第13-16讲 消息认证与杂凑函数.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * ④压缩函数 以分组为单位对消息进行处理每一分组Yq都经一压缩函数处理 ④压缩函数 压缩函数由4轮处理过程构成，每一轮又由20步迭代组成 ④压缩函数 4轮处理过程结构一样，但所用的基本逻辑函数不同，分别表示为f1,f2,f3,f4 ④压缩函数 每轮的输入为当前处理的消息分组Yq和缓冲区的当前值A,B,C,D,E，输出仍放在缓冲区以替代A,B,C,D,E的旧值 ④压缩函数 每轮处理过程还需加上一个加法常量Kt，其中0≤t≤79表示迭代的步数。80个常量中实际上只有4个不同取值 ④压缩函数 每轮处理过程还需加上一个加法常量Kt，其中0≤t≤79表示迭代的步数。80个常量中实际上只有4个不同取值 第4轮的输出（即第80步迭代的输出）再与第1轮的输入CVq相加，以产生CVq+1，其中加法是缓冲区5个字中的每一个字与CVq中相应的字模232相加。 ⑤输出消息的L个分组都被处理完后，最后一个分组的输出即为160比特的消息摘要。 步骤③到步骤⑤的处理过程可总结如下： CV0=IV; CVq+1=SUM32(CVq,ABCDEq); MD=CVL 其中 IV是步骤③定义的缓冲区ABCDE的初值 ABCDEq是第q个消息分组经最后一轮处理过程处理后的输出 L是消息（包括填充位和长度字段）的分组数 SUM32是对应字的模232加法 MD为最终的摘要值。 SHA的压缩函数由4轮处理过程组成，每轮处理过程又由对缓冲区ABCDE的20步迭代运算组成，每一步迭代运算的形式为 6.4.2 SHA-1的压缩函数 A,B,C,D,E为缓冲区的5个字 t是迭代的步数(0≤t≤79) ft(B,C,D)是第t步迭代使用的基本逻辑函数 CLSs为左循环移s位 Wt是由当前512比特长的分组导出的一个32比特长的字 Kt是加法常量 +是模232加法。 6.4.2 SHA-1的压缩函数 基本逻辑函数 输入为3个32比特的字，输出是一个32比特的字，其中的运算为逐比特逻辑运算，即输出的第n个比特是3个输入的相应比特的函数 计算Wt的方法 Wt由当前的输入分组（512比特长）导出 Wt为32比特长 前16个值（即W0,W1,…,W15）直接取为输入分组的16个相应的字 其余值（即W16,W17,…,W79）取为 补充：SHA-512的结构 SHA-2的三种模式比较 1. 抗穷搜索攻击的强度 用穷搜索攻击寻找具有给定消息摘要的消息 SHA-1：O(2160) MD5：O(2128) 用穷搜索攻击找出具有相同消息摘要的两个不同消息 SHA-1：O(280) MD5：O(264) 6.4.3 SHA-1与MD5的比较 2. 抗击密码分析攻击的强度 由于SHA的设计准则未被公开，所以它抗击密码分析攻击的强度较难判断，似乎高于MD5的强度。 3. 速度 两个算法的主要运算都是模232加法，都易于在32位结构上实现。 SHA-1的迭代步数(80步)多于MD5的迭代步数（64步），所用的缓冲区（160比特）大于MD5使用的缓冲区（128比特），因此在相同硬件上实现时，SHA-1的速度要比MD5的速度慢。 4. 简洁与紧致性 两个算法描述起来都较为简单，实现起来也较为简单，都不需要大的程序和代换表。 5. 数据的存储方式 MD5使用little-endian方式，SHA使用big-endian方式。两种方式相比看不出哪个更具优势，之所以使用两种不同的存储方式是因为设计者最初实现各自的算法时，使用的机器的存储方式不同。 世界震惊:王小云破解全球两大密码算法 王小云，毕业于山东大学数学系，师从于著名数学家潘承洞、于秀源教授，是一位外表普通却充满自信的中国女性。2004年8月，在美国加州圣芭芭拉召开的国际密码大会上，并没有被安排发言的王小云教授拿着自己的研究成果找到会议主席，要求进行大会发言。就这样，王小云在国际会议上首次宣布了她及她的研究小组近年来的研究成果——对MD5、HAVAL-128、MD4和RIPEMD等四个著名密码算法的破译结果。报告结束后，所有与会专家对她们的突出工作报以长时间的掌声。 王小云的研究成果作为密码学领域的重大发现宣告了固若金汤的世界通行密码标准MD5大厦轰然倒塌，引发了密码学界的轩然大波。这次会议的总结报告这样写道：“我们该怎么办？MD5被重创了，它即将从应用中淘汰。SHA-1仍然活着，但也见到了它的末日。现在就得开始