信息技术--赵泽茂--第四章

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

第4章消息认证技术4.1Hash函数4.2消息认证码4.3MD5算法4.4SHA-1算法4.5Hash函数的攻击分析小结习题第4章消息认证技术消息摘要函数、散列函数或杂凑函数,记为h=H(M)。我们把Hash函数值h称为输入数据M的“数字指纹”Hash函数的这种单向性特征和输出数据长度固定的特征使得它可以用于检验消息的完整性是否遭到破坏。如果消息4.1Hash函数第4章消息认证技术用做消息认证的Hash函数具有如下一些性质:(1)消息M(2)给定消息M,计算它的Hash函数值h=H(M)是很容易的。(3)任意给定,则很难找到M使得h=H(M),即给出Hash函数值,要求输入M在计算上是不可行的。这说明Hash函数的运算过程是不可逆的,这种性质被称为函数的单向性。(4)给定消息M和其Hash函数值H(M),要找到另一个M′,且M′≠M,使得H(M)=H(M′)在计算上是不可行的,这条性质第4章消息认证技术抗弱碰撞性保证对于一个消息M及其Hash函数值,无法找到一个替代消息M′,使它的Hash函数值与给定的Hash函数抗强碰撞性对于消息Hash函数的安全性要求更高。第4章消息认证技术碰撞性是指对于两个不同的消息M和M′,如果它们的摘要值相同,则发生了碰撞。虽然可能的消息是无限的,但可能的摘要值却是有限的。如Hash函数MD5,其Hash函数值长度为128位,不同的Hash函数值个数为2128。因此,不同的消息可能会产生同一摘要,碰撞是可能存在的。但是,Hash函数要求用户不能按既定需要找到一个碰撞,意外的碰撞更是不太可能的。显然,从安全性的角度来看,Hash函数输出的比特越长,抗碰撞的安全第4章消息认证技术4.1.1一个简单的Hash基于安全强度的需要,现有的Hash函数一般都十分复杂。本节我们介绍一个简单的Hash函数,便于建立对Hash函数的对于明文m,按每组n比特进行划分,如果最后一组长度不够,则补充0。不妨设划分为r组,mi={mi1,mi2,…,min},1≤i≤r,mij=0或1,然后将各分组逐比特进行模2加运算,则输出为h={h1,h2,…,hn},其中h1=m11+m21+…+mr1(mod2),…,hn=m1n+m2n+…+mm(mod2)。从定义可见,hi表示所有分组的第i比特进行模2加,因此,若消息改变,摘第4章消息认证技术一个例外的情况是,若消息出错,而摘要值仍然不变的概率为2-n。当n充分大时,出错的概率或者说消息被篡改的第4章消息认证技术4.1.2消息完整性检验的一般机制如图4-1-1所示。无论是存储文件还是传输文件,都需要同时存储或发送该文件的数字指纹;验证时,对于实际得到的文件重新产生其数字指纹,再与原数字指纹进行对比,如果一致,则说明文件是完整的,否则,是不完整的。第4章消息认证技术图4-1-1消息完整性检验的一般机制第4章消息认证技术在4.1节中我们简单介绍了消息的完整性检验,这只能检验消息是否是完整的,不能说明消息是否是伪造的。因为,一个伪造的消息与其对应的数字指纹也是匹配的。消息认证具有两层含义:一是检验消息的来源是真实的,即对消息的发送者的身份进行认证;二是检验消息是完整的,即验证消息在传送或存储过程中未被篡改、删除或插入等。4.2消息认证码第4章消息认证技术产生消息的数字指纹的方法很多。当需要进行消息认证时,仅有消息作为输入是不够的,需要加入密钥K,这就是消息认证的原理。能否认证,关键在于信息发送者或信息提供者是否拥有密钥K消息认证码(MessageAuthenticationCode,MAC)通常表MAC=CK(M)其中:M是长度可变的消息;K是收、发双方共享的密钥;函数值CK(M)是定长的认证码,也称为密码校验和。MAC是带密钥的消息摘要函数,即一种带密钥的数字指纹,它与不带第4章消息认证技术1.认证码被附加到消息后以M‖MAC方式一并发送,接收方通过重新计算MAC以实现对M的认证,如图4-2-1所示。