鉴别技术和数字签名.ppt

消息的鉴别技术 什么是报文的鉴别 1 能够证实收到的报文来自可信的节点 2 报文未被篡改例如 ABA给B发报文 我是A 请速汇一万元 什么是消息的鉴别 如何实现报文的鉴别 要有某种函数来产生鉴别码 该鉴别码用于鉴别一个报文的值 如何产生鉴别码呢 三种方法 1 报文加密 以整个报文的密文作为鉴别码 2 报文鉴别码 MAC 以一个报文的公共函数和一个密钥产生一个定长的输出 以此作为鉴别码 3 散列函数 一个将任意长度的报文映射为定长的散列值的公共函数 以散列值做报文鉴别码 方法一 报文加密实现鉴别 又分为两种 1 采用对称加密机制 教材叫常规加密 实现2 采用公钥加密机制 用加密的方法实现鉴别的不足之处 1 为了鉴别而加密整个报文不够方便 加密整个报文是一个浪费 公钥加密速度太慢 加密整个报文不太现实 2 鉴别和加密应该分离 这样才能有灵活性 因为有时只需要鉴别而不需加密 如 公开信 公告 公证等 方法二 采用MAC 什么是消息鉴别码MAC MessageAuthenticationCode 就是用一个密钥产生一个短小的定长数据分组 由函数C生成 MAC CK M 其中 M是变长的报文 K是仅收发双方共享的密钥 CK M 是定长的鉴别符 KMMMMAC1MAC1鉴别码MAC2K比较如果接收方计算出的MAC2和消息附加的MAC1相吻合则 消息没有被改动过 如果改动消息 通过比较会察觉 因为攻击者不知K 无法改动MAC 接收方B可确信消息的来源因为只有A知道K 前提是K是保密的 MAC如何使用 MAC算法 MAC算法 MAC的使用 发送方将MAC附加在报文中 接收者通过重新计算MAC来对报文进行鉴别 如果只有发方和收方知道密钥K 同时如果如果收方收到的MAC与计算出的MAC匹配 则 1 收方确信报文没有被篡改 2 收方确信报文来自发方注意 不能提供抗抵赖 WHY 如何得到MAC MAC的算法之一基于DES的报文鉴别码报文按64bit分组D1 D2 Di计算MAC值的CBC 密码分组链接 方式用0作初始化向量的DES计算O1 Ek D1 O2 Ek O2 D2 O3 Ek O2 D3 On Ek On 1 Dn 鉴别技术方法三 采用散列函数 散列函数 HashFunction有的地方也称为杂凑函数 就是把任意长度的信息输入后加以浓缩 转换 成为一长度比较短且固定的输出信息的运算 一般称此输出信息为散列值 HashValue 有时也称为数字摘要 MessageDigest 散列值以如下形式的函数H产生 h H M 其中 M是变长的报文 H M 是定长的散列值 注意定义中没有使用密钥 简单的说 散列函数就是接受一大块的数据并将其压缩成一个数字指纹 FingerPrint 我们来一个形象的比喻 我们用一个漏斗来表示散列函数 那么散列函数的过程就是大块的报文从上面进入漏斗 从漏斗下面滴出来的就是该报文对应的指纹 如果从漏斗流进的报文被改动了哪怕一个比特 它生成的指纹就会不同 需要说明的是这个 漏斗 具有压缩的功能 输入的报文可能很长 而输出是定长的短小的 正是由于散列函数的这种特点 使它广泛用于消息的鉴别 用来保护消息的完整性 HASH函数 安全HASH函数的一般结构 压缩函数 散列函数的需求 散列函数的目的是为文件 报文或其他的分组数据产生 指纹 1 H能用于任何大小的数据分组2 H产生定长输出3 H M 应易于计算 在软硬件上实际可行4 单向性h H M 已知hM在计算上不可行哈希值求明文5 弱抗冲突已知M1h H M1 寻找M2使H M2 H M1 计算上不可行已知M1无法找到替代报文M2使H M1 H M2 6 强抗冲突对任何M1 M2存在H M1 