[理学]第7章 Hash函数.pptVIP

第七章  杂 凑 函 数 杂凑函数(Hash函数） 杂凑函数是密码学的一个基本工具，在数字签名、身份认证和消息的完整性检测等方面有着重要的应用 杂凑函数H是一公开函数，用于将任意长的消息M映射为较短的、固定长度的一个值H(M)，作为认证符，称函数值H(M)为杂凑值、杂凑码或消息摘要。 杂凑码是消息中所有比特的函数，因此提供了一种错误检测能力，即改变消息中任何一个比特或几个比特都会使杂凑码发生改变。 特点：H 打上了输入数字串的烙印，为数字指纹(Digital Finger Print) 散列函数的性质 （1）一般杂凑函数h(m)算法公开，不需要密钥 （2）具有数据压缩功能，可将任意长度的输入数据转换成一个固定长度的输出。 （3）对任何给定的m，h(m)易于计算。 Hash函数的应用 在密码学和数据安全技术中，它是实现有效、安全可靠数字签字和认证的重要工具，是安全认证协议中的重要模块。 Hash函数的应用 单向杂凑函数要求 密码学中所用的杂凑函数必须满足一定安全性的要求，要能防伪造，抗击各种类型的攻击，如生日攻击、中途相遇攻击等等。 安全要求： （1）具有单向性。给定消息的散列值h(m)，要得到消息m在计算上不可行； （2）具有弱抗碰撞性（Weak collision resistance）。对任何给定的消息m，寻找与m不同的消息m’，使得它们的散列值相同，即h(m’)＝h (m)，在计算上不可行。 （3）具有强抗碰撞性（Strong collision resistance) 。寻找任意两个不同的消息m和m’， 使得h(m)＝h (m’) 在计算上不可行。 H是多对一映射 杂凑函数是多对一映射，所以必然存在碰撞 Hash函数的无碰撞性 弱单向杂凑，是在给定M下，考察与特定M的无碰撞性；而强单向杂凑函数是考察输入集中任意两个元素的无碰撞性。 显然，对于给定的输入数字串的集合，后一种碰撞要容易实现。 因为从下面要介绍的生日悖论知，在N个元素的集中，给定M找与M相匹配的M＇的概率要比从N中任取一对元素M，M’相匹配的概率小得多。 单向杂凑函数安全性要求 杂凑函数的安全性取决于其抗击各种攻击的能力，对手的目标是找到两个不同消息映射为同一杂凑值。一般假定对手知道杂凑算法，采用选择明文攻击法 对杂凑函数的基本攻击方法： （1）穷举攻击（或暴力攻击）：不涉及杂凑算法的结构，能对任何类型的散列函数进行攻击。其中最典型方法是“生日攻击”：给定初值H0，寻找M’?M，使h(H0, M’)=h(H0, M)。 （2）密码分析法，这类攻击方法依赖于对散列函数的结构和代数性质分析，采用针对散列函数弱性质的方法进行攻击。这类攻击方法有中间相遇攻击、修正分组攻击和差分分析等等。 生日攻击 1生日悖论：在一个会场参加会议的人中，找一个与某人生日相同的概率超过0.5时，所需参会人员为183人。但要问使参会人员中至少有两个同日生的概率超过0.5的参会人数仅为23人。 这是因为，对于与某个已知生日的人同日生的概率为1/365，若房中有t人，则至少找到一人与此人同日生的概率为多少。易于解出，当t?183时可使p0.5。 第一个人在特定日生的概率为1/365，而第二人不在该日生的概率为(1-1/365)，类似地第三人与前两位不同日生的概率为(1-2/365)，以此类推，t个人都不同时生日概率为Pt=(1-1/365)(1-2/365)…(1-(t-1)/365)，因此，至少有两人于同日生的概率为1-Pt. 解之，当t?23时，p0.5。 对散列函数的生日攻击 与散列函数相关的类似问题可表述如下：给定一个散列函数h的输出长度为n位，共有2n个可能的散列值输出，找x和y满足H(x)=H(y)，则尝试多少个报文可以找到一对（假设散列值n比特） 显然，最多尝试2n＋1个报文，必有一对冲突 其实，远在到达2n＋1之前，很可能早就找到了(期望2n-1) 如果只要达到一定的概率(如1/2)，约需尝试多少个不同报文？答案：2n/2 杂凑函数的构造(Merkle-Damgard) 直接设计散列函数 MD5、SHA－1是当前国际通行的两大密码标准。MD5由国际著名密码学家图灵奖获得者兼公钥加密算法RSA的创始人Rivest设计，SHA－1是由美国专门制定密码算法的标准机构——美国国家标准技术研究院（NIST）与美国国家安全局（NSA）设计。 两大算法是目前国际电子签名及许多其它密码应用领域的关键技术，广泛应用于金融、证券等电子商务领域。其中，SHA－1早在1994年便为美国政府采纳，目前是美国政府广泛应用的计算机密码系统。 MD系列 MIT 一系列杂凑算法 (Ronal Rivest