6-消息认证的.ppt

网络信息安全消息认证 消息认证 在网络通信中，攻击方法 泄密：透露消息给没有密钥的实体 传输分析：分析通信模式，连接频率、时间，消息的数量和大小 伪装：欺诈消息，伪装发送或应答 内容修改： 顺序修改： 计时修改：消息重放或者延迟 发送方否认： 接收方否认： 消息认证 消息认证 (报文鉴别) 对收到的消息进行验证，证明确实是来自声称的发送方，并且没有被修改过。 如果在消息中加入时间及顺序信息，则可以完成对时间和顺序的认证 数字签名是一种认证手段，其中的一些方法可以用来抗发送方的否认攻击。 消息认证的三种方式 Message encryption：用整个消息的密文作为认证标识 接收方必须能够识别错误 MAC：一个公开函数，加上一个密钥产生一个固定长度的值作为认证标识 Hash function：一个公开函数将任意长度的消息映射到一个固定长度的散列值，作为认证标识 Message Authentication Code 使用一个双方共享的秘密密钥生成一个固定大小的小数据块，并加入到消息中，称MAC，或密码校验和(cryptographic checksum) 用户A和用户B，共享密钥K，对于消息M， MAC=CK(M) 如果接收方计算的MAC与收到的MAC匹配，则 接收者可以确信消息M未被改变 接收者可以确信消息来自所声称的发送者 如果消息中含有序列号，则可以保证正确的消息顺序 MAC函数类似于加密函数，但不需要可逆性。因此在数学上比加密算法被攻击的弱点要少 MAC应用方式（1）消息认证 MAC应用方式（2）消息认证和保密性：明文相关 MAC应用方式（3）消息认证和保密性：密文相关 关于MAC算法 MAC不等于数字签名 因为通讯双方共享同一个密钥 MAC有固定的长度 MAC结构的重要性，例如，密钥足够长+加密算法足够好?安全 M=(X1,X2,…,Xt) 对M产生校验和?M=X1?X2?…?Xt MAC = EK(?M) 攻击者选择M?=(Y1,Y2,…,Yt-1,Yt),使得Yt满足: Yt = Y1?Y2?…?Yt-1??M 于是?M=?M??EK(?M)=EK(?M?) ? CK(M)=CK(M?) 所以，尽管攻击者不知道K，仍然可以伪造消息M? MAC算法的要求 条件： 攻击者知道MAC函数但不知道密钥K 要求： 已知M和CK(M)，要想构造M?使得CK(M)=CK(M?)在计算上不可行(计算上无碰撞) CK(M)均匀分布：随机选择M和M?, Pr[CK(M) = CK(M?)]=2-|MAC| f是M的一个变换(例如对某些位取反),那么, Pr[CK(M)= CK(f(M))]=2-|MAC| MAC based on DES ANSI标准(X9.17) 即为CBC模式结构，初始向量为0 该方法适用于其他加密算法 Hash Function MAC需要对全部数据进行加密 MAC速度慢 Hash是一种直接产生认证码的方法 没有密钥 消息中任何一位的改变会导致Hash码的改变 Hash函数: h=H(x), 要求: 散列算法是公开的 不同的报文不能产生相同的散列码 H(x)能够快速计算 对于任意报文无法预知它的散列码 无法根据散列码倒推报文 可作用于任何尺寸数据且均产生定长输出 Hash Function Hash函数: h=H(x), 单向性: 给定h，找到x使h=H(x)在计算上不可行 抗弱碰撞性： Weak Collision Resistence(WCR):给定x，找到y?x使H(x)=H(y)在计算上不可行 抗强碰撞性： Strong Collision Resistence(SCR): 找到任意的y?x使H(x)=H(y)在计算上不可行 Hash函数的基本用途（a） Hash函数的基本用途（b） Hash函数的基本用途（c） Hash函数的基本用途（d） Hash函数的基本用途（e） Hash函数的基本用途（f） Hash问题 Hash值冲突会有什么问题？ Hash的用途 会这样的冲突吗？ 能定制这样的冲突吗？ 生日攻击理论基础 理论基础 若k?1.18?2m/2?2m/2, 则k个在[1,2m]的随机数中有两个数相等的概率不低于0.5 若k?0.83?n1/2,两个在[1,n]的k个随机数集合有交集的概率不小于0.5 因此，当Hash算法选用N位的Hash值时，两组消息（选择k＝2N/2）中有一对消息产生相同Hash值的概率超过0.5 264 -- 263 -- 232 生日攻击例子 hash函数通用模型 由Merkle于1989年提出 几乎被所有hash算法采用 具体做法: 把原始消息M分成一些固定长度的块Yi 最后一块padding并使其包含消息M的长度 设定初始值CV0 压缩函数f,