《物联网信息安全》_第2章 5信息认证技术3)－散列函数与报文鉴别.pptVIP

第4次循环的输出加到第1次循环的输入(CVq)上产生CVq+1。相加是缓存中4个字分别与CVq中对应的4个字以模232相加。(5)输出。所有L个512bit的分组处理完成后，第L阶段产生的输出便是128bit的报文摘要。Return4.5安全散列算法SHA安全的散列算法(SHA)由美国国家标准和技术协会(NIST)提出,并作为联邦信息处理标准在1993年公布；1995年又发布了一个修订版称为SHA-1。SHA-1算法输入报文的最大长度不超过264bit，产生的输出是一个160位的报文摘要，输入按512bit分组进行处理。一个报文的总体处理过程与MD5相似。算法描述：计算报文长度：将64位分组附加到报文后面，其值等于初始报文的位长度。填充：与MD5相同，1-512位。初始化MD缓存：使用一个160位的缓存来存放散列函数的的中间及最终结果。该缓存可表示为5个32位的寄存器A、B、C、D、E。其初始值为：AB=EFCDAB89C=98BADCFEDE=C3D2E1F0处理512位报文分组序列：算法的核心是一个包含4个循环的模块，每个循环由20个步骤组成。第4个循环(第80步)的输出加到第一循环的输入(CVq)产生CVq+1。缓存中5个字分别与CVq中的5个字以模232相加。输出：所有L个512位的分组处理完毕后，第L个阶段产生的输出便是160位的报文摘要。，对0≤t≤15，对16≤t≤79SHA-1与MD5比较两者很相似，都是由MD4导出，其强度和特点也类似。对强行攻击的安全性：由于SHA-1的摘要比MD5长32位，因此SHA-1对强行攻击有更大的强度。速度：SHA-1比MD5慢。简单性与紧凑性：两个算法均描述简单，易于实现。Return4.6报文鉴别码MAC问题：一般的散列函数都没有使用密码，这样，任何一个人都能根据自己的需要产生任何一个报文的散列值。这种状况有时是不期望看到的。 例如：有时用户可能不希望对文件进行加密，但同时又希望能够确保文件不被修改，或在文件被修改时能够发现。如果使用散列函数，由于任何人都可能在修改文件后产生新的散列函数值，从而使用户无法确定文件是否未经修改。解决问题的方法：1)在传统的常规加密算法基础上改进得到相关算法。2)采用需要密钥的散列函数这类需使用密钥的散列函数或改进算法通常称为报文鉴别码MAC。报文鉴别码具有与前面所讲的散列函数相同的特性，但报文鉴别码使用了一个密钥，只有具有该密钥的人才能生成报文鉴别码。1、一个基于DES的数据鉴别算法该算法定义为以密码分组链接(CBC)为操作方式的用“0”作为初始化向量的DES。被鉴别的数据(报文、文件)被分为连续的64位分组D1、D2、…、DN。如果需要，用“0”填充最后分组的右边形成64位的分组。采用DES算法、密钥K，生成报文鉴别码的过程见下图。以下算法是FIPSPUB113和ANSIX9.17标准DAC=SM(ON)，16≤M≤64。DES加密K时刻=1D164O16456DES加密K时刻=2D264O264DES加密K时刻=N-1DN-164ON-164DES加密K时刻=NDN64ON64MAC2、HMAC算法上述算法是常规构建MAC常用的方法。但使用散列函数构建MAC在许多方面优于上述方法。MD5和SHA-1软件的执行速度快于DES等对称分组密码。容易获得密码散列函数的库代码。美国等国家对密码散列函数没有出口限制，而对称分组密码则有限制。散列函数不是针对MAC设计的，不能直接使用，因为散列函数并不依赖于一个密钥，需要将一个密钥与一个现有的散列函数结合起来。HMAC较成功。HMAC的设计目标：无需修改地使用现有散列函数。当出现更快或更安全的散列函数时，对算法中嵌入的散列函数要能容易地进行替换。不会导致算法性能的降低。使用和处理密钥的方式简单。对鉴别机制的强度有一个易懂的密码编码分析。HMAC算法假设HMAC算法嵌入的散列函数为H，并设其每次处理的输入分组长度为b比特(对MD5与SHA而言，b=512)，最后的输出长度为n比特(当使用散列函数MD5时，n=128；而使用S