密码学演示文档.pptVIP

对认证的要求 在网络通信环境中，可能的攻击 泄密 传输分析 伪装 内容修改 顺序修改 计时修改 发送方否认 接受方否认 加密算法实现消息保密性 消息认证 数字签名和非否认协议 对认证的要求 消息认证 验证所收到的消息确实来自真正的发送方且未被修改过 数字签名也是一种认证技术 认证函数 消息加密：整个消息作为认证符 消息认证码(MAC) HASH函数 消息认证码 是一种认证技术，利用密钥生成一个固定长度的短数据块 A和B共享密钥K，当A向B发送消息时，A计算MAC=CK(M) 与加密类似，但MAC算法不要求可逆性。一般而言，MAC函数是多对一函数。 消息认证码的基本用途 消息认证 M M C K M C K 比较 鉴别码 消息认证码的基本用途 消息认证和保密性：与明文相关的认证 M M C K1 M C K1 比较 鉴别码 E K2 D K2 消息认证码的基本用途 消息认证和保密性：与密文相关的认证 M C K1 比较 E K2 D K1 || C M K2 EK2(M) CK1[EK2(M)] 基于DES的消息认证码 建立在DES上的数据认证算法(FIPS PUB 113)是使用最广泛的MAC算法之一，也是一个ANSI标准(X9.17) D1 D2 DN O1 O2 ON DES 加密 DES 加密 DES 加密 . . . K(56b) K K 64b 64b HASH函数 对消息M生成定长的数据块 h=H(M) 将h附于发送方的消息M之后，接受方通过重新计算hash值可认证该消息 Hash函数的目的是要产生文件、消息等数据的“指纹” HASH函数 对HASH函数的要求 H可应用于任意大小的数据块 H产生定长的输出 对任意给定的x，计算H(x)容易 对于给定的hash值h，找到满足H(x)＝h的x在计算上是不可行的——单向性 对于给定的分组x，找到满足y?x且H(y)=H(x)的y在计算上是不可行的——抗弱碰撞性 找到任何满足H(x)=H(y)的偶对(x,y)在计算上是不可行的——抗碰撞性 发送者A 发送M 对H(M) 签名 HASH函数与数字签名 加密M 得密文C 散列值 H(M) 对称密钥Kab 明文M A的私钥 加密 对H(M) 签名 接收者B 接收到密文M和签名 密文C 散列值 H(M’) 对称密钥Kab A的公钥 验证签名 M=M’ 明文M 解密 HASH算法 MD5消息摘要算法(RFC 1321) 输出128b的消息摘要 SHA算法(FIPS 180-1) 输出160b的消息摘要 RIPEMD-160算法 输出160b的消息摘要 HASH函数 MD5 SHA-1 RIPEMD-160 摘要长度 128b 160b 160b 基本处理单位 512b 512b 512b 步数 64(4轮,每轮16步) 80(4轮,每轮20步) 160(10轮,每轮16步) 最大消息长度 任意长 (264-1)b (264-1)b 基本逻辑函数 4 4 5 加法常数 64 4 9 低位/高位结构 低位在前结构 高位在前结构 低位在前结构 Mbps* 26 48 31 *数据来自Http:///~weidai/benchmarks.txt, C++ on Pentium 266Mhz Diffie-Hellman密钥交换算法 第一个公钥方案，Diffie Hellman 于1976年提出 密钥交换方案 不能用于交换任意信息 允许两个用户可以安全地建立一个秘密信息，用于后续的通讯过程 该秘密信息仅为两个参与者知道 算法的安全性依赖于有限域上计算离散对数的难度 在美国的专利1997年4月29日到期 Diffie-Hellman密钥交换算法 算法 选择可公开的系统参数：素数p以及p的一个原根?（素数p的原根定义：如果a是素数p的原根，则数 a mod p, a2 mod p, … , ap-1 mod p是不同的并且包含1到p-1的整数的某种排列。 ） 用户A选择一个随机数Xa p，计算 Ya=?Xa mod p 用户B选择一个随机数Xb p，计算 Yb=?Xb mod p 每一方保密X值，而将Y值交换给对方 用户A计算出 K=YbXa mod p 用户B计算出 K=YaXb mod p 双方获得一个共享密钥：?XaXb mod p 对DH算法的中间人攻击 正常的DH交换 Ya = ?Xa mod p Yb = ?Xb mod p 计算K=YbXa mod p = ?XbXa 计算K=YaXb mod p = ?XaXb 对DH算法的攻击 攻击 Ya = ?Xa mod p Yc = ?Xc mod p Yb = ?Xb mod p Yc = ?Xc mod p 计算