【正文】 Z=h(x) 160bits 簽名： y=sigk(Z) 320 bits (簽名一個(gè)消息摘要 ) ? 驗(yàn)證簽名 :(x,y),其中 y= sigk(h(x))，使用公開的散列函數(shù) h，重構(gòu)作 Z ? =h(x)。然而，這樣太慢。 ? 最廣泛的用法 將數(shù)據(jù)按 64位分組， D1, D2, … , D N，必要時(shí)最后一個(gè)數(shù)據(jù)塊用 0向右填充。 CK(M ?) = EK[?(M ?)] = EK[Y1?Y2 ?, …, ? Ym1 ? Ym ] = EK[Y1?Y2 ?, …, ? Ym1 ? (Y1?Y2 ?, …, ? Ym1 ? ?(M)) ] = EK[?(M)] 用此方法，任何長(zhǎng)度為 64?(m1)位的消息可以 作為 欺騙性 信息被插入 ！ 為了防止以上可能的攻擊， MAC函數(shù)應(yīng)具有以下性質(zhì)： ? 如果一個(gè)攻擊者得到 M和 CK(M)，則攻擊者構(gòu)造一個(gè)消息 M ?使得 CK(M ?)=CK(M)應(yīng)在計(jì)算上不可行。 考慮以下的 MAC算法 M = (X1 || X2 || … || Xm) 是一個(gè)由 64位 Xi數(shù)據(jù)塊連接而成， 定義 ?(M) = X1?X2?...?Xm CK(M) = EK[?(M)] 其中 ? 為異或操作； E為 ECB工作模式的 DES算法。 平均來說， 2k/2n= 2(kn)個(gè) key將產(chǎn)生匹配的 MAC，所以，攻擊者需要循環(huán)多次攻擊，以確定 K: 第一輪：給定 M1和 MAC1= CK(M1)，對(duì)所有 2k個(gè) key，計(jì)算 MACi = CKi(M1) ，匹配的數(shù)量 ? 2(kn) 第二輪：給定 M2和 MAC2= CK(M2)，對(duì)所有 2(kn)個(gè) key，計(jì)算 MACi = CKi(M2) ，匹配的數(shù)量 ? 2(k2?n) 平均來說，如果 k=a?n，則需要 a輪。 MAC的基本用法 (a) 消息鑒別 Provides authentication only A and B share K MAC的基本用法 (b) 消息鑒別與保密，鑒別與明文連接 Provides authentication only A and B share K1 Provides confidentiality only A and B share K2 MAC的基本用法 (c) 消息鑒別與保密，鑒別與密文連接 Provides authentication Using K1 Provides confidentiality Using K2 通過加密得到信息真實(shí)性 : 問題 ? 保密性與真實(shí)性是兩個(gè)不同的概念 ? 根本上 ,信息加密提供的是保密性而非真實(shí)性 ? 加密代價(jià)大 (公鑰算法代價(jià)更大 ) ? 鑒別函數(shù)與保密函數(shù)的分離能提供功能上的靈活性 ? 某些信息只需要真實(shí)性 ,不需要保密性 – 廣播的信息難以使用加密 (信息量大 ) – 網(wǎng)絡(luò)管理信息等只需要真實(shí)性 – 政府 /權(quán)威部門的公告 散列函數(shù) Hash Function ? H(M): 輸入為任意長(zhǎng)度的消息 M。 ? 對(duì)稱密鑰模式和公開密鑰模式有所不同。 ? 一個(gè)安全的鑒別系統(tǒng)，需滿足 （ 1）意定的接收者能夠檢驗(yàn)和證實(shí)消息的合法性、真實(shí)性和完整性 （ 2）消息的發(fā)送者和接收者不能抵賴 （ 3）除了合法的消息發(fā)送者，其它人不能偽造合法的消息 ? 首先要選好恰當(dāng)?shù)?