[互联网]05-报文鉴别与散列函数.pptVIP

* * md5碰撞历史上认为需要上亿年才能碰到一次，但现在看来8小时就能人工找到碰撞。这无疑是对安全的严重威胁，但对密码方面尚无直接威胁，没有原文说的那么简单。比如你知道了论坛用户数据库中口令md5/linux密码文件中md5你当前是无法还原出一个密码文本的。王论文里写了：信息x 计算其md5为 y，现在在已知x（这点非常重要）情况下可以很快计算出一个z(z内容基本是随机的） 其md5也是y。即知道x，可以快速找到一个z，使得md5(x) == md5(z) == y导致无法直接威胁当前安全体系的原因有两个：1. 只知道md5值y，而不知道原信息x情况下无法找到一个信息让其md5值为y，也就是说你知道了md5情况下也找不出密码。2. 知道x情况下可快速找到z使得两者md5值相等，但无法控制z的内容，z几乎就是随机字符。也就是说你知道了x内容，想串改x内容为有意义的z，还想x和z的md5值相同，这是不可能的。 * * * * * * * * * * 南京邮电大学 * MD5步骤 第一步：padding 补长到512的倍数 最后64位为消息长度的低64位 一定要补长(64+1--64+512)，内容为100…0 第二步 把结果分割为512位的块：Y0,Y1,…YL-1 第三步 初始化MD buffer，128位常量(4个字)，进入循环迭代，共L次 每次：一个输入128位，另一个输入512位，结果输出128位，用于下一轮输入 第四步 最后一步的输出即为散列结果128位 * 南京邮电大学 * MD5的每一步运算示意图 具体参见 P122-124 * 南京邮电大学 * 关于MD5 MD5不是足够安全的, 128位hash值太短 Dobbertin在1996年找到了两个不同的512-bit块,它们在MD5计算下产生相同的hash 2004年8月17日在美国加州圣巴巴拉的国际密码学会议（Crypto’2004），来自山东大学的王小云教授做了破译MD5、HAVAL-128、 MD4和RIPEMD算法的报告。 * 南京邮电大学 * Secure Hash Algorithm简介 1992年NIST制定了SHA(128位) 1993年SHA成为标准 1994年修改产生SHA-1(160位) 1995年SHA-1成为新的标准 SHA-1要求输入消息长度264 SHA-1的摘要长度为160位 基础是MD4 * 南京邮电大学 * SHA-1算法 结构与MD5类似 第一步：pading 与MD5相同，补齐到512的倍数 第二步 分块 第三步 初始化MD buffer，160位常量(5个字) 进入循环，160输入+512输入-〉160输出 第四步 最后的输出为SHA-1的结果 * 南京邮电大学 * 压缩函数 * 南京邮电大学 * SHA-1算法结论 SHA-1使用big-endian 抵抗生日攻击: 160位hash值 没有发现两个不同的512-bit块,它们在SHA-1计算下产生相同的“hash” 速度慢于MD5 安全性优于MD5 * 南京邮电大学 * RIPEMD-160简介 欧洲RIPE项目的结果 RIPEMD为128位 更新后成为RIPEMD-160 基础是MD5 算法 输入：任意长度的消息 输出：长度为160位的消息摘要 处理：以512位数据块为单位 * 南京邮电大学 * RIPEMD-160的压缩函数 * 南京邮电大学 * HMAC简介 MAC可用块加密算法产生 MAC算法速度慢 加密算法出口受限制 hash函数可用来构造MAC HMAC为其中之一 * 南京邮电大学 * HMAC示意图 * 南京邮电大学 * HMAC的定义与特征 对密钥K左边补0以产生一个hash块K+ K+每个字节与ipad作XOR以产生Si 对(Si||M)进行hash K+每个字节与opad作XOR以产生S0 HMACK(M)=H[IV,S0||H(IV,Si||M)] HMAC特征: 可直接使用各种hash算法 可使用将来的更加安全和更加快速的hash算法 保持原始hash算法的性能 密钥的使用简单 与hash函数有同等的安全性 小结 报文鉴别（消息认证）是用来验证消息完整性的一种机制。报文鉴别确保收到的数据确实和发送时的一样（即没有修改、插入、删除或重放），且发送方声称的身份真实有效。 对称密码在那些相互共享密钥的用户间提供认证。用消息发送方的私钥加密消息也可提供一种形式的认证。 用于消息认证的最常见的密码技术是报文鉴别码（消息认证码）和安全散列函数。 MAC是一种需要使用秘密钥的算法，以可变长度的消息和秘密钥作为输入，产生一个认证码。拥有秘密钥的接受方产生一个认证码来验证消息的完整性。 散列函数