通信保密及信息安全_教学课件_5.ppt

* * * * * r即u 通信保密与信息安全 国防科大电子科学与工程学院 * ③ RSA-OAEP算法 解密过程 收到密文 c 后，Alice 执行以下运算： 5.3 基于非对称密码的数据完整性技术 —— 无源识别 通信保密与信息安全 国防科大电子科学与工程学院 * （3.1）RSA-OAEP算法分析 若密文c是完整的，Alice能通过解密正确恢复随机数r ?将看到恢复的明文消息m后面是k1个0。 改变c ?s‖t 变化? r “不可控制”的变化?m || 0k1 “不可控制”的变化? 破坏了明文中的冗余信息，即k1个零的串（概率至少为1-2-k1 →1） 是杂凑函数的性质导致的，对密文的改变将导致解密的明文消息“不可控制”的改变，解密时输出“拒绝”，密文被认为无效。 5.3 基于非对称密码的数据完整性技术 —— 无源识别 r = t ? H(s) m || 0k1= s ? G(r) 通信保密与信息安全 国防科大电子科学与工程学院 * （3.1）RSA-OAEP算法分析 RSA-OAEP算法数据完整性保护的特点 该算法为密文提供了数据完整性保护 Alice看到 k1 个 0 后能确信密文没有被修改过 Alice不知道该消息的发送者是谁 ?“无源识别”的数据完整性 ?这就是将Malice指定为发送者的原因 ?“来自Malice”的数据完整性 5.3 基于非对称密码的数据完整性技术 —— 无源识别 通信保密与信息安全 国防科大电子科学与工程学院 * 本章小结 数据完整性技术的基本概念（掌握） 数据完整性技术的应用（掌握） MD5 算法过程（掌握） SHA-1算法过程（熟悉） 常用数字签名算法的基本原理（掌握） 数字签名的存在性伪造（理解） 无源识别的数据完整性技术的原理（了解） 通信保密与信息安全 国防科大电子科学与工程学院 * 思考题 对称和非对称数据完整性技术的主要区别是什么? 存在有源和无源两种数据完整性技术说明什么？ 什么是数字签名的存在性伪造？如何防止存在性伪造？ 通信保密与信息安全 国防科大电子科学与工程学院 * 编程题 试编译执行 MD5 算法源程序。 通信保密与信息安全 国防科大电子科学与工程学院 * CBC加密示意图 ? 输入：IV, P1, P2,…, PN 输出：C0, C1, C2,…, CN IV=C0 Ci=EK(Ci-1?Pi) 通信保密与信息安全 国防科大电子科学与工程学院 * CBC解密示意图 ? 输入：C0, C1, C2,…, CN 输出：IV, P1, P2, …, PN IV=C0 Pi=EK(Ci)?Ci-1 * * * * * * * * * * * * * * * 四轮中的每一轮将以某一固定的排列来使用所有的16个32bits字 * S1[1,5,9,13]第一轮1，5，9，13步 * * * * * * * * 通信保密与信息安全 国防科大电子科学与工程学院 * （2）基于密钥杂凑函数的MAC 用杂凑函数构造的MAC称HMAC MAC的生成：为了验证消息M，发送者将共享密钥k和需要认证的消息一起输入杂凑函数。 HMAC = h(k||M) MAC的验证：用接收消息M和共享密钥k重新计算MAC，检验同所收的MAC是否一致。如果一致，就可相信该消息来自所声称的发送者。 5.2 基于对称密码的数据完整性技术 通信保密与信息安全 国防科大电子科学与工程学院 * （2）基于密钥杂凑函数的MAC HMAC的形式： HMAC = h(k||M) HMAC = h(M||k) HMAC = h(k||h(k,M)) HMAC = h(k||M||k) HMAC = h(k1||M||k2) 5.2 基于对称密码的数据完整性技术 通信保密与信息安全 国防科大电子科学与工程学院 * （3）基于分组加密算法的MAC 使用分组密码算法的CBC模式构造的MAC称CBC-MAC。 令Ek(m)表示输入消息为m、密钥为k的分组密码加密算法。为了认证消息M，发送者首先对M进行分组：M = ml m2 … ml 。 其中每一个子消息组mi （i=1,2,…,l）的长度都等于分组加密算法输入的长度。 5.2 基于对称密码的数据完整性技术 通信保密与信息安全 国防科大电子科学与工程学院 * （3）基于分组加密算法的MAC MAC的生成：设C0 = IV为随机初始向量。发送者用CBC加密：Ci ? Ek(mi ?Ci-1)，i=1, 2, …, l