单向函数数字签名资料.ppt

认证 信息认证 消息源认证 消息的完整性认证 安全系统的攻击 被动攻击 主动攻击 保密和认证同属密码技术应用 单向散列函数 单向散列函数，也称hash函数，它可以提供判断信息完整性的依据，是防止信息被篡改的一种有效方法。单向散列函数在数据加密、数据签名和软件保护等领域中有着广泛的应用。 单向散列函数特点 hash函数的作用是当向hash函数输入一任意长度的的信息M时，hash函数将输出一固定长度为m的散列值h。即： h h（M） 安全的hash函数的特点是： 1．hash函数能从任意长度的M中产生固定长度的散列值h。 2．已知M时，利用h（M）很容易计算出h。 3．已知M时，要想通过控制同一个h（M），计算出不同的h是很困难的。 4．已知h时，要想从h（M）中计算出M是很困难的。 5．已知M时，要找出另一信息M，使h（M） h（M）是很困难的。 最常用的hash算法有MD5、SHA算法等。 MD5算法 在对输入的明文初始化之后，MD5是按每组512位为一组来处理输入的信息，每一分组又被划分为16个32位子分组，经过了一系列的处理后，算法的输出由四个32位分组组成，把这四个32位分组串联（级联）后将生成一个128位散列值。 SHA算法 和MD5算法一样，SHA-1一次处理512位信息 生成一个160位散列值 用于创建数字签名的单向算法 散列算法的典型应用 用MD5校验和实现文件完整性保护 文件系统完整性保护 身份认证 网页自动恢复系统 消息摘要 消息摘要的作用 单向散列函数 MD5算法 SHA安全散列算法 消息摘要的作用 在网络安全目标中，要求信息在生成、存储或传输过程中保证不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失，因此需要一个较为安全的标准和算法，以保证数据的完整性。 常见的消息摘要算法有： Ron Rivest设计的MD（Standard For Message Digest，消息摘要标准）算法 NIST设计的SHA（Secure Hash Algorithm，安全散列算法） 单向散列函数 消息摘要算法采用单向散列（hash）函数从明文产生摘要密文。摘要密文又称为哈希函数、数字指纹（Digital Fingerprint）、压缩（Compression）函数、紧缩（Contraction ）函数、数据认证码DAC（Data authentication code）、篡改检验码MDC（Manipulation detection code）。 散列函数的输出值有固定的长度，该散列值是消息M的所有位的函数并提供错误检测能力，消息中的任何一位或多位的变化都将导致该散列值的变化。从散列值不可能推导出消息M ，也很难通过伪造消息M’来生成相同的散列值。 单向散列函数的抗碰撞性 抗碰撞性的能力体现出单向散列函数对抗生日攻击和伪造的能力。 弱抗碰撞性（Weak collision resistance）： 对于任意给定的M，找到满足M≠N且H M H N 的N，在计算上是不可行的； 强抗碰撞性（Strong collision resistance）： 找到任何满足H（x） H（y） 的偶对（x，y）在计算上是不可行的。 哈希函数分类 根据是否使用密钥 带秘密密钥的Hash函数：消息的散列值由只有通信双方知道的秘密密钥K来控制，此时散列值称作MAC Message Authentication Code 不带秘密密钥的Hash函数：消息的散列值的产生无需使用密钥，此时散列值称作MDC Message Detection Code 哈希函数-生日攻击 如果采用传输加密的散列值和不加密的报文M，攻击者需要找到N，使得H N H M ，以便使用替代报文来欺骗接收者。 一种基于生日悖论的攻击可能做到这一点，生日问题：一个教室中，最少应有多少个学生，才使至少有两人具有相同生日的概率不小于1/2？ 概率结果与人的直觉是相违背的。实际上只需23人，即任找23人，从中总能选出两人具有相同生日的概率至少为1/2 生日攻击实例 A准备两份合同M和N，一份B会同意，一份会取走他的财产而被拒绝 A对M和N 各做32处微小变化（保持原意），分别产生232个64位hash值 根据前面的结论，超过0.5的概率能找到一个M和一个N ，它们的hash值相同 A提交M，经B审阅后产生64位hash值并对该值签名，返回给A A用N 替换M 结论：Hash必须足够长（ 128， 160，224，256，…） 消息认证的局限性 消息认证可以保护信息交换双方不受第三方的攻击，但是它不能处理通信双方的相互攻击 信宿方可以伪造消息并称消息发自信源方，信源方产生一条消息，并用和信源方共享的密钥产生认证码，并将认证码附于消息之后 信源方可