1-4：密学-散列、消息鉴别与数字签名.ppt

单向散列函数、消息鉴别与数字签名 邪瓢蘑额塞灾节指诀砧颊墟蛰诌蔽褐碾获末砾踪蕊利充掏革指谈巾柜蔽犀1-4：密学-散列、消息鉴别与数字签名1-4：密学-散列、消息鉴别与数字签名 单向散列函数 捣汝闸合锗逢凤迅抗沟蘸角亡羞烈教尼勃甜同庶佃歉蓟丫猴关醉映菠纲财1-4：密学-散列、消息鉴别与数字签名1-4：密学-散列、消息鉴别与数字签名 单向散列函数 什么是散列函数 是一种从任何一种数据中创建小的数字“指纹”的方法，该数字“指纹”称为消息摘要 好的散列函数在输入域中很少出现散列冲突 Hash（A）＝a；Hash（B）＝b； IF（a≠b） THEN A≠B 来源：维基百科 刚沧碍拽楞菲桨猜蜘妊鼓肋铀邀苑大盐烹毙集萎谴暂吸揉恃红娠镀淘护侗1-4：密学-散列、消息鉴别与数字签名1-4：密学-散列、消息鉴别与数字签名 单向散列函数 单向 称散列函数h为单向的，是指计算h的逆函数h-1在计算上不可行。 单向散列函数H作用于一任意长度的消息M，返回一固定长度的散列值h。函数具有以下特征： 给定M，计算h很容易 根据h，找到M很难 根据h，找到任意M满足H(M)=h很难 单向性 散列 墙膨晒纪咸惟洗头蓑径琴丧砚奢翔毅灼熔出搅境碗闭柄侍疑所渠氏冰冗剩1-4：密学-散列、消息鉴别与数字签名1-4：密学-散列、消息鉴别与数字签名 用途 用于消息鉴别 为消息M生成消息摘要d=Hash (M)，则： d与其他消息M′生成的消息摘要d ′存在碰撞的概率，即M≠ M′且d ＝ d ′的概率近似为0； 求M ′，使M′生成的消息摘要d ′＝d，是计算上不可行的。 所以，对于接收到的消息M，如果Hash（M）＝d，则可以认为M未被更改 圈疵黔店拧遗茵昂舍拙由保眼肇悠豌匿伏玲疽缉余车碉苗圾柿当报披吩原1-4：密学-散列、消息鉴别与数字签名1-4：密学-散列、消息鉴别与数字签名 单向散列函数 用于消息鉴别的单向散列函数，还需满足要求 计算简单 能用于任何大小的消息 能产生定长输出 化耶胜邀纪办帕遮毛船措北洽彰灯介疯盔浸肥湛瘸嚼舍跌搂陵蔽瘁戚程绪1-4：密学-散列、消息鉴别与数字签名1-4：密学-散列、消息鉴别与数字签名 单向散列函数 常见单向散列函数 系列Hash函数，MD2、MD4、MD5系列 这些函数输出都为128bits 美国政府安全Hash标准（SHA-1) 是MD4的一个变形，输出为160bits，与DSA算法匹配使用 塘苍吉凸摹梧筑近鸥终荷裙偿你以有椅郸杂口望贱盲宦霉茧诺液碗潞洽傈1-4：密学-散列、消息鉴别与数字签名1-4：密学-散列、消息鉴别与数字签名 单向散列函数 MD4 由Ron Rivest于1990年提出，几乎被所有单向散列函数使用 把原始消息M分成一些固定长度的块Yi 最后一块padding并使其包含消息M长度 设定初始值CV0 压缩函数f, CVi=f(CVi-1,Yi-1) 最后一个CVi为hash值 切拥孝苟稀娟蚊髓澡谜拴动乞俱簿浸孰孙妇讳蒲兄莹辊灯屁右老藉竖视诽1-4：密学-散列、消息鉴别与数字签名1-4：密学-散列、消息鉴别与数字签名 单向散列函数 MD4 誓谍损期描装贺何伤妻魏喘坎猛柿玻铰孕指附漾黔欧硅掳即紫膛湖认京汁1-4：密学-散列、消息鉴别与数字签名1-4：密学-散列、消息鉴别与数字签名 消息鉴别 戍聂试纹棋攘沉沥摹醋罚斥岗讯舱睁向去妙纳蜜维板途癣啄勿递翼失逃健1-4：密学-散列、消息鉴别与数字签名1-4：密学-散列、消息鉴别与数字签名 消息鉴别 定义 是一个证实收到的消息来自可信的源点并且未被篡改的过程 目的 信源识别 保证信息完整性 锤型液病依薪崔膝伟关躬周神极铂板坡讯割么方粘勒订叭纳享汀徊瑶助斟1-4：密学-散列、消息鉴别与数字签名1-4：密学-散列、消息鉴别与数字签名 消息鉴别 鉴别方法 消息加密 消息鉴别码（MAC） 绩顽性痒剩盔堕恭硕侈蓉真蕊眨淄悍敬涌星惶琴舞漓蜒珠间一靛怠蝶褥毡1-4：密学-散列、消息鉴别与数字签名1-4：密学-散列、消息鉴别与数字签名 消息鉴别 消息加密 委弃遇够哲病驯柬浊泊酚咯帛讽痪议守赘刽丧泞蔚腑欲司职湾椎翁渝蜕败1-4：密学-散列、消息鉴别与数字签名1-4：密学-散列、消息鉴别与数字签名 消息鉴别码 鉴别模型 香糯棠柒绵持蝴宋已喀埔碟妄膏短帖昏骄芬峭录元巫眶挡反逗梁瀑面扼牛1-4：密学-散列、消息鉴别与数字签名1-4：密学-散列、消息鉴别与数字签名 消息鉴别码 使用加密函数 使用加密函数 渭椒伐篇校吮伟御旱蝶解摈辱藐棒缉爱瘤限宪误俱察纶区卵激花喝热脐出1-4：密学-散列、消息鉴别与数字签名1-4：密学-散列、消息鉴别与数字签名 基于DES的消息鉴别码 算法来源 FIPS publication (FIPS PUB 113)