密码学第6章6.2~6.4.pptVIP

教学内容 第1章 引论 第2章 古典密码学 第3章 流密码算法与伪随机数产生器 第4章 分组密码算法 第5章 分组密码算法的工作模式 第6章 单向散列(Hash)函数 第7章 公钥密码算法与数字签名算法 第8章 认证与密钥交换协议 第6章 单向散列(Hash)函数 定义：杂凑函数H是一公开函数，用于将任意长的消息M映射为较短的、固定长度的一个值H(M)，作为认证符，称函数值H(M)为杂凑值、杂凑码或消息摘要。杂凑码是消息中所有比特的函数，因此提供了一种错误检测能力，即改变消息中任何一个比特或几个比特都会使杂凑码发生改变。 第6章 单向散列(Hash)函数——迭代型杂凑函数的一般结构 第6章 单向散列(Hash)函数6.2 SHA(安全散列算法) 我们用+表示按4 B字模232和，则SHA算法算法过程如下。 1）补位与分组。SHA算法的补位与分组方法同MD5算法完全一样。 2）初始化缓冲器。5个4 B的寄存器初始值用16进制表示为： A = 0B=0xefcdab89， C = 0x98badcfe，D = 0 E = 0xc3d2e1f0。 6.2 SHA(安全散列算法)——SHA的算法过程 3）循环运算。对n个分组进行循环运算。先取a = A，b = B，c = C，d = D，e = E。 每次循环有4轮，每轮进行20次迭代，共80次迭代运算（t = 0，…，79）。 4轮分别采用了1个常数和1个非线性函数。非线性函数的输入均为3个4 B的字，输出均为1个4 B的字。4个非线性函数和4个常数为： 6.2 SHA(安全散列算法)——SHA的算法过程（续） for t = 0 to 19 {F(X, Y, Z) = (XY)∨[not(X)Z]； Kt =「230×20.5」= 0x5a827999；} for t = 20 to 39 {F(X, Y, Z) = X⊕Y⊕Z； Kt =「230×30.5」= 0x6ed9eba1；} for t = 40 to 59 {F(X, Y, Z) = (XY)∨(XZ)∨(YZ)； Kt =「230×50.5」= 0x8f1bbcdc；} for t = 60 to 79 {F(X, Y, Z) = X⊕Y⊕Z； Kt =「230×100.5」= 0xca62c1d6；} 6.2 SHA(安全散列算法)——SHA的算法过程（续） 把64 B的消息分组Pi分成16个4 B的字（W0，…，W15），再用以下方法扩展成80个4 B的字（W0，…，W79）： for t = 16 to 79 Wt = (W t -3⊕W t -8⊕W t -14⊕W t –16)1； 则1个分组运算过程为： for t = 0 to 79 {temp = (a5) + F(b, c, d) + e + Wt + kt； e = d；d = c；c = b30；b = a；a = temp；} 6.2 SHA(安全散列算法)——SHA的算法过程（续） 1个分组运算完成后，取A = a + A，B = b + B，C = c + C，D = d + D，E = e + E进行下一个分组循环运算，最后的输出结果是A，B，C，D，E的串联A || B || C || D || E。 6.2 SHA(安全散列算法)——SHA、MD5和MD4的关系 SHA和MD5都是MD4的改进算法。与MD4算法相比 1）MD5增加了第四轮；SHA也是如此，但SHA在第四轮中采用的函数与第二轮相同。 2）MD5的每一步迭代都有唯一的加法常数；SHA保留了的MD4方案，每20轮重复使用一个常数。 3）为减弱第二轮中函数的对称性，MD5将(XY)∨(XZ)∨(YZ)变为(XZ)∨[Ynot(Z)]；SHA采用与MD4相同的形式(XY)∨(XZ)∨(YZ)。 4）MD5的每一步加上了上一步的结果，这样可加快雪崩效应；SHA也作了这种改变，不同的是SHA增加了第五个变量。 6.2 SHA(安全散列算法)——SHA、MD5和MD4的关系（续） 5）MD5改变了第二轮和第三轮中消息子分组的次序，使其形式更不相似；SHA完全不同，因为SHA采用循环纠错编码。 6）MD5近似优化了每一轮中循环左移量以实现更快的雪崩效应，各轮的位移量互不相同；SHA的每轮采用与MD4相同的常数位移量，该位移量与字长互素。 SHA、MD5和MD4的关系可表示为： MD5 = MD4 + 改进的位散列运算 + 附加轮 + 更好的雪崩效应；SHA = MD4 + 扩展转换 + 附加轮 + 更好的雪崩效应。 第6章 单向散列(Hash)函数6.3 HMAC(带密钥的散列函数)