【正文】 學(xué)理論與實(shí)踐 11 73/35網(wǎng)絡(luò)信息安全 Chapter 11 Message Authentication and Hash Functions 2023/2/11 現(xiàn)代密碼學(xué)理論與實(shí)踐 11 74/35 ? MAC加密所得的消息校驗(yàn)和 MAC = CK(M) ? 使用一個(gè)秘密密鑰 K，濃縮一個(gè)變長(zhǎng)的消息 M，產(chǎn)生一個(gè)固定長(zhǎng)度的認(rèn)證子 ? MAC是一種多對(duì)一的函數(shù) ? 定義域由任意長(zhǎng)的消息組成，值域由所有可能的 MAC和密鑰組成。若使用 n位長(zhǎng)的 MAC, 則有 2n個(gè)可能的 MAC, 有 N條可能的消息 , N2n. 若密鑰長(zhǎng)度為 k, 則有 2k種可能的密鑰。 ? 如 N為 100, n為 10, 共有 2100不同的消息 , 210種不同的 MAC, 平均而言同一 MAC可由 2100/ 210=290條不同的消息產(chǎn)生。若密鑰長(zhǎng)度為 5，則從消息集合到 MAC值的集合有 25=32不同映射。 ? 可以證明，由于認(rèn)證函數(shù)的數(shù)學(xué)性質(zhì)，與加密相比，認(rèn)證函數(shù)更不易被攻破 MAC: 消息認(rèn)證碼的特點(diǎn) 2023/2/11 現(xiàn)代密碼學(xué)理論與實(shí)踐 11 75/35 2023/2/11 現(xiàn)代密碼學(xué)理論與實(shí)踐 11 76/35 散列函數(shù) Hash Function ? 一個(gè)散列函數(shù)以變長(zhǎng)的報(bào)文 M作為輸入，產(chǎn)生定長(zhǎng)的散列碼H(M)，作為輸出，亦稱作報(bào)文摘要 Message Digest. 散列碼是報(bào)文所有比特的函數(shù)值，具有差錯(cuò)檢測(cè)能力，報(bào)文任意一比特的改變都將引起散列碼的改變 ? 不同的散列碼使用方式 ? 對(duì)附加了散列碼的報(bào)文進(jìn)行加密 ? 使用常規(guī)加密方法僅對(duì)散列碼加密 ? 使用公開(kāi)密鑰方法僅對(duì)散列碼加密，提供數(shù)字簽名 ? 同時(shí)提供保密和簽名，可以分別使用常規(guī)方法加密報(bào)文及使用公開(kāi)密鑰方法加密散列碼 ? 其他 ? 對(duì)避免加密的方法重視的原因 加密過(guò)程很慢，硬件開(kāi)銷大 2023/2/11 現(xiàn)代密碼學(xué)理論與實(shí)踐 11 77/35 1. H可以應(yīng)用于任意大小的數(shù)據(jù)塊 2. H產(chǎn)生固定長(zhǎng)度的輸出 3. 對(duì)任意給定的明文 x，計(jì)算 H(x)容易，可由硬件或軟件實(shí)現(xiàn) 4. 對(duì)任意給定的散列碼 h，找到滿足 H(x)=h的 x，在計(jì)算上不可行， 單向性 5. 對(duì)任何給定的分組 x，找到滿足 y≠x且 H(x)=H(y)的 y，在計(jì)算上不可行， 抗弱碰撞性 6. 找到任何滿足 H(x)=H(y)的偶對(duì) (x, y)， 在計(jì)算上不可行， 抗強(qiáng)碰撞性 對(duì)散列函數(shù)的要求 h=H(M) 2023/2/11 現(xiàn)代密碼學(xué)理論與實(shí)踐 11 78/35 ? 條件 1, 2, 3是所謂單向性問(wèn)題 (Oneway) ? 條件 4, 5是對(duì)使用的哈希值的數(shù)字簽名方法所做的安全保障，否則攻擊者可由已知的明文及相關(guān)的數(shù)字簽名任意偽造對(duì)其他明文的簽名 ? 條件 6主要用于防范所謂的生日攻擊法 ? 能滿足條件 15的，稱為弱哈希函數(shù) (Weak Hash Function) ? 能同時(shí)滿足條件 6的，稱為強(qiáng)哈希函數(shù) (Strong Hash Function) ? 應(yīng)用在數(shù)字簽名上的哈希函數(shù)必須是強(qiáng)哈希函數(shù) 強(qiáng)哈希函數(shù) 2023/2/11 現(xiàn)代密碼學(xué)理論與實(shí)踐 11 79/35 2023/2/11 現(xiàn)代密碼學(xué)理論與實(shí)踐 11 80/35 2023/2/11 現(xiàn)代密碼學(xué)理論與實(shí)踐 13 81/47 網(wǎng)絡(luò)信息安全 Chapter 13 Digital Signature and Authentication Protocols 2023/2/11 現(xiàn)代密碼學(xué)理論與實(shí)踐 13 82/47 數(shù)字簽名 Digital Signature ? 數(shù)字簽名的簡(jiǎn)單定義 ? 數(shù)字簽名是使以數(shù)字形式存儲(chǔ)的明文信息經(jīng)過(guò)特定密碼變換生成密文，作為相應(yīng)明文的簽名，使明文信息的接收者能夠驗(yàn)證信息確實(shí)來(lái)自合法用戶，以及確認(rèn)信息發(fā)送者身份。 ? 對(duì)數(shù)字簽名的基本要求 ? 在收發(fā)雙方不能完全信任的情況下，需要除認(rèn)證之外的其他方法來(lái)解決假冒和否認(rèn)的問(wèn)題，數(shù)字簽名則是解決辦法； ? 簽名接收者能容易地驗(yàn)證簽字者對(duì)消息所做的數(shù)字簽名，包括日期和時(shí)間； ? 