【正文】 hash函數(shù)可用于數(shù)字簽名 HMAC簡介 ?MAC可用分組加密算法產(chǎn)生 ?ANSI標準 (): M=(X1,X2,…,X t) ? ?M1=EK(X1), ?Mj+1=EK(Xj+1??Mj), 1?jt –速度慢 –加密算法出口受限制 ?hash函數(shù)可用來構造 MAC: HMAC為其中之一 ?HMAC作為 RFC2104并在 SSL中使用 HMAC設計目標 ? 無需修改地使用現(xiàn)有的散列函數(shù) ? 當出現(xiàn)新的散列函數(shù)時 ,要能輕易地替換 ? 保持散列函數(shù)的原有性能不會導致算法性能的降低 ? 使用和處理密鑰的方式簡單 ? 對鑒別機制的安全強度容易分析 ,與 hash函數(shù)有同等的安全性 HMAC示意圖 HMAC的定義與特征 ? ?對密鑰 K左邊補 0以產(chǎn)生一個 hash用塊 K+ ?K+每個字節(jié)與 ipad(00110110)作 XOR以產(chǎn)生 Si ?對 (Si||M)進行 hash ?K+每個字節(jié)與 opad(01011010)作 XOR以產(chǎn)生 So ?HMAC=f[IV,So||f(IV,Si||M)] 數(shù)字簽名 ? Message authentication用以保護雙方之間的數(shù)據(jù)交換不被第三方侵犯；但它并不保證雙方自身的相互欺騙。D) –f3(B,C,D) = (B|!C) ? D –f4(B,C,D) = (Bamp。 A B C D A B C D + + + + ft T[i] E E S5 Wt Kt S30 SHA1總結 ?SHA1使用 bigendian ?抵抗生日攻擊 : 160位 hash值 ?沒有發(fā)現(xiàn)兩個不同的 512bit塊 ,它們在 SHA1計算下產(chǎn)生相同的“ hash” ?速度慢于 MD5 ?安全性優(yōu)于 MD5 RIPEMD160簡介 ?歐洲 RIPE項目的結果 ?RIPEMD為 128位 ?更新后成為 RIPEMD160 ?基礎是 MD5 RIPEMD160: padding ?Step 1: Padding M ? M1 –|M1| ? 448 mod 512 –|M1| |M| ? – 如果 |M| ? 448 mod 512,則 |M1| = |M|+512 –Padding內容 : 100…0 ?Step 2: Append 64bit length M1 ? M2 –|M| 264 –低字節(jié)在前 (littleendian) –|M2|為 512的倍數(shù) : Y0,Y1,…,Y L1 RIPEMD160: pression ?Step 3: Initialize MD buffer (littleendian) A = 01 23 45 67 (0x67452301) B = 89 AB CD EF (0xEFCDAB89) C = FE DC BA 98 (0x98BADCFE) D = 76 54 32 10 (0x10325476) E = F0 E1 D2 C3 (0xC3D2E1F0) ?Step 4: Compression CV0=IV CVi=HRIPE(CVi1,Yi) ?Step 5: Output MD = CVL RIPEMD160 step 4: 示意圖 RIPEMD160: pression function ?(A0,B0,C0,D0,E0)?(A,B,C,D,E) ?Five rounds: 0 ? t 16 A ? ((A+f(B,C,D)+X[p[t]]+K)s)+E C ? C10 (A,B,C,D,E)?(A,B,C,D,E)32 A??((A?+f?(B?,C?,D?)+X[p?[t]]+K?)s?)+E? C??C?10 (A?,B?,C?,D?,E?)?(A?,B?,C?,D?,E?)32 ?(A,B,C,D,E) ? (B0+C+D?, C0+D+E?, D0+E+A?, E0+A+B?, A0+B+C?) RIPEMD160 step 4: fi, ?, ? ?Function f1,f2,f3,f4,f5: –f1(B,C,D) = B ? C ? D –f2(B,C,D) = (Bamp。D)|(Camp。D) 0 ? t 20 K[t] = 230 ? sqrt(2) –f(t,B,C,D) = B ? C ? D 20 ? t 40 K[t] = 230 ? sqrt(3) –f(t,B,C,D) = (Bamp。 MD5: 總結 ?MD5使用小數(shù)在前 ?生日攻擊 +64位可計算 ? 128位 hash值太短 ?Dobbertin在 1996年找到了兩個不同的 512bit塊 ,它們在 MD5計算下產(chǎn)生相同的 hash ?至今還沒有真正找到兩個不同的消息 ,它們的 MD5的 hash相等 ?MD5不是足夠安全的 Secure Hash Algorithm簡介 ?1992年 NIST制定了 SHA(128位 ) ?1993年 SHA成為標準 （ FIPS PUB 180） ?1994年修改產(chǎn)生 SHA1(160位 ) ?1995年 SHA1成為新的標準 ,作為 SHA1(FIPS PUB 1801) ?SHA1要求輸入消息長度 264 ?