[工学]现代密码学 第6章.ppt

第六章 消息认证和杂凑算法 Message Authentication and Hash Algorithms 消息认证和杂凑算法 消息认证用于抗击主动攻击 验证接收消息的真实性和完整性 真实性 的确是由所声称的实体发过来的 完整性 未被篡改、插入和删除 验证消息的顺序性和时间性（未重排、重放和延迟） 6.1消息认证码(MAC) Message Authenticaion Code 6.1.1消息认证码的定义和使用方式 消息认证码:指消息被一密钥控制的公开函数作用后产生的、用于认证符的、固定长度的数值，也称为密码校验和。 通信双方共享密钥K 消息认证码的定义和使用方式 认证性和保密性-对明文认证 消息认证码的定义和使用方式 认证性和保密性-对密文认证 产生MAC函数应满足的要求 产生MAC的函数一般为多到1映射。nbit长的MAC共有2n个可能的取值，可能的消息数远大于2n。 密钥长度为kbit，可能的密钥数为2k。 敌手可获得明文和MAC,敌手可穷举攻击密钥。如果kn,(2k-n个)可产生相同的MAC,敌手无法确定，还需要在这2k-n个密钥中继续试验。 对消息认证码的穷举攻击代价大于攻击加密算法。 敌手有可能不直接攻击密钥，而伪造能够通过检验的MAC和M。 产生MAC函数应满足的要求 假定敌手知道函数C，不知道K 如果敌手得到M和CK(M)，则构造一满足CK(M’)= CK(M)的新消息在计算上不可行 CK(M)在以下意义下是均匀分布的：随机选两个M,M’,Pr[CK(M)=CK(M’)]=2-n 若M’是M的某个变换， Pr[CK(M)=CK(M’)]=2-n 6.1.3 数据认证算法 基于CBC模式的DES算法，初始向量取为零。 6.2 杂凑函数 Hash Functions 杂凑函数的定义 杂凑函数H是一个公开函数，将任意长的消息映射为较短的、固定长度的一个值H(M) H(M)称为杂凑值、消息摘要，是消息中所有bit的函数，提供了错误检测的能力 杂凑函数的使用方式 （1）消息与杂凑码链接以后用单钥加密，密钥为A,B共享，保证消息来自A并且不被篡改 杂凑函数的使用方式 （2）单钥加密函数仅对hash值加密 杂凑函数的使用方式 （3）使用发送方秘密钥加密杂凑值 杂凑函数的使用方式 （4）用发送方秘密钥加密hash，再用单钥加密整个数据 杂凑函数的使用方式 （5）通信双方共享一个秘密值S 杂凑函数的使用方式 在上一方式基础上加上加密 杂凑函数应满足的条件 函数的输入可以是任意长 函数的输出是固定长 已知x,求H(x)较为容易 已知h，求H(x)＝h的在计算上不可行，即单向杂凑函数，如果满足这一性质，称为弱单向杂凑函数 找出任意两个不同的x,y，是H(x)=H(y)在计算上不可行，满足这一性质，称为强单向杂凑函数 生日攻击 （第I类生日攻击）H有n个输出，H(x)是一个特定的输出，如果对H随机取k个输入，至少有一个y使H(y)=H(x)的概率为0.5时，k有多大？ H(y)=H(x)的概率为1/n，不等的概率为1-1/n.取k个值都不等的为[1-1/n]k.至少有一个等的概率为1－ [1-1/n]k，近似等于k/n。所以概率为0.5，k为n/2。 生日悖论 在一个会场参加会议的人中，问使参会人员中至少有两个同日生的概率超过0.5的参会人数仅为23人。 t个人都不同时生日概率为 ，因此，至少有两人于同日生的概率为 解之，当t?23时，p0.5。对于n比特杂凑值的生日攻击，由上式可计算出，当进行2n/2次的选择明文攻击下成功的概率将超过0.63。 迭代型杂凑函数的一般结构 第4轮的输出（即第80步迭代的输出）再与第1轮的输入CVq相加，以产生CVq+1，其中加法是缓冲区5个字中的每一个字与CVq中相应的字模232相加。 ⑤ 输出消息的L个分组都被处理完后，最后一个分组的输出即为160比特的消息摘要。 步骤③到步骤⑤的处理过程可总结如下： CV0=IV; CVq+1=SUM32(CVq,ABCDEq); MD=CVL 其中IV是步骤③定义的缓冲区ABCDE的初值，ABCDEq是第q个消息分组经最后一轮处理过程处理后的输出，L是消息（包括填充位和长度字段）的分组数，SUM32是对应字的模232加法，MD为最终的摘要值。 6.4.3 SHA与MD5的比较 抗穷搜索攻击的强度 抗击密码分析攻击的强度 速度 简介与紧致性 数据的存储方式 6.5 HMAC 研究构造MAC的兴趣已转移到基于密码杂凑函数的构造方法，这是因为： 密码杂凑函数(如MD5、SHA)的软件实现快于分组密码(如DES)