第4章消息认证技术图4-2-1消息认证第4章消息认证技术假定收、发双方共享密钥K,如果接收方收到的MAC与计算得出的MAC一致,那么可以得出如下结论:(1)接收方确信消息M(2)接收方确信消息来自所声称的发送者,因为没有其他人知道这个共享密钥,所以其他人也就不可能为消息M附加合适的MAC第4章消息认证技术2.在消息认证中,消息以明文方式传送,这一过程只提供认证而不具备保密性。如图4-2-2所示提供了一种既加密又认证的方式,发送方发送EK2(M)‖CK1(M)。该种处理方式除具备息认证的功能外,还具有保密性。第4章消息认证技术图4-2-2消息认证与保密第4章消息认证技术3.改变消息认证与保密中加密的位置,得到另外一种消息保密与认证方式,即密文认证,如图4-2-3所示。该种处理方式先对消息进行加密,然后再对密文计算MAC,传送EK2(M)‖CK1(EK2(M))给接收方。接收方先对收到的密文进行认证,认证成功后,再解密。第4章消息认证技术图4-2-3密文认证第4章消息认证技术MD表示消息摘要(MessageDigest,MD)。MD4算法是1990年由RonRivest设计的一个消息摘要算法,该算法的设计不依赖于任何密码体制,采用分组方式进行各种逻辑运算而得到。1991年MD4算法又得到了进一步的改进,改进后的算法就是MD5算法。MD5算法以512bit为一块的方式处理输入的消息文本,每个块又划分为16个32bit的子块。算法的输出是由4个32bit的块组成的,将它们级联成一个128bit的摘要值。MD5算法如图4-3-14.3MD5算法第4章消息认证技术图4-3-1MD5算法第4章消息认证技术(1)填充消息使其长度正好为512bit的整数倍L。首先在消息的末尾处附上64bit的消息长度的二进制表示,大小为n(mod264),n表示消息长度。然后在消息后面填充一个“1”和多个“0”,填充后的消息恰好是512bit的整数倍长L。Y0,Y1,…,YL-1表示不同的512bit长的消息块,用M[0],M[1],…,M[N-1]表示各个Yq中按32bit分组的字,N一定是16第4章消息认证技术(2)初始化缓冲区。算法中使用了128bit的缓冲区,每个缓冲区由4个32bit的寄存器A、B、C、D组成,先把这4A=01234567B=89ABCDEFC=FEDCBA98D=76543210第4章消息认证技术(3)处理512bit消息块Yq,进入主循环。主循环的次数正好是消息中512bit的块的数目L。先从Y0开始,上一循环的输出作为下一循环的输入,直到处理完YL-1消息块Yq的处理,以当前的512bit数据块Yq和128bit缓冲值A、B、C、D作为输入,并修改缓冲值的内容。消息块的处理包含4轮操作,每一轮由16次迭代操作组成,上一轮的输出作为下一轮的输入,如图4-3-2所示。4轮处理具有相似的结构,但每轮处理使用不同的非线性函数,如图4-3-3所第4章消息认证技术图4-3-2消息块处理的主循环第4章消息认证技术图4-3-3某一轮的执行过程第4章消息认证技术4F(X,Y,Z)=(X∧Y)∨(∧Z)G(X,Y,Z)=(X∧Z)∨(Y∧)H(X,Y,Z)=XYZI(X,Y,Z)=Y(X∨)各种运算符号的含义:X∧Y表示X与Y按位逻辑“与”;X∨Y表示X与Y按位逻辑“或”;XY表示X与Y按位逻辑“异或”;表示X按位逻辑“补”;X+Y表示整数模232加法运算;Xs表示将X循环左移sXZZ第4章消息认证技术常数表T[i](1≤i≤64)共有64个元素,每个元素长为32bit,T[i]=232×ABS(sin(i)),其中i处理每一个消息块Yi时,每一轮使用常数表T[i]中的16个,正好用4(4)输出。每一轮不断地更新缓冲区A、B、C、D中的内容,4轮之后进入下一个主循环,直到处理完所有消息块为止。最后输出的就是运算结束时缓冲区中的内容。第4章消息认证技术SHA(SecureHashAlgorithm,SHA)由美国NIST开发,作为联邦信息处理标准于1993年发表,1995年修订后,成为SHA1版本。