密码学与信息安全 第11章 消息认证和散列函数.pptVIP

* MAC多对一的特性使得其更安全，例如攻击者可以根据附带MAC的明文，穷举出很多个“可用”的密钥来产生正确的MAC值，但其不知道 哪一个密钥才是真正的密钥，选错了密钥，那么对修改过的明文，就很可能产生错误的MAC值。 注意，对于MAC，密钥不要反复使用，否则可以根据不同的明文和相应MAC来穷举出密钥 * 注意：MAC可以基于密文分组链接的对称密码体制产生，也可以基于Hash函数算法产生。 MAC是消息验证码，它和HASH的关键不同是它与一个密钥相关，只有拥有相同密钥的人才能验证摘要值（MAC值），保证消息未被篡改。比如某个消息附带着它的HASH值在网络上发送，?如果它被篡改了，篡改者也可以重新计算其HASH值代替原来的HASH值，但是如果是??MAC就不行。 * （a）加密消息和hash值，提供保密性和认证 （b）加密hash值，提供认证，注意，hash函数和加密函数的合成函数即相当于MAC，即E(K, H(M)) * （c）提供认证和数字签名，因为只有发送者才有其私钥，所以其他人不能伪造私钥加密的hash值，发送者自己也无法否认 （d）在上面的基础上通过对称加密提供保密性 * （e）不使用加密算法，仅仅使用hash函数也是有办法进行消息认证。该方案假设通信双方共享相同的秘密值S，将消息和S合成后再计算hash值， 因为S并不传送，因此攻击者无法达到篡改或伪造消息而不改变hash值的目的。 （f）如果上面方法传递的整个消息对称加密，则可额外提供保密性。 * * * * Hash函数的目的就是要产生文件、消息或其他数据块的“指纹” * * * * * 散列函数基本用途 A→B：E（k，[ M|| H（M）]） 提供保密性 ----只有A和B共享K 提供认证H（M） ----受密码保护 （a）加密消息及hash值 A→B： M|| E （k，H（M）） 提供认证 ----H（M）受密码保护 （b）加密hash值：共享的密钥 （c）加密hash值：发送方私钥 A→B： M|| E （PRa，H（M）） 提供认证和数字签名 ----H（M）受密码保护 ----只有A能产生E(PRa ，H（M)) (d) 加密(c)的结果：共享的密钥 A→B：E （k，[M|| E （PRa，H（M））]） 提供认证和数字签名 提供保密性 ----只有A和B共享K 散列函数基本用途 A→B：M|| H（M||S） 提供认证 ----只有A和B共享S （e）计算消息和秘密值的hash值 A→B：E （k，[M|| H（M||S]） 提供认证 ----只有A和B共享S 提供保密性 ----只有A和B共享K （f）加密(e)的结果 散列函数的相关性质 性质： 单向性：给定消息可以产生一个散列码，而给定散列码不可能产生对应的消息。 弱碰撞：寻找能生成与指定消息具有相同散列值的消息。 强碰撞性：找到两个具有相同散列值的消息。 弱碰撞： 强碰撞： Oscar以一个有效签名(x,y)开始，此处y=sigk(h(x))。 Oscar首先找到两个消息x=x,满足h(x)=h(x), 首先他计算Z=h(x)，并企图找到一个x满足h(x)=h(x)。若他做到这一点，则(x,y)也将为有效签名。 然后Oscar把x 给Bob且使他对x的摘要h(x)签名，从而得到y,那么(x,y)是一个有效的伪造。 散列函数的相关性质 生日悖论（p257）：一个教室中，最少应有多少学生，才使至少有两人具有相同生日的概率不小于1/2？ 即：当n=365时，得k≈23，实际上只需23人, 从中总能选出两人具有相同生日的概率至少为1/2。 0.5 当k=50，概率至少为97%。 生日悖论 11. 4 散列函数 生日攻击：给定一个散列函数,输出为n位，即可能的输出为2n种,输出值为H(x),如果H有k个随机输入, k必须为多大，存在任意的x,y,使得H(y)=H(x)的概率为0.5。 对散列函数实施攻击： 根据生日悖论，只需要k的值为:k=2n/2。 MD5：散列长度为128位，则需要对 条消息进行散列。 对MD5的攻击 Rivest在MIT提出，但04年山东大学王小云教授找到碰撞。 * * 当hash函数用于消息验证时，函数值通常称为消息摘要 * 在网络环境，可能有上述8种攻击，对付1-2攻击属于之前讨论的消息加密； 对付3-6的攻击一般称为消息认证； 对付第7种攻击的方法属于数字签名，其也能用于对付3-6的攻击； 对付第8种攻击的需要使用数字签名和相应设计的协议 * * * * * 例如FCS可用CRC算法计算 * * * * * * 使用公钥加密[图11.1（b）]可提供保密性，但不能