第5章 消息认证与杂凑算法.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *  基于离散对数问题的散列函数算法 (Chaum–Van, Heijst–Pfitzmann散列算法） 设P是一个大素数，且q=(p-1)/2也为素数，取定FP（P 元有限域）中的一个本原元α，给定一个保密的指数λ， （λ，p–1）=1，于是β=αλ也为FP中的本原元。值 λ=logαβ不公开，计算这个对数值是计算上难处理的。  散列算法 h:{0,1,…,q-1}?{0,1,…,q-1}?Fp* 定义为 h(x1,x2)=αx1βx2(mod p) 下面要证明，散列算法h是强无碰撞的！相当于证明: 定理：若上述算法h的碰撞算法是可行的，那么计算离散 对数logαβ也是可行的。 证明： 假设我们给了一个碰撞h （x1, x2）=h （x3, x4）其中 （x1,x2）≠（x3, x4），则有下列同余式 αx1βx2≡αx3βx4(modp)  也即，αx1-x3?βx4-x2(mod p) 记 gcd(x4-x2,p-1)=d，易见d∈{1,2,q,p-1} ，原因是p–1=2q. 1°若d=1，此时可设 y= （x4–x2）–1（mod p–1） 有 β ? β(x4-x2)y(mod p) ? α(x1-x3)y(modp) 于是，计算出离散对数 logαβ=（x1–x3）y =（x1–x3）（x4–x2）–1 （mod p–1） 2°若d=2: 由p-1=2q, q为奇素数，必有gcd （x4-x2, q）=1, 设 y= （x4-x2）-1 （mod q） 于是 （x4-x2）* y≡1 （mod q）  也就是存在整数k使得（x4-x2）*y=k*q+1 所以β(x4-x2)*y?βk*q+1(mod p) ?(-1)kβ(mod p) (因为β(p-1)/2 ? -1(mod p)) ? ?β(modp) 这样 α(x1-x2)y ? β(x4-x2)*y(modp)? ±β(mod p) (i) 若α(x1-x3)y ? β(mod p) 则logαβ=(x1-x3)y (mod p-1) (ii)若α(x1-x3)y ? ?β(mod p) ? α(p-1)/2*β(mod p) ==α(x1-x3)y*α(p-1)/2 ? β(mod p) 所以，logαβ=(x1-x3)y+(p-1)/2(mod p-1) 可见，（i）、（ii）都是易计算的。  3°若d=q:因为0≤x2≤q-1,0≤x4≤q-1 有结果，gcd（x4-x2, p-1）=q是不可能的。 4°若d=p-1，此时仅当x4=x2时发生，此时有 αx1βx2?αx3βx2(mod p) αx1 ? αx3(mod p)=x1=x3 于是，（x1,x2）=（x3,x4）与假设矛盾，此种情况不可能发生。 综上知，如果计算FP中离散对数logαβ是不可行的， 那么我们推出该算法h是强无碰撞的。 HMAC算法 HMAC的设计目标 Hash函数不使用密钥，不能直接用于MAC HMAC要求 可不经修改使用现有hash函数 其中镶嵌的hash函数可易于替换为更快和更安全的hash函数 保持镶嵌的hash函数的最初性能，不因适用于HAMC而使其性能降低 以简单方式使用和处理密钥 在对镶嵌的hash函数合理假设的基础上，易于分析HMAC用于认证时的密码强度 算法描述 Ipad:b/8Opad:b/8K+:左面经填充0后的K.K＋的长度为b比特 HMAC的安全性 取决于hash函数的安全性 证明了算法强度和嵌入的hash函数强度的确切关系，即证明了对HMAC攻击等价于对内嵌hash函数的下述两种攻击 攻击者能够计算压缩函数的一个输出，即使IV是秘密的和随机的 攻击者能够找出hash函数的碰撞，即使IV是随机的和秘密的。 第六章重点 MAC的作用，使用方式，应满足的要求。 两种MAC：数据认征算法，HMAC。 Hash函数的作用，使用方式，应满足的要求。 两种Hash函数：MD5，SHA。 * * * * * * * * * * * * * * * * * * * * * * MD5的安全性 安全杂凑算法(Secure Hash Algorithm, SHA)