安全雜湊演算法.pptVIP

密碼學與網路安全第12章 雜湊與MAC演算法 雜湊與MAC演算法 雜湊函數 多數雜湊函數通常都要使用專為雜湊函數設計的壓縮函數 這些壓縮函數也通常利用同餘算術和二進位邏輯運算 其他方法則以對稱式區塊加密作為壓縮函數 訊息認證碼 訊息認證碼可以分成兩類 以安全雜湊函數為基礎 以對稱式區塊加密為基礎 雜湊演算法結構 安全雜湊演算法 安全雜湊演算法（SHA）是由 NIST及NSA於1993年所發展 在1995年公佈修訂版本 SHA-1 SHA是以MD4雜湊函數為基礎 而其設計方式與MD4非常類似 SHA-1也同時列為RFC 3174 RFC 3174內容與FIPS 180-1完全相同，但還加入C的實作程式碼 SHA-1會產生160位元的雜湊值 安全雜湊演算法 NIST在2002年又對此標準修訂並公佈了FIPS 180-2，這定義了SHA的三個新版本： 雜湊值長度為256、384、512的SHA-256 SHA-384 SHA-512 這些新版的架構都相同，也使用如同SHA-1的模數算術和二進位邏輯運算 NIST在2005年表示將逐步淘汰SHA-1，並且將在2010年之前以其他的SHA作為正式標準 SHA-512處理過程 SHA-512的回合函數 SHA-512演算法的核心是由80個回合所組成 每個回合的輸入是512位元的暫存區 每個回合t會利用源自目前1024位元區塊所要處理的64位元的Wt 每個回合也會利用加法常數Kt（0 ≦ t ≦ 79）表示這80個步驟 這些字組呈現了前8個質數立方根的前64位元 常數提供了64位元樣式的「隨機化」集合 這會排除輸入資料的任何規律性 第8回合的輸出會加到第1回合（Hi-1）的輸入而產生Hi SHA-512的回合函數 SHA-512的回合函數 Whirlpool Rijndael是Whirlpool的設計者之一，也是AES的共同創造者 Whirlpool是NESSIE唯二背書的雜湊函數 採用AES之後能強健的區塊加密發展安全的雜湊函數 不僅重新引起大家的興趣，也呈現出優秀的執行效能 Whirlpool具備以下的特點： 雜湊碼的長度是512位元，等同於SHA最長的雜湊碼 整個結構已被證實能抵抗區塊加密雜湊碼的一般攻擊 以AES為基礎，能同時以軟體和硬體實作，兼具體積小、效率高的優點 Whirlpool原理 Whirlpool區塊加密法W Whirlpool使用了專為雜湊函數所設計的區塊加密法 這種區塊加密法不太可能單獨當作加密函數 因為設計者希望利用到AES區塊加密的安全性和效率，以及相當於SHA-512雜湊長度所提供的安全性 這個想法的結果就是區塊加密法W 結構和AES類似 基本功能和AES相同 使用的區塊長度和金鑰長度則是512位元 雖然W類似AES，但W並非AES的擴充 Whirlpool區塊加密法W 執行Whirlpool Rijndael所定的規格必須能於軟體及硬體展現優異效能 也必須能適用受限較多的硬體環境 這對Rijndael所選的AES相當重要 因為Whirlpool使用了與AES的相同基礎功能及結構 因此Whirlpool也將擁有類似的效能和特性 SHA-512和Whirlpool雖然需要較多的硬體資源，但能獲得更好的執行效能 HMAC 利用雜湊碼建構MAC，也成為近年來的新趨勢： 因為雜湊函數通常較快 密碼雜湊函數的程式庫函式相當普遍 SHA之類的雜湊函數並非為MAC設計，且因這類的雜湊函數不依靠金鑰，因此不能直接用在MAC 目前已經提出很多將金鑰加入雜湊函數的方法，其中廣為普遍的是HMAC： KeyedHash = Hash(Key|Message) HMAC HMAC已經被納入多項國際標準的規格 RFC 2104的內容就是HMAC IP Security規格要求需以HMAC實作MAC SSL等網際網路協定也採用HMAC HMAC也已經是NIST標準（FIPS 198） HMAC可以如下表示： HMACK = Hash[(K+ XOR opad) || Hash[(K+ XOR ipad)||M)]] K+ ＝ 在K的左邊附加0，使其長度為b位元 ipad ＝ 也就是16進位的36）重複b / 8次 opad ＝ 也就是16進位法的5C）重複b / 8次 可以使用任何雜湊函數，例如： MD5、SHA-1、RIPEMD-160、Whirlpool HMAC架構 HMAC的安全性 任何以雜湊函數為基礎的MAC函數安全性，是由所採用的雜湊函數強度決定 MAC函數的安全性通常會這麼定義： 偽造者在給定的時間內成功偽造訊息的機率 利用相同金鑰產生訊息-MAC組的數量 合法使用者產生的訊息若被攻擊者得知，而攻擊者破解HM