第6章消息认证和杂凑函数(新).pptVIP

* * 1. NIST和NSA一道设计了与DSS一起使用的安全Hash算法(SHA)，该标准是SHS。当然，该算法不仅仅可应用于数字签名中，它也可以应用到任何需要Hash算法的地方。 2. SHS于1992年1月31日在Federal Register中公布，1993年5月11日起采纳为标准。 1994年7月11日作了一个小的修改，1995年4月17日公布了修改了的版本。新的版本被称为SHA-1 * 消息认证与杂凑函数 信息加密能保证真实性吗 二 三 一 杂凑（Hash）函数 什么是认证 一 四 消息认证码 五 应用杂凑函数的基本方式 攻击者类型 信息产生、处理、传输、存储的各个环节都有安全问题隐患。 被动攻击（passive attacks） 信道窃听、盗取存储数据 主动攻击（active attacks） 假冒消息 窜改消息 截留消息 修改数据 …… 一、什么是认证 (authentication) 消息的内容不希望他人知道 数据加密 消息内容的完整性 消息内容的真实性 消息来源的真实性 实体身份的真实性 认证机制 机密性（ confidential ） 真实性（authenticity) 认证的分类 双方相互信任的认证（如企业内部人员之间） 对称认证（symmetric authentication） 针对第三方的攻击，例如查验文件是否被人修改过 双方相互不信任的认证（如商业伙伴之间） 非对称认证（asymmetric authentication） 针对来自对方的攻击，例如查验对方的文件是否真实 二、信息加密即保证真实吗？ 对称认证：保护消息的真实性 保护信息来源 （ISO 7498-2 data origin authentication） 保护信息没有被修改（ISO 7498-2 the integrity of the information） 直到1970年代末人们相信： 如果解密后得到符合语义的消息，即可断定消息来源的真实 因为这意味密文经过真实密钥加密而来，而掌握密钥的人是可靠的 事实上，保证真实性不仅要求加密算法安全，还取决使用密码的模式 。 公钥密码的反例 使用公钥加密可以提供保密性，但不能提供认证。 发送方A采用接收方B的公钥kBP对消息m进行加密，由于只有B知道自己的私钥kBS，所以只有B能对收到的消息准确解密。 但是，任何人可以假冒A，用B的公钥对消息m加密，所以这种方法不能保证真实性。 考虑对称密码工作模式 对称密码的几个反例 例1. 流密码：主动攻击者可以通过置乱相应密文比特，来达到改变任意明文比特的目的。 例2. ECB模式分组密码：主动攻击者可以记录一些密文分组信息，用来替代其它分组。如果分组之间不相关，完全不可能检测到攻击；除非明文之间有关联（利用冗余性质）。 例3. CBC模式分组密码：如果改变1比特密文导致t比特明文混乱，则新明文作为有意义而被接受的概率为 D为消息的冗余，对于自然语言D=0.74；t=64 没有冗余就不保证完整性 D=0，没有冗余度意味无法验证消息的真伪； 即使有冗余度，要求验证冗余的存在；对于智能的攻击者，冗余只提供一点保护。当他知道一些明文/密文对时，接合（splicing）攻击很难防止；对于选择文本（chosen-text）攻击，如何加密都不能提供完整性保护。 要保护“完整性”，必须要有特殊的冗余； 将消息和发信者的身份信息捆绑，一个密钥参与到该捆绑运算的过程； 提供一个单独的完整性检验信道。 保证完整性的方式-1 类似于对称密码，数据的真实性依赖于一个短密钥的保密性和真实性。 信息的真实依赖密钥的保密与真实 m m + hash值 (消息被压缩成固定长度的值) 为保证数据源，密钥应该伴随始终，在压缩过程、保护hash值和信息时发挥作用。 消息认证码MAC：Message Authentication Code 在计算Hash值过程中，有密钥的参与。 篡改检测码MDC：Manipulation Detection Code 在计算hash的过程中，没有密钥的参与。 保证完整性的方式-2 第二种方式，信息的真实性基于 MDC的真实性 例如, 针对所有重要文件计算MDC， 文件将发往异地的朋友，其中MDC通过电话传输。电话信道的真实通过语音识别保障。 增加冗余并不充分保证提高抗攻击的等级 可能有重放攻击 注：上述方法的前提是发送者(sender)和(receiver)要相互信任，出现纠纷无法判决 双方共享密钥，完全对等 仅提供不可否认(non-repudiation)，但实际操作也很困难 三、杂凑（Hash）函数 信息的真实性通过验证秘密的保护，以及一个短烙印（imprint）或Hash值的真实性来确认 Hash函数来源于计算机技术