【正文】 學(xué)理論與實踐 11 73/35網(wǎng)絡(luò)信息安全 Chapter 11 Message Authentication and Hash Functions 2023/2/11 現(xiàn)代密碼學(xué)理論與實踐 11 74/35 ? MAC加密所得的消息校驗和 MAC = CK(M) ? 使用一個秘密密鑰 K，濃縮一個變長的消息 M，產(chǎn)生一個固定長度的認(rèn)證子 ? MAC是一種多對一的函數(shù) ? 定義域由任意長的消息組成，值域由所有可能的 MAC和密鑰組成。若使用 n位長的 MAC, 則有 2n個可能的 MAC, 有 N條可能的消息 , N2n. 若密鑰長度為 k, 則有 2k種可能的密鑰。 ? 如 N為 100, n為 10, 共有 2100不同的消息 , 210種不同的 MAC, 平均而言同一 MAC可由 2100/ 210=290條不同的消息產(chǎn)生。若密鑰長度為 5，則從消息集合到 MAC值的集合有 25=32不同映射。 ? 可以證明，由于認(rèn)證函數(shù)的數(shù)學(xué)性質(zhì)，與加密相比，認(rèn)證函數(shù)更不易被攻破 MAC: 消息認(rèn)證碼的特點 2023/2/11 現(xiàn)代密碼學(xué)理論與實踐 11 75/35 2023/2/11 現(xiàn)代密碼學(xué)理論與實踐 11 76/35 散列函數(shù) Hash Function ? 一個散列函數(shù)以變長的報文 M作為輸入，產(chǎn)生定長的散列碼H(M)，作為輸出，亦稱作報文摘要 Message Digest. 散列碼是報文所有比特的函數(shù)值，具有差錯檢測能力，報文任意一比特的改變都將引起散列碼的改變 ? 不同的散列碼使用方式 ? 對附加了散列碼的報文進(jìn)行加密 ? 使用常規(guī)加密方法僅對散列碼加密 ? 使用公開密鑰方法僅對散列碼加密，提供數(shù)字簽名 ? 同時提供保密和簽名，可以分別使用常規(guī)方法加密報文及使用公開密鑰方法加密散列碼 ? 其他 ? 對避免加密的方法重視的原因 加密過程很慢，硬件開銷大 2023/2/11 現(xiàn)代密碼學(xué)理論與實踐 11 77/35 1. H可以應(yīng)用于任意大小的數(shù)據(jù)塊 2. H產(chǎn)生固定長度的輸出 3. 對任意給定的明文 x，計算 H(x)容易，可由硬件或軟件實現(xiàn) 4. 對任意給定的散列碼 h，找到滿足 H(x)=h的 x，在計算上不可行， 單向性 5. 對任何給定的分組 x，找到滿足 y≠x且 H(x)=H(y)的 y，在計算上不可行， 抗弱碰撞性 6. 找到任何滿足 H(x)=H(y)的偶對 (x, y)， 在計算上不可行， 抗強碰撞性 對散列函數(shù)的要求 h=H(M) 2023/2/11 現(xiàn)代密碼學(xué)理論與實踐 11 78/35 ? 條件 1, 2, 3是所謂單向性問題 (Oneway) ? 條件 4, 5是對使用的哈希值的數(shù)字簽名方法所做的安全保障，否則攻擊者可由已知的明文及相關(guān)的數(shù)字簽名任意偽造對其他明文的簽名 ? 條件 6主要用于防范所謂的生日攻擊法 ? 能滿足條件 15的，稱為弱哈希函數(shù) (Weak Hash Function) ? 能同時滿足條件 6的，稱為強哈希函數(shù) (Strong Hash Function) ? 應(yīng)用在數(shù)字簽名上的哈希函數(shù)必須是強哈希函數(shù) 強哈希函數(shù) 2023/2/11 現(xiàn)代密碼學(xué)理論與實踐 11 79/35 2023/2/11 現(xiàn)代密碼學(xué)理論與實踐 11 80/35 2023/2/11 現(xiàn)代密碼學(xué)理論與實踐 13 81/47 網(wǎng)絡(luò)信息安全 Chapter 13 Digital Signature and Authentication Protocols 2023/2/11 現(xiàn)代密碼學(xué)理論與實踐 13 82/47 數(shù)字簽名 Digital Signature ? 數(shù)字簽名的簡單定義 ? 數(shù)字簽名是使以數(shù)字形式存儲的明文信息經(jīng)過特定密碼變換生成密文，作為相應(yīng)明文的簽名，使明文信息的接收者能夠驗證信息確實來自合法用戶，以及確認(rèn)信息發(fā)送者身份。 ? 對數(shù)字簽名的基本要求 ? 在收發(fā)雙方不能完全信任的情況下，需要除認(rèn)證之外的其他方法來解決假冒和否認(rèn)的問題，數(shù)字簽名則是解決辦法； ? 簽名接收者能容易地驗證簽字者對消息所做的數(shù)字簽名，包括日期和時間； ? 任何人，包括簽名接收者，都不能偽造簽名者的簽字； ? 發(fā)生爭議時，可由第三方解決。 2023/2/11 現(xiàn)代密碼學(xué)理論與實踐 13 83/47 ? 