【正文】 長的報文 ,h是定長的散列值 . ?數(shù)學性質(zhì)：對任意給定的 x, H(x) 易于 (軟硬件實 現(xiàn) )計算，且滿足： ? 單向性 : 對任意給定的碼 h, 尋求 x使得 H(x)=h 在計算上是不可行的 。 ? 弱抗碰撞性 : 任意給定分組 x, 尋求不等于 x的 y, 使得 H(y)= H(x)在計算上不可行 。 ? 強抗碰撞性 : 尋求對任何的 (x, y)對 , 使得 H(x)=H(y)在計算上不可行 . 86 Hash函數(shù)的特點 ?H能夠應用到任意長度的數(shù)據(jù)上。 ?H能夠生成大小固定的輸出。 ?對干任意給定的 x， H（ x）的計算相對簡單。 ?對于給定的散列值 h，要發(fā)現(xiàn)滿足 H（ x）＝ h的 x在計算上是不可行的。 ? 對于給定的消息 x，要發(fā)現(xiàn)另一個消息 y滿足 H（ y）＝ H（ x）在計算上是不可行的。 ?主要的 Hash算法： MD SHA1等 87 哈希運算 —— 完整性 88 用戶 A 用戶 B 數(shù)據(jù) 數(shù)據(jù) 哈希值 哈希算法 數(shù)據(jù) 哈希值 哈希值 哈希算法 如果哈希值匹配，說明數(shù)據(jù)有效 用戶 A發(fā)送數(shù)據(jù)和哈希值給用戶 B b Y0 n IV f b Y1 n f b YL1 n CVL1 f CV1 n n IV = 初始值 CV = 鏈接值 Yi = 第 i 個輸入數(shù)據(jù)塊 f = 壓縮算法 n = 散列碼的長度 b = 輸入塊的長度 安全 Hash函數(shù)的一般結構 CVL IV= initial nbit value CVi=f(CVi1, Yi1) (1 ? i ? L) H(M) = CVL …… Hash函數(shù) 89 MD5 算法 MD： Message Digest，消息摘要 ?輸入：任意長度的消息 ?輸出： 128位消息摘要 ?處理：以 512位輸入數(shù)據(jù)塊為單位 MD5 (RFC 1321) developed by Ron Rivest (“R” of the RSA )at MIT in 90’s. 90 SHA1 算法 ?SHA（ Secure Hash Algorithm，安全哈希算法 ）由美國國家標準技術研究所 NIST開發(fā)，作為聯(lián)邦信息處理標準于 1993年發(fā)表（ FIPS PUB 180）， 1995年修訂，作為 SHA1(FIPS PUB 1801)， SHA1基于 MD4設計。 ?輸入：最大長度為 264位的消息； ?輸出： 160位消息摘要； ?處理：輸入以 512位數(shù)據(jù)塊為單位處理 . 91 比較 SHA1/ MD5 ?散列值長度 ? MD5 128bits SHA1 160bits ?安全性 ? SHA1看來好些，但是 SHA1的設計原則沒有公開 ?速度 ? SHA1慢些 （ openssl speed md5/sha1） type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes md5 sha1 92 消息鑒別碼 93 ?在網(wǎng)絡通信中，有一些針對消息內(nèi)容的攻擊方法 ? 偽造消息 ? 竄改消息內(nèi)容 ? 改變消息順序 ? 消息重放或者延遲 ?消息認證：對收到的消息進行驗證，證明確實是來自聲稱的發(fā)送方，并且沒有被修改過。 ? 如果在消息中加入時間及順序信息，則可以完成對時間和順序的認證 消息認證的三種方式 ?Message encryption： 用整個消息的密文作為認證標識 ? 接收方必須能夠識別錯誤 ?Hash function： 一個公開函數(shù)將任意長度的消息映射到一個固定長度的散列值，作為認證標識 ?MAC： 一個公開函數(shù)，加上一個密鑰產(chǎn)生一個固定長度的值作為認證標識 94 MAC: Message Authentication Code ?