【正文】 1 第五章消息認(rèn)證、數(shù)字簽名和密鑰管理 ? 一 . 基本要求與基本知識(shí)點(diǎn) ? （ 1）掌握認(rèn)證基本概念及方法； ? （ 2）掌握數(shù)字簽名過程及算法； ? （ 3）掌握密鑰分配方法。 ? 二 . 教學(xué)重點(diǎn)與難點(diǎn) ? （ 1）認(rèn)證； ? （ 2）消息認(rèn)證碼； ? （ 3） Hash函數(shù)； ? （ 4） MD5和 HMAC算法； ? （ 5）數(shù)字簽名及 DSA算法； ? （ 6）對(duì)稱密鑰和公鑰分配方法。 2 ? 加密是為了保證消息的保密性，而認(rèn)證則是防止主動(dòng)攻擊的重要技術(shù)，是用于保證消息的完整性。常見的認(rèn)證技術(shù)包括消息認(rèn)證碼（ MAC）和安全散列函數(shù)（ Hash函數(shù)）。 ? 認(rèn)證的目的主要有： ? 第一，驗(yàn)證消息的 發(fā)送者 是合法的，不是冒充的，這稱為 實(shí)體認(rèn)證 ，包括對(duì)信源、信宿等的認(rèn)證和識(shí)別； ? 第二，驗(yàn)證 信息本身 的完整性，這稱為 消息認(rèn)證 ，驗(yàn)證數(shù)據(jù)在傳送或存儲(chǔ)過程中沒有被篡改、重放或延遲等。 3 ? 一個(gè)基本的認(rèn)證系統(tǒng)模型如圖 51所示：發(fā)送者通過一個(gè)公開信道將信息傳給接收者，接收者在收到消息的同時(shí)，還收到認(rèn)證碼，用于驗(yàn)證消息是否來自合法的發(fā)送者以及消息是否被篡改。 圖 51 基本的認(rèn)證系統(tǒng)模型 4 ? 認(rèn)證碼是具有認(rèn)證功能的數(shù)值，常用的產(chǎn)生認(rèn)證碼的函數(shù)有兩類： ? 消息認(rèn)證碼 MAC（ Message Authentication Code）：它是消息和密鑰的函數(shù)，產(chǎn)生定長的值，該值作為消息的認(rèn)證碼。 ? 散列函數(shù) （ Hash函數(shù)）：它是將任意長度的消息映射為定長的 Hash值的函數(shù)，以該 Hash值作為認(rèn)證碼。 5 消息認(rèn)證碼 ? 消息認(rèn)證碼，簡稱 MAC (Message Authentication Code)，是一種 使用密鑰 的認(rèn)證技術(shù)，它利用密鑰來生成一個(gè) 固定長度 的短數(shù)據(jù)塊，并將該數(shù)據(jù)塊附加在消息之后，也稱為 密碼校驗(yàn)和 。 ? 在這種方法中假定通信雙方 A和 B共享密鑰 K。若 A向B發(fā)送消息 M時(shí)，則 A使用 消息 M和 密鑰 K， 計(jì)算MAC＝ C(K， M)。其中， M是輸入的消息，可變長；C是消息認(rèn)證碼函數(shù)； K是共享密鑰； MAC是消息認(rèn)證碼。 ? 只有擁有密鑰的消息發(fā)送方和接收方可以 生成 消息認(rèn)證碼和 驗(yàn)證 消息的完整性。如圖 52所示，為消息認(rèn)證碼的使用。 6 圖 52 認(rèn)證性 7 消息認(rèn)證碼 ? （ 1）發(fā)送方將消息 M和 MAC一起發(fā)送給接收方。 ? （ 2）接收方受到消息后，假設(shè)為 M39。，使用相同的密鑰 K，計(jì)算新的 MAC39。= C(K， M39。)，比較 MAC39。和所受到的 MAC。如果計(jì)算得出的 MAC39。和收到的 MAC是相同的，則可認(rèn)為： ? 接收方可以相信消息未被修改。因?yàn)槿艄粽叽鄹牧讼?，他必須同時(shí)相應(yīng)地修改 MAC值，但攻擊者不知道密鑰，因此他不能在篡改消息后相應(yīng)地篡改 MAC，而如果僅篡改消息，則接收方計(jì)算的新 MAC39。將與收到的不同。 ? 接收方可以相信消息來自與真正的發(fā)送方。因?yàn)槠渌鞣骄恢烂荑€，他們不能產(chǎn)生具有正確MAC的消息。 8 消息認(rèn)證碼 ? 圖 52 給出的消息認(rèn)證碼的使用只是對(duì)傳送消息提供單純的認(rèn)證性，它還可以和加密函數(shù)一起提供消息認(rèn)證和保密性，如圖 53所示。 ? （ 1）發(fā)送方先計(jì)算消息 M的認(rèn)證碼，然后使用加密秘鑰將消息和認(rèn)證碼一并加密； ? （ 2）接收方收到后，先解密得到的消息及其認(rèn)證碼，再計(jì)算解密所得消息的新認(rèn)證碼，驗(yàn)證新認(rèn)證碼和收到的認(rèn)證碼是否匹配，如果匹配則表示消息在傳輸過程中沒有被改動(dòng)。 ? MAC函數(shù)和加密函數(shù)類似，不同之處是 MAC函數(shù)不必是可逆的 而 加密函數(shù)必須是可逆的 ，因此與加密函數(shù)相比更不易被攻破。 