第18讲 消息认证和散列函数.ppt

*散列函数应满足以下条件：①函数的输入可以是任意长。②函数的输出是固定长。③已知x，求H(x)较为容易，可用硬件或软件实现。这三个条件是散列函数能用于消息认证的基本要求。散列函数应满足的条件④已知h，求使得H(x)=h的x在计算上是不可行的这一性质称为函数的单向性，称H(x)为单向散列函数。第28页，共44页，星期日，2025年，2月5日*散列函数应满足的条件⑥找出任意两个不同的输入x、y，使得H(y)=H(x)在计算上是不可行的。如果单向散列函数满足这一性质，则称其为强单向散列函数。第6个条件用于抵抗生日攻击。第⑤和第⑥个条件给出了散列函数无碰撞性的概念如果散列函数对不同的输入可产生相同的输出，则称该函数具有碰撞性。⑤已知x，找出y(y≠x)使得H(y)=H(x)在计算上是不可行的。如果单向散列函数满足这一性质，则称其为弱单向散列函数。这使得敌手无法在已知某个消息时，找到与该消息具有相同杂凑值的另一消息，防止敌手的伪造。MD5第29页，共44页，星期日，2025年，2月5日*Hash函数的两种穷举攻击－－生日问题附录中第Ⅰ类生日攻击一是给定消息的Hash函数H（x），破译者逐个生成其他文件y，以使H（x）=H（y）第Ⅱ类生日攻击二是攻击者寻找两个随机的消息：x，y，并使H（x）=H（y）在一个教室中最少应有多少学生才使得找一个学生与某人生日（该人也在教室）相同的概率不小于1/2？在一个教室中最少应有多少学生才使得至少有两个学生的生日在同一天的概率不小于1/2？第30页，共44页，星期日，2025年，2月5日*在一个教室中最少应有多少学生才使得找一个学生与某学生生日（该学生也在教室）相同的概率不小于1/2？教室中有k人：一同学（给定）生日为某天；其他某个同学不是和他同一天生的概率是364/365（1-1/365）随机取k个人与该同学都不同生日的概率是(364/365)k所以随机取k个人至少有一个人与该同学同生日的概率是1-(364/365)k254第31页，共44页，星期日，2025年，2月5日第1页，共44页，星期日，2025年，2月5日*攻击的类型攻击主动攻击被动攻击获取消息的内容业务流分析假冒重放篡改抗击被动攻击的方法是前面已介绍过的加密抗击主动攻击的方法是本章介绍的消息认证第2页，共44页，星期日，2025年，2月5日*用来验证消息的真实性 的确是由它所声称的实体发来的2 用来验证消息的完整性 未被篡改、插入、删除3用来验证消息的顺序性和时间性 未重排、重放、延迟用来验证消息的不可否认性 防止通信双方中的某一方对所传输消息的否认认证的功能第3页，共44页，星期日，2025年，2月5日*1.消息加密： 整个消息的密文作为认证符2.消息认证码（密码校验和）：（MAC－MessageAuthenticationCode)以消息和密钥作为公开函数的输入，产生定长的输出，并以此输出值作为认证标识。3.杂凑/散列函数(Hashfunction)：是一个不需要密钥的公开函数，它将任意长度的输入消息映射成一个固定长度的输出值，并以此值作为认证标识。认证的实现：认证符第4页，共44页，星期日，2025年，2月5日*消息加密——对称加密能够提供认证？由于密钥没有第三方知道，所以接收方应该可以确信消息的来源真实性。这并不绝对，因为存在一种可能性，是对密文的篡改。问题：对密文的篡改，能否一定被察觉？第5页，共44页，星期日，2025年，2月5日能够察觉的举例CBC模式加密得到密文某处被窜改，导致其后续部分解密失败 #opensslenc-e-des-cbc-in2.txt-out2.out #opensslenc-d-des-cbc-in2modi.out-out2modi.txt第6页，共44页，星期日，2025年，2月5日不能够察觉的举例rc4加密中，对密文部分比特的窜改导致明文对应部分解密错误另外，精心伪造的密文可能恰好解密为有效的明文结论：加密并不能完全抵抗篡改或假冒第7页，共44页，星期日，2025年，2月5日教训：对密文的保护在加密之前，给明文添加结构特征 x||h(x) //h=crc,md5,sha1加密 E(x||h(x),k)=y传输有可能出错或被窜改y会变做y’解密判断是否依旧符合x||h(x)的结构特征第8页，共44页，星期日，2025年，2月5日公钥加密A使用B的公钥加密消息，能否提