數(shù)字簽名與消息認(rèn)證的區(qū)別 ? 消息認(rèn)證是使消息接收方驗證消息發(fā)送者發(fā)送的內(nèi)容有無被修改過，對防止第三者破壞足夠，但收發(fā)雙方有利害沖突時就無法解決紛爭，需要更嚴(yán)格的手段，即數(shù)字簽名。 ? 數(shù)字簽名的基本形式 ? 對消息簽名的兩種方法 ? 對消息整體的簽字，將被簽消息整體經(jīng)過密碼變換得到簽字； ? 對消息摘要的簽字，附在被簽消息之后，或嵌在某一特定位置上作一段簽字圖樣。 ? 兩類數(shù)字簽名 ? 確定性數(shù)字簽名，明文與簽名一一對應(yīng)； ? 概率性數(shù)字簽名，一個明文可以有多個合法簽名，每次都不一樣。 數(shù)字簽名的基本形式 2023/2/11 現(xiàn)代密碼學(xué)理論與實踐 13 84/47 ? 假定 A和 B互相通信 , 共享大素數(shù) p, 本原元素 α 0= m = p1, gcd(α, p) = 1, A和 B各有自己的秘密 xA和 xB ? 加密 A選擇 k∈ [0, p1], k的作用即為 xA, A訪問公共區(qū)域找到 B的公開密鑰 YB = αxB mod p, 計算： K = (YB)k mod p，即 K = αxBk mod p c1 = αk mod p c2 = mK mod p 密文即為 (c1, c2) ? 解密 B首先恢復(fù) K： K = c1xB mod p = αkxB mod p 然后恢復(fù) m： m = c2/K mod p = c2K1 mod p ElGamal的數(shù)據(jù)加密方法 2023/2/11 現(xiàn)代密碼學(xué)理論與實踐 13 85/47 若 A為 B簽署 m， 0= m = p1， A隨機選擇 k∈ [0, p1]， gcd(k, p1) = 1 計算 r =αk mod p 計算 αm = YArrs mod p, YA=αxA mod p 即 αm =αxA rαk s mod p 則 m = (xAr + ks) mod p1 根據(jù)此式求 s，則對于 m的數(shù)字簽名即為 (r, s)， 0≤ r, sp1. ElGamal的數(shù)字簽名方法 2023/2/11 現(xiàn)代密碼學(xué)理論與實踐 13 86/47 ? 驗證：給定 m, r, 和 s，容易計算 αm mod p = YArrs mod p, 看其是否一致 , k不能重復(fù)使用。 （ p287） ? 例： p = 17, α = 3, xA= 2, xB= 5, m = 11, k = 5, 求簽名及驗證。 ElGamal數(shù)字簽名的驗證 2023/2/11 現(xiàn)代密碼學(xué)理論與實踐 13 87/47 ? 驗證：給定 m, r, 和 s，容易計算 αm mod p = YArrs mod p, 看其是否一致 , k不能重復(fù)使用。 ? 例： p = 17, α = 3, xA= 2, xB= 5, m = 11, k = 5, 求簽名及驗證。 簽名： r = αk mod p = 35 mod 17 = 5, 11 = (2x5 + 5s) mod 16 = (10 + 5s) mod 16 5s mod 16 = 1, s = 13. 所以，簽名為 (5, 13)。 驗證 : αm mod p = 311 mod 17 = 102x10x9 mod 17 = 7 YArrs mod p = (32)5 x 513 mod 17 = 7 ElGamal數(shù)字簽名的驗證 2023/2/11 現(xiàn)代密碼學(xué)理論與實踐 14 88/40 網(wǎng)絡(luò)信息安全 Chapter 14 Authentication Applications 2023/2/11 現(xiàn)代密碼學(xué)理論與實踐 14 89/40 ① IDC, IDtgs, TS1 ② EKC[KC,tgs, IDtgs, TS2, Lifetime1, Tickettgs] Tickettgs = EKtgs[KC,tgs,IDC, ADC, IDtgs, TS2, Lifetime2] ③ IDV, Tickettgs, AuthenticatorC (用戶身份證明文件 ) AuthenticatorC = Ekc,tgs[IDC, ADC, TS3] ④ Ekc,tgs[KC,V,IDV, TS4, TicketV] TicketV = Ekv[KC,V,IDC, ADC, IDV, TS4, Lifetime4] ⑤ TicketV, AuthenticatorC AuthenticatorC = Ekc,v[IDC, ADC, TS5] ⑥ Ekc,v[TS5+1] 認(rèn)證會話交互過程的信息細(xì)節(jié) ① ② ③ ④ ⑤ ⑥ 中央識別服務(wù)器 AS 通行票產(chǎn)生服務(wù)器TGS 用戶 C 服務(wù)器 V 演講完畢，謝謝觀看！