第五讲消息认证和杂凑函数.pptVIP

第六章 消息认证和杂凑函数 目录 消息认证码 杂凑函数 消息认证码 消息认证用于抗击主动攻击 验证接收消息的真实性和完整性 真实性 的确是由所声称的实体发过来的 完整性 未被篡改、插入和删除 验证消息的顺序性和时间性（未重排、重放和延迟） 消息认证码 消息认证码的定义及使用方式 消息认证码 认证性和保密性-对密文认证 消息认证码 产生MAC函数应满足的要求 产生MAC的函数一般为多到1映射。nbit长的MAC共有2n个可能的取值，可能的消息数远大于2n。 密钥长度为kbit，可能的密钥数为2k。 敌手可获得明文和MAC,敌手可穷举攻击密钥。如果kn,很多密钥.(2k-n个)可产生相同的MAC,敌手无法确定，还需要在这2k-n个密钥中继续试验。 对消息认证码的穷举攻击代价大于攻击加密算法。 敌手有可能不直接攻击密钥，而伪造能够通过检验的MAC和M。 消息认证码 产生MAC函数应满足的要求 假定敌手知道函数C，不知道K 如果敌手得到M和CK(M)，则构造一满足CK(M’)= CK(M)的新消息在计算上不可行 CK(M)在以下意义下是均匀分布的：随机选两个M,M’,Pr[CK(M)=CK(M’)]=2-n 若M’是M的某个变换， Pr[CK(M)=CK(M’)]=2-n 消息认证码 数据认证算法 基于CBC模式的DES算法，初始矢量取为零。 杂凑函数 杂凑函数的定义和使用方式 杂凑函数H是一个公开函数，将任意长的消息映射为较短的、固定长度的一个值H(M) H(M)称为杂凑值、消息摘要，是消息中所有bit的函数，提供了错误检测的能力 杂凑函数 杂凑函数用来提供消息认证的基本使用方式 ① 消息与杂凑码链接后用单钥加密算法加密。由于所用密钥仅为收发双方A、B共享，因此可保证消息的确来自A并且未被篡改。同时还由于消息和杂凑码都被加密，这种方式还提供了保密性。 杂凑函数 ② 用单钥加密算法仅对杂凑码加密。这种方式用于不要求保密性的情况下，可减少处理负担。注意这种方式和图6.1(a)的MAC结果完全一样，即将EK[H(M)]看作一个函数，函数的输入为消息M和密钥K，输出为固定长度。 杂凑函数 ③ 用公钥加密算法和发送方的秘密钥仅加密杂凑码。和②一样，这种方式提供认证性，又由于只有发送方能产生加密的杂凑码，因此这种方式还对发送方发送的消息提供了数字签字，事实上这种方式就是数字签字。 杂凑函数 ④ 消息的杂凑值用公钥加密算法和发送方的秘密钥加密后与消息链接，再对链接后的结果用单钥加密算法加密，这种方式提供了保密性和数字签字。 杂凑函数 ⑤ 使用这种方式时要求通信双方共享一个秘密值S，A计算消息M和秘密值S链接在一起的杂凑值，并将此杂凑值附加到M后发往B。因B也有S，所以可重新计算杂凑值以对消息进行认证。由于秘密值S本身未被发送，敌手无法对截获的消息加以篡改，也无法产生假消息。这种方式仅提供认证。 杂凑函数 ⑥ 这种方式是在⑤中消息与杂凑值链接以后再增加单钥加密运算，从而又可提供保密性。 杂凑函数 杂凑函数应满足的条件 函数的输入可以是任意长 函数的输出是固定长 已知x,求H(x)较为容易 已知h，求H(x)＝h的在计算上不可行，即单向杂凑函数，如果满足这一性质，称为弱单向杂凑函数 找出任意两个不同的x,y，是H(x)=H(y)在计算上不可行，满足这一性质，称为强单向杂凑函数 杂凑函数 生日攻击 （第I类生日攻击）H有n个输出，H(x)是一个特定的输出，如果对H随机取k个输入，至少有一个y使H(y)=H(x)的概率为0.5时，k有多大？H(y)=H(x)的概率为1/n，不等的概率为1-1/n.取k个值都不等的为[1-1/n]k.至少有一个等的概率为1－ [1-1/n]k，近似等于k/n。所以概率为0.5，k为n/2。 杂凑函数 生日悖论 杂凑函数 之所以称这一问题是悖论是因为当人数k给定时，得到的至少有两个人的生日相同的概率比想象的要大得多。这是因为在k个人中考虑的是任意两个人的生日是否相同，在23个人中可能的情况数为C223=253。 杂凑函数 杂凑函数 生日攻击 生日攻击是基于下述结论：设杂凑函数H有2m个可能的输出（即输出长m比特），如果H的k个随机输入中至少有两个产生相同输出的概率大于0.5，则 。 称寻找函数H的具有相同输出的两个任意输入的攻击方式为第Ⅱ类生日攻击。 杂凑函数 第Ⅱ类生日攻击可按以下方式进行： ① 设用户将用图6.3(c)所示的方式发送消息，即A用自己的秘密钥对消息的杂凑值加密，加密结果作为对消息的签字，连同明文消息一起发往接收者。 ② 敌手对A发送的消息M产生出2m/2个变形的消息，每个变形的消息本质上的含义与原消息相同，同