密码学哈希函数5.28.ppt

散列函数 本章主要内容 1、散列函数 2、MD5杂凑算法 3、安全杂凑算法 散列函数的描述 从密码角度看，散列函数也可以看作是一种单向密码体制，即它从一个明文到密文是不可逆映射，只有加密过程，不能解密。散列值是消息中所有比特的函数值，因此提供了一种错误检测能力，即改变消息中任何一个比特或几个比特都会使散列值发生改变。 在密码学和数据安全技术中，散列函数是实现有效、安全可靠数字签名和认证的重要工具，是安全认证协议中的重要模块 。 密码学Hash函数的应用 消息认证 消息认证是用来验证消息完整性的一种机制或服务。消息认证确保收到的数据确实和发送时的一样（即没有修改、插入、删除或重放），且发送方声称的身份是真实有效的。 当哈希函数用于提供消息认证功能时，Hash函数值通常称为消息摘要。 数字签名 在进行数字签名过程中使用用户的私钥加密消息的Hash值，其它任何知道该用户公钥的人都能够通过数字签名来验证消息的完整性。在这种情况下，攻击者要想篡改消息，则需要知道用户的私钥。 其他应用 产生单向口令文件: 　　　如操作系统存储口令的Hash值而不是口令本身。 入侵检测和病毒检测： 　将每个文件的Hash值H(F)存储在安全系统中，随后就能够通过重新计算H(F)来判断文件是否被修改过。 构建随机函数（PRF）或用做伪随机发生器。 具体应用 消息完整性检测 “网站卫士”是一个网络安全软件产品。它的主要功能是通过网络扫描网站的网页，监测网页是否被修改，当发现网页被修改后，系统能够自动报警和恢复。 初始化过程 （1）对监视网站的文件备份到监控主机上。 （2）对每个备份的文件生成一个结构：文件位置、文件的哈希值。 监控过程 监控主机对监控网站进行轮回扫描，对扫描的文件进行如下操作： （1）计算文件的哈希值，并与备份的文件哈希值进行比较，如果相同，转（4）步。 （2）如果不同，上载备份文件替换网站现有文件，转（4）步。 （3）如果备份文件不存在，则删除网站上这个文件，转（4）步。 （4）监控程序扫描下一文件。 Hash函数的用途 Hash函数的用途 Hash函数在银行应用举例 Hash函数在物联网的应用举例 物联网（The Internet of things）的定义是：通过射频识别（RFID）、红外感应器、全球定位系统、激光扫描器等信息传感设备，按约定的协议，把任何物品与互联网连接起来，进行信息交换和通讯，以实现智能化识别、定位、跟踪、监控和管理的一种网络。 描绘“物联网”时代的图景：当司机出现操作失误时汽车会自动报警；公文包会提醒主人忘带了什么东西；衣服会“告诉”洗衣机对颜色和水温的要求，等等。 Hash函数在物联网的应用举例 由于加密运算的速度较慢，代价较高，而且很多加密算法还受到专利保护，因此在不要求保密性的情况下，方式②和⑤将比其他方式更具优势。 Hash散列函数一般模型 散列函数的目的是为需认证的数据产生一个“指纹”。为了能够实现对数据的认证，散列函数应满足以下条件： ① 函数的输入可以是任意长。 ② 函数的输出是固定长。 ③ 已知x，求H(x)较为容易，可用硬件或软件实现。 ④ 已知h，求使得H(x)=h的x在计算上是不可行的，这一性质称为函数的单向性，称H(x)为单向散列函数。 ⑤ 已知x，找出y(y≠x)使得H(y)=H(x)在计算上是不可行的。如果单向散列函数满足这一性质，则称其为弱单向散列函数。 ⑥ 找出任意两个不同的输入x、y，使得H(y)=H(x)在计算上是不可行的。 散列算法的概念及结构 散列算法的概念及结构 以上6个条件中，前3个是散列函数能用于消息认证的基本要求。第4个条件（即单向性）则对使用秘密值的认证技术(见图1(e))极为重要。 假如散列函数不具有单向性，则攻击者截获M和C=H(S‖M)后，求C的逆S‖M，就可求出秘密值S。第5个条件使得敌手无法在已知某个消息时，找到与该消息具有相同杂凑值的另一消息。 这一性质用于杂凑值被加密情况时(见图3(b)和图3(c))防止敌手的伪造，由于在这种情况下，敌手可读取传送的明文消息M，因此能产生该消息的杂凑值H(M)。 但由于敌手不知道用于加密杂凑值的密钥，他就不可能既伪造一个消息M，又伪造这个消息的杂凑值加密后的密文EK[H(M)]。 然而，如果第5个条件不成立，敌手在截获明文消息及其加密的杂凑值后，就可按以下方式伪造消息：首先求出截获的消息的杂凑值，然后产生一个具有相同杂凑值的伪造消息，最后再将伪造的消息和截获的加密的杂凑值发往通信的接收方。 第6个条件用于抵抗生日攻击。 原像：对于Hash函数h=H(x)，称x为H原像。 碰撞：