使用一個雙方共享的秘密密鑰生成一個固定大小的小數(shù)據(jù)塊，并加入到消息中，稱 MAC， 或密碼校驗和 (cryptographic checksum) ?用戶 A和用戶 B， 共享密鑰 K， 對于 消息 M， MAC=CK(M) ?如果接收方計算的 MAC與收到的 MAC匹配，則 ? 接收者可以確信消息 M未被改變 ? 接收者可以確信消息來自所聲稱的發(fā)送者 ? 如果消息中含有序列號，則可以保證正確的消息順序 ?MAC函數(shù)類似于加密函數(shù)，但不需要可逆性。因此在數(shù)學上比加密算法被攻擊的弱點要少 95 MAC的動機 ?為了鑒別而加密整個報文不夠方便 ? 對稱加密整個報文是個浪費 ? 即使同時為了保密，也有另外的辦法和體制 ? 用非對稱加密速度太慢，每秒僅百來筆 ? 后來引入了簽名體制 ?鑒別和加密的分離帶來靈活性 ? 確實有時只要鑒別而不用 (或不能 )加密 ? 如法律文書、公開信、聲明、公告、公證、鑒定等 ? 如軟件鑒別 /防病毒、網(wǎng)絡管理報文等 96 97 MAC的用法 HMAC ?把 HASH值和一個 Key結合起來 ? 不需要可逆 ?目標 ? 既能使用當前的 HASH函數(shù)，又可容易升級為新的 HASH函數(shù)，并能保持散列函數(shù)的安全性 ? 簡單，并易進行密碼學分析 98 MAC不能解決的問題 ?發(fā)送者否認發(fā)送過消息，聲稱是別人偽造。 ?接收者偽造消息，聲稱其由某發(fā)送者發(fā)送。 ?解決辦法 ? 不可否認性 99 數(shù)字簽名 ?傳統(tǒng)簽名的基本特點 : ? 能與被簽的文件在物理上不可分割 ? 簽名者不能否認自己的簽名 ? 簽名不能被偽造 ? 容易被驗證 ?數(shù)字簽名是傳統(tǒng)簽名的數(shù)字化 ,基本要求 : ? 能與所簽文件“綁定” ? 簽名者不能否認自己的簽名 ? 簽名不能被偽造 ? 容易被驗證 100 數(shù)字簽名 —— 抗抵賴性 用戶 A 用戶 B 數(shù)據(jù) 哈希值 哈希算法 用戶 A的私鑰 數(shù)據(jù) 哈希值 用戶 A的公鑰 哈希算法 哈希值 如果哈希值匹配，說明該數(shù)據(jù)由該私鑰簽名。 101 數(shù)字簽名的要求 ?依賴性：數(shù)字簽名必須依賴要簽名消息的比特模式 (不可分離性 ) ?唯一性：簽名者使用唯一的“消息”生成數(shù)字簽名，以防偽造和否認 (獨特性 ) ?可驗證性 ：數(shù)字簽名必須是在算法上可驗證的。 ?抗偽造：偽造一個數(shù)字簽名在計算上不可行 (不可模仿性 ) ?可用性：數(shù)字簽名的生成和驗證必須相對簡單 . 102 兩種數(shù)字簽名方案 103 RSA的數(shù)字簽名 ?初始化： m：簽名的消息 簽名者的私鑰： d；公鑰： (e,n) ?簽名： 計算 m的哈希值 H(m). 簽名值 s=(H(m） )d mod n ?驗證： 計算 H1=se mod n 判斷 H1=H(m)是否成立。 104 數(shù)字簽名算法（ DSA） 1991年 , NIST 提出了 數(shù)字簽名算法（ DSA） ,并把它用作數(shù)字簽名標準（ DSS），招致大量的反對，理由如下： ? DSA 不能用于加密或密鑰分配 ? DSA是由 NSA研制的，可能有后門 ? DSA的選擇過程不公開，提供的分析時間不充分 ? DSA比 RSA慢（ 10－ 40倍） ? 密鑰長度太?。?512位） ? DSA可能侵犯其他專利 ? RSA是事實上的標準 105 三種算法的比較 算法 加 /解密 數(shù)字簽名 密鑰交換 RSA 是 是 是 DieffieHellman 否 否 是 DSS 否 是 否 106 1. 加密 /解密 2. 數(shù)字簽名 (身份鑒別 ) 3. 密鑰交換 總結 107 ? 密碼學在信息安全中的占有 舉足輕重 的地位 ? 掌握明文、密文、密鑰等密碼學基礎概念 ? 重點掌握 DES、 IDEA和 AES等對稱密碼算法 ? 重點掌握 RSA和 ECC等非對稱密碼算法 ? 熟悉 MD5和 SHA1等哈希算法 謝謝，請?zhí)釂栴}！