杭州电子科技大学通信工程学院.pptVIP

杭州电子科技大学通信工程学院 * * 第6章 HASH函数 6. 1 Hash函数的性质 6. 2 Hash函数MD5 6.2.1 MD5算法描述 6.2.2 MD5算法的安全性 6. 3 Hash函数SHA-1 6.3.1 SHA-1算法描述 6.3.2 SHA-1算法的安全性 6. 4 基于分组密码的Hash函数 6.4.1 构造Hash函数的一般性原则 6.4.2 基于分组密码算法构造Hash函数 Hash函数，又称哈希函数、散列函数或杂凑函数，是密码体制中常用的一类公开函数。所谓Hash函数就是将任意长度的消息映射成某一固定长度的消息的一种函数。一般来说，Hash函数的值域规模比定义域规模要小得多。Hash函数主要用于消息完整性检测和消息认证。 保证信息的完整性，及时发现信息是否被非法篡改:在传输消息之前先对消息m用Hash函数做变换得h(m)，然后再将消息(m ， h(m))传输给对方。当对方接受到消息(m1 ，m2 )后，对m1作Hash函数变换h(m1) ，检验m2=h(m1)是否成立？若成立，则确定消息在传输过程中没有被篡改，否则可认为消息一定被非法篡改了。 Hash函数被用于消息鉴别、数字签名系统中。将Hash函数应用于数字签名系统有很多益处： 可提高签名的速度：当需签名的消息m过长时，可用Hash函数对m进行压缩成某一固定范围内的数据m`=h(m)，然后再计算签名s=Sigk(m`)。其中k是签名密钥，Sigk是签名函数。 可以不泄露要签名的消息：对消息m的签名是s=Sigk(m`) ，这里Hash函数h是公开的， m`=h(m)也可以是公开的。根据Hash函数的性质，从m`=h(m)恢复出m几乎是不可能的，因此可以保密消息m。 本章主要介绍Hash函数SHA-1、MD5及一些基于数学困难问题的Hash函数。 6. 1 Hash函数的性质 Hash函数的输入可以是任意长度的数据，而输出则是固定长度的数据。一 般还要求：对任意输入数据x，计算Hash函数值h(x)是容易的。 在密码学中，要求Hash函数满足三个安全性方面的要求： --单向性(one-way)：如果对任意给定的y，寻找使h(x)=y成立的x在计算上是困难的。 --弱抗碰撞的（weakly collision resistance）：已知x，寻找 ,在计算 上是困难的。 --强抗碰撞的（strongly collision resistance）：寻找两个不同的x与x`，使得 在计算上是困难的。 显然，一个Hash函数h是强抗碰撞的仅当对任意数据x，h关于x是弱抗碰撞 的。强抗碰撞性蕴含着弱抗碰撞性和单向性，反之则不一定成立。 对于一个应用于密码体制中的Hash函数h，不仅要求对任意数据x，计算 h(x)是容易的，且要求h是强抗碰撞的。 6. 2 Hash函数MD5 MD5是1991年由美国MIT计算机科学实验室及RSA数据公司的Ronald Rivest 教授发明的Hash算法。1992年公开该算法作为因特网标准草案（RFC 1321）。MD5是MD4的一种的改进算法。尽管MD5实现的速度比MD4要慢一些，安全性要强得多。MD4在1992年已被攻破。 MD5是一个单向函数。1994年 Den Boer 与 Bosselaers证明MD5是弱抗碰撞的。 对于输入的任意长度的数据，MD5输出128比特长的数据。 - 6.2.1 MD5算法描述 1. 术语、符号及基本运算 -- 一个“字”表示32比特的二进制数，一个“字节”表示8比特的二进制数 ; -- 符号“+”表示字的加，即模232的加； -- X s表示X循环向左移s位得到的量； -- 表示x的逐比特补； -- 表示x与y的逐比特逻辑“与”； -- 表示x与y的逐比特逻辑“或”； -- 表示x与y的逐比特逻辑“异或”。 2. 基本逻辑函数 设x、y、z表示字，定义四个逻辑函数如下：