【正文】 C D + + + CLSs + g X[k] T[i] Function g g(b,c,d) 1 F(b,c,d) (b?c)?(b?d) 2 G(b,c,d) (b?d)?(c?d) 3 H(b,c,d) b?c?d 4 I(b,c,d) c?(b?d) ?2i = (1+5i) mod 16 ?3i = (5+3i) mod 16 ?2i = 7i mod 16 MD5 Step 4: RoundOne ?For(k = 0。 Hash與 MAC的區(qū)別 ? MAC需要對全部數(shù)據進行加密 ? MAC速度慢 ? Hash是一種直接產生鑒別碼的方法 生日攻擊 ? 假定使用 64位的散列碼 ,是否安全 ? ? 如果采用傳輸加密的散列碼和不加密的報文 M,對手需要找到 M ?,使得H(M?)=H(M),以便使用替代報文來欺騙接收者 . ? 一種基于生日悖論的攻擊可能做到這一點 . 生日悖論 ? 生日問題：一個教室中，最少應有多少學生，才使至少有兩人具有相同生日的概率不小于 1/2？ ? 概率結果與人的直覺是相違背的 . ? 實際上只需 23人 ,即任找 23人，從中總能選出兩人具有相同生日的概率至少為 1/2。 ? 不帶秘密密鑰的 Hash函數(shù)： 消息的散列值的產生無需使用密鑰。 注：強無碰撞自然含弱無碰撞！ Hash函數(shù)的分類 ? 根據是否使用密鑰 ? 帶秘密密鑰的 Hash函數(shù) :消息的散列值由只有通信雙方知道的秘密密鑰 K來控制。使得 h(x)=h(x39。)。 目的：“ fingerprint” of messgae Hash函數(shù)的分類 ? 根據安全水平： ? 定義 1(弱無碰撞 )， 散列函數(shù) h稱為是弱無碰撞的，是指對給定消息 x ∈ X，在計算上幾乎找不到異于 x的 x39。即防止偽造。 前三條要求具有實用性，第 4條是單向性質，即給定消息可以產生一個 散列碼，而給定散列碼不可能產生對應的消息。 對任意給定碼 h，找到 x滿足 H(x)=h具有計算不可行性；（單向性） 對任意給定的數(shù)據塊 x，找到滿足 H(y)=H(x)的 y?x具有計算不可行 性。 注：強無碰撞自然含弱無碰撞！ 安全威脅三 (c)偽造方式三：在散列函數(shù)的用法 (e)中 , 秘密值 S本身并不發(fā)送 , 如果散列函數(shù)不是單向的 ,攻擊者截獲到 M和H(M||S). 然后通過某種逆變換獲得 M||S, 因而攻擊者就可以得到 S. 定義 3(單向的 )稱散列函數(shù) h為單向的，是指計算 h的逆函數(shù) h1在計算上不可行。使得 h(x)=h(x39。,y)是一個有效的偽造 。,滿足h(x)=h(x39。)。 定義 1(弱無碰撞 )， 散列函數(shù) h稱為是弱無碰撞的，是指對給定消息 x ∈ X，在計算上幾乎找不到異與 x的 x39。,y)也將為有效簽名。)=h(x)。首先他計算 Z=h(x)，并企圖找到一個 x39。簽名的對象由完整消息變成消息摘要，這就有可能出現(xiàn)偽造。然后 Verk(y)=Z,來看 Z?=Z39。 [如，使用數(shù)字簽名標準 DSS，消息摘要為 160比特 ]，然后簽名消息摘要。 解決辦法 ? 解決辦法：引入可公開的密碼散列函數(shù) (Hash function)。自然按 64比特分劃成一塊一塊，用相同的密鑰獨立地簽每一個塊。運用 DES算法 E，密鑰 K, 數(shù)據鑒別碼 (DAC)的計算如下： O1 = EK(D1) O2 = EK(D2?O1) O3 = EK(D3?O2) … ON = EK(DN?ON1) M的大小可由通信雙方約定。 基于 DES的 MAC ? Data Authentication Algorithm – FIPS publication (FIPS PUB 113) – ANSI standard () ? 使用 CBC(Cipher Block Chaining)方式，初始向量為 0。 ? CK(M)應均勻分布，即：隨機選擇消息 M和 M ? ， CK(M)= CK(M ?)的概率是 2n，其中 n是 MAC的位數(shù)。 設 M? = ( Y1 || Y2 || … || Ym 1 || Ym) 其中 Y1, Y2, …, Ym 1是替換 X1, X2,…,Xm 1的任意值，而 Ym = Y1?Y2 ?, …, ? Ym1 ? ?(M) 這時 消息 M’ 和 MAC= CK(M) = EK[?(M)]是一對可被接收者認證 的消息。 Key length = 56 bit MAC length = 64 bit 強力攻擊需要至少 256次加密來決定 K。仍然可以有多于一個 key產生這一配對，這時攻擊者只需對一個新的(message, MAC)進行相同的測試。 例： k=80, MAC 32bit,則： 第一輪： 248可能的 key； 第二輪： 216個； 第三輪： 1 個； 由此可見，強力攻擊企圖發(fā)現(xiàn) authentication key不小于甚至大于對同樣長度的解密 key的攻擊。 ? 