消息认证(MessageAuthentication)材料.pptVIP

HASH函数与消息认证 学习要点： 了解HASH函数的基本概念、一般结构 了解SHA散列算法的基本处理方法 了解消息认证的目的及其实现方法 密码学 Hash 函数 h(x) 必须满足下列特性 1）压缩：对于任意大小的输入x，输出长度 y=h(x) 很小。 实际应用中H产生定长输出h(x); 2）效率：对任意给定的x, h(x) 要相对易于计算,使得软硬 件实现都实际可行; 3）单向：对任意给定的值y, 寻求 x 使得 h(x)=y 在计算上 是不可行的，即求Hash的逆很困难; 4）弱抗碰撞性：任意给定分组x, 寻求不等于x的 y, 使得 h(y)=h(x)在计算上不可行; 5）强抗碰撞性：寻求对任何的(x,y)对使得 h(x)= h(y) 在计 算上不可行。 　　　　消息认证方法 信息加密函数(Message encryption) 完整信息的密文作为对信息的认证 数字签名 消息认证码MAC(Message Authentication Code) 是对信源消息的一个编码函数 散列函数(Hash Function) 是一个公开的函数，它将任意长的信息映射成一个固定长度的信息 对称加密——消息认证 对称加密（方法1）: 设 M 是消息 例如. M=X||111110000011111 认证者: 计算 V=EK(M) 认证： 计算 DK(V)=M’ 验证等式 M’=X’||111110000011111 对称加密（方法2） 计算 “校验和” 假设 F 是一个公开的校验和函数 计算 C=EK(M||F(M)) 认证 计算 DK(C)=M’||S’ 验证 S’=F(M’) 回顾: 用加密算法认证 散列函数(HASH)用于认证的基本方法 3、基于消息认证码(MAC)的认证 特点： MAC函数不可逆 收发双方使用相同的密钥，MAC不能提供数字签名 只提供消息认证，不能提供机密性 MAC: 安全性 只有共享密钥的A 和 B 才能生成关于消息M的有效的 MAC 码。 只有指定的接收人 A 或 B才能认证所接受到的消息 攻击者由于无法计算 MAC=MAC(K,M’)，因此不能修改 M。 HMAC的设计目标 Hash函数不使用密钥，不能直接用于MAC HMAC要求 可不经修改使用现有hash函数 其中嵌入的hash函数可易于替换为更快和更安全的hash函数 保持嵌入的hash函数的最初性能，不因适用于HAMC而使其性能降低 以简单方式使用和处理密钥 在对嵌入的hash函数合理假设的基础上，易于分析HMAC用于认证时的密码强度 HMAC 算法 Hash Message Authentication Code (HMAC) RFC 2104 标准 可嵌入多种杂凑函数算法：MD4、MD5 与 SHA-1 加入『秘密密钥』 HMAC 结构 HMACK(M) = H [(K+ ⊕ opad) || H [(K+ ⊕ ipad) || M]] 密钥 K 以 0 填满 b bits产生K+ ipad：將重复 b/8 次 opad：將复 b/8 次 HMAC 设计思想 依照 RFC 2104 所述： 能在不修改現有的杂凑算法的情况下，将它嵌入 HMAC 算法內。 当需要更快速的杂凑算法时、或是新的杂凑算法被设计出來的时候，我們希望能容易地更新內嵌的杂凑算法。 当杂凑算法被嵌入 HMAC 算法之內后，期望能维持它原來的执行速度，以免造成执行效能大幅滑落。 可以简单的使用密钥。 希望所嵌入的杂凑算法能滿足一些合理的条件，並且可以根据这些条件分析该 HMAC 的安全強度。 MAC 操作模式 (1) 明文与 MAC传送 MAC 操作模式 (2) 明文与 MAC 加密后传送 MAC 操作模式 (3) 密文与 MAC传送 MAC 操作模式 (4) 密文计算 MAC 后传送 MAC 算法強度 MAC 強度 攻击 MAC 的方法： 暴力攻击法 生日攻击法 MAC 算法 M MAC MAC 消息 M 消息 M K 2 = ? 加密 K 1 E K1 [M || MAC] 解密 M MAC 算法 MAC MAC K 1 K 2 M 消息 M MAC MAC 消 息 E K1 [M] K 1 K 2 加密 MAC 算法 解密 MAC 算法 = K 1 K 2 E K1 [M] ? MAC MAC M M MAC 消息 M MAC 消 息 K 2 K 1 E K1 [M] 加密