鑒別函數(shù) ，該函數(shù)產(chǎn)生一個(gè)鑒別標(biāo)識(shí)，然后在此基礎(chǔ)上，給出合理的 鑒別協(xié)議 (Authentication Protocol)，使接收者完成消息的鑒別。 時(shí)間修改：消息延遲或重放。 ? 散列函數(shù)（ Hash Functions)： 一個(gè)散列函數(shù)以一個(gè)變長(zhǎng)的報(bào)文作為輸入，并產(chǎn)生一個(gè)定長(zhǎng)的散列碼，有時(shí)也稱報(bào)文摘要，作為輸出。 ? 數(shù)字簽名（ Digital Signature） 是一種防止源點(diǎn)或終點(diǎn)抵賴的鑒別技術(shù)。 4)冒充：從一個(gè)假冒信息源向網(wǎng)絡(luò)中插入消息 5)抵賴：接受者否認(rèn)收到消息；發(fā)送者否認(rèn)發(fā)送過消息 。 鑒別函數(shù) 可用來做鑒別的函數(shù)分為三類： (1) 消息加密函數(shù) (Message encryption) 用完整信息的密文作為對(duì)信息的鑒別。 (a) 對(duì)稱加密：保密性與鑒別 ?提供保密 ?提供鑒別 –僅來自 A –傳輸中沒有被更改 –需要某種結(jié)構(gòu)或冗余 ?不提供簽名 ? 如何自動(dòng)確定是否收到的明文可解密為可懂的明文 ? ? 一種解決辦法是強(qiáng)制明文有某種結(jié)構(gòu) . 差錯(cuò)控制 ： Error Control (b) 公鑰加密：保密性 ?提供保密 ?不提供鑒別 (c) 公鑰加密：鑒別與簽名 ?提供鑒別和簽名 –僅 A有 Kra可以進(jìn)行加密 –傳輸中沒有被更改 –需要某種結(jié)構(gòu)或冗余 –任何一方均可以使用 Kua驗(yàn)證簽名 (d)公鑰加密： 保密、鑒別與簽名 ?KUb提供保密性 ?Kra提供鑒別和簽名 消息 鑒別 碼 MAC 使用一個(gè)密鑰生成一個(gè)固定大小的小數(shù)據(jù)塊，并加入到消息中，稱 MAC， 或密碼校驗(yàn)和（cryptographic checksum） 接收者可以確信消息 M未被改變。 輸出為一個(gè)固定長(zhǎng)度的散列值，稱為 消息摘要 Message Digest）。 例： k=80, MAC 32bit,則： 第一輪： 248可能的 key； 第二輪： 216個(gè)； 第三輪： 1 個(gè)； 由此可見，強(qiáng)力攻擊企圖發(fā)現(xiàn) authentication key不小于甚至大于對(duì)同樣長(zhǎng)度的解密 key的攻擊。 Key length = 56 bit MAC length = 64 bit 強(qiáng)力攻擊需要至少 256次加密來決定 K。 ? CK(M)應(yīng)均勻分布，即：隨機(jī)選擇消息 M和 M ? ， CK(M)= CK(M ?)的概率是 2n，其中 n是 MAC的位數(shù)。運(yùn)用 DES算法 E，密鑰 K, 數(shù)據(jù)鑒別碼 (DAC)的計(jì)算如下： O1 = EK(D1) O2 = EK(D2?O1) O3 = EK(D3?O2) … ON = EK(DN?ON1) M的大小可由通信雙方約定。 解決辦法 ? 解決辦法：引入可公開的密碼散列函數(shù) (Hash function)。然后 Verk(y)=Z,來看 Z?=Z39。首先他計(jì)算 Z=h(x)，并企圖找到一個(gè) x39。,y)也將為有效簽名。)。,y)是一個(gè)有效的偽造 。 注：強(qiáng)無碰撞自然含弱無碰撞！ 安全威脅三 (c)偽造方式三：在散列函數(shù)的用法 (e)中 , 秘密值 S本身并不發(fā)送 , 如果散列函數(shù)不是單向的 ,攻擊者截獲到 M和H(M||S). 