《现代密码学》散列函数与消息鉴别.pptVIP

HMAC的典型应用 （Challenge/Response）身份认证: (1) 先由客户端向服务器发出一个验证请求。 (2) 服务器接到此请求后生成一个随机数并通过网络传输给客户端（此为挑战）。 (3) 客户端将收到的随机数提供给ePass，由ePass使用该随机数与存储在ePass中的密钥进行HMAC-MD5运算并得到一个结果作为认证证据传给服务器（此为响应）。 (4) 与此同时，服务器也使用该随机数与存储在服务器数据库中的该客户密钥进行HMAC-MD5运算，如果服务器的运算结果与客户端传回的响应结果相同，则认为客户端是一个合法用户 * * * 3.按512位的分组处理输入消息 SHA运算主循环包括四轮，每轮20次操作。SHA用到一个逻辑函数序列f0、f1、…、f79。每个逻辑函数的输入为三个32位字，输出为一个32位字。定义如下(B、C、D均为32位字)： ft(B,C,D)=(B?C)?(~B?D) (0≤t≤19) ft(B,C,D)=B?C?D (20≤t≤39) ft(B,C,D)=(B?C)?(B?D)?(C ? D) (40≤t≤59) ft(B,C,D)= B ? C ? D (60≤t≤79) SHA运算中还用到了常数字序列K0、K1、…、K79，其值为 Kt = 0x5A827999 (0≤t≤19) Kt = 0x6ED9EBA1 (20≤t≤39) Kt = 0x8F1BBCDC (40≤t≤59) Kt = 0xCA62C1D6 (60≤t≤79) SHA算法按如下步骤处理每个字块Mi (1)把Mi分为16个字W0、W1、…、W15，其中，W0为最左 边的字。 (2) ?for t =16 to 79 do let Wt =(Wt?3 Wt?8 Wt?14 Wt?16)1 (3) ?Let A =H0，B =H1，C =H2，D =H3，E =H4 (4) ?for t =0 to 79 do TEMP = (A5)+ft (B, C, D)+E +Wt +Kt ; E =D; D =C; C =(B30); B = A; A = TEMP; (5) ?Let H0 =H0 +A, H1 =H1 +B, H2 =H2 +C, H3 =H3 +D, H4 =H4 +E 4. 输出 在处理完Mn后，160位的消息摘要为H0、H1、H2、H3、H4级联的结果。 SHA-1算法与MD5的比较 ? SHA-1 MD5 Hash值长度 160 bit 128 bit 分组处理长 512 bit 512 bit 步数 80(4×20) 64(4×16) 最大消息长 ≤264 bit 不限 非线性函数 3(第2、4轮相同) 4 常数个数 4 64 消息鉴别 消息鉴别是用以验证接收消息的真实性（确实是由他所声称的实体发来的）和完整性（未被篡改、插入、删除），同时还用于验证消息的顺序性和时间性（未被重排、重放、延迟等）。 除此之外，在考虑信息安全问题时还要考虑业务的抗抵赖性，即防止通信双方中的某一方对所传输消息的否认或抵赖。实现消息的抗抵赖性可采用数字签名机制。 大体来说，实现消息鉴别的手段可分为两类：基于加密技术的消息鉴别和基于散列函数的消息鉴别。 基于加密技术的消息鉴别 基于对称加密体制的消息鉴别 (a)常规加密： 实现：发送方A和接收方B共享密钥k,A用k将M加密后通过公共信道传给B，B接收到信息后，通过是否能用k将其恢复成合法信 息，来判断消息是否来自A及消息的完整性。 特点：只能提供机密性（只有A和B知道密钥k）和提供鉴别（只能发自A，且未被篡改）给定解密函数D和密钥K，终点将接受任何输入X并产生输出Y =DK(X)。如果X是对应的加密函数产生的合法报文M的密文，那么Y是报文M的明文，否则，Y将是毫无意义的二进制比特序列。在B方需要某些自动化的手段以确定Y是否是合法的明文，以此确定来自A。 假定报文M能是任何任意的比特组合。在这 种情况下，在终点没有自动的方法来确定收到 的报文是否是合法的报文的密文。此结论无可 辩驳：如果M能是任何比特组合，则与X的值无 关，而Y = DK(X)是一些比特组合，因此必须 作为真的明文被接受下来。 一般来说，仅需要从所有可能的比特模式 中的一个小子集中来考虑合法的明文。在这种 情况下，任何可疑的密文不可能产生合法的明 文。例如，假定在106里仅仅有一种