消息认证码介绍.ppt

* K+：b位长，是在K左补0后的结果 b：消息分组的位长 n：hash函数所产生的hash值的长度 ipod:36h 重复b/8次后的结果，即363636…… opod:5Ch 重复b/8次后的结果，即5c5c5c…… * * Stallings Figure 11.6 “Data Authentication Algorithm”, illustrates the FIPS PUB 113 / ANSI X9.17 MAC based on DES-CBC with IV 0 and 0-pad of the final block if needed. Resulting MAC can be 16-64 bits of the final block. But this is now too small for security. * * * 华中农业大学信息学院 * 建立在嵌入Hash函数基础上的所有MAC，其安全性在某种程度上都依赖于该Hash函数的强度。对于HMAC，可以给出HMAC的强度与所嵌入Hash函数强度之间的关系。Bellare等人（1996年）已经证明，如果攻击者已知若干（时间、消息-MAC）对，则成功攻击HMAC的概率等价于对所嵌入Hash函数的下列攻击之一： ① 即使对于攻击者而言，IV是随机的、秘密的和未知的，攻击者也能计算Hash函数的压缩函数的输出。 ② 即使IV是随机的和秘密的，攻击者也能找到Hash函数的碰撞。 * 华中农业大学信息学院 * HMAC 概览 ⊕ ⊕ * 华中农业大学信息学院 * ⊕ ⊕ * 华中农业大学信息学院 * HMAC 的安全性 HMAC的安全性依赖于hash算法的安全性 攻击HMAC需要下列之一: 对密钥进行穷举攻击 生日攻击 从速度与安全制约，选择恰当的hash函数 * 华中农业大学信息学院 * 12.6 基于分组密码的MAC DAA：数据认证算法 CMAC：基于密码的消息认证码 * 华中农业大学信息学院 * 用对称密码产生MACs 采用分组密码的链接工作模式，并把最后分组作为MAC Data Authentication Algorithm (DAA) 是一个广泛使用的数据认证算法，基于DES-CBC（FIPS PUB113,ANSI X9.17） IV=0且最后一个分组用0填充其后以补足64位分组 用DES的密文分组链接模式CBC解密消息 把最后一个分组作为MAC发送 或者取最后分组的左边M bits (16≤M≤64) 但是对于安全性来说，最终的MAC还是太小了 * 华中农业大学信息学院 * Data Authentication Algorithm 基于DES实现的数据认证算法 * 华中农业大学信息学院 * ① 置IV = 0，并把报文的最后一个分组用0填充成64比特； ② 采用DES的CBC模式加密报文； ③ 抛弃加密的中间结果，只将最后一组密文（或最后一组密文的左边M (16≤M≤64)比特）作为原始报文的MAC。 * 华中农业大学信息学院 * 12.6.2 CMAC 适用于AES和3DES的CMAC 为n个消分组，k位加密密钥和n位的常数K1 T为消息认证码，也称为tag；Tlen是T的位长度；MSBs(X)是位串的X最左边的s位。 12.7 认证加密 * 华中农业大学信息学院 * 在通信中同时提供保密性和认证性的加密系统 提供认证和加密的通用方案 HtE：先Hash再加密， MtE：先MAC再加密，SSL/TLS使用 EtM：先加密再MAC，IPsec使用 EM：加密并且MAC，SSH使用 12.7 认证加密 * 华中农业大学信息学院 * 12.7.1 分组密码链接-消息认证码 略 12.7.2 Galois/计数器 略 12.8 使用Hash函数和MAC产生伪随机数 略 * 华中农业大学信息学院 * * 华中农业大学信息学院 * 小 结 消息认证码 消息加密 HMAC CMAC * 华中农业大学信息学院 * 作业 思考题：12.1 12.6 * * 保密：12 认证：3456 数字签名：78 * * * * * * * * * * * * * * * * The idea of a keyed hash evolved into HMAC, designed to overcome some problems with the original proposals. Further have a design that has been shown to have the same security as the underlying hash alg. The hash function