然后通過某種逆變換獲得 M||S, 因而攻擊者就可以得到 S. 定義 3(單向的 )稱散列函數(shù) h為單向的，是指計(jì)算 h的逆函數(shù) h1在計(jì)算上不可行。 前三條要求具有實(shí)用性，第 4條是單向性質(zhì)，即給定消息可以產(chǎn)生一個(gè) 散列碼，而給定散列碼不可能產(chǎn)生對(duì)應(yīng)的消息。 目的：“ fingerprint” of messgae Hash函數(shù)的分類 ? 根據(jù)安全水平： ? 定義 1(弱無碰撞 )， 散列函數(shù) h稱為是弱無碰撞的，是指對(duì)給定消息 x ∈ X，在計(jì)算上幾乎找不到異于 x的 x39。使得 h(x)=h(x39。 ? 不帶秘密密鑰的 Hash函數(shù)： 消息的散列值的產(chǎn)生無需使用密鑰。 a?b + (( a + g(b,c,d) + X[k] +T[i])s) 其中， a,b,c,d = 緩沖區(qū)的四個(gè)字，以一個(gè)給定的次序排列； g = 基本邏輯函數(shù) F,G,H,I之一； s = 對(duì) 32位字循環(huán)左移 s位 X[k] = M[q?16 + k] = 在第 q個(gè) 512位數(shù)據(jù)塊中的第 k個(gè) 32位字 T[i] = 表 T中的第 i個(gè) 32位字； + = 模 232的加； A B C D A B C D + + + CLSs + g X[k] T[i] Function g g(b,c,d) 1 F(b,c,d) (b?c)?(b?d) 2 G(b,c,d) (b?d)?(c?d) 3 H(b,c,d) b?c?d 4 I(b,c,d) c?(b?d) ?2i = (1+5i) mod 16 ?3i = (5+3i) mod 16 ?2i = 7i mod 16 MD5 Step 4: RoundOne ?For(k = 0。 D) ??1(k) = k, 0 ? k 16 ?s1[0…3] = [7,12,17,22] MD5 Step 4: RoundTwo ?For(k = 0。 D) ??2(k) = (1+5k) mod 16, 0 ? k 16 ?s2[0…3] = [5,9,14,20] MD5 Step 4: RoundThree ?For(k = 0。 ++k) { A?B + ((A+g4(B,C,D)+X[?4(k)]+T[16?3+k+1]) s4[k mod 4]) (A,B,C,D) ? (A,B,C,D) 32 } ?g4(B,C,D) = C ? (B | D) ??4(k) = 7k mod 16, 0 ? k 16 ?s4[0…3] = [6,10,15,21] CV0 = IV CVq+1 = SUM32(CVq,RFI[Yq,RFH[Yq,RFG[Yq,RFF[Yq,CVq]]]]) MD = CVL 其中： IV = ABCD的初始值（見步驟 3） Yq = 消息的第 q個(gè) 512位數(shù)據(jù)塊 L = 消息中數(shù)據(jù)塊數(shù)； CVq = 鏈接變量，用于第 q個(gè)數(shù)據(jù)塊的處理 RFx = 使用基本邏輯函數(shù) x的一輪功能函數(shù)。D) 0 ? t 20 K[t] = 230 ? sqrt(2) –f(t,B,C,D) = B ? C ? D 20 ? t 40 K[t] = 230 ? sqrt(3) –f(t,B,C,D) = (Bamp。 A B C D A B C D + + + + ft T[i] E E S5 Wt Kt S30 SHA1總結(jié) ?SHA1使用 bigendian ?抵抗生日攻擊 : 160位 hash值 ?沒有發(fā)現(xiàn)兩個(gè)不