第17讲 Hash 函数.pptVIP

第8章 Hash 函数 Hash函数定义 数据安全 机密性 完整性 认证性 密码技术主要保证数据的机密性 Hash函数能保证数据的完整性和认证性 Hash函数定义 Hash函数常用来构造数据的短“指纹”：消息的发送者使用所有的消息产生一个附件也就是短“指纹”，并将该短“指纹”与消息一起传输给接收者。 即使数据存储在不安全的地方，接收者重新计算数据的指纹，并验证指纹是否改变，就能够检测数据的完整性。这是因为一旦数据在中途被破坏，或改变，短指纹就不再正确。??? Hash函数定义 Hash函数定义：Hash函数是一个将任意长度的消息（message）映射成固定长度消息的函数。 Hash函数是一个函数，它以一个变长的报文作为输入，并产生一个定长的散列码，有时也称为报文摘要，作为函数的输出。 Hash函数（hash function），或称为哈希函数、散列函数。对于任何消息x ，将h(x)称为x的Hash值、散列值、消息摘要（message digest）。 Hash函数作用 Hash函数最主要的作用于是用于鉴别，鉴别在网络安全中起到举足轻重的地位。鉴别的目的有以下两个：第一，验证信息的发送者是真正的，而不是冒充的，同时发信息者也不能抵赖，此为信源识别；第二，验证信息完整性，在传递或存储过程中未被篡改，重放或延迟等。 8.1Hash 函数的性质 Hash函数的碰撞（collision） 设x、x’是两个不同的消息，如果 h(x)=h(x’) 则称x和x’是Hash函数h的一个（对）碰撞. 8. 1 Hash 函数的性质 Hash函数的分类 单向Hash函数（one?way） 给定一个Hash值y，如果寻找一个消息x，使得y=h (x)是计算上不可行的，则称h是单向Hash函数. 弱抗碰撞Hash函数（weakly collision?free） 任给一个消息x，如果寻找另一个不同的消息x’，使得h(x) =h(x’)是计算上不可行的，则称h是弱抗碰撞Hash函数. 强抗碰撞Hash函数 （strongly collision?free） 如果寻找两个不同的消息x和x’，使得h(x)=h(x’)是计算上不可行的，则称h是强抗碰撞Hash函数. 8. 1 Hash 函数的性质 hash函数在现代密码学中起着重要的作用，主要用于对数据完整性和消息认证 压缩性：任意长度的数据，算出的摘要长度都固定。 容易计算：从原数据容易算出摘要。 抗修改性：对原数据进行任何改动，哪怕只修改1个字节，所得到的摘要都有很大区别。 弱抗碰撞：已知原数据和其摘要，想找到一个具有相同摘要的数据（即伪造数据），在计算上是困难的。 强抗碰撞：想找到两个不同的数据，使它们具有相同的摘要，在计算上是困难的。 Hash函数的安全性 对Hash函数的攻击是指寻找一对碰撞消息的过程 与传统密码体制的攻击方式相比，对散列函数的攻击方法主要有两种： 穷举攻击：它可以用于任何类型的散列函数的攻击，最典型的方式就是所谓的“生日攻击”。采用生日攻击的攻击者将产生许多明文消息，然后计算这些明文消息的指纹（摘要），进行比较。 利用散列函数的代数结构：攻击其函数的弱性质。通常的有中间相遇攻击、修正分组攻击和差分分析攻击等。 生日悖论（birthday paradox） 生日问题：假设每个人的生日是等概率的，每年有365天，在k个人中至少有两个人的生日相同的概率大于1/2，问k最小应是多少？ k人生日都不同的概率是： 有P(365,23)=0.5073。即在23个人中，至少有两个人生日相同的概率大于0.5，这个数字比人们直观猜测的结果小得多，因而称为生日悖论。 Hash函数的安全性 生日攻击法 生日悖论原理可以用于构造对Hash函数的攻击 设Hash函数值有n个比特，m是真消息，M是伪造的假消息，分别把消息m和M表示成r和R个变形的消息。消息与其变形消息具有不同的形式，但有相同的含义。将消息表示成变形消息的方法很多，例如增加空格、使用缩写、使用意义相同的单词、去掉不必要的单词等。 Hash函数的安全性 生日攻击法 分别把消息m和M表示成r和R个变形的消息 Hash函数的安全性 生日攻击法 计算真消息m的变形与假消息M的变形发生碰撞的概率 由于n比特长的散列值共有2n个，所以对于给定m的变形mi和M的变形Mj，mi与Mj不碰撞的概率是1-1/2n。由于M共有R个变形，所以M的全部变形都不与mi碰撞的概率是： 因为消息m共有r个变形，因此m的变形与M的变形都不碰撞的概率是： Hash函数的安全性 生日攻击法 8. 2 基于分组密码的Hash 函数