信息安全课件-消息认证码与杂凑函数.pptVIP

消息认证码与杂凑函数 * 第一节 消息认证码 一、消息认证码的定义及使用方式 1、消息认证码的定义 消息认证码是指消息被一密钥控制的公开函数作用后产生的、用作认证符的、固定长度的数值，也称为密码校验和，简称MAC（ message authentication code ）。 MAC=CK(M) 其中： K是通信双方A和B共享的密钥， CK(·)是密钥控制的 公开函数， M是A欲发送给B的消息。 * 2、MAC的使用过程 A首先计算MAC=CK(M)； A向B发送M‖MAC； B收到M‖MAC后做与A相同的计算 MAC*=CK(M)， 得到一新的MAC*； 与收到的MAC做比较 MAC MAC* ； ? 如果仅收发双方知道K，且B计算得到的MAC与接收到的 MAC一致，则这一系统就实现了以下功能： ① 接收方相信发送方发来的消息未被篡改，这是因为攻击者 不知道密钥，所以不能够在篡改消息后相应地篡改MAC，而 如果仅篡改消息，则接收方计算的新MAC将与收到的MAC不 同。 * ② 接收方相信发送方不是冒充的，这是因为除收发 双方外再无其他人知道密钥，因此其他人不可能对 自己发送的消息计算出正确的MAC。 上述过程中，由于消息本身在发送过程中是明文形式，所以 这一过程只提供认证性而未提供保密性。为提供保密性可在 MAC函数以后(如图6.1(b))或以前(如图6.1(c))进行一次加密， 而且加密密钥也需被收发双方共享。 3、MAC的基本使用方式 * 图6.1 MAC的基本使用方式 * 二、产生MAC的函数应满足的要求 ① 如果敌手得到M和CK(M)，则构造一满足CK(M′)=CK(M) 的新消息M′在计算上是不可行的。 ----- 给定M，找与其MAC相同的M′在计算上是不可行的。 ② CK(M)在以下意义下是均匀分布的： 随机选取两个消息M、 M′，Pr[CK(M)=CK(M′)]=2-n，其中n为MAC的长。 -----随机选取两个消息M、M′，他们的MAC值相等是小概率事件。 ③ 若M′是M的某个变换，即M′=f(M)，例如f为插入一个或 多个比特，那么Pr[CK(M)=CK(M′)]= 2-n。 -----函数C不应在消息的某个部分或某些比特弱于其他部分或其他比特， 否则敌手获得M和MAC后就有可能修改M中弱的部分，从而伪造出一个与原MAC 相匹配的新消息。 * 三、数据认证算法 数据认证算法是最为广泛使用的消息认证码中的一个，已作为 FIPS Publication（FIPS PUB 113）并被ANSI作为X9.17标准。 算法基于CBC模式的DES算法，其初始向量取为零向量。 需被认证的数据（消息、记录、文件或程序）被分为64比特长 的分组D1，D2，…，DN，其中最后一个分组不够64比特的话， 可在其右边填充一些0，然后按以下过程计算数据认证码 （见图6.2）： * 图6.2 数据认证算法 * 其中E为DES加密算法，K为密钥。 数据认证码或者取为ON或者取为ON的最左M个比特， 其中16≤M≤64。 * 第二节 杂凑函数 一、杂凑函数的定义及使用方式 杂凑函数H是一公开函数，用于将任意长的消息M 映射为较短的、固定长度的一个值H(M)，作为认证 符，称函数值H(M)为杂凑值、杂凑码或消息摘要。 杂凑码是消息中所有比特的函数，因此提供了一种 错误检测能力，即改变消息中任何一个比特或几个 比特都会使杂凑码发生改变。 1、杂凑函数的定义 * 2、杂凑函数的使用方式 基本使用方式，共有以下6种（图6.3） ① 消息与杂凑码链接后用单钥加密算法加密。由于所用密钥 仅为收发双方A、B共享，因此可保证消息的确来自A并且未 被篡改。同时还由于消息和杂凑码都被加密，这种方式还提 供了保密性，见图6.3(a)。 M H || E EK[M||H(M)] K D M H 比较 图6-3（a）杂凑函数使用方式之一 K * ② 用单钥加密算法仅对杂凑码加密。这种方式用于 不要求保密性的情况下，可减少处理负担。注意这 种方式和图6.1(a)的MAC结果完全一样，即将 EK[H(M)]看作一个函数，函数的输入为消息M和密 钥K，输出为固定长度，见图6.3(b)。 M H E EK[H(M)] K D M 比较 || K H 图6-3（b）杂凑函数使用方式之二 * M H E ESKA[H(M)] SKA D M 比较 || PKA H 图6-3（c）杂凑函数使用方式之三 ③ 用公钥加密算法和发送方的秘密钥仅加密杂凑码。 和②一样，这种方式提供认证性，又由于只有发送 方能产生加密的杂凑码，因此这种