SHA1算法在设计方面基本上是模仿MD5算法,如图4-4-1所示,包含以下几个过程。4.4SHA-1算法第4章消息认证技术图4-4-1SHA-1算法第4章消息认证技术(1)填充消息。首先将消息填充为512的整数倍,填充方法与MD5算法相同。与MD5算法不同的是SHA-1的输入为长度小于264bit的消息。(2)初始化缓冲区。初始化160bit的消息摘要缓冲区(即设定IV值),该缓冲区用于保存中间和最终摘要结果。每个缓冲区由5个32bit的寄存器A、B、C、D、EA=67452301B=EFCDAB89C=98BADCFED=10325476E=C2D2E1F0第4章消息认证技术(3)处理512bit消息块Yq,进入主循环。主循环的次数正好是消息中512bit的块的数目L。先从Y0开始,以上一循环的输出作为下一循环的输入,直到处理完YL-1主循环有4轮,每轮20次操作(MD5算法有4轮,每轮16次操作)。每次操作对A、B、C、D和E中的3个做一次非线性函数运算,然后进行与MD5算法中类似的移位运算和加运第4章消息认证技术ft(X,Y,Z)=(X∧Y)∨(∧Z)(0≤t≤19)ft(X,Y,Z)=XYZ(20≤t≤39)ft(X,Y,Z)=(X∧Y)∨(X∧Z)∨(Y∧Z)(40≤t≤59)ft(X,Y,Z)=XYZ(60≤t≤79)该算法使用了常数序列Kt(0≤t≤79)Kt=5a827999(0≤t≤19)Kt=6ed9eba1(20≤t≤39)Kt=8f1bbcdc(40≤t≤59)Kt=ca62c1d6(60≤t≤79)X第4章消息认证技术用下面的算法将消息块从16个32bit子块变成80个32bit子块(W0到W79):Wt=Mt(0≤t≤15)Wt=(Wt-3Wt-8Wt-14Wt-16)1(16≤t≤79)第4章消息认证技术该算法主循环4轮,每轮20次,0≤t≤79,每一次的变换的基本形式是相同的:A←(E+ft(B,C,D))+(A5)+Wt+KtB=AC=(B30)D=CE=D其中:(A5)表示寄存器A循环左移5bit,(B30)表示寄存器K循环左移30bit。80次处理完后,处理下一个512bit的数据块,直到处理完YL-1为止。最后输出A‖B‖C‖D‖E级联后的结果。SHA-1算法与MD5算法的比较如表4-4-1第4章消息认证技术表4-4-1SHA-1算法与MD5算法的比较第4章消息认证技术Hash函数须满足4.1节的5条性质,然而,抗强碰撞性对于消息Hash函数的安全性要求是非常高的。例如,MD5算法输出的Hash函数值总数为2128,SHA-1算法输出的Hash函数值总数为2160,这说明可能Hash函数值是有限的,而输入的评价Hash函数的一个最好的方法是看攻击者找到一对碰撞消息所花的代价有多大。一般地,假设攻击者知道Hash函数,攻击者的主要目标是找到一对或更多对碰撞消息。目前已有一些攻击Hash函数的方案和计算碰撞消息的方法,这些方法中的生日攻击方法可用于攻击任何类型的Hash函数4.5Hash第4章消息认证技术生日攻击方法只依赖于消息摘要的长度,即Hash函数值的长度。生日攻击给出消息摘要长度的一个下界。一个40bit长的消息摘要是很不安全的,因为仅仅用220(大约一百万)次Hash函数值的随机计算就可至少以1/2的概率找到一对碰撞。为了抵抗生日攻击,通常建议消息摘要的长度至少应为128bit,此时生日攻击需要约264次Hash第4章消息认证技术除生日攻击法外,对一些类型的Hash函数还有一些特殊的攻击方法,例如,中间相遇攻击法、修正分组攻击法和差分分析法等。值得一提的是,山东大学王小云教授等人于2004年8月在美国加州召开的国际密码大会(Crypto’2004)上所做的Hash函数研究报告中指出,他们已成功破译了MD4、MD

1 / 44
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功