4 密码学消息验证及数字签名.ppt

《网络信息安全》课程 第四章 消息验证与数字签名 石 鉴 南开大学信息管理与信息系统系 e-mail:shih@ 问题的提出 通信威胁 1. 泄露：把消息内容发布给任何人或没有合法密钥的进程。 2. 流量分析：发现团体之间信息流的结构模式。在一个面向 连接的应用中，可以用来确定连接的频率和持续时间长度。 3. 伪造：从一个假冒信息源向网络中插入消息 4. 内容修改：消息内容被插入、删除、变换、修改 5. 顺序修改：插入、删除或重组消息序列 6. 时间修改：消息延迟或重放 7. 否认：接受者否认收到消息；发送者否认发送过消息 1 信息认证 网络系统安全要考虑两个方面：一方面用密码保护传送的信息使其不被破译；另一方面就是防止对手对系统进行主动攻击如伪造篡改信息等。认证（authentication）则是防止主动攻击的重要技术，它对于开放的网络中的各种信息系统的安全性有重要作用。认证的主要目的目的有二： 第一验证信息的发送者是真正的而不是冒充的此 为信源识别； 第二验证信息的完整性在传送或存储过程中未被篡改重放或延迟等； 2 认证函数 可用来做认证的函数分为三类 (1) 信息加密函数数(Message encryption) 用完整信息的密文作为对信息的认证。 (2) 信息认证码MAC(Message Authentication Code) 是对信源消息的一个编码函数。 (3) 散列函数数(Hash Function) 是一个公开的函数，它将任意长的信息映射成一 个固定长度的信息。 信息加密函数作认证 信息认证码码(MAC) 这样就构成一个认证码MAC， 发方A和收方B在通信前先秘密约定使用的编码法则。例如若决定采用e0 ，则以发送消息00代表信源0 ，发送消息10代表信源1， 我们称消息00和10在e0之下是合法的，而消息01和11在e0之下不合法，收方将拒收这二个消息。 信息的认证和保密是不同的两个方面，一个认证码 可具有保密功能也可没有保密功能。 认证编码的基本方法是要在发送的消息中引入多余 度，使通过信道传送的可能序列集Y大于消息集X。 对于任何选定的编码规则则(相应于某一特定密钥钥):发方从Y中选出用来代表消息的许用序列，即码字。收方根据编码规则唯一地确定出发方按此规则向他传来的消息。窜扰者由于不知道密钥因而所伪造的假码字多是Y中的禁用序列收方将以很高的概率将其检测出来而被拒绝认证系统设计者的任务是构造好的认证码认证码码(AuthenticationCode),使接收者受骗概率极小化。 消息认证 消息认证是使预定的消息接收者能够检验收到的消 息是否真实的方法。检验内容应包括： (1)证实报文的源和宿； (2)报文内容是否曾受到偶然的或有意的篡改； (3)报文的序号和时间栏。 总之消息认证使接收者能识别 消息的源、内容的真伪、时间性和意定的信宿 这种认证只在相应通信的双方之间进行而不允许第三者进行上述认证。认证不一定是实时的可用消息认证码MAC对消息做认证。 利用函数f和密钥k ，对要发送的明文x或密 文y变换成r bit的消息认证码f(k,x)(或f(k,y)) ，将 其称为认证符附加在x(或y)之后发出，x//As(或 y//As)表示，其中“//”符号表示数字的链接。接 收者收到发送的消息序列后，按发方同样的方 法对接收的数据(或解密后)进行计算应得到 相应的r bit数据。 两种实用的 MAC算法 (一)十进制移位加MAC算法 Sievi于1980年向ISO提出一项消息认证法的建议[Davies等1984] ，这种认证法称为十进制移位加算法(Decimal Shift and Add Algorithm) ，简记为DSA 。它特别适用于金融支付中的数值消息交换业务。 消息按十位十进制数字分段处理，不足十位时在右边以0补齐下面举例说明： 令x1=1583492637是要认证的第一组消息，令 b1=5236179902和b2=4893524771为认证用的密钥。 DSA算法是以b1和b2并行对x1进行运算。 散列函数(Hash Function) MD4散列算法或称（信息摘要算法） Rivest(RSA公司首度科学家，MIT博士，1990年提出 MD4 ，1991年提出增强版MD5 。1992年提出SHA公布 于1992年1月31日的联帮记录上，并于1993年5月11日采 纳作为标准。这些散列函数运算起来非常快，都源于同 一思想。它们对于签名非常长的消息是适用的。 为了讲清Rivest的想法，还是从MD4讲起。 MD4 ：给定一个