任何人，包括簽名接收者，都不能偽造簽名者的簽字； ? 發(fā)生爭(zhēng)議時(shí)，可由第三方解決。 2023/2/11 現(xiàn)代密碼學(xué)理論與實(shí)踐 13 83/47 ? 數(shù)字簽名與消息認(rèn)證的區(qū)別 ? 消息認(rèn)證是使消息接收方驗(yàn)證消息發(fā)送者發(fā)送的內(nèi)容有無(wú)被修改過(guò)，對(duì)防止第三者破壞足夠，但收發(fā)雙方有利害沖突時(shí)就無(wú)法解決紛爭(zhēng)，需要更嚴(yán)格的手段，即數(shù)字簽名。 ? 數(shù)字簽名的基本形式 ? 對(duì)消息簽名的兩種方法 ? 對(duì)消息整體的簽字，將被簽消息整體經(jīng)過(guò)密碼變換得到簽字； ? 對(duì)消息摘要的簽字，附在被簽消息之后，或嵌在某一特定位置上作一段簽字圖樣。 ? 兩類數(shù)字簽名 ? 確定性數(shù)字簽名，明文與簽名一一對(duì)應(yīng)； ? 概率性數(shù)字簽名，一個(gè)明文可以有多個(gè)合法簽名，每次都不一樣。 數(shù)字簽名的基本形式 2023/2/11 現(xiàn)代密碼學(xué)理論與實(shí)踐 13 84/47 ? 假定 A和 B互相通信 , 共享大素?cái)?shù) p, 本原元素 α 0= m = p1, gcd(α, p) = 1, A和 B各有自己的秘密 xA和 xB ? 加密 A選擇 k∈ [0, p1], k的作用即為 xA, A訪問(wèn)公共區(qū)域找到 B的公開(kāi)密鑰 YB = αxB mod p, 計(jì)算： K = (YB)k mod p，即 K = αxBk mod p c1 = αk mod p c2 = mK mod p 密文即為 (c1, c2) ? 解密 B首先恢復(fù) K： K = c1xB mod p = αkxB mod p 然后恢復(fù) m： m = c2/K mod p = c2K1 mod p ElGamal的數(shù)據(jù)加密方法 2023/2/11 現(xiàn)代密碼學(xué)理論與實(shí)踐 13 85/47 若 A為 B簽署 m， 0= m = p1， A隨機(jī)選擇 k∈ [0, p1]， gcd(k, p1) = 1 計(jì)算 r =αk mod p 計(jì)算 αm = YArrs mod p, YA=αxA mod p 即 αm =αxA rαk s mod p 則 m = (xAr + ks) mod p1 根據(jù)此式求 s，則對(duì)于 m的數(shù)字簽名即為 (r, s)， 0≤ r, sp1. ElGamal的數(shù)字簽名方法 2023/2/11 現(xiàn)代密碼學(xué)理論與實(shí)踐 13 86/47 ? 驗(yàn)證：給定 m, r, 和 s，容易計(jì)算 αm mod p = YArrs mod p, 看其是否一致 , k不能重復(fù)使用。 （ p287） ? 例： p = 17, α = 3, xA= 2, xB= 5, m = 11, k = 5, 求簽名及驗(yàn)證。 ElGamal數(shù)字簽名的驗(yàn)證 2023/2/11 現(xiàn)代密碼學(xué)理論與實(shí)踐 13 87/47 ? 驗(yàn)證：給定 m, r, 和 s，容易計(jì)算 αm mod p = YArrs mod p, 看其是否一致 , k不能重復(fù)使用。 ? 例： p = 17, α = 3, xA= 2, xB= 5, m = 11, k = 5, 求簽名及驗(yàn)證。 簽名： r = αk mod p = 35 mod 17 = 5, 11 = (2x5 + 5s) mod 16 = (10 + 5s) mod 16 5s mod 16 = 1, s = 13. 所以，簽名為 (5, 13)。 驗(yàn)證 : αm mod p = 311 mod 17 = 102x10x9 mod 17 = 7 YArrs mod p = (32)5 x 513 mod 17 = 7 ElGamal數(shù)字簽名的驗(yàn)證 2023/2/11 現(xiàn)代密碼學(xué)理論與實(shí)踐 14 88/40 網(wǎng)絡(luò)信息安全 Chapter 14 Authentication Applications 2023/2/11 現(xiàn)代密碼學(xué)理論與實(shí)踐 14 89/40 ① IDC, IDtgs, TS1 ② EKC[KC,tgs, IDtgs, TS2, Lifetime1, Tickettgs] Tickettgs = EKtgs[KC,tgs,IDC, ADC, IDtgs, TS2, Lifetime2] ③ IDV, Tickettgs, AuthenticatorC (用戶身份證明文件 ) AuthenticatorC = Ekc,tgs[IDC, ADC, TS3] ④ Ekc,tgs[KC,V,IDV, TS4, TicketV] TicketV = Ekv[KC,V,IDC, ADC, IDV, TS4, Lifetime4] ⑤ TicketV, AuthenticatorC AuthenticatorC = Ekc,v[IDC, ADC, TS5] ⑥ Ekc,v[TS5+1] 認(rèn)證會(huì)話交互過(guò)程的信息細(xì)節(jié) ① ② ③ ④ ⑤ ⑥ 中央識(shí)別服務(wù)器 AS 通行票產(chǎn)生服務(wù)器TGS 用戶 C 服務(wù)器 V 演講完畢，謝謝觀看！