消息认证和杂凑算法.pptVIP

第6章 消息认证和杂凑算法 主要内容 消息认证码 杂凑函数 MD5杂凑算法 安全杂凑算法 HMAC 消息认证 消息认证用于抗击主动攻击 验证接收消息的真实性和完整性 验证消息的顺序性和时间性 （未重排、重放和延迟） 消息认证 网络环境中的攻击(认证的需求) 1.泄漏 2.通信量分析 3.伪装(假报文) 4.内容篡改(插入,删除,调换和修改) 5.序号篡改(报文序号的修改) 6.计时篡改(报文延迟或回放) 7.抵赖(否认收或发某报文) 消息认证 消息加密 消息认证码(MAC) Hash函数 消息认证码 消息被一密钥控制的公开函数作用后产生的、用于认证符的、固定长度的数值，称为消息认证码，也称为密码校验和。 消息认证码的使用方式 通信双方共享密钥K 消息认证码的使用方式 认证性和保密性-对明文认证 消息认证码的使用方式 认证性和保密性-对密文认证 产生MAC函数应满足的要求 产生MAC的函数一般为多到一映射。nbit长的MAC共有2n个可能的取值，可能的消息数远大于2n。 密钥长度为kbit，可能的密钥数为2k。 敌手有可能不直接攻击密钥，而伪造能够通过检验的MAC和M。 产生MAC函数应满足的要求 假定敌手知道函数C，不知道K 如果敌手得到M和CK(M)，则构造一满足 CK( )= CK(M)的新消息 在计算上不可行 CK(M)在以下意义下是均匀分布的：随机选两个M, ,Pr[CK( )=CK(M)]=2-n 若 是M的某个变换,Pr[CK(M)=CK( )]=2-n CBC-MAC 基于CBC模式的DES算法，初始向量取为零。 消息认证码与杂凑函数 消息认证码的特点 －不需要恢复原报文 －报文的特征要唯一地体现到MAC中 －密钥是必要的 从报文产生特征的数学方法－ 杂凑函数 HASH函数 杂凑函数的定义 杂凑函数H是一个公开函数，将任意长的消息M映射为较短的、固定长度的一个值H(M) 函数参数 输入：可以任意长度 输出：必须固定长度，一般64、128、160bits H(M)称为杂凑值、消息摘要，是消息中所有比特的函数，提供了错误检测的能力。 杂凑函数的使用方式 消息与杂凑值连接后用单钥加密，密钥为A,B共享，保证消息来自A并且不被篡改 杂凑函数的使用方式 单钥加密函数仅对杂凑值加密 杂凑函数的使用方式 使用发送方私钥加密杂凑值 杂凑函数的使用方式 用发送方私钥加密杂凑值，再用单钥加密整个数据 杂凑函数的使用方式 通信双方共享一个秘密值S 杂凑函数的使用方式 在上一方式基础上用上加密 杂凑函数应满足的条件 已知x,计算H(x)较为容易，已知h，求x使得H(x)＝h在计算上不可行，若H满足这一性质，则称H为单向杂凑函数； 已知H(x)＝h，求y使得H(y)＝h在计算上不可行,若H满足这一性质，则称H为弱单向杂凑函数；（抗弱碰撞性） 找出任意两个不同的x,y，使得H(x)=H(y)在计算上不可行，若H满足这一性质，则称H为强单向杂凑函数（抗强碰撞性） 简单的杂凑函数 简单的Hash函数的改进方案 先将n比特的Hash值设置为0; 按如下方式依次处理数据分组: 将当前的Hash值循环左移一位. 将数据分组与Hash值异或形成新的Hash值. 这将起到输入数据完全随机化的效果,并且 将输入中的数据格式掩盖掉. 生日悖论 在一个会场参加会议的人中，使参会人员中至少有两人是同日出生的概率超过0.5的参会人数至少为多少人？ k个人都不是同日出生时概率Q(365,k) 至少有两人是同日出生的概率P(365,k) P(365,k)＝1- Q(365,k) 生日悖论 概率Q(365,k)＝ ＝ 概率P(365,k)＝ 当k?23时， P(365,k)0.5。 生日悖论 推广到一般，假设有N个对象，有r个人，每个人选择一个对象（可以重复选择），那么 Prob(重复出现） 生日攻击 H有n个可能的输出，H(x)是一个特定的输出，如果对H随机取k个输入，至少有一个输入y 使H(y)=H(x)的概率为0.5时，k有多大？ 生日攻击 简要分析： H(y)=H(x)的概率为1/n， H(y) H(x)的概率为1-1/n。 随机输入的k个值y都使H(y)=H(x)不等 的概率为[1-1/n]k 至少有一个y,使得H(y)=H(x)的概率为 1－ [1-1/n]k＝ 0.5 解得k=n/2 生日攻击 H有 个可