又稱為：哈希函數(shù)、數(shù)字指紋（ Digital finger print)、壓縮（ Compression)函數(shù)、緊縮（ Contraction ）函數(shù)、數(shù)據鑒別碼 DAC（Data authentication code）、篡改檢驗碼MDC(Manipulation detection code) 散列函數(shù)的基本用法（ a、 b) Provides confidentiality only A and B share K Provides authentication H(M) is cryptographically protected Provides authentication H(M) is cryptographically protected 散列函數(shù)的基本用法（ c) Provides authentication and digital signature H(M) is cryptographically protected only A could create EKRa[H(M)] 散列函數(shù)的基本用法 (d) (d) A?B: EK[M||EKRa[H(M)]] Provides authentication and digital signature Provides confidentiality 散列函數(shù)的基本用法 (e、 f) Provides authentication only A and B share S Provides authentication only A and B share S Provides confidentiality only A and B share K 方法 e的優(yōu)點 ? 加密軟件很慢 ? 加密硬件的開銷很大 ? 加密是對大長度數(shù)據進行優(yōu)化的 ? 加密算法可能受專利保護 ? 加密算法可能受出口的限制 . MAC函數(shù)的特性與實現(xiàn) ? MAC函數(shù)為多對一映射 包含所有可能的 MAC和所有可能的密鑰 nbit MAC： 有 2n個可能的 MAC； kbit 密鑰： 有 2k個可能的密鑰； N個可能的消息：有 N2n ? 攻擊者如何用強力攻擊方法攻擊 MAC？ 假設：用戶 A和 B通信時沒有增加保密性實現(xiàn)，攻擊者可以看到明文， k n (k為密鑰長度位數(shù)， n為 MAC長度位數(shù) ) 給定： M1和 MAC1， MAC1= CK1(M1) 密碼分析員可以計算 MACi = CKi(M1) 對所有可能的 Ki，至少有一個 Ki保證產生 MACi = MAC1 注意：總共會產生 2k個 MAC結果，但只有 2n 2k個不同的 MAC值，因此，有若干個 key將產生相同的 MAC，而攻擊者無法確定哪一個是正確的 key。 輸出為一個固定長度的散列值，稱為 消息摘要 Message Digest）。因此在數(shù)學上比加密算法被攻擊的弱點要少。 (a) 對稱加密：保密性與鑒別 ?提供保密 ?提供鑒別 –僅來自 A –傳輸中沒有被更改 –需要某種結構或冗余 ?不提供簽名 ? 如何自動確定是否收到的明文可解密為可懂的明文 ? ? 一種解決辦法是強制明文有某種結構 . 差錯控制 ： Error Control (b) 公鑰加密：保密性 ?提供保密 ?不提供鑒別 (c) 公鑰加密：鑒別與簽名 ?提供鑒別和簽名 –僅 A有 Kra可以進行加密 –傳輸中沒有被更改 –需要某種結構或冗余 –任何一方均可以使用 Kua驗證簽名 (d)公鑰加密： 保密、鑒別與簽名 ?KUb提供保密性 ?Kra提供鑒別和簽名 消息 鑒別 碼 MAC 使用一個密鑰生成一個固定大小的小數(shù)據塊，并加入到消息中，稱 MAC， 或密碼校驗和（cryptographic checksum） 接收者可以確信消息 M未被改變。 消息加密 ? 消息的自身加密可以作為一個鑒別的度量。 鑒別函數(shù) 可用來做鑒別的函數(shù)分為三類： (1) 消息加密函數(shù) (Message encryption) 用完整信息的密文作為對信息的鑒別。 鑒別模型 ? 一個單純 鑒別系統(tǒng) 的模型 竄擾者 信宿 信源 鑒別編碼器 鑒別譯碼器 信道 安全信道 密鑰源 鑒別系統(tǒng)的組成 ? 鑒別編碼器和鑒別譯碼器可抽象為 鑒別函數(shù) 。 4)冒充：從一個假冒信息源向網絡中插入消息 5)抵賴：接受者否認收到消息；發(fā)送者否認發(fā)送過消息 。 順序修改：插入、刪除或重組消息序列。 ? 數(shù)字簽名（ Digital Signature） 是一種防止源點或終點抵賴的鑒別技術。 網絡與信息安全 第五講 密碼學基礎 (四 ) 王 昭 北京大學信息科學技術學院 軟件研究所 信息安全研究室 2022年春季北京大學碩士研究生課程 回顧與總結 ? 對稱密碼算法 – 運算速度快、密鑰短、多種用途（隨機數(shù)產生、Hash函數(shù)）、歷史悠久 – 密鑰管理困難（分發(fā)、更換） ? 非對稱密碼算法 – 只需保管私鑰、可以相當長的時間保持不變、需要的數(shù)目較小 – 運算速度慢、密鑰尺寸大、歷史短 信息安全的需求 ? 保密性（ Confidentiality） ? 完整性 （ Integ