的“指纹” 上述缺点导致当将报文及其指纹放在一起时，只能检验出对报文无意的修改，不能检验出有意的篡改或伪造。 报文 报文摘要 杂凑函数H (1) 单向性（第一原像不可求）. 给出一个杂凑值 z，从计算量上讲，求出一个m，或者以不可忽略的概率求出一个m ，使得 H(m) = z 成立是不可行的。 杂凑函数的安全性要求 报文 m 报文摘要 杂凑函数H 在实际上求不出 理论方法：穷举攻击 (2) 强无碰撞性. 从计算量上讲，求出，或者以不可忽略的概率求出，具有相同杂凑值H(m1) = H(m2)的两份报文m1和m2是不可行的。 杂凑函数的安全性要求(续1) 报文 m1 报文摘要 杂凑函数H 报文 m2 杂凑函数H 理论方法：(1)穷举攻击----固定一个，穷举另一个 (2)碰撞攻击 ---- 两个一起“穷举” (3) 求第二原像不可行(弱无碰撞性） 任意给定一个报文m1，找出或者以不可忽略的概率找出另一个报文m2，使得 H(m2) = H(m1) 在计算上不可行。 意义： 将一份报文的指纹伪造成另一份报文的指纹在计算上是不可行的。 预先固定的 理论方法：(1) 穷举攻击（穷举m2) 杂凑函数的安全性要求(续2) 对杂凑函数的基本攻击方法----碰撞攻击 目的: 构造报文m1和报文m2使得H(m1)=H(m2) 生日悖论:20个人的生日互不相同的概率是多少 错! 正确答案是: 20个人中至少有两人生日相同的概率是0.632 是20/365吗? ? 对杂凑函数的碰撞攻击算法 Step1 随机选取N个报文m1,m2,?, mN; Step2 以这N个报文作为杂凑函数的输入,计算出相应的杂凑值,得到集合 S={(mk, H(mk)): k = 1,2,?, N} Step3 根据H(mk)的大小，对集合S利用快速排序算法重新排序。 在排序过程中，如果找到了使H(mk)= H(mt) 的两个不同元mk和mt，就将(mk,mt)作为结果输出，算法终止；如果找不到，就报告碰撞攻击失败，算法终止。 碰撞攻击算法的性能指标 算法所需的存储量: 需要存储表S，以便进行快速排序，故存储复杂性是表S的规模O(N) S={(mk, H(mk)): k = 1,2,?,