第5章 散列函数及消息鉴别.ppt

* * * * * * * 这是由美国NIST和NSA共同设计的与美国数字签名算法标准一起使用的一种安全散列算法。当然，此算法不仅可以用于数字签名之中，也可以用于任何需要散列算法的地方。 SHS于1992年1月31日在美国联邦记录中公布，1993年5月11日起采纳为标准。1995年7月11日作了一点修改，1995年4月17日公布了修改后的版本。 安全散列标准的设计原则与MD5散列函数的设计原则极其相似，实际上是MD5的一种变形。它的速度比MD5的速度要慢些。 * 这是由美国NIST和NSA共同设计的与美国数字签名算法标准一起使用的一种安全散列算法。当然，此算法不仅可以用于数字签名之中，也可以用于任何需要散列算法的地方。 SHS于1992年1月31日在美国联邦记录中公布，1993年5月11日起采纳为标准。1995年7月11日作了一点修改，1995年4月17日公布了修改后的版本。 安全散列标准的设计原则与MD5散列函数的设计原则极其相似，实际上是MD5的一种变形。它的速度比MD5的速度要慢些。 * * * * * * * * * * * 泰勒中值定理：若函数f(x)在开区间（a，b）有直到n+1阶的导数，则当函数在此区间内时，可以展开为一个关于（x-x.)多项式和一个余项的和： 　　f(x)=f(x.)+f(x.)(x-x.)+f(x.)/2!?(x-x.)^2,+f(x.)/3!?(x-x.)^3+……+f(n)(x.)/n!?(x-x.)^n+Rne^x≈1+x+x^2/2!+x^3/3!+……+x^n/n! * 当然，对具体的n可直接编程计算。 * * * * * * * * (1) 使对手不需要找出密钥K而伪造一个与截获的MAC相匹配的新消息M’在计算上不可能； (2) 若攻击者截获一个MAC，则伪造一个与之匹配的消息的概率为最小； (3) 函数C不应在消息的某个部分或某些bit弱于其他部分或某些bit，否则，攻击者获得M和MAC后就可能修改M中弱的部分，从而伪造出一个与原MAC相匹配的伪报文M’。 * (1) 使对手不需要找出密钥K而伪造一个与截获的MAC相匹配的新消息M’在计算上不可能； (2) 若攻击者截获一个MAC，则伪造一个与之匹配的消息的概率为最小； (3) 函数C不应在消息的某个部分或某些bit弱于其他部分或某些bit，否则，攻击者获得M和MAC后就可能修改M中弱的部分，从而伪造出一个与原MAC相匹配的伪报文M’。 * * * FIPS, the Federal Information Processing Standards * * * * * * HMAC1996年由UCSD（University of California at San Diego加州圣地亚戈分校）的Bellare提出，1997年作为RFC2104发表。 四川大学电子信息学院 */40 将报文用对称密钥算法加密后的密文作为鉴别符。 如何构造这样的结构？ 特点：要求接收端有判别明文合法性的手段和措施。 措施：让明文带有某种容易识别而又不易被篡改的结构。 5.1 报文加密 四川大学电子信息学院 */40 一种解决办法：引入差错控制! M F || E K Ek[M||F(M)] 源点 M F(M) F 比较 D K M 终点 F(M) F 比较 D M K 内部差错控制! M F || E K Ek[M] F(Ek[M]) Ek[M] 外部差错控制! */40 5.2 基于报文鉴别码（MAC）的消息鉴别 1. 报文鉴别码的概念: 受密钥保护的报文摘要称为报文鉴别码（MAC），也称消息鉴别码。 即： MAC=Ck(M) 其中M为明文，Ck( · )是带密钥的函数。 C 任意长报文M MAC K(密钥) 2. 对MAC函数C的一般需求:注 前提：攻击者能获取 M|| Ck(M)； 攻击者已知MAC函数C，但不知道K。 */40 基于报文鉴别码（MAC）的消息鉴别（续） (1) 攻击者根据 M|| Ck(M)，生成一个报文M’ ≠M，使得 Ck(M’)= Ck(M) 在计算上不可行。若用“简单异或”+“加密” 的办法构成MAC未能满足此要求。 (2) Ck(M)应均匀分布。(注意报文空间远大于MAC空间) M与Ck(M)是多对一的关系，即客观上存在 M’ ≠M，而Ck(M’)= Ck(M) 这里要求，MAC函数C对于随机选择的两个消息M和 M’ ，满足：出现 Ck(M’) = Ck(M) 的概率为2－n ；n为MAC的bit数 (3) 若 M’