计算机安全保密2008-05消息认证与数字签名.pptVIP

2006-9-1 第五章消息认证与数字签名 5.1 消息认证 5.2 数字签名 5.3 应用：数字水印 1 消息认证 1. 消息认证方案 消息认证既验证消息的完整性。 消息的起源认证 消息是否被篡改、重放、延迟等。 报文消息认证：验证报文信源、信宿，报文内容完整性。 认证在通信的双方之间进行，不容第三者。 数据完整性可通过消息认证实现。 1 消息认证 消息认证方案三元组： (K,T,V) K 密钥生成算法，生成一个密钥匙k； T 标签算法，M是消息，生成标签 δ = Tk(M)； V 验证算法，d = Vk(M ,δ),要求对所有M满足： δ = Tk(M)时， d = Vk(M ,δ) = 1 否则， d = Vk(M ,δ) = 0 1 消息认证 消息认证码MAC： 发送方A要发消息M时，使用一个共享密钥匙k产生一个短小的定长数据块MAC， MAC = Tk(M) 将其附加在信息报文中发给收方B： A - B:M || Tk(M) 收方B收到后计算MAC’ = Tk(M)，再与收到的MAC匹配，从而确定消息完整性。 1 消息认证 1 消息认证 即： 确定消息是否被篡改； 确定发送者身份。 1 消息认证 消息机密性保证： A - B: Ek2(M || Tk1(M)) A - B: Ek2(M || Tk1(Ek2(M))) K1,K2均为共享密钥。 1 消息认证 构造消息认证码 利用分组密码实现 利用哈希函数Hash实现(加入密钥) 带密钥的哈希函数HMAC: HMACk(M) = H[(K+⊕oped)||H[(K+⊕iped)||M]] 1 消息认证 HMAC(X,Y,K,H)是带密钥的Hash族 X,所有消息的集合，可是无穷集； Y,所有认证标签组成的有限集； K,所有密钥的有限集； H,哈希函数,对每个k属于K，存在Hash函数hk∈H，hk：X-Y。 1 消息认证 2. 散列函数，哈希函数。 单向的哈希函数可以接受可变长度的输入，输入可以是任意长的消息, 产生固定长度的输出； 哈希函数保证如果输入信息发生改变，输出的结果会完全不同。 “1＋8=9”的结果后，无法由9逆推出“9=8＋1”。 1 消息认证 2. 散列函数，哈希函数。 哈希函数是不可逆的，但是有限元的哈希仍然可以通过穷举的方法破解。 很难出现两个随机信息拥有相同哈希值。一个单向哈希函数操作一个任意长度的信息并返回一个固定长度的哈希值。 1 消息认证 散列函数是安全的指它具有： 一致性：相同输入产生相同的输出； 随机性：信息摘要的外观是随机的； 惟一性：不同的消息产生的摘要不同； 单向性：难以由摘要反向产生信息。 1 消息认证 用散列函数提供消息鉴别的方法： A - B: Ek(M ||H(M)) A - B: M || Ek(H(M)) A - B: M || Eka(H(M))；ka发方私钥，数字签名。 A - B: Ek(M|| Eka(H(M)))；加密消息。 A - B: M||H(M||S)； 双方共享一个秘密值S，使用散列函数提供鉴别。 A - B: Ek(M||H(M)||S)；双方共享一个秘密值S，是用散列函数提供鉴别，消息加密。 数字指纹 数字指纹是通过散列函数生成的，对这类函数的特殊要求是： 1．输入报文的长度没有限制； 2．对输入任何报文，能生成固定长度的摘要(数字指纹)； 3．从报文能方便地算出摘要； 4．极难从指定的摘要生成一个报文，而由该报文又反推算出该指定的摘要； 5．两个不同的报文极难生成相同的摘要。 1 消息认证 1 消息认证 用散列函数实现消息摘要； 消息摘要是一个加密校验和； 常用的消息摘要函数：MD4,MD5,SHA。 1 消息认证 SHA产生160位的数字与字串，比MD5产生的128位更长，因此更安全。 MD5、SHA-0、SHA-1算法都是杂凑函数。 目前SHA-1最为安全可靠 MD5受到的威胁是迫在眉睫的，用PC数小时内可能反向破解。 1 消息认证 3. MD5算法 信息摘要算法5 Message Migest algorithm 5 MD5在90年代初由MIT laboratory for computer science和RSA data security inc开发完成，经md2、md3和md4发展而来。 1 消息认证 md2、4、5都产生一个128位的信息摘要； 这些算法结构相似，但md2为8位机器做过设计优化，md4和md5面向32位计算机。 这三个算法的描述和C语言源代码在internet RFC 1321中有详细的描述，这是最权威的文档，1992年8月提交。 1