网络安全-11消息认证和Hash函数.ppt

* 保密：12 认证：3456 数字签名：78 * * * * * * * * * * * * * * * Stallings Figure 11.6 “Data Authentication Algorithm”, illustrates the FIPS PUB 113 / ANSI X9.17 MAC based on DES-CBC with IV 0 and 0-pad of the final block if needed. Resulting MAC can be 16-64 bits of the final block. But this is now too small for security. * * * * * * * * * Chapter 10 summary. * 河北科技大学信息学院 河北科技大学信息学院 河北科技大学信息学院 河北科技大学信息学院 《密码编码学与网络安全》 * * §11.1 对认证的需求 可能的攻击： 1. 泄密 2. 传输分析 3. 伪装 4. 内容修改 5. 顺序修改 6. 计时修改 7. 发送方否认 8. 接收方否认 * * 消息认证：验证所收到的消息确实是来自真实的发送方且未被修改的消息，它也可验证消息的顺序和及时性。 数字签名：是一种认证技术，其中的一些方法可用来抗发送方否认攻击。（接收者可验证但不能伪造） 消息认证 数字签名 * * §11.2 认证函数 两层：产生认证符 ＋ 验证 产生认证符的函数类型： 消息加密：消息的密文作为认证符。 消息认证码：消息和密钥的公开函数，产生定长的值作为认证符。 MAC: message authentication code Hash函数：将任意长消息映射为定长的hash值作为认证符。 * * 消息加密 消息加密也能提供一种认证的方法 对称密码，既可以提供认证又可以提供保密性，但不是绝对的。 只有消息具有适当的结构、冗余或含有校验和，接收方才可能对消息的任何变化进行检测。 否则，认证难以完成。 * * P231 * * 消息加密 公钥体制中: 加密不能提供对发送方的认证（公钥是公开的） 发送方可用自己的私钥进行签名 接收方可用发送方的公钥进行验证 保密性和可认证性 * * P233-234 * * 消息认证码 (MAC) 一种认证技术 利用密钥来生成一个固定长度的短数据块（MAC），并将该数据块附加在消息之后。 MAC的值依赖于消息和密钥 MAC = Ck(M) MAC函数于加密类似，但MAC算法不要求可逆性，而加密算法必须是可逆的。 接收方进行同样的MAC码计算并验证是否与发送过来的MAC码相同 * * MAC 特性 MAC码是一个密码校验和 MAC = CK(M) 消息M的长度是可变的 密钥K是要保密的，且收发双方共享。 产生固定长度的认证码 MAC算法是一个多对一的函数 多个消息对应同一MAC值 但是找到同一MAC值所对应的多个消息应该是困难的。 * * Message Authentication Code * * 若相同，则有： 接收方可以相信消息未被修改。 接收方可以相信消息来自真正的发送方。 接收方可以确信消息中含有的序列号是正确的。 为什么需要使用MAC? 有些情况只需要认证（如广播） 以明文形式认证计算机程序 …… 由于收发双方共享密钥，所以MAC不能提供数字签名 * * 对MACs的要求： 抗多种攻击（例如穷举密钥攻击） 且满足: 已知一条消息和MAC, 构造出另一条具有同样MAC的消息是不可行的 MACs应该是均匀分布的 MAC应该依赖于消息的所有比特位 * * * * * * 用对称密码产生MACs 采用分组密码的链接工作模式，并把最后分组作为MAC Data Authentication Algorithm (DAA) 是一个广泛使用的数据认证算法，基于DES-CBC（FIPS PUB113,ANSI X9.17） IV=0且最后一个分组用0填充其后以补足64位分组 用DES的密文分组链接模式CBC加密消息 把最后一个分组作为MAC发送 或者取最后分组的左边M bits (16≤M≤64) 但是对于安全性来说，最终的MAC还是太小了 * * Data Authentication Algorithm * * Hash函数 浓缩任意长的消息M到一个固定长度的取值 h = H(M) 通常假设hash函数是公开的且不使用密钥（MAC使用密钥） Hash函数用户检测对消息的改变 多种方式工作方式 常用于产生数字签名 * * * * * * Hash函数和数字签名 * * * * 对Hash函数的要求 可用于任何尺寸的消息M 产生固定长度的输