【正文】 目的：“ fingerprint” of messgae Hash函數(shù)的分類 ? 根據(jù)安全水平： ? 定義 1(弱無碰撞 )， 散列函數(shù) h稱為是弱無碰撞的，是指對(duì)給定消息 x ∈ X，在計(jì)算上幾乎找不到異于 x的 x39。 ? 不帶秘密密鑰的 Hash函數(shù)： 消息的散列值的產(chǎn)生無需使用密鑰。 D) ??1(k) = k, 0 ? k 16 ?s1[0…3] = [7,12,17,22] MD5 Step 4: RoundTwo ?For(k = 0。 ++k) { A?B + ((A+g4(B,C,D)+X[?4(k)]+T[16?3+k+1]) s4[k mod 4]) (A,B,C,D) ? (A,B,C,D) 32 } ?g4(B,C,D) = C ? (B | D) ??4(k) = 7k mod 16, 0 ? k 16 ?s4[0…3] = [6,10,15,21] CV0 = IV CVq+1 = SUM32(CVq,RFI[Yq,RFH[Yq,RFG[Yq,RFF[Yq,CVq]]]]) MD = CVL 其中： IV = ABCD的初始值（見步驟 3） Yq = 消息的第 q個(gè) 512位數(shù)據(jù)塊 L = 消息中數(shù)據(jù)塊數(shù)； CVq = 鏈接變量，用于第 q個(gè)數(shù)據(jù)塊的處理 RFx = 使用基本邏輯函數(shù) x的一輪功能函數(shù)。 A B C D A B C D + + + + ft T[i] E E S5 Wt Kt S30 SHA1總結(jié) ?SHA1使用 bigendian ?抵抗生日攻擊 : 160位 hash值 ?沒有發(fā)現(xiàn)兩個(gè)不同的 512bit塊 ,它們?cè)?SHA1計(jì)算下產(chǎn)生相同的“ hash” ?速度慢于 MD5 ?安全性優(yōu)于 MD5 RIPEMD160簡(jiǎn)介 ?歐洲 RIPE項(xiàng)目的結(jié)果 ?RIPEMD為 128位 ?更新后成為 RIPEMD160 ?基礎(chǔ)是 MD5 RIPEMD160: padding ?Step 1: Padding M ? M1 –|M1| ? 448 mod 512 –|M1| |M| ? – 如果 |M| ? 448 mod 512,則 |M1| = |M|+512 –Padding內(nèi)容 : 100…0 ?Step 2: Append 64bit length M1 ? M2 –|M| 264 –低字節(jié)在前 (littleendian) –|M2|為 512的倍數(shù) : Y0,Y1,…,Y L1 RIPEMD160: pression ?Step 3: Initialize MD buffer (littleendian) A = 01 23 45 67 (0x67452301) B = 89 AB CD EF (0xEFCDAB89) C = FE DC BA 98 (0x98BADCFE) D = 76 54 32 10 (0x10325476) E = F0 E1 D2 C3 (0xC3D2E1F0) ?Step 4: Compression CV0=IV CVi=HRIPE(CVi1,Yi) ?Step 5: Output MD = CVL RIPEMD160 step 4: 示意圖 RIPEMD160: pression function ?(A0,B0,C0,D0,E0)?(A,B,C,D,E) ?Five rounds: 0 ? t 16 A ? ((A+f(B,C,D)+X[p[t]]+K)s)+E C ? C10 (A,B,C,D,E)?(A,B,C,D,E)32 A??((A?+f?(B?,C?,D?)+X[p?[t]]+K?)s?)