H M2 散列算法 散列函数简介目前已研制出许多散列函数 使用比较广泛的有MD5和SHA等算法 MD5是由设计RSA公钥密码算法的三位发明人 Rivest Shamir Adleman 中的Rivest所设计和发展的 MD5可以将任意长度的文件 信息转换输出为128bit的散列值 MD5由Rivest发展于1991年 是MD4的加强安全版 比MD4复杂 相对比MD4慢 SHA SecureHashAlgorithm 是由NIST NationalInstituteofStandardsTechnology 美国国家标准技术局 开发出来的 并在1993年作为联邦消息处理标准 FIPSPUB180 公布的 在1995年出版了改进版本FIPSPUB180 1 通常叫做SHA 1 此算法以最大长度不超过264bit的消息为输入 生成160bit的消息摘要输出 MD5 SHA 1算法逻辑 输入 最大长度为264位的消息 输出 160位消息摘要 处理 输入以512位数据块为单位处理 但随着技术的发展 技术与标准局计划在2010年之前逐步淘汰SHA 1 换用其他更长更安全的算法 如SHA 224 SHA 256 SHA 384和SHA 512 来替代 HMAC 分析前面介绍的 HASH算法是不带密钥而MACM C K M MAC是消息和密钥的函数HASH MAC HMAC由密钥K和HASH值结合生成MACHMAC C Hash M K 已作为IPSec中强制使用的MAC 也用于SSL HMAC的结构 思考题 什么是消息的鉴别什么叫MAC 其工作原理是什么 如何得到MAC散列函数的作用是什么 什么是数字指纹 如何得到 密码学领域重大发现 山东大学王小云教授成功破解MD5 关键词 碰撞 漏洞 别人可以伪造和冒用数字签名 Hash函数与数字签名 数字手印 HASH函数 又称杂凑函数 是在信息安全领域有广泛和重要应用的密码算法 它有一种类似于指纹的应用 在网络安全协议中 杂凑函数用来处理电子签名 将冗长的签名文件压缩为一段独特的数字信息 像指纹鉴别身份一样保证原来数字签名文件的合法性和安全性 SHA 1和MD5 在前面提到的SHA 1和MD5都是目前最常用的杂凑函数 经过这些算法的处理 原始信息即使只更动一个字母 对应的压缩信息也会变为截然不同的 指纹 这就保证了经过处理信息的唯一性 为电子商务等提供了数字认证的可能性 安全的杂凑函数在设计时必须满足两个要求 其一是寻找两个输入得到相同的输出值在计算上是不可行的 这就是我们通常所说的抗碰撞的 其二是找一个输入 能得到给定的输出在计算上是不可行的 即不可从结果推导出它的初始状态 现在使用的重要计算机安全协议 如SSL PGP都用杂凑函数来进行签名 一旦找到两个文件可以产生相同的压缩值 就可以伪造签名 给网络安全领域带来巨大隐患 MD5的 碰撞 MD5曾一度被认为是非常安全的 然而 王小云教授发现 可以很快的找到MD5的 碰撞 就是两个文件可以产生相同的 指纹 这意味着 当你在网络上使用电子签名签署一份合同后 还可能找到另外一份具有相同签名但内容迥异的合同 这样两份合同的真伪性便无从辨别 王小云教授的研究成果证实了利用MD5算法的碰撞可以严重威胁信息系统安全 这一发现使目前电子签名的法律效力和技术体系受到挑战 MD5的设计者 同时也是国际著名的公钥加密算法标准RSA的第一设计者R Rivest在邮件中写道 这些结果无疑给人非常深刻的印象 她应当得到我最热烈的祝贺 当然 我并不希望看到MD5就这样倒下 但人必须尊崇真理 MD5破解专项网站关闭 MD5破解工程权威网站 Crypto2004 国际密码学会议的总主席JimesHughes建议 程序设计人员