(现代密码学教材）06消息认证.pptVIP

MD5的安全性 MD5的输出为128比特，若采用纯强力攻击寻找一个消息具有给定Hash值的计算困难性为2128，用每秒可试验1 000 000 000个消息的计算机需时1.07×1022年。 采用生日攻击法，寻找有相同Hash值的两个消息需要试验264个消息，易受第II类生日攻击。 差分攻击攻击MD5单轮可以在合理的时间内找到具有相同杂凑值的两个不同的消息。但未能推广到4轮 MD5的安全性 可找到一个消息分组和两个相关的连接变量，使算法产生相同的输出，但还未能成功的推广到4轮。 对单个512比特长的消息分组已经成功的找出了碰撞，为推广到在有初值IV时整个消息运算该算法。 第六章 消息认证和杂凑算法 消息认证码 杂凑函数 MD5杂凑算法 SHA杂凑算法 HMAC算法 消息认证和杂凑算法 消息认证用于抗击主动攻击 验证接收消息的真实性和完整性 真实性 的确是由所声称的实体发过来的 完整性 未被篡改、插入和删除 验证消息的顺序性和时间性（未重排、重放和延迟） 一、消息认证码(MAC) Message Authentication Code 消息认证码的定义 消息认证码(MAC)：消息被一密钥控制的公开函数作用后产生的、固定长度的数值，也称为密码校验和。 通信双方共享密钥K，消息认证码函数为CK，对明文消息M，其MAC=CK(M) 发送方：发送(M, MAC)。 接收方：接收到(M, MAC)后验证MAC=CK(M)是否成立。 消息认证码的使用方式① 仅提供消息的认证性 通信双方共享密钥K M || C K M CK(M) C K 比较 接收方相信发送方发来的消息未受篡改。 接收方相信发送方不是冒充的 MAC函数应满足的要求 产生MAC的函数一般为多到1映射。n比特长的MAC共有2n个可能的取值，可能的消息数远大于2n。 密钥长度为k比特，可能的密钥数为2k。 敌手可获得明文和MAC,敌手可穷举攻击密钥。如果kn,很多密钥.(2k-n个)可产生相同的MAC,敌手无法确定，还需要在这2k-n个密钥中继续试验。 对消息认证码的穷举攻击代价大于攻击加密算法。 敌手有可能不直接攻击密钥，而伪造能够通过检验的MAC和M。 MAC函数应满足的要求 假定敌手知道函数C，不知道K 如果敌手得到M和CK(M)，则构造一满足CK(M’)= CK(M)的新消息在计算上不可行(说明敌手不需要找出密钥K而伪造一个与截获的MAC相匹配的新消息 在计算上是不可行的。) CK(M)在以下意义下是均匀分布的：随机选两个M,M’,Pr[CK(M)=CK(M’)]=2-n (说明敌手如果截获一个MAC，则伪造一个相匹配的消息 的概率为最小。) 若M’是M的某个变换， Pr[CK(M)=CK(M’)]=2-n (说明函数C不应该在消息的某个部分或某些比特弱于其他部分或其他比特。) 数据认证算法CMAC 基于CBC模式的DES算法，初始向量取为零。 D1 DES加密 O1 K 第1次 D2 DES加密 O2 K 第2次 + DN DES加密 ON K 第N次 + ON-1 二、杂凑函数 Hash Functions 杂凑函数的定义 杂凑函数H是一个公开函数，将任意长的消息映射为较短的、固定长度的一个值H(M) H(M)称为杂凑值、消息摘要，是消息中所有比特的函数，提供了错误检测的能力 杂凑函数的使用方式1 消息与杂凑码链接后用单钥加密，密钥为A,B共享，保证消息来自A并且不被篡改 M || H H M H(M) 比较 E K D K 杂凑函数的使用方式2 单钥加密函数仅对杂凑值加密，用于不要求保密性的情况下。 杂凑函数的使用方式3 用公钥加密算法和发送方秘密钥仅加密杂凑值，这种方式提供认证性，又由于只有发送发能产生加密的杂凑码，所以还对发送方的消息提供了数字签名。 杂凑函数的使用方式4 用发送方秘密钥加密杂凑值，再用单钥加密整个数据，这种方式提供了保密性和数字签字。 杂凑函数的使用方式5 通信双方共享一个秘密值S，提供认证性。 杂凑函数的使用方式6 在上一方式基础上加上加密，从而增添提供了保密性。 杂凑函数应满足的条件 函数的输入可以是任意长 函数的输出是固定长 已知x,求H(x)较为容易 已知h，求H(x)＝h的x在计算上不可行，如果满足这一性质，称为单向杂凑函数. 已知x，找出y（y≠x）使得求H(x)＝ H(y) 在计算上不可行，如果满足这一性质，称为弱单向杂凑函数. 找出任意两个不同的x,y，是H(x)=H(y)在计算上不可行，满足这一性质，称为强单向杂凑函数 最后两个条件给出了杂凑函数无碰撞性的概念。对不同的输入产生相同的输出，则称该函数具有碰撞性。 生日攻击 （第I类生日攻击）H有n个输出，H(x)是一个特定的输出，如果对H随机取k个输