+E? C??C?10 (A?,B?,C?,D?,E?)?(A?,B?,C?,D?,E?)32 ?(A,B,C,D,E) ? (B0+C+D?, C0+D+E?, D0+E+A?, E0+A+B?, A0+B+C?) RIPEMD160 step 4: fi, ?, ? ?Function f1,f2,f3,f4,f5: –f1(B,C,D) = B ? C ? D –f2(B,C,D) = (Bamp。 數(shù)字簽名 ?傳統(tǒng)簽名的基本特點(diǎn) : ?能與被簽的文件在物理上不可分割 ?簽名者不能否認(rèn)自己的簽名 ?簽名不能被偽造 ?容易被驗(yàn)證 ?數(shù)字簽名是傳統(tǒng)簽名的數(shù)字化 ,基本要求 : ?能與所簽文件 “ 綁定 ” ?簽名者不能否認(rèn)自己的簽名 ?簽名不能被偽造 ?容易被 自動(dòng) 驗(yàn)證 數(shù)字簽名應(yīng)具有的性質(zhì) ? 必須能夠驗(yàn)證作者及其簽名的日期時(shí)間； ? 必須能夠認(rèn)證簽名時(shí)刻的內(nèi)容； ? 簽名必須能夠由第三方驗(yàn)證，以解決爭(zhēng)議； 因此，數(shù)字簽名功能包含了鑒別的功能 數(shù)字簽名的設(shè)計(jì)要求 ? 簽名必須是依賴于被簽名信息的一個(gè)位串模式； ? 簽名必須使用某些對(duì)發(fā)送者是唯一的信息，以防止雙方的偽造與否認(rèn)； ? 必須相對(duì)容易生成該數(shù)字簽名； ? 必須相對(duì)容易識(shí)別和驗(yàn)證該數(shù)字簽名； ? 偽造該數(shù)字簽名在計(jì)算復(fù)雜性意義上具有不可行性，既包括對(duì)一個(gè)已有的數(shù)字簽名構(gòu)造新的消息，也包括對(duì)一個(gè)給定消息偽造一個(gè)數(shù)字簽名； ? 在存儲(chǔ)器中保存一個(gè)數(shù)字簽名副本是現(xiàn)實(shí)可行的。 – 通常的做法是所有從發(fā)送方 X到接收方 Y的簽名消息首先送到仲裁者 A， A將消息及其簽名進(jìn)行一系列測(cè)試，以檢查其來源和內(nèi)容，然后將消息加上日期并與已被仲裁者驗(yàn)證通過的指示一起發(fā)給 Y。 (b) 單密鑰加密方式，仲裁者不可以看見消息 (1) X?A： IDx || EKxy[M]||EKxa[IDx|| H(EKxy[M])] (2) A?Y： EKay[IDx||EKxy[M] || EKxa[IDx|| H(EKxy[M])] || T] 在這種情況下， X與 Y之間共享密鑰 Kxy， X：將標(biāo)識(shí)符 IDx ,密文 EKxy[M]，以及對(duì) IDx和密文消息的散列碼用 Kxa加密后形成簽名 發(fā)送給 A。并 將包含 IDx、雙重加密的消息和時(shí)間戳構(gòu)成的 消息用 KRa簽名后 發(fā)送給 Y。 DSS簽名方案 DSS算法說明 算法參數(shù) ? 全局公開密鑰分量 – p 素?cái)?shù) , 其中 2L1p2L,512?L1024,且 L為 64的倍數(shù) :即比特長(zhǎng)度在 512到 1024之間 ,長(zhǎng)度增量為 64比特 – q (p1)的素因子 , 其中 2159q2160 – g=h(p1)/q mod p, 其中 h是一整數(shù) ,1h(p1) ? 用戶私有密鑰 – x 隨機(jī)或偽隨機(jī)整數(shù) , 其中 0xq ? 用戶公開密鑰 – y=gx mod p ? 用戶每個(gè)報(bào)文的密數(shù) – k隨機(jī)或偽隨機(jī)整數(shù) , 其中 0kq DSS算法的簽名與驗(yàn)證過程 ? 簽名 – r=(gkmod p)mod q – s=[k1(H(M)+xr)] mod q – 簽名 =(r,s) ? 