9 圖 53 認(rèn)證性和保密性 10 Hash函數(shù) ? Hash函數(shù) (也稱散列函數(shù)或雜湊函數(shù) )是將 任意長 的輸入消息作為輸入，生成一個(gè) 固定長 的輸出串的函數(shù)，即 h=H(m)。這個(gè)輸出串 h稱為該消息的散列值（或消息摘要，或雜湊值）。 ? 安全的 Hash函數(shù)的要求： ? H可以應(yīng)用于任意長度的數(shù)據(jù)塊，產(chǎn)生固定長度的散列值； ? 對(duì)每一個(gè)給定的輸入 m，計(jì)算 H(m)是很容易的； ? 給定 Hash函數(shù)的描述，對(duì)于給定的散列值 h，找到滿足 H(m) = h的 m在計(jì)算上是不可行的（單向性，保證攻擊者無法通過散列值 h獲得消息 m）； ? 給定 Hash函數(shù)的描述，對(duì)于給定的消息 m1，找到滿足 m2?m1且 H(m2)=H(m1)的 m2，在計(jì)算上是不可行的（ 弱抗碰撞性 ，保證攻擊者無法實(shí)現(xiàn)在不修改散列值的情況下替換消息。）； 11 Hash函數(shù) ? 給定 Hash函數(shù)的描述，找到任何滿足H(m1)=H(m2)且 m1 ? m2的消息對(duì) (m1， m2)，在計(jì)算上是不可行的（ 強(qiáng)抗碰撞性 ）。 ? Hash函數(shù) 的值只是 輸入消息 的函數(shù)， 無需輸入密碼 ，只要輸入消息有任何變化，就會(huì)導(dǎo)致不同的散列值輸出，因此將 Hash函數(shù)的值作為 認(rèn)證碼 ， 用于實(shí)現(xiàn) 消息認(rèn)證 。 ? 但 Hash函數(shù) 沒有密鑰，在 Hash函數(shù) 公開的情況下，任何人都可以根據(jù)輸入的消息計(jì)算其散列值 h。故在安全通信中，常常需要將密鑰或秘密信息與 Hash函數(shù) 結(jié)合起來對(duì)消息認(rèn)證。 ? 在安全通信中， Hash函數(shù)和對(duì)稱密碼、非對(duì)稱密碼結(jié)合使用提供認(rèn)證性 。如圖 54是幾種 Hash函數(shù)用于認(rèn)證的基本應(yīng)用。 12 圖 54 Hash函數(shù)用于認(rèn)證的基本應(yīng)用 13 Hash函數(shù) ? 圖 54(a)， 先使用 Hash函數(shù)計(jì)算消息 M的散列值 ， 再使用發(fā)送方的私鑰 PRa對(duì)消息的散列值進(jìn)行數(shù)字簽名 ，既提供消息的認(rèn)證性 ， 又保證效率 （ 不是對(duì) M數(shù)字簽名 ， 而是對(duì) M的散列值數(shù)字簽名 ） 。 ? 圖 54(b)， 是采用對(duì)稱密碼先使用 Hash函數(shù)計(jì)算消息 M的散列值 ， 再使用密鑰 K對(duì)消息的散列值進(jìn)行加密 ， 該認(rèn)證方式類似于 MAC。 ? 圖 54(c)， 提供了保密性和認(rèn)證性 。 14 MD5 MD5算法 ? MD5的輸入可以是任意長度的消息，其輸出是 128位的消息散列值。 ? MD5的所有基本運(yùn)算都是針對(duì) 32位運(yùn)算單元的。算法主要過程如圖 55所示。 ? （ 1）添加 填充位 ：任意長度 L的消息首先需要進(jìn)行填充處理，使得填充后的消息總長度與 448模 512同余（即填充后的消息長度 ?448 mod 512）。 ? 填充的方法是在消息后面添加一位 “ 1”，后續(xù)都是“ 0”，即填充位為 448位。（如果消息長度已經(jīng)滿足要求，仍需要進(jìn)行填充。例如若消息長為 448，則仍需要填充 512位使其長度為 960位。） 15 圖 55 MD5算法主要過程 16 MD5 ? （ 2）添加 原始消息長度 ：在填充后的消息后面再添加一個(gè) 64位的二進(jìn)制整數(shù)，表示填充前原始消息的長度 L。 ? 這時(shí)經(jīng)過處理后的消息長度正好是 512位的倍數(shù)。（如果 L長度大小超過 264，則只用長度的低 64位，即等于計(jì)算： L mod 264。） ? （ 3） 初始值（ IV） 的初始化： MD5中有四個(gè) 32位緩沖區(qū)，用（ A, B, C, D）表示，用來存儲(chǔ)散列計(jì)算的中間結(jié)果和最終結(jié)果，緩沖區(qū)中的值被稱為鏈接變量。 ? 首先將其分別初始化為： A=0x01234567， B=0x89abcdef， C=0xfedcba98， D=0x76543210。 17 MD5 ? （ 4）以 512位的分組為單位對(duì)消息進(jìn)行循環(huán)散列計(jì)算：經(jīng)過處理的消息，以 512位為單位，分成 N個(gè)分組：Y0， Y1， … ， YN1。 ? MD5對(duì)每個(gè)分組進(jìn)行散