輸入按 512位的分組進行處理的 ?SHA1的摘要長度為 160位 ?基礎是 MD4 SHA1: padding ?與 MD5相同 ?Step 1: Padding M ? M1 –|M1| ? 448 mod 512 –|M1| |M| ? – 如果 |M| ? 448 mod 512,則 |M1| = |M|+512 –Padding內容 : 100…0 ?Step 2: Append 64bit length M1 ? M2 –|M| 264 –高字節(jié)在前 (bigendian) –|M2|為 512的倍數(shù) : Y0,Y1,…,Y L1 SHA1: press ?Step 3: Initialize MD buffer (bigendian) A = 67 45 23 01 (0x67452301) B = EF CD AB 89 (0xEFCDAB89) C = 98 BA DC FE (0x98BADCFE) D = 10 32 54 76 (0x10325476) E = C3 D2 E1 F0 (0xC3D2E1F0) ?Step 4: Compression CV0=IV CVi=HSHA1(CVi1,Yi) ?Step 5: Output MD = CVL SHA1 step 4: 示意圖 SHA1 step 4: overview ?Step 4: CV0=IV, CVi=HSHA1(CVi1,Yi) (A0,B0,C0,D0,E0)?(A,B,C,D,E), t ? 0 Round(A,B,C,D,E,K[t],W[t]) 0 ? t 80 (A,B,C,D,E)?(A+A0,B+B0,C+C0,D+D0,E+E0) ?整個 Round包含 80次循環(huán) ,每次處理一個 32bit –W[t] = Yi[t] 0 ? t 16 W[t] =(W[t16]?W[t14]?W[t8]?W[t3])1 16 ? t 80 –每組 (16個 )W[t]可由前一組 W[t]直接計算 SHA1: pression function ?Four rounds: 0 ? t 80 E ? E+f(t,B,C,D)+(A5)+W[t]+K[t] B ? B30 (A,B,C,D,E)?(A,B,C,D,E)32 –f(t,B,C,D) = (Bamp。 ++k) { A?B + ((A+g4(B,C,D)+X[?4(k)]+T[16?3+k+1]) s4[k mod 4]) (A,B,C,D) ? (A,B,C,D) 32 } ?g4(B,C,D) = C ? (B | D) ??4(k) = 7k mod 16, 0 ? k 16 ?s4[0…3] = [6,10,15,21] CV0 = IV CVq+1 = SUM32(CVq,RFI[Yq,RFH[Yq,RFG[Yq,RFF[Yq,CVq]]]]) MD = CVL 其中： IV = ABCD的初始值（見步驟 3） Yq = 消息的第 q個 512位數(shù)據(jù)塊 L = 消息中數(shù)據(jù)塊數(shù)； CVq = 鏈接變量，用于第 q個數(shù)據(jù)塊的處理 RFx = 使用基本邏輯函數(shù) x的一輪功能函數(shù)。 ++k) { A?B + ((A+g3(B,C,D)+X[?3(k)]+T[16?2+k+1]) s3[k mod 4]) (A,B,C,D) ? (A,B,C,D) 32 } ?g3(B,C,D) = B ? C ? D ??3(k) = (5+3k) mod 16, 0 ? k 16 ?s3[0…3] = [4,11,16,23] MD5 Step 4: RoundFour ?For(k = 0。 D) ??2(k) = (1+5k) mod 16, 0 ? k 16 ?s2[0…3] = [5,9,14,20] MD5 Step 4: RoundThree ?For(k = 0。 ++k) { A?B + ((A+g2(B,C,D)+X[?2(k)]+T[16?1+k+1]) s2[k mod 4]) (A,B,C,D) ?(A,B,C,D) 32 } ?g2(B,C,D) = (B amp。 D) ??1(k) = k, 0 ? k 16 ?s1[0…3] = [7,12,17,22] MD5 Step 4: RoundTwo ?For(k = 0。 ++k) { A?B + ((A+g1(B,C,D)+X[?1(k)]+T[16?0+k+1]) s1[k mod 4]) (A,B,C,D) ? (A,B,C,D) 32 } ?g1(B,C,D) = (B amp。 a?b + (( a + g(b,c,d) + X[k] +T[i])s) 其中， a,b,c,d = 緩沖區(qū)的四個字，以一個給定的次序排列； g = 基本邏輯函數(shù) F,G,H,I之一； s = 對 32位字循環(huán)左移 s位 X[k] = M[q?16 + k] = 在第 q個 512位數(shù)據(jù)塊中的第 k個 32位字 T[i] = 表 T中的第 i個 32位字； + = 模 232的加； A B C D A B