第4章消息认证规范.ppt

Hash与MAC的区别 MAC需要对全部数据进行加密 MAC速度慢 Hash是一种直接产生鉴别码的方法 Hash可用于数字签名 常用Hash算法 MD5 hash算法MD5 Hash Algorithm MD4是MD5杂凑算法的前身，由Ron Rivest于1990年10月作为RFC提出，1992年4月公布的MD4的改进（RFC 1320，1321）称为MD5。 MD5的算法框图 输入消息可任意长，压缩后输出为128bits。 算法步骤(1)－分组填充 消息 100…0 64bit 消息长度 填充图样 L×512bit Kbit 1.MD5要求输入为512位的倍数，而且必须要有64位来表示原始的数据长度。位数不足就需要补位，使得数据为K*512+448，这样再加上表示消息长度的64位，刚好就是512的倍数。 2.补位：补1个1，其余都是0，直到满足条件为止。 3.执行完后，消息的长度为512的倍数（设为L倍），则可将消息表示为分组长为512的一系列分组Y0，Y1，…，YL-1，而每一分组又可表示为16个32比特长的字，这样消息中的总字数为N=L×16，因此消息又可按字表示为M[0,…,N-1]。 算法步骤(2)－缓冲区初始化 hash函数的中间结果和最终结果保存于128位的缓冲区中，缓冲区用32位的寄存器表示。缓冲区初始存数可用4个32bits字表示：A,B,C,D。即最初4个变量以十六进制表示为 A=01 23 45 67 B=89 AB CD EF C=FE DC BA 98 D=76 54 32 10 同时将上面4个变量赋值到另外4个变量中：a=A b=B c=C d=D 算法步骤(3) -HMD5运算 6.重新给A,B,C,D赋值 A=A+a B=B+b C=C+c D=D+d 7.继续对下一个512位的分组重复4轮操作，每轮16次的FF,GG,HH,II操作，一直到最后一个512位分组结束为止。 8.将最后生成的A,B,C,D级联，A为低位，D为高位，最终生成一个128位的值（摘要） MD-5的安全性 MD-5的输出为128-bit，若采用纯强力攻击寻找一个消息具有给定Hash值的计算困难性为2128，用每秒可试验1 000 000 000个消息的计算机需时1.07×1022年。 采用生日攻击法，找出具有相同杂凑值的两个消息需执行264次运算。 SHA 算法 Secure Hash Algorithm 算法简介 美国标准与技术研究所NIST设计 1993年成为联邦信息处理标准(FIPS PUB 180) 基于MD4算法，与之非常类似。 输入为小于264比特长的任意消息 分组512bit长 输出160bit 迭代型hash函数的一般结构 f f f Y0 Y1 YL-1 b b b n n n n n IV=CV0 CV1 CVL-1 CVL 明文M被分为L个分组 Y0,Y1,…,YL-1 b:明文分组长度 n:输出hash长度 CV：各级输出，最后 一个输出值是hash值 无碰撞压缩函数f是设计的关键 算法描述 消息填充：与MD5完全相同 附加消息长度：64bit长度 缓冲区初始化 AB＝EFCDAB89 C＝98BADCFB DE＝C3D2E1F0 分组处理 模232加 SHA-1压缩函数（单步） 第4章  消息认证 主要内容 消息认证基本概念 消息加密认证 消息认证码 hash函数 概 念 认证(Authentication)：即鉴别、确认，它是证实某事是否名副其实，或是否有效的一个过程。 认证与加密的区别： 加密用以确保数据的保密性，阻止对手的被动攻击，如截取、窃听。 认证用以确保报文发送者和接受者的真实性以及报文的完整性，阻止对手的主动攻击，如冒充、篡改、重播等。 认证往往是应用系统中安全保护的第一道防线，极为重要。 基本思想 通过验证称谓者(人或事)的一个或多个参数的真实性和有效性，来达到验证称谓者是否名副其实的目的。 常用的参数有：口令、标识符、密钥、信物、智能卡、指纹、视网纹等。 利用人的生理特征参数进行认证的安全性高，但技术要求也高，至今尚未普及。目前广泛应用的还是基于密码的认证技术。 没有消息认证的通信系统是极为危险的 消息认证目的 消息认证用于抗击主动攻击 验证接收消息的真实性和完整性 真实性 的确是由所声称的实体发过来的 完整性 未被篡改、插入和删除 验证消息的顺序性和时间性（未重排、重放和延迟） 需求 泄密：将消息透露给没有合法秘密钥的任何人或程序。 传输分析：分析通信双方的通信模式，如连接频率，时间等 伪装：攻击者产生一条消息并声称来自某合法实体 内容修改：对消息进行插入、删除、转化、