(信息安全导论)第2章密码学基础(2.4-2.6).ppt

二、消息认证码MAC 基本思想： 利用事先约定的密钥，加密生成一个固定长度的短数据块MAC，附加到消息之后，一起发送给接收者； MAC是消息和密钥的公开函数所产生的定长的值，以此值作为认证符。可以认证： 消息是否改变 发送者是否是所声称的 如果消息中包含顺序码，保证消息的正常顺序 接收者使用相同密钥对消息原文进行加密得到新的MAC，比较新的MAC和随消息一同发来的MAC进行认证。 生成消息认证码的方法 基于函数的认证码和消息摘要 基于函数的认证码（MAC函数） 接收方相信发送方发来的消息未受篡改，因为攻击者如果改变了消息，由于不知道k，无法生成正确的MAC,完整性验证。 接收方相信发送方不是冒充的，因为k只有双方共享，其他人无法用k生成与原始消息相应的MAC,实体验证。 只提供消息认证，不提供保密 MAC函数与加密函数的区别 MAC函数与加密函数类似，都需要明文、密钥和算法的参与 MAC算法不要求可逆性，而加密算法必须是可逆的 例如：使用100bit的消息和10bit的MAC，总共会 有2100个不同的消息，但仅仅有210个不同的MAC。 即平均每290个消息使用的MAC是相同的 因此，认证函数比加密函数更不易攻破，即便攻破也无法验证其正确性，关键是加密函数是一对一，而认证函数是多对一。 1. 与明文有关的认证（提供认证性和保密性） A和B共享k1和k2，k1用于生成MAC，k2用于加密。 不能防止重放，要想保证信息新鲜性，需要双方共同保持一个变化的值。 消息认证码的用途 2.与密文有关的认证（提供认证性和保密性） A和B共享k1和k2，k1用于生成MAC，k2用于加密。 优点：先验证，再解密，如果验证不通过，就不需解密 基于DES的消息认证码 过程： 把需要认证的数据分成连续的64位的分组 若最后一个分组不是64位，则填补0 利用DES加密算法E和密钥K，计算认证码 认证码的计算： 最后的认证码可以是64位的On ，也可以是On最左侧的M位(16≤M ≤64) IV ) 三、消息编码 消息编码认证的基本思想： 引入冗余度，使通过信道传送的可能序列集M（编码集）大于消息集S（信源集）。 发送方从M中选出用来代表消息的许用序列Li，即对信息进行编码； 接收方根据编码规则，进行解码，还原出发送方按此规则向他传来的消息。 窜扰者不知道被选定的编码规则，因而所伪造的假码字多是M中的禁用序列，接收方将以很高的概率将其检测出来，并拒绝通过认证。 信源 0 1 禁用序列 L0 00 10 01，11 L1 00 11 01，10 L2 01 10 00，11 L3 01 11 00，10 假设信源S={0,1}，M={00,01,10,11}，编码规则L包含四个子规则，分别确定各自的许用序列，双方通信前先约定所使用的子规则。 如果决定采用L0， 则以发送消息“00”代表信源“0”，发送消息“10”代表信源“1”。在子规则L0下，消息“00”和“10”是合法的，而消息“01”和“11”在L0之下不合法，收方将拒收这两个消息。 消息编码举例 编码法则L 2.5.3 散列函数 散列函数（Hash Function）的功能 将任意长的消息映射成一个固定长度的散列值（hash值），即函数输入是可变的消息，输出是固定大小的hash值，也称为消息摘要。 函数又称为：杂凑函数、数字指纹、紧缩函数等。 散列函数的用途 用消息的散列值（消息摘要）来作为消息的验证码。 发送方生成消息的散列值，“消息＋消息摘要” →接收方； 接收方用相同算法生成消息的散列值，比较此散列值于收到的散列值是否相同。 散列函数的特点 假设两次输入同样的数据，散列函数应该能够生成相同的散列值。 散列值是对于所有消息生成的函数值，改变消息的任何一位，都会导致散列值的变化。 与消息认证码不同，散列值产生的过程并不使用密钥。 散列函数的算法通常是公开的。 散列函数的健壮性 弱无碰撞特性 散列函数h被称为是弱无碰撞的，是指在消息特定的明文空间X中，给定消息x∈X，在计算上几乎找不到不同于x的x，x∈X，使得h(x)=h(x)。 强无碰撞特性 散列函数h被称为是强无碰撞的，是指在计算上难以找到与x相异的x，满足h(x)=h(x)，x可以不属于X。 单向性 散列函数h被称为单向的，是指通过h的逆函数h-1来求得散列值h(x)的消息原文x，在计算上不可行。 散列函数的基本用法 提供机密性、认证性：A与B共享密钥K 提供认证性、完整性，不提供机密性（A与B共享密钥K） 提供认证和数字签名：用A的公钥和私钥 提供认证和数字签名，且保证机密性：用A 的公钥与私钥 提供认证：A与B共享一个秘密值S 提供认证及保密：A与B共享秘密值S