第3讲 Hash函数及公钥密码.pptVIP

* * * * * RSA的安全性 RSA的安全性是基于分解大整数的困难性假定，之所以为假定是因为至今还未能证明分解大整数就是难解问题，也许有尚未发现的多项式时间分解算法。 如果RSA的模数n被成功地分解为p×q，则立即获得φ(n)=(p-1)(q-1)，从而能够确定e模φ(n)的乘法逆元d，即d≡e-1 mod φ(n)，因此攻击成功。 随着人类计算能力的不断提高，原来被认为是不可能分解的大数已被成功分解，在现有计算水平，RSA密钥长度1024位被认为是安全的。 RSA公钥密码的小结 第一个较完善的公开密钥算法。 目前使用最多的一种公钥密码算法。 RSA的基础是数论的欧拉定理。 RSA的安全性依赖于大对数的因数分解的困难性。 密码分析者既不能证明也不能否定RSA的安全性。 既能用于加密也能用于数字签名。 RSA算法在美国申请了专利（2000年9月30日到期），但在其他国家无专利。 本讲主要内容 掌握哈希函数的特点 了解哈希函数的应用 了解消息认证的过程 掌握公钥体制的含义 掌握公钥密码的优缺点 谢 谢 ！ * * * * * * * * * * * * * * * * * * * * * * * * * * * * 广东医学院信息工程学院 广东医学院信息工程学院 上讲的主要问题 现代密码学的两次飞跃是什么？ 密码系统的构成是什么？ 柯克霍夫（Kerckhoffs）原则是指什么？ 现有密码系统的安全性是指什么安全？ 现有密码系统的完全破译是指获取什么？ 密码体制的基本原则是什么？ 对称密码的优缺点是什么？ 第3讲 Hash函数及公钥密码夏峰 本讲主要内容 掌握哈希函数的特点 了解哈希函数的应用 了解消息认证的过程 掌握公钥体制的含义 掌握公钥密码的优缺点 哈希函数的前言 在一个开放通信网络的环境中，攻击者可以随意地窃听、截取、重发、修改、伪造或插入消息。当攻击者插入了修改过的或伪造的消息，并试图欺骗目标接收者，使其相信该消息来自某个其他合法的主体。数据完整性技术就是抗击对消息未授权修改的安全服务。 现代密码学中的数据完整性与通信学的检错码有密切的联系，并由其演变而来。检错码是检测由于通信的缺陷而导致消息发生错误的方法，完整性是用来检查被恶意方式修改过消息的技术。 哈希（Hash）函数的简介 也称散列函数，是一种单向密码体制，即它是一个从明文到密文的不可逆映射，即只有加密过程，不能解密。同时，Hash函数可以将任意长度的输入经过变换以后得到固定长度的输出。 Hash函数的这种单向特征和输出数据的长度固定的特征使得它可以生成消息或其他数据块的“数据指纹”（也称消息摘要或散列值），因此在数据完整性认证和数字签名等领域有广泛的应用的，哈希函数在现代密码学中起着重要作用。 哈希(Hash)算法的概述 对不同长度的输入消息，产生固定长度的输出。这个固定长度的输出称为原输入消息的“散列”或“消息摘要”（Message digest）。 公式表示形式： h=H(M) M：任意长度的消息。 H：哈希（Hash）函数或杂凑函数或散列函数。 h：固定长度的哈希值。 哈希算法的性质(特点) 压缩：消息是任意有限长度，哈希值是固定长度。 容易计算：对干任意给定的消息，容易计算其哈希值。 单向性：对于给定的哈希值h，要找到M使得H(M)＝h在计算上是不可行的。 弱抗碰撞：对于给定的消息M1，要发现另一个消息M2，满足H( M1 )＝H(M2)在计算上是不可行的。 强抗碰撞：找任意一对不同的消息M1，M2 ，使H(M1)＝H(M2 )在计算上是不可行的。 MD5的简介 目前，人们已设计出了大量的Hash算法。在众多Hash算法中MD5(128位)和SHA(160位)是最著名的两个算法。 Ron Rivest于1990年设计了一个称为MD4的Hash算法，该算法的设计没有基于任何假设和密码体制，这种直接构造法构造的Hash算法因其运行速度快、非常实用等特点受到了人们的广泛亲睐。但后来人们发现MD4存在安全性缺陷，于是， Ron Rivest在1991年对MD4作了六点改进，改进后的算法就是MD5。 Hash的应用 数字签名 实现信息的完整性 用于口令的传输和存储 哈希算法的应用（文件完整性） “网站卫士”是一个基于WINDOWS的网络安全软件产品。该软件运行在W