第4章 信息安全.pptVIP

(1)填充消息。

首先将消息填充为512的整数倍，填充方法与MD5算法相同。与MD5算法不同的是SHA-1的输入为长度小于264bit的消息。

(2)初始化缓冲区。

初始化160bit的消息摘要缓冲区(即设定IV值)，该缓冲区用于保存中间和最终摘要结果。每个缓冲区由5个32bit的寄存器A、B、C、D、E组成，初始化为

A=67452301

B=EFCDAB89

C=98BADCFE

D=10325476

E=C2D2E1F0第30页，共44页，星期日，2025年，2月5日(3)处理512bit消息块Yq，进入主循环。

主循环的次数正好是消息中512bit的块的数目L。先从Y0开始，以上一循环的输出作为下一循环的输入，直到处理完YL-1为止。

主循环有4轮，每轮20次操作(MD5算法有4轮，每轮16次操作)。每次操作对A、B、C、D和E中的3个做一次非线性函数运算，然后进行与MD5算法中类似的移位运算和加运

算。第31页，共44页，星期日，2025年，2月5日第4章消息认证技术第4章信息安全第1页，共44页，星期日，2025年，2月5日消息摘要函数、散列函数或杂凑函数，记为h=H(M)。我们把Hash函数值h称为输入数据M的“数字指纹”。

Hash函数的这种单向性特征和输出数据长度固定的特征使得它可以用于检验消息的完整性是否遭到破坏。如果消息或数据被篡改，那么数字指纹就不正确了。4.1Hash函数第2页，共44页，星期日，2025年，2月5日用做消息认证的Hash函数具有如下一些性质:

(1)消息M可以是任意长度的数据。

(2)给定消息M，计算它的Hash函数值h=H(M)是很容易的。(3)任意给定，则很难找到M使得h=H(M)，即给出Hash函数值，要求输入M在计算上是不可行的。这说明Hash函数的运算过程是不可逆的，这种性质被称为函数的单向性。

(4)给定消息M和其Hash函数值H(M)，要找到另一个M′，且M′≠M，使得H(M)=H(M′)在计算上是不可行的，这条性质被称为抗弱碰撞性。第3页，共44页，星期日，2025年，2月5日抗弱碰撞性保证对于一个消息M及其Hash函数值，无法找到一个替代消息M′，使它的Hash函数值与给定的Hash函数值相同。这条性质可用于防止伪造。

抗强碰撞性对于消息Hash函数的安全性要求更高。

这条性质保证了对生日攻击方法的防御能力。第4页，共44页，星期日，2025年，2月5日碰撞性是指对于两个不同的消息M和M′，如果它们的摘要值相同，则发生了碰撞。

虽然可能的消息是无限的，但可能的摘要值却是有限的。如Hash函数MD5，其Hash函数值长度为128位，不同的Hash函数值个数为2128。因此，不同的消息可能会产生同一摘要，碰撞是可能存在的。但是，Hash函数要求用户不能按既定需要找到一个碰撞，意外的碰撞更是不太可能的。显然，从安全性的角度来看，Hash函数输出的比特越长，抗碰撞的安全强度越大。第5页，共44页，星期日，2025年，2月5日4.1.1一个简单的Hash函数

基于安全强度的需要，现有的Hash函数一般都十分复杂。本节我们介绍一个简单的Hash函数，便于建立对Hash函数的感性认识。

对于明文m，按每组n比特进行划分，如果最后一组长度不够，则补充0。不妨设划分为r组，mi={mi1，mi2，…，min}，1≤i≤r，mij=0或1，然后将各分组逐比特进行模2加运算，则输出为h={h1，h2，…，hn}，其中h1=m11+m21+…+mr1(mod2)，…，hn=m1n+m2n+…+mm(mod2)。从定义可见，hi表示所有分组的第i比特进行模2加，因此，若消息改变，摘要值也会随之改变。第6页，共44页，星期日，2025年，2月5日一个例外的情况是，若消息出错，而摘要值仍然不变的概率为2-n。当n充分大时，出错的概率或者说消息被篡改的概率非常小，视为小概率事件，可忽略不计。第7页，共44页，星期日，2025年，2月5日4.1.2完整性检验的一般方法

消息完整性检验的一般机制如图4-1-1所示。无论是存储文件还是传输文件，都需要同时存储