1、第七章 消息认证和杂凑算法Message Authentication and Hash Algorithms2022-10-241杂凑函数Hash Functions2022-10-242SHA与MD5的比较n抗穷搜索能力抗穷搜索能力n寻找指定寻找指定hashhash值,值,SHASHA:O(2O(2160160),MD5MD5:O(2O(2128128)n生日攻击:生日攻击:SHASHA:O(2O(28080),MD5MD5:O(2O(26464)n抗密码分析攻击的强度抗密码分析攻击的强度nSHASHA似乎高于似乎高于MD5MD5n速度速度nSHASHA较较MD5MD5慢慢n简捷与紧致性简
2、捷与紧致性n描述都比较简单,都不需要大的程序和代换表描述都比较简单,都不需要大的程序和代换表2022-10-243HMAC算法2022-10-244HMAC的设计目标nHash函数不使用密钥,不能直接用于MACnHMAC要求n可不经修改使用现有hash函数n其中镶嵌的hash函数可易于替换为更快和更安全的hash函数n保持镶嵌的hash函数的最初性能,不因适用于HAMC而使其性能降低n以简单方式使用和处理密钥n在对镶嵌的hash函数合理假设的基础上,易于分析HMAC用于认证时的密码强度2022-10-245算法描述Ipad:b/8个00110110Opad:b/8个01011010K+:左面经
3、填充0后的K.K的长度为b比特2022-10-246HMAC的安全性n取决于取决于hashhash函数的安全性函数的安全性n证明了算法强度和嵌入的证明了算法强度和嵌入的hashhash函数强度函数强度的确切关系,即证明了对的确切关系,即证明了对HMACHMAC攻击等攻击等价于对内嵌价于对内嵌hashhash函数的下述两种攻击函数的下述两种攻击n攻击者能够计算压缩函数的一个输出,即使攻击者能够计算压缩函数的一个输出,即使IVIV是秘密的和随机的是秘密的和随机的n攻击者能够找出攻击者能够找出hashhash函数的碰撞,即使函数的碰撞,即使IVIV是是随机的和秘密的。随机的和秘密的。2022-10-
4、247第八章 数字签字和密码协议2022-10-248n数字签字的基本概念n数字签字标准n其他签字方案n认证协议n身份证明技术n其他密码协议2022-10-249数字签字的基本概念2022-10-2410数字签字应具有的性质n能够验证签字产生者的身份,以及产生能够验证签字产生者的身份,以及产生签字的日期和时间签字的日期和时间n能用于证实被签消息的内容能用于证实被签消息的内容n数字签字可由第三方验证,从而能够解数字签字可由第三方验证,从而能够解决通信双方的争议决通信双方的争议2022-10-2411数字签字应满足的要求n签字的产生必须使用发方独有的一些信签字的产生必须使用发方独有的一些信息以防止
5、伪造和否认息以防止伪造和否认n签字的产生应较为容易签字的产生应较为容易n签字的识别和验证应较为容易签字的识别和验证应较为容易n对已知的数字签字构造一些新的消息或对已知的数字签字构造一些新的消息或对已知的消息构造一假冒的数字签字在对已知的消息构造一假冒的数字签字在计算上都是不可行的计算上都是不可行的2022-10-2412消息认证码的不足n可以保护通信双方以防止第可以保护通信双方以防止第3 3者攻击,不者攻击,不能保护通信双方中一方防止另一方的欺能保护通信双方中一方防止另一方的欺骗和伪造。骗和伪造。nB B伪造一个消息并使用于伪造一个消息并使用于A A共享的密钥产生该共享的密钥产生该消息的认证码
6、,然后生成该消息来自于消息的认证码,然后生成该消息来自于A AnB B有可能伪造有可能伪造A A发来的消息,所以发来的消息,所以A A就可以对就可以对自己发过的消息予以否认自己发过的消息予以否认2022-10-2413数字签字的产生方式n由加密算法产生数字签字由加密算法产生数字签字n由签字算法产生数字签字由签字算法产生数字签字2022-10-2414由加密算法产生数字签字n单钥加密单钥加密n向向B B保证收到的消息确实来自保证收到的消息确实来自A AnB B恢复恢复MM后,可相信后,可相信B B未被窜改,否则未被窜改,否则B B将将得到无意义的比特序列得到无意义的比特序列MMEKMEKDK20
7、22-10-2415由加密算法产生数字签字n公钥加密MMESKAMEASKDPKA只有A才能用SKA加密,可使B相信消息来自A,不提供保密性MMESKAMEASKDPKAEPKBMEEABSKPKDSKBMEASK提供保密性和认证性2022-10-2416由加密算法产生数字签字nRSARSA签字体制签字体制n体制参数体制参数n大素数大素数p,qp,q,n=n=p pq q,y y(n(n)=(p-1)(q-1)=(p-1)(q-1)。选整数。选整数1e 1e y y(n(n),),且且gcd(egcd(e,y y(n(n)=1;)=1;计算计算d d满足满足dede1 mod 1 mod y
8、y(n(n).).e,ne,n 为公开密钥,为公开密钥,d,nd,n 为秘密密钥。为秘密密钥。n签字过程签字过程nS=S=MMd d mod n mod nn验证过程验证过程nM=SM=Se e mod n mod nn实际应用中加密是对实际应用中加密是对H(M)H(M)进行的。进行的。2022-10-2417由加密算法产生数字签字n外部保密外部保密n数字签字直接对需要签字的消息生成数字签字直接对需要签字的消息生成n内部保密内部保密n数字签字对已加密的消息产生数字签字对已加密的消息产生n外部保密有利于争议的解决。外部保密有利于争议的解决。2022-10-2418由签字算法产生数字签字签字体制签
9、字体制=(=(M M,S S,K K,V V)M:M:明文空间,明文空间,S:S:签字的集合,签字的集合,K:K:密钥空间,密钥空间,V V:证证实函数的值域,由真、伪组成。实函数的值域,由真、伪组成。(1)(1)签字算法签字算法:对每一对每一MM MM和和每一每一k k K K,易于计算对易于计算对MM的签的签字字 S=S=SigSigk k(MM)S S 签字算法或签字密钥是秘密的,只有签字人掌签字算法或签字密钥是秘密的,只有签字人掌握;握;(2)2)验证算法验证算法:VerVerk k(S S,M,M)真,伪真,伪=0=0,1 1 2022-10-2419由签字算法产生数字签字 体制的安
10、全性:从M和其签字S难于推出K或伪造一个M使M和S可被证实为真。与消息加密不同点:消息加密和解密可能是一次性的,它要求在解密之前是安全的;而一个签字的消息可能作为一个法律上的文件,如合同等,很可能在对消息签署多年之后才验证其签字,且可能需要多次验证此签字。VerM SSSig MSSig Mk(,)()()真,当伪,当2022-10-2420数字签字的执行方式n直接方式直接方式 数字签字的执行过程只有通信的双方参数字签字的执行过程只有通信的双方参与,并假定双方有共享的秘密密钥或者与,并假定双方有共享的秘密密钥或者接收一方知道发送方的公开钥。接收一方知道发送方的公开钥。n缺点:方案的有效性取决于发方密钥的缺点:方案的有效性取决于发方密钥的安全性。安全性。n发方可声称秘密钥丢失或被窃发方可声称秘密钥丢失或被窃2022-10-2421
