《可信计算课件资源》第3章认证技术与数字签名教程.pptVIP

可信计算基础;第三讲 认证技术与数字签名;认证;4;消息认证与实体认证的比较;1.消息认证;消息认证（Message Authentication)： 是一个证实收到的消息来自可信的源点且未被篡改的过程。 散列函数（ Hash Functions)： 一个散列函数以一个变长的报文作为输入，并产生一个定长的散列码，有时也称报文摘要，作为输出。 数字签名（Digital Signature） 是一种防止源点或终点抵赖的鉴别技术。;从加密到认证和鉴别;对密文保护的保护;认证（真假）的核心思想;加密与认证分离;报文认证(MAC)函数特性;MAC;报文鉴别码(MAC Message Authentication Code);MAC的用法;引入散列函数（HMAC）;HMAC;散列函数 h=H(x);1、要使k个人中有两个人的生日相同，k至少应该是多少？;k个人中没有两个人的生日相同的概率为： k个人中至少有两个人的生日相同的概率为： 经计算k=23时：1-p=0.5073 ;单向散列函数（One-way Hash Function）;(a) A?B: EK[ M||H(M)];(d) A?B: EK[M||EKRa[H(M)]];Hash与MAC的区别 MAC需要对全部数据进行加密 MAC速度慢 Hash是一种直接产生鉴别码的方法;2. MD5与SHA1;MD系列;27;MD5简介;MD5 detail;MD5示意图 ;散列码(128b)的每一个比特均是输入的每一个比特的函数（随机选择两个报文，即使它们有相似规律性，也很难产生相同的HASH） 易受生日攻击，所需操作的数量级264，因为 128位hash值太短。 Dobbertin在1996年找到了两个不同的512- bit块,它们在MD5计算下产生相同的hash 至今还没有真正找到两个不同的消息,它们的 MD5的hash相等 MD5不是足够安全的;1992年NIST制定了SHA(128位) 1993年SHA成为标准（FIPS PUB 180） 1994年修改产生SHA-1(160位) 1995年SHA-1成为新的标准,作为SHA-1(FIPS PUB180-1) SHA-1要求输入消息长度264 输入按512位的分组进行处理的 SHA-1的摘要长度为160位，基础是MD4 ;输入 任意报文(2^64) 输出 160bits 过程 填充报文、长度成512bits分组（与MD5相同） 初始化寄存器ABCDE E = C3D2E1F0 分组处理 …;SHA1a block;比较SHA1/ MD5; hash函数把变长信息映射到定长信息 hash函数不具备可逆性 hash函数速度较快 hash函数与对称密钥加密算法有某种相似性 对hash函数的密码分析比对称密钥密码更困难 hash函数可用于消息摘要 hash函数可用于数字签名;3.数字签名(Digital Signature);消息认证用以保护双方之间的数据交换不被第三方侵犯；但它并不保证双方自身的相互欺骗。假定A发送一个认证的信息给B，双方之间的争议可能有多种形式： （1）B伪造一个不同的消息，但声称是从A收到的。 （2）A可以否认发过该消息，B无法证明A确实发了该消息。 抵制通信双方的抵赖 对方(自己)否认发送过或收到过某个报文 向对方表明自己的身份;考察手写签名的特性;* 扫描手写字迹、鼠标手写 No!;数学支持－签名函数 被签署的是文件(大文件) 签名生成另外一个文件(小文件) 签名过程一定有签署人的身份和某种秘密(别人不知的)参与 简单易行 计算和存储;用私钥加密当作签名;数字签名;数字签名系统;数字签名的执行方式 直接数字签名（direct digital signature） 仲裁数字签名[信任中心]（arbitrated digital signature）; ;直接数字签名;直接数字签名的缺点;有信任中心帮助的签名;(a) 单密钥加密方式，仲裁者可以看见消息 (1) X?A：M||EKxa[IDx|| H(M)] (2) A?Y：EKay[IDx|| M || EKxa[IDx|| H(M)] || T];(b) 单密钥加密方式，仲裁者不可以看见消息 (1) X?A： IDx || EKxy[M]||EKxa[IDx|| H(EKxy[M])] (2) A?Y：EKay[IDx||EKxy[M] || EKxa[IDx|| H(EKxy[M])] || T];(c) 双密钥加密方式，仲裁者不可以看见消息 (1) X?A： IDx || EKRx[IDx || EKUy (EKRx[M])] (2) A?Y： EKRa[IDx|| EKUy[EKRx[M]] ||