1-4：密码学-散列、消息鉴别与数字签名.pptVIP

单向散列函数、消息鉴别与数字签名 单向散列函数 单向散列函数 什么是散列函数 是一种从任何一种数据中创建小的数字“指纹”的方法，该数字“指纹”称为消息摘要 好的散列函数在输入域中很少出现散列冲突 Hash（A）＝a；Hash（B）＝b； IF（a≠b） THEN A≠B 单向散列函数 单向 称散列函数h为单向的，是指计算h的逆函数h-1在计算上不可行。 单向散列函数H作用于一任意长度的消息M，返回一固定长度的散列值h。函数具有以下特征： 给定M，计算h很容易 根据h，找到M很难 根据h，找到任意M满足H(M)=h很难 用途 用于消息鉴别 为消息M生成消息摘要d=Hash (M)，则： d与其他消息M′生成的消息摘要d ′存在碰撞的概率，即M≠ M′且d ＝ d ′的概率近似为0； 求M ′，使M′生成的消息摘要d ′＝d，是计算上不可行的。 所以，对于接收到的消息M，如果Hash（M）＝d，则可以认为M未被更改 单向散列函数 用于消息鉴别的单向散列函数，还需满足要求 计算简单 能用于任何大小的消息 能产生定长输出 单向散列函数 常见单向散列函数 系列Hash函数，MD2、MD4、MD5系列 这些函数输出都为128bits 美国政府安全Hash标准（SHA-1) 是MD4的一个变形，输出为160bits，与DSA算法匹配使用 单向散列函数 MD4 由Ron Rivest于1990年提出，几乎被所有单向散列函数使用 把原始消息M分成一些固定长度的块Yi 最后一块padding并使其包含消息M长度 设定初始值CV0 压缩函数f, CVi=f(CVi-1,Yi-1) 最后一个CVi为hash值 单向散列函数 MD4 消息鉴别 消息鉴别 定义 是一个证实收到的消息来自可信的源点并且未被篡改的过程 目的 信源识别 保证信息完整性 消息鉴别 鉴别方法 消息加密 消息鉴别码（MAC） 消息鉴别 消息加密 消息鉴别码 鉴别模型 消息鉴别码 使用加密函数 基于DES的消息鉴别码 算法来源 FIPS publication (FIPS PUB 113) ANSI standard (X9.17) 使用CBC(Cipher Block Chaining)方式，初始向量为IV=0 基于DES的消息鉴别码 将数据按64位分组，D1, D2, … , DN，必要时最后一个数据块用0向右填充 运用DES算法E，密钥K 数据认证码(DAC)的计算如下： O1 = EK(D1) O2 = EK(D2?O1) O3 = EK(D3?O2) … ON = EK(DN?ON-1) 消息鉴别码 使用单向散列函数 基于Hash的消息鉴别码：HMAC 简介 1996年由Mihir Bellare, Ran Canetti, and Hugo Krawczyk发明 RFC 2104：HMAC: Keyed-Hashing for Message Authentication FIPS PUB 198：The Keyed-Hash Message Authentication Code (HMAC) HMAC示意图 HMAC的定义与特征 对密钥K左边补0以产生一个hash块K+ K+每个字节与ipad作XOR以产生Si 对(Si||M)进行hash K+每个字节与opad作XOR以产生S0 HMAC=f[IV,S0||f(IV,Si||M)] HMAC特征: 可直接使用各种hash算法 可使用将来的更加安全和更加快速的hash算法 保持原始hash算法的性能 密钥的使用简单 与hash函数有同等的安全性 消息鉴别码 数字签名 使用单向散列函数和密码算法 数字签名 数字签名 为什么需要数字签名 计算机网络应用发展的要求 传统意义上的非否认问题 消息M不是A签署的，但有人声称M是A签署的 A签署了消息M，但A声称是自己签署的 解决方法：签名，手印，图章 特点：不可伪造、不可重用、不可抵赖…… 计算机世界的非否认性问题 数字签名 数字签名 是一种确保数据完整性和非否认性的手段，通过给消息附加一段数据来实现 为什么需要数字签名 数字签名可以提供非否认服务 其他人无法伪造 发送者不能抵赖 接收者可以验证内容、作者及其签名的时间 有争议时，可由第三方进行验证 数字签名 基本签名方案 数字签名 基本签名方案的问题 速度慢、产生大量数据 解决方法： 引入消息摘要：通过对一段任意长的消息使用单向函数，获得的一段定长的数据 流程：构造一段消息的消息摘要，对该段消息摘要进行数字签名 对消息摘要算法的要求： 函数必须是单向的，即对任意消息摘要来构筑能产生该消息摘要的输入消息是计算上不可行的 构造两个能产生相同消息摘要的不同的消息是计算上不