网络与信息安全第5章数字签名和hash函数.pptVIP

第五章 数字签名和Hash函数;教学目标 在信息安全领域中，数字签名是保证数据完整性和抗否认性的重要安全技术。数字签名技术往往将消息摘要技术和公开密钥加密技术结合起来，确保信息在传输过程中不被非法篡改、破坏，并能对消息发送者进行身份认证，防止攻击者冒充他人发送虚假信息。本章对数字签名技术的概念、原理、实现机制及相关消息摘要、加密和认证技术进行了全面的介绍。;通过本章的学习,读者应掌握以下内容： (1) 理解消息摘要、数字签名的概念。 (2) 理解Hash函数原理并掌握SHA-1、MD5消息摘要算法。 (3) 掌握消息认证的概念和消息认证码 (4) 掌握数字签名的原理和实现机制。 (5) 掌握数字签名标准RAS、DSS数字签名体制。;5．1概述;消息摘要是数字签名体系中实现信息完整性保障的技术，其工作原理是将消息作为函数的输入数据进行处理，生成定长的输出数据（即消息摘要），并将其作为消息的附加信息。利用Hash函数的两个基本特性———输入数据的任何细微变化将导致输出数据的巨大改变和难以逆运算，消息接受方能验证收到的消息在传输过程中是否发生了改变，从而保证了消息的完整性和有效性。消息摘要有时也称为消息的数字指纹。 公开密钥技术是数字签名体系中进行身份认证和保障抗否认性的主要技术。利用发送者的私钥加密的信息只有用发送者的公钥才能解密，因此，在A的私钥没有泄露的情况下，如果一个经过私钥加密的信息能被A的公钥解密便说明该私钥属于A，从而可以确定该信息是由A发出的，A无法否认自己曾经发送过这个信息。同理，别人也无法冒充A发送信息，因为他没有A的私钥。 数字签名作为保障信息安全的重要技术之一，越来越得到人们的重视。它涉及到了很多的其它关键技术，并且在很多安全应用领域中得到了广泛的应用，如网上交易安全协议SET、无线传输层安全协议WTLS等都涉及到了数字签名。在数字签名实现机制中，如何选择加密算法、Hash函数，如何尽可能的统一数字签名规范等等问题都有待于进一步的研究和探讨。;5.2 消息摘要;5.2.1 Hash函数的概念和原理;具体来说，一个典型的Hash函数应具有下列特性： 已知???希函数的输出，要求它的输入是困难的，即已知c=hash(m)，求m是困难的。这表现了函数的单向性。　 已知m，计算hash(m)是容易的。这表现了函数的快速性。　　 已知hash(m1)=c1，构造m2使hash(m2)=c1是困难的。这是函数的抗碰撞性。 c=hash(m)，c的每一比特都与m的每一比特有关，并有高度敏感性。即每改变m的一个比特，都将对c产生明显影响。这就是函数的雪崩性。 接受的输入数据没有长度限制；对输入任何长度的数据能够生成该输入消息固定长度的输出。 一个最简单的Hash函数的例子是将输入数据分成若干等长的分组，然后对每个分组按位进行异或（XOR）运算，得到的结果便为其消息摘要。如图5-2所示:;图中Mk即为消息M的消息摘要值。;Hash函数的安全性取决于其抗击各种攻击的能力，攻击者的目标通常是找到两个不同消息映射为同一值。一般假定对手知道Hash算法。对函数有二种基本攻击方法，分别是为穷举攻击法(Exhaustive Attack)和生日攻击(Birthday Attack)，都是采用选择明文攻击法。 1. 穷举攻击法(Exhaustive Attack) 给定H=h(M)，其中H为初值，攻击者在所有可能的M中寻求有利于攻击者的M’，使h(M’)=h(M)，由于限定了目标h(M)来寻找h(M’)，这种攻击法又称为目标攻击。;2 生日攻击(Birthday Attack); 生日攻击对Hash函数提出了一个必要的安全条件，即消息摘要必须足够的长。一个40比特长的消息摘要是很不安全的，因为仅仅用220 (大约一百万)次随机Hash可至少以1/2的概率找到一个碰撞。为了抵抗生日攻击，通常建议消息摘要的长度至少应选取为128比特，此时生日攻击需要约264次Hash。统计结果表明，如hash(m)的长度为128位(bit)时，则任意两个分别为M1,M2的输入报文具有完全相同的h(m)的概率接近于零。安全Hash标准的输出长度选为160比特。;Hash函数的单向性和抗碰撞性使Hash函数适用于加密与认证机制。UNIX系统一直使用Hash函数进行口令认证，系统并不直接存储用户的登录口令明文，而是存储其Hash值。用户登录时，系统对其输入的口令进行Hash值计算，如果结果与系统中存储的Hash值匹配，则允许该用户登录系统。这种机制还实现了对用户口令的保密，因为即使攻击者进入系统窃取了用户口令的Hash值，他也无法通过其计算出用户口令。Hash函数的雪崩性则使其适用于数据完整性的保障机制中。 Hash函数按其是否有密钥控制分为两大类：一类有密钥控