计算机网络安全技术第6章 数据的整性保护.pptVIP

6.2.2 基于公钥密码体制的数字签名 基于RSA的数字签名 ElGamal数字签名 Schnorr签字体制 基于RSA的数字签名 ① 体制参数。 选两个保密的大素数p和q，计算n=p×q，φ(n)=(p-1)(q-1)；选一整数e，满足1eφ(n)，且gcd(φ(n),e)=1；计算d，满足d·e≡1 mod φ(n)；以{e,n}为公开钥,{d,n}为秘密钥。 ② 签字过程。 设消息为M，对其签字为 S≡Md mod n ③ 验证过程。 接收方在收到消息M和签字S后，验证M≡Se mod n是否成立，若成立，则发送方的签字有效。 第6章 数据的整性保护 本章要求 数据完整性保护技术,包括信息摘录技术和数字签名技术 了解信息摘录技术的安全散列标准SHS 了解数字签名技术的一般概念和常见的数字签名技术 掌握数字签名标准DSS 本章主要内容 6.1 信息摘要技术 6.2 数字签名 6.1 信息摘要技术 6.1.1 信息摘要技术基本原理 6.1.2 MD5算法 6.1.3 安全散列标准 6.1.4 HMAC 6.1.1 信息摘要技术基本原理 杂凑函数H是一公开函数，用于将任意长的消息M映射为较短的、固定长度的一个值H(M)，作为认证符，称函数值H(M)为杂凑值、杂凑码或消息摘要。杂凑码是消息中所有比特的函数，因此提供了一种错误检测能力，即改变消息中任何一个比特或几个比特都会使杂凑码发生改变 在信息安全技术中，散列（Hash）函数提供了验证消息的完整性这一服务，它对不同长度的输入消息，产生固定长度的输出。这个固定长度的输出称为原输入消息的“散列”或“信息摘要”（Message digest）。 一个安全的哈希函数H必须具有以下属性： ①H能够应用到长度可变的数据上 ②H能够生成长度固定的输出 ③对干任意给定的消息m，H（m）的计算相对简单 ④对于任意给定的“散列”h，要找到满足H（m）＝h的m在计算上是不可行的 ⑤对于任意给定的消息m，要找到满足H(m’)=H(m)而m’≠m在计算上是不可行的 ⑥要找到符合H(m’)=H(m)的(m’,m)在计算上是不可行的。如果单向杂凑函数满足这一性质，则称其为强单向杂凑函数 第⑤和第⑥个条件给出了杂凑函数无碰撞性的概念，如果杂凑函数对不同的输入可产生相同的输出，则称该函数具有碰撞性。 6.1.2 MD5算法 MD5算法是由 Rivest在1991年设计的，在RFC 1321中描述 MD5按512位数据块为单位来处理输入，产生128位的消息摘要 MD5的特点: 基本思想与MD4相同：相同的信息块长度，相同的信息摘录初值，相同的填充 比MD4更安全，但效率更低 与MD4的不同：使用4遍扫描，扰乱函数移位更多，对每一遍扫描中的每一个字都使用不同的常数，共64个 MD5算法描述:假设有一个b位长度的输入信号，希望产生它的报文摘要，此处b是一个非负整数，b也可能是0，不一定必须是8的整数倍，它可能是任意大的长度 （1）补位:MD5算法是对输入的数据进行补位，使得如果数据位长度LEN对512求余的结果是448。即数据扩展至K*512+448位。即K*64+56个字节，K为整数。补位操作始终要执行，即使数据长度LEN对512求余的结果已是448。具体补位操作：补一个1，然后补0至满足上述要求。总共最少要补一位，最多补512位。 （2）补数据长度 用一个64位的数字表示数据的原始长度b，把b用两个32位数表示。那么只取B的低64位。当遇到b大于2^64这种极少遇到的情况时，这时，数据就被填补成长度为512位的倍数。也就是说，此时的数据长度是16个字（32位）的整数倍数 （3）初始化MD缓冲器 用一个四个字的缓冲器（A，B，C，D）来计算报文摘要，A,B,C,D分别是32位的寄存器，初始化使用的是十六进制表示的数字 A=0B=0X89abcdef C=0Xfedcba98 D=0（4）处理位操作函数 首先定义4个辅助函数，每个函数的输入是三个32位的字，输出是一个32位的字。 X，Y，Z为32位整数。 F(X,Y,Z)=XYvnot(X)Z G(X,Y,Z)=XZvYnot(Z) H(X,Y,Z)=XxorYxorZ I(X,Y,Z)=Yxor(Xvnot(Z)) （5）输出结果 报文摘要的产生后的形式为：A，B，C，D。也就是低位字节A开始，高位字节D结束。 6.1.3 安全散列标准 安全散列标准SHA（ Secure Hash Algorithm）算法由NIST开发，并在1993年作为联邦信息处理标准公布。在1995年公布了其改进版本SHA-1 SHA与