第十讲密码Hash函数.pptVIP

第十讲 密码Hash函数 本讲提要 分类与架构 基本构造 修改发现码(MDC) 消息认证码(MAC) 1 分类与架构 定义1 Hash函数(在不严格意义下)是至少满足下列两条性质的函数h。 (1) 压缩：h将任意有限比特长度的输入x映射为固定长度为n的输出h(x)。 (2) 容易计算：给定h和输入x，容易计算出h(x)。 1 分类与架构(续) 密码中使用的Hash函数主要为两类： (1) 修改发现码(MDC)：不带密钥的Hash函数，主要用于提供消息完整性检查。 (2) 消息认证码(MAC)：带密钥的Hash函数，主要用于认证消息源及保证其完整性。 1 分类与架构(续) 定义2 修改发现码(MDC)是Hash函数h，对于输入x和x?以及相应输出y和y?满足如下性质： (1) 原像不可逆：对于几乎所有的Hash输出不可能计算出其的Hash输入。也就是，在不知道输入的情况下给定任意一个输出y，找到任意一个输入x?满足h(x?)=y是计算不可能的。 (2) 二次原像不可逆：对于任何一个给定的输入x，找到另一个输入x??x，且满足h(x)=h(x?)，在计算上不可能。 (3) 抵抗碰撞：找到两个不同的输入x和x?，满足h(x)=h(x?)，在计算上不可能(注意：这里两个输入可以自由选择)。 1 分类与架构(续) 定义1和定义2的说明： (1) “容易”和“计算上不可能”都留下来没有准确定义。“容易”意味着多项式时间和空间；“计算上不可能”意味着超越多项式的计算需求。 (2) 一般认为，抗原像?单向；抗二次原像?抗弱碰撞；抵抗碰撞?抗强碰撞。 1 分类与架构(续) 定义3 单向Hash函数(OWHF)是满足定义1以及定义2中(1)和(2)的Hash函数。 定义4 抗碰撞Hash函数(CRHF)是满足定义1以及定义2中(2)和(3)的Hash函数。 #虽然几乎所有实际使用的CRHF都有抗原像攻击的性质，但由于技术原因定义4并未给出。 1 分类与架构(续) 1.1 基本性质与定义(续) 攻击者攻击 MDC的主要目标如下： (1) 给定Hash值y，发现原像x满足y=h(x)；或者给定对(x，h(x))发现另一个像x?满足 h(x)=h(x?)。 (2) 发现两个Hash输入x和x?满足h(x)=h(x?)。 1 分类与架构(续) 定义5 消息认证码(MAC)算法是带有密钥k的函数族hk，其具有如下性质： (1) 易于计算：对于任何已知函数hk，给定值k和输入x，值hk(x)容易计算出来。这个值被称做MAC值或MAC。 1 分类与架构(续) (2) 压缩：函数hk可以将任意有限比特长度的输入x映射为固定n比特长度的位串。进一步，给出函数族h的算法描述，对于任何一个固定符合要求的密钥值k(攻击者不知其值)，需要满足如下性质： (3) 计算抵抗：给定0个或多个消息-MAC值对(xi，hk(xi))，找到任意消息-MAC值对(x，hk(x))满足x?xi在计算上不可能(当然也包括某些i满足hk(x)=hk(xi)的可能性)。 1 分类与架构(续) 评述. (1) 计算抵抗隐含了密钥k是不可恢复的性质，但密钥不可恢复并不意味着计算抵抗。 (2) 定义5并没有显示攻击者知道密钥k的情况下是否要抗原像和抗碰撞，但对不知道密钥k的情况下，应该满足这些性质。 攻击者攻击MAC的目标为： 在不知道密钥k的情况下，给定一个或多个消息-MAC值对(xi，hk(xi))，计算出一个或多个新消息-MAC值对(x，hk(x))，满足x?xi。 攻击者潜在的能力有： (1) 已知消息攻击。 (2) 选择消息攻击：掌握一个或多个由攻击者选择的xi对应的消息-MAC值对(xi，hk(xi))。 (3) 适应性选择消息攻击：允许根据前面的询问结果连续做出消息选择。 在实际中造成的破坏程度取决于攻击者控制消息x并伪造其MAC值的程度，依此可以做如下分类。 (1) 选择性伪造攻击：攻击者可以根据选择，控制消息的内容伪造出消息-MAC值对(或者至少为部分控制消息内容)。 (2) 存在性伪造攻击：攻击者虽然可以伪造出消息-MAC值对，但无法控制消息的内容。 与特定性质联系在一起的是开销，如CRHF一般比OWHF要难于构造，且其Hash值应是OWHF的比特长度的两倍。 因此，考虑具体应用十分重要。假如可由不可信方控制Hash函数的输入的准确内容，则可能需要CRHF，如数字签名。假如只是可信方的单