无线网络安全技术2011-11散列算法和MAC算法.ppt

* * DSS签名函数 输入： 明文的hash函数 为签名而产生的随机数k 控制参数： 发送方的私钥KRa 一组公共参数KUG，称为全局公钥 输出： 包含两部分s和r * * DSA的全局公钥 * * 发送方的密钥生成 * * 签名、验证算法 M：要签名的消息 H(M)：使用SHA-1 求得的M的hash码 M’,r’,s’：接收的M,r,s * * DSS签名和验证 * * DSS算法的讨论 算法的安全性依赖于离散对数求解的困难性 算法正确性的证明 今天课到此结束，下次讲授无线局域网安全。 * * In recent years, there has been increased interest in developing a MAC derived from a cryptographic hash function. A hash function such as SHA was not designed for use as a MAC and cannot be used directly for that purpose because it does not rely on a secret key. There have been a number of proposals for the incorporation of a secret key into an existing hash algorithm, originally by just pre-pending a key to the message. Problems were found with these earlier, simpler proposals, but they resulted in the development of HMAC. * * H：嵌入的hash函数（如MD5，SHA-1，RIPEMD-160等） IV：hash函数输入的初始值 Yi：M的第i个分组，共有L个分组，每一分组包含b位。 K：密钥 K+：为使K为b位长而在K左边填充0后所得的结果 ipad复b/8次的结果 opad复b/8次的结果 对密钥K左边补0，得到b位的K+； K+每个字节与ipad作XOR以产生Si； 对(Si||M)进行hash，得到H(IV,Si||M)； K+每个字节与opad作XOR以产生So； 对(So||H(IV,Si||M))进行hash，得到HMAC=H[IV,So||H(IV,Si||M)] * * */31 AES-128加解密过程 * */31 Whirlpool分组密码和AES的比较 * */31 本次课内容 第12章 散列算法和MAC算法 12.1 散列算法 12.2 MAC算法 12.3 对于认证协议的攻击 12.2 HMAC 现实中需要基于散列函数设计的MAC HASH函数的运行速度更快 散列函数的代码可以广泛的获取。 最原始的想法是： KeyedHash = Hash(Key|Message) 最终发展成现有的HMAC结构 HMAC设计目标 不必修改而直接使用现有的散列函数 容易替代 应保持散列函数的原有性能 对密钥的使用和处理要简单 其安全强度依赖于使用散列函数的强度 * */31 HMAC算法结构 HMAC=H[IV,So||H(IV,Si||M)] * */31 CMAC C1= E(K,M1) C2= E(K,[M2⊕C1]) C3= E(K,[M3⊕C2]) ·? ·? ·? Cn= E(K,[Mn ⊕ Cn-1 ⊕ K1]) T= MSBTlen(Cn) T= 消息认证码 Tlen=T的比特长度 MSBs(X)= 比特串X的最左边的s位 * */31 本次课内容 第12章 散列算法和MAC算法 12.1 散列算法 12.2 MAC算法 12.3 对于认证协议的攻击 * * 认证协议 双方认证(mutual authentication) 最常用的协议，该协议使得通信各方互相认证鉴别各自的身份，然后交换会话密钥。 单向认证(one-way authentication) 收发双方不需要同时在线联系，例如电子邮件。 相互认证 相互认证 使得通信者确信对方的身份并交换会话密钥 安全目标： 保证会话秘钥的安全性 保证对方身份的真实性 设计时需注意的问题： 机密性: 使用加密方式。(要求事先有共享的秘密信息或公钥) 实时性: 处理重放攻击。 对抗重放攻击的两种方法 时间戳: 要求通信各方的时钟应保持同步。 挑战/应答: A-B: nonce（挑战） B-A: E[K,M||nonce](应答） * */