SHA-1HASH函数.ppt

密 码 学 （第十三讲） HASH函数 张焕国 武汉大学计算机学院 目 录 1、密码学的基本概念 2、古典密码 3、数据加密标准（DES） 4、高级数据加密标准（AES） 5、中国商用密码（SMS4） 6、分组密码的应用技术 7、序列密码 8、习题课：复习对称密码 9、公开密钥密码（1） 目 录 10、公开密钥密码（2） 11、数字签名（1） 12、数字签名（2） 13、HASH函数 14、认证 15、密钥管理 16、PKI技术 17、习题课：复习公钥密码 18、总复习/检查：综合实验 一、HASH函数的概念 1、 Hash的作用 Hash码也称报文摘要。 它具有极强的错误检测能力。 用Hash码作MAC，可用于认证。 用Hash码辅助数字签名。 Hash函数可用于保密。 一、HASH函数的概念 2、Hash函数的定义 ① Hash函数将任意长的数据M变换为定长的码h，记为：h=HASH(M)或 h=H(M)。 ②实用性：对于给定的数据M，计算h=HASH(M)是高效的。 ③安全性： 单向性：对给定的Hash值h，找到满足H(x)＝h的x在计算上是不可行的。 否则，设传送数据为C=＜M，H(M||K)＞,K是密钥。攻击者可以截获C,求出Hash函数的逆，从而得出M||S＝H-1(C)，然后从M和M ||Ｋ即可得出Ｋ。 一、HASH函数的概念 2、Hash函数的定义 ③安全性： ? 抗弱碰撞性：对任何给定的x，找到满足y≠x且H(x)=H(y)的y在计算上是不可行的。 否则，攻击者可以截获报文M及其Hash函数值H(M)，并找出另一报文M?使得H(M?)=H(M)。这样攻击者可用M?去冒充M，而收方不能发现。 ? 抗强碰撞性：找到任何满足H(x)=H(y)的偶对(x,y)在计算上是不可行的。 一、HASH函数的概念 3、安全Hash函数的一般结构 Merkle提出了安全Hash函数主处理的一般结构 对数据压缩，产生Hash码。 b位分组，f为压缩函数，L轮链接迭代，n位输出。 一、HASH函数的概念 3、安全Hash函数的一般结构 分组：将输入分为L-1个大小为b位的分组。 填充：若第L-1个分组不足b位，则将其填充为b位。 附加：再附加上一个表示输入的总长度分组。 共L个大小为b位的分组。 由于输入中包含长度，所以攻击者必须找出具有相同Hash值且长度相等的两条报文，或者找出两条长度不等但加入报文长度后Hash值相同的报文，从而增加了攻击的难度。 目前大多数Hash函数均采用这种结构。 二、SHA-1 HASH函数 1、 SHA系列Hash函数 SHA系列Hash函数是由美国标准与技术研究所(NIST)设计的。 1993年公布了SHA-0(FIPS PUB 180)，后来发现它不安全。 1995年又公布了SHA-1（FIPS PUB 180-1）。 2002年又公布了SHA-2（FIPS PUB 180-2）。 SHA-2包括3个Hash函数： SHA-256， SHA-384， SHA-512 2005年王小云给出一种攻击SHA-1的方法，用269操作找到一个碰撞，以前认为是280。 NIST打算2010年废弃SHA-1。 二、SHA-1 HASH函数 1、 SHA系列Hash函数 SHA-1是在MD5的基础上发展起来的。它采用Merkle提出了安全Hash结构。已被美国政府和许多国际组织采纳作为标准。 SHA-1的输入为长度小于264位的报文，输出为160位的报文摘要，该算法对输入按512位进行分组，并以分组为单位进行处理。 二、SHA-1 HASH函数 2、SHA-1的结构 采用Merkle提出了安全Hash结构 二、SHA-1 HASH函数 3、运算算法 ⑴输入填充 目的是使填充后的报文长度满足： 长度 =448 mod 512 。 ①填充方法是在报文后附加一个1和若干个0。 ②然后附上表示填充前报文长度的64位数据(最高有效位在前)。 若报文本身已经满足上述长度要求，仍然需要进行填充（例如，若报文长度为448位，则仍需要填充512位使其长度为960位），因此填充位数在1到512之间。 二、SHA-1 HASH函数 3、运算算法 ⑵初始化缓冲区 缓冲区由5个32位的寄存器(A，B，C，D，E)组成，用于保存160位的中间结果和最终结果。 将寄存器初始化为下列32位的整数： A： B： EFCDAB89 C： 98BADCFE D： E： C3D2E1F0 注意：高有效位存于低地址。 二、SHA-1 HASH函数 3、运算算法 ⑶主处理 主处理是SHA-1 HASH函数的核心。 每次处理一