密码理论与技术 crypto-11.pptVIP

现代密码学理论与实践-11 现代密码学理论与实践-11 * 现代密码学理论与实践-11 */35 密码理论与技术Chapter 11 Message Authentication and Hash Functions * 现代密码学理论与实践-11 */35 本章要点 消息认证是用来验证消息完整性的一种机制或服务。消息认证确保收到的数据确实和发送时的一样(即没有修改、插入、删除或重放)，且发送方声称的身份是真实有效的。 对称密码在那些相互共享密钥的用户间提供认证。用消息发送方的私钥加密消息也可提供一种形式的认证。 用于消息认证的最常见的密码技术是消息认证码和安全散列(hash)函数。 MAC是一种需要使用秘密密钥的算法，以可变长的消息和秘密密钥作为输入，产生一个认证码。拥有秘密密钥的接收方产生一个认证码来验证消息的完整性。 散列函数将可变长度的消息映射为固定长度的散列值，或叫消息摘要。对于消息认证码，安全散列函数必须以某种方式和秘密密钥捆绑起来。 * 现代密码学理论与实践-11 */35 报文认证Message Authentication 消息认证(报文认证)关心的问题是 保护消息的完整性 验证发起方身份 消息源的不可否认(解决分歧) 消息认证要考虑安全需求 三种消息认证的方法 消息加密 消息认证码(MAC) 哈希函数 * 现代密码学理论与实践-11 */35 11.1 对认证的要求 可能有下述攻击 泄密Disclosure，将消息透露给没有合法身份的第三方 传输分析Traffic analysis，分析双方通信模式 伪装Masquerade，欺诈源向网络中插入一条消息 内容篡改Content modification，对消息内容的修改 顺序篡改Sequence modification，对消息顺序的修改 计时篡改Timing modification，对消息的延时和重放 信源抵赖Source repudiation,发送方否认发送过某消息 信宿抵赖Destination repudiation，接收方否认接收过某消息 * 现代密码学理论与实践-11 */35 11.2 认证函数 11.2.1 消息加密 消息加密本身提供了一种认证手段 对称加密 接收方可以确信消息是由发送方产生的，因为除了接收方以外只有发送方拥有加密密钥，产生出用此密钥可以解密的密文 如果消息可以是任意的位模式，接收方无法确定收到的消息是合法明文的密文。因此，通常不管密文的值是什么，如果解密后得到的明文有合法明文的位模式，接收方都会作为真实的密文接收。 * 现代密码学理论与实践-11 */35 * 现代密码学理论与实践-11 */35 解决解密所得消息是否具有可读性的问题 要求明文具有某种易于识别的结构，如在加密前对每个消息附加一个帧校验序列FCS FCS和加密函数执行的顺序很重要 * 现代密码学理论与实践-11 */35 若要提供认证，发送方用自己的私钥对消息加密，接收方用发送方的公钥解密(验证)，就提供了认证功能。 如果发送方用私钥加密消息，再用接收方的公钥加密，就实现了既保密又认证的通信 既保密又认证的通信的代价是需要执行四次复杂的公钥算法而不是两次。 公钥加密作为认证手段 * 现代密码学理论与实践-11 */35 11.2.2 消息认证码MAC 使用密钥产生短小的定长数据分组，即所谓的密码检验MAC，将它附加在报文中。通信双方A和B共享密钥K，报文从A发往B，A计算MAC=CK(M), 附在报文后发给B。B对接收到的报文重新计算MAC，并与接收到的MAC比较。如果只有收发双方知道密钥且两个MAC匹配，则： 接收方可以确信报文未被更改； 接收方可以确信报文来自声称的发送者； 接收方可以确信报文序号正确，如果有的话。 报文认证不提供保密 MAC函数类似加密，但非数字签名，也无需可逆 将MAC直接与明文并置，然后加密传输比较常用 * 现代密码学理论与实践-11 */35 MAC加密所得的消息校验和 MAC = CK(M) 使用一个秘密密钥K，浓缩一个变长的消息M，产生一个固定长度的认证子 MAC是一种多对一的函数 定义域由任意长的消息组成，值域由所有可能的MAC和密钥组成。若使用n位长的MAC, 则有2n个可能的MAC, 有N条可能的消息, N2n. 若密钥长度为k, 则有2k种可能的密钥。 如N为100, n为10, 共有2100不同的消息, 210种不同的MAC, 平均而言同一MAC可由2100/ 210=290条不同的消息产生。若密钥长度为5，则从消息集合到MAC值的集合有25=32不同映射。 可以证明，由于认证函数的数学性质，与加密相比，认证函数更不易被攻破 MAC: 消息认证码的特点 * 现代密码学理论与实践-11 */35 *