单向哈希密钥链简析.pptVIP

单向哈希密钥链简析 杭州电子科技大学 邓淑华 （陷门）单向函数 若对于函数f有以下条件： ?给定自变量x，计算y=f(x)是容易的； ?给定y，获取x，使得y=f(x)是困难的(所谓计算困难是指计算上相当复杂，已无实际意义。)； ?存在δ，已知δ时，对给定的任何y，若相应的x存在，则计算x使y=f(x)是容易的。 注： 1*.仅满足?、?两条的称为单向函数；第?条称为陷门性,δ称为陷门信息。满足以上三条的函数f称为陷门单向函数。 （陷门）单向函数 2*.当用陷门函数f作为加密函数时，可将f公开，这相当于公开加密密钥。此时加密密钥便称为公开钥，记为Pk。f函数的设计者将δ保密，用作解密密钥，此时δ称为秘密钥记为Sk。由于加密函数是公开的，任何人都可以将信息x加密成y=f(x)，然后送给函数的设计者(当然可以通过不安全信道传送)；由于设计者拥有Sk。他自然可以解出 。 常见的单向函数（困难问题） (1)大整数分解问题（factorization problem） 若已知两个大素数p和q，求n=pq是容易的，而由n求p和q则是困难的。 (2)离散对数问题（discrete logarithm problem） 给定一个大素数p，p-1含另一个大素数因子q，则可构造一个p-1阶乘法群 （Zp是一个有限域,除去其中的零元则构成p-1阶循环群），它是一个p-1阶循环群。设g是 的一个生成元，1gp-1。已知x，求 是容易的，而已知y、g、p，求x使得 成立则是困难的。 常见的单向函数（困难问题） (3)多项式求根问题 有限域 上的一个多项式： 已知 和 ，求 是容易的，而已知 ，求 则是困难的。 (4)二次剩余问题（quadratic residue problem） 已知 和 ，求满足 的 是容易的；而在 的分解未知时，已知 和 ，求满足 的 则是困难的。 常见的单向函数（困难问题） (5)背包问题（knapsack problem） 给定向量 求和式 是容易的，而由 和 ，求 则是困难的。 当然，还有其他一些单向函数，而更多的单向函数还有待于发掘和应用。 Hash函数 Hash，一般翻译做散列，也有直接音译为哈希的，就是把任意长度的输入（又叫做预映射，pre-image），通过散列算法，变换成固定长度的输出，该输出就是散列值。这种转换是一种压缩映射，也就是，散列值的空间通常远小于输入的空间，不同的输入可能会散列成相同的输出，而不可能从散列值来唯一的确定输入值。 Hash函数： 简单的说，就是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。 Hash函数 Hash函数的性质： ?输入可以是任意长； ?输出是固定长； ?对于给定的x，计算h(x)比较容易； ?对任意给定的Hash值z，找到满足h(x)=z的x在计算上是不可行的，这就是函数的单向性； ?已知x，找到y 满足h(y)=h(x)在计算上是不可行的，这称为抗弱碰撞性； Hash函数 ?对任意两个不同的输入x、y，使h(y)=h(x)在计算上是不可行的，这称为抗强碰撞性； 注： 碰撞性是指对于两个不同的消息x和y，如果它们的Hash值相同，则说发生了碰撞。 单向哈希密钥链 一个单向链 若满足如下条件： 对任意的 ，有 成立，这里 是密码体制中常用的一个单向Hash函数。 那么，该单向链也称为哈希链。 通常，密钥分发者(generator)随机选择一个 作为该哈希密钥链的根密钥（或者说种子密钥）。 然后，通过哈希函数 对这个种子密钥反复迭代计算出该链中其它密钥。最后算出的 我们称之为终值。这个值 通常公开，间接标识了拥有种子密钥的用户的身份。 单向哈希密钥链 如下图所示为一个标准哈希密钥链： 可信性验证： 我们假使验证者（verifier）获得一个生成的哈希链的可信值 ，通过判断 的值是否为 来判断一个输入的检验值 的真实性。如果相等，则是可信的，否则不可信。