驗(yàn)證 – w=(s?)1 mod q – u1=[H(M ?)w] mod q, u2=( r ?) w mod q – v=[(gu1yu2)mod p] mod q ? TEST: v=r ? ? 符號(hào) : – M 要簽名的消息 – H(M)使用 SHA1生成的 M的散列碼 – M ?,r ?,s ? 接收到的 M,r,s版本 DSS簽名和驗(yàn)證 DSS的特點(diǎn) ?DSS的簽名比驗(yàn)證快得多 ?DSS不能用于加密或者密鑰分配 ?s1 mod q要存在 ? s ? 0 mod q,如果發(fā)生 ,接收者可拒絕該簽名 . 要求重新構(gòu)造該簽名 ,實(shí)際上 , s ? 0 mod q的概率非常小 ?若 p為 512位 , q為 160位 ,而 DSS只需要兩個(gè) 160位 ,即320位 一次數(shù)字簽名 ? 一次意味著只能簽一個(gè)消息 ,當(dāng)然可以進(jìn)行若干次驗(yàn)證 ? Lamport 數(shù)字簽名方案 ? Lamport方案缺陷 :簽名信息比較長(zhǎng) . ?離散對(duì)數(shù) :p是 1024位 ,則簽名信息擴(kuò)大1024倍 ?對(duì)稱密碼 :密鑰是 128位 ,則簽名信息擴(kuò)大128倍 ?改進(jìn)方案之一 :BosChaum簽名方案 群簽名方案 ?群中各個(gè)成員以群的名義匿名地簽發(fā)消息 .具備下列三個(gè)特性 ?只有群成員能代表所在的群簽名 ?接收者能驗(yàn)證簽名所在的群 ,但不知道簽名者 ?需要時(shí) ,可借助于群成員或者可信機(jī)構(gòu)找到簽名者 ?應(yīng)用 : 投標(biāo) 盲簽名 ?盲簽名要求 : ?消息內(nèi)容對(duì)簽名者不可見 ?簽名被接收者泄漏后 ,簽名者無法追蹤簽名 ?應(yīng)用 : 電子貨幣 ,電子選舉 ?盲簽名過程 : 消息 ?盲變換 ?簽名 ?接收者 ?逆盲變換 Reference ? William Stallings, Cryptography and work security: principles and practice, Second Edition. ? 馮登國(guó) 裴定一 ,密碼學(xué)導(dǎo)引 , 科學(xué)出版社 ,1999 思考與練習(xí) ? 習(xí)題 ? 習(xí)題 。 數(shù)字簽名算法 ? 普通數(shù)字簽名算法 – RSA – EIGamal – DSS/DSA ? 不可否認(rèn)的數(shù)字簽名算法 ? 群簽名算法 ? 盲簽名算法 RSA簽名方案 RSA簽名 ?A的公鑰私鑰對(duì) {KUa||KRa} ?A對(duì)消息 M簽名 : SA=EKRa(M) ?問題 : –速度慢 –信息量大 –第三方仲裁時(shí)必須暴露明文信息 –漏洞 : EKRa(x?y)?EKRa(x)?EKRa(y) mod n o先做摘要 : HM = hash(M) o再對(duì) HM簽名 SA=EKRa(HM) ?hash函數(shù)的無碰撞性保證了簽名的有效性 簽名與加密 ?簽名提供真實(shí)性 (authentication) ?加密提供保密性 (confidentiality) ?“簽名 +加密”提供“真實(shí)性 +保密性” ?兩種實(shí)現(xiàn)方式 : (A?B) ?先簽名 ,后加密 : EKUb{M||SigA(M)} ?先加密 ,后簽名 : {EKUb(M)||SigA(EKUb(M))} ?方式 ?的問題 : –發(fā)生爭(zhēng)議時(shí) ,B需要向仲裁者提供自己的私鑰 –安全漏洞 : 攻擊者 E截獲消息 ,把 SigA(EKUb(M))換成SigE(EKUb(M)),讓 B以為該消息來自 E –保存信息多 :除了 M,SigA(EKUb(M)), 還要保存