《应用密码学》课件10-认证理论与技术- Hash函数.ppt

*ρ变换的描述步骤ρ包含一个lane（道）内部的转换，目的是为提供一个slice（片）内部的离差，具体移位距离表。其变换如下：*?x=0x=1x=2x=3x=4y=001622827y=1364465520y=2310432539y=3414515218y=4182615614*π变换的描述π变换是一个在坐标(x,y)上的线性操作，变换如下所示：变换π是一个lane上的平移，具体如图7-14所示。π变换其实就是调换lanes上的各元素位置，以提供长期的扩散效应，若没有这一变换，Keccak-f将展现出周期性的踪迹。它在GF(2)上将lanes中原来的位置通过一个2×2的矩阵变换到另一个位置上，(0,0)位置不变。π在片上的操作是相互独立的，它也只是一个z轴上的不变体转换。**步骤χ的描述χ变换是Keccak-f中唯一的非线性映射，变换如下所示：其中“NOT”表示非运算，AND表示与运算没有χ变换，Keccak-f轮函数将变成线性。它可以被看成并行应用5w个S盒处理5-bit的各行。χ变换在所有方向上均是不变体转换。它的代数阶为2。这对于扩散来说至关重要。同时它仅用到了异或，与以及非三个简单的门操作**ι变换描述*****THEEND！**讲述每一种安全性要求的背景：数字签名，防止伪造签名！格子原理：n+1个物体放入n个格子，至少有1个格子中放入了两个物体。碰撞一定存在，且由于消息可以是任意长度，所以找到第二原像的概率更大！无理数的个数是无穷的，有理数的测度为零，所以直线上都是无理数点，但是，已知的无理数点没有找到几个抗碰撞则一定单向，单向不一定抗碰撞*Hash算法在不同的应用场景，设计方式也千差万别；例如，在数字签名的应用当中，对于不同的群，要求hash函数的值域不同，所以针对不同的应用，设计hash函数算法也是一个主要的研究方向。*70年代设计了很多hash函数，大多数都基于某个困难问题的单向函数设计，效率很慢；安全性也堪忧。*2004年之前的主要hash函数：MDx：Rivest等人设计；欧洲标准RIPEMD？（并行结构？）Sha系列：美国标准HAVAL：不函数的非线性性很强，中国人设计？Tiger？？Whirlpool：基于分组密码技术设计2004年至2005年，开始陆续被破译王教授的工作：在2004年公布了对MD4,MD5,HAVAL-128andRIPEMD等的碰撞攻击；引起轰动！！*例题3讲解*补充内容*SHA-2561.消息填充首先将比特“1”添加到消息的末尾，再添加k个零，这里k是方程l+1+k≡448mod512的最小的非负解.然后再添加一个64比特长的块，其值等于消息M的长度l的二进制表示.使得填充后的消息的长度为512比特的倍数.*SHA-2562SHA-256的初始变量这些初值由计算前8个素数的平方根的小数部分的前32位(二进制)生成3压缩函数的消息分组长度为512比特，压缩函数共64步变换.4输出散列值长度为256比特.*SHA-256*SHA-256SHA-256压缩函数第(i-1)块的输出链接变量a、b、c、d、e、f、g和h分别赋值：fort=0to63计算第i个Hash值H(i)：需要临时寄存器T1和T2*SHA-256SHA-256的消息编排当消息填充完成后，将消息块M(1)，M(2)，…，M(N)按序排列，然后执行以下步骤：Fori=1toN{**SHA-256SHA-256使用了6个逻辑函数，设x,y和z为3个32比特长的自变量，输出结果都是32比特长的字，逻辑函数定义如下：*SHA-256SHA-256的常数共使用了64个32位字长的常数，它们分别由最小的64个素数的三次方根的小数部分的前32位产生（二进制表示）428a2f98b5c0fbcfe9b5dba53956c25b59f111f1923f82a4ab1c5ed5d807aa9812835b01243185be550c7dc372be5d7480deb1fe9bdc06a7c19bf174e49b69c1efbe47860fc19dc6240ca1cc2de92c6f4a7484aa5cb0a9dc76f988da983e5152a831c66db00327c8bf597fc7c6e00bf3