CHD8 信息验证.ppt

8.6.1CBC-MAC CBC-MAC是一种用CBC块加密模式来实作文件信息验证的作法，只需将文件信息用CBC模式来加密即可。 MAC的产生过程有三个步骤： 将所要传递文件信息长度扩充为64位的位数，不足的部分以0补上。 将此扩充的文件信息依每64位切割成一个块。 先对第一个块作DES的加密，加密时需输入一56位的秘密密钥，所得到64位的密文，再与下一个文件信息块作XOR运算，然后再用DES对其加密，以此类推。 * 张三与李四先协议一把共同的秘密密钥K，当张三要传送一信息M给李四时，张三会先利用K对此文件信息M产生一文件信息验证码MAC=H(K||M)。然后将M连同MAC一起送给李四。 李四收到后会先将M及自己的秘密密钥K，来算出MAC’=H(K||M)，再与接收到的MAC进行比对，若相等，则确信文件信息在传送过程中没有遭到篡改。 8.5.3密钥相依单向哈希函数的信息验证机制(续) * 8.6信息验证码 文件信息验证码(Message Authentication Code，MAC)可用来验证文件信息是否为约定好通讯的双方所传送，并且验证文件信息在传递过程中是否遭到篡改。 * 利用秘密密钥密码系统及单向哈希函数所构成的MAC * DES-MAC的运算过程 * 8.6.2 单向哈希函数MAC 这种MAC类型是利用一单向哈希函数，配合一秘密密钥所构成的文件信息验证码。 此类的文件信息验证码机制也可让使用者自行来决定要采用何种单向哈希函数，在实作上相当便利也具有弹性。 串接方式可以是H(K||M)，但不安全。较安全的串接方式是H(M||K)、H(K1||M||K2)、H(K,H(K||M))、H(K1,H(K2||M))。 * 以H(K||M)串接方式不安全 可任加一个块的文件信息M’到原文件信息的后面其验证的结果都会正确。 以MD5单向哈希函数算法为例，若王五拦截到张三要传给李四的文件信息M及其信息验证码H(K||M)，那么王五根本不需要知道张三跟李四所协议的共同秘密密钥K就可以任加一段信息M至原信息后面，且有办法得到正确的信息验证码H(K||M||M)。 利用拦截到的128位信息验证码H(K||M)作为MD5中A、B、C、D四个缓存器的初始值。 将添加信息M分割成数个512位的信息块，再透过MD5算法来做运算。 最后得到的128位输出结果就等于H(K||M||M’)。 SHA也有同样的问题 * 信息与网络安全概论(第三版) * 8.1 单向哈希函数 8.2 文件信息的完整性验证 8.3 MD5单向哈希函数 8.4 SHA单向哈希函数 8.5 文件信息的来源验证 8.6 信息验证码 本章内容 * ◎单向哈希函数两个主要功能 (1) 将文件信息打散及重组，使其不能再还 原为原始文件信息。 (2) 将任意长度的文件信息压缩成固定长度 的信息摘要。 ◎数学公式 MD=H(M) H(.)：一单向哈希函数M：表一任意长度文件信息 8.1单向哈希函数 * ◎单向哈希函数三种特性 (1) 给定文件信息M可很容易算出其对应的讯 息摘要MD。 (2) 给定一信息摘要MD，很难从MD去找到一 个文件信息M’，使H(M’)=MD。 (3) 给定一文件信息M，很难再找到另一文件讯 息M’，使H(M)=H(M’)。 单向哈希函数特性 避免碰撞的情况发生 (Collision-resistance) * ◎以单向哈希函数做文件信息的完整验证，其验证 方式如下： 8.2文件信息的完整性验证 * 首先，张三将要传送给李四的文件信息M，经单向哈希函数运算后得到一信息摘要MD，再将文件信息M与信息摘要MD一起送给李四。 李四收到后先将文件信息M用同样的单向哈希函数运算，假设得到一信息摘要MD’，李四再比较MD’是否与收到的MD相同，若相同，则李四则可确认此文件的完整性。 8.2文件信息的完整性验证(续) * 8.3MD5单向哈希函数 MD5 was developed by Ron Rivest at MIT Arbitrary Length Message? MD5 ? 128-bit Message 简介 * 添加位及长度信息 * MD5 的运算过程 * Initial Vector, IV A: 01 23 45 67 B: 89 AB CD EF C: FE DC BA 98 D: 76 54 32 10 Note: hexadecimal values 文件分割与初始化MD缓存器 将信息分割成N个512位的小块，Y0、Y1、...、YN-1，其总长度等于N× 512位。将分割后的512位信息块，再分割为十六个