网络与信息安全密码学基础.pptVIP

DSA分析 基于离散对数的难度，对手通过r恢复k，或通过s恢复x都很难 签名产生的计算任务仅是计算 另一个需要完成的工作只是确定逆元 MD5描述－step 5 输出 HMD5 单个512bit分组的MD5处理过程(MD5压缩函数） 当前正在处 理的512 比特分组 128bit 的缓存值 更新缓存 T[0,1…64] 每步操作形式 单个512bit分组的MD5处理过程(MD5压缩函数） X[0..15]:保存当前512bit待处理输入分组的值 X[k] = M[q×16 + k] = 在第q个512位数据块中的第k个32位字 每次循环(4)的每步(16)内，X[i]的使用循序各不相同 MD5的安全性 Berson表明，对单循环MD5，使用不用的密码分析可能在合理的时间内找出能够产生相同摘要的两个报文，这个结果被证明对四个循环中的任意一个循环也成立，但作者没有能够提出如何攻击包含全部4个循环MD5的攻击 Boer和Bosselaers显示了即使缓存ABCD不同，MD5对单个512bit分组的执行将得到相同的输出(伪冲突） Dobbertin的攻击技术：使MD5的压缩函数产生冲突，即寻找 MD5被认为是易受攻击的，逐渐被SHA-1和RIPEMD-160替代 其它常用Hash算法 SHA-1 RIPEMD-160 HMAC Hash小结 Hash函数把变长信息映射到定长信息 Hash函数不具备可逆性 Hash函数速度较快 Hash函数与对称密钥加密算法有某种相似性 对Hash函数的密码分析比对称密钥密码更困难 Hash函数可用于消息摘要 Hash函数可用于数字签名 目 录 消息鉴别与散列函数 散列算法 数字签名 报文鉴别的局限性 用于保护通信双方免受第三方攻击 无法防止通信双方的相互攻击 信宿方伪造报文 信源方否认已发送的报文 引入数字签名，是笔迹签名的模拟 数字签名的性质 传统签名的基本特点 能与被签的文件在物理上不可分割 签名者不能否认自己的签名 签名不能被伪造 容易被验证 数字签名是传统签名的数字化 能与所签文件“绑定” 签名者不能否认自己的签名 容易被自动验证 签名不能被伪造 数字签名的性质 必须能够验证作者及其签名的日期时间 必须能够认证签名时刻的内容 签名必须能够由第三方验证，以解决争议 数字签名的设计要求 签名必须是依赖于被签名信息的一个位串模板 签名必须使用某些对发送者是唯一的信息，以防止双方的伪造与否认 必须相对容易生成该数字签名 必须相对容易识别和验证该数字签名 伪造该数字签名在计算复杂性意义上具有不可行性，既包括对一个已有的数字签名构造新的消息，也包括对一个给定消息伪造一个数字签名 在存储器中保存一个数字签名副本是现实可行的 数字签名分类 签名方式 直接数字签名direct digital signature 仲裁数字签名arbitrated digital signature 安全性 无条件安全的数字签名 计算上安全的数字签名 可签名次数 一次性的数字签名 多次性的数字签名 直接数字签名 直接数字签名 直接数字签名 直接数字签名的缺点 验证模式依赖于发送方的保密密钥 – 发送方要抵赖发送某一消息时，可能会声称其私有密钥丢失或被窃，从而他人伪造了他的签名 – 通常需要采用与私有密钥安全性相关的行政管理控制手段来制止或至少是削弱这种情况，但威胁在某种程度上依然存在 – 改进的方式例如可以要求被签名的信息包含一个时间戳（日期与时间），并要求将已暴露的密钥报告给一个授权中心 X的某些私有密钥确实在时间T被窃取，敌方可以伪造X的签名及早于或等于时间T的时间戳 仲裁数字签名 仲裁数字签名 引入仲裁者 – 所有从发送方X到接收方Y的签名消息首先送到仲裁者A – A将消息及其签名进行一系列测试，以检查其来源和内容 – A将消息加上日期并与已被仲裁者验证通过的指示一起发给Y 仲裁者在这一类签名模式中扮演敏感和关键的角色 – 所有的参与者必须极大地相信这一仲裁机制工作正常 仲裁数字签名－单密钥加密方式1 数字签名 仲裁数字签名－单密钥加密方式 仲裁数字签名－单密钥加密方式2 仲裁数字签名－双密钥加密方式 仲裁数字签名－双密钥加密方式 数字签名算法 普通数字签名算法 – EIGamal – RSA – DSS/DSA 不可否认的数字签名算法 群签名算法 盲签名算法 数字签名算法DSA DSA DSA DSA 散列函数基本用法(4) 散列函数基本用法(5) 散列函数基本用法(6) 消息鉴别码MAC M K MAC 函数域：任意长度的报文 值域：所有可能的MAC和所有可能的密钥 MAC一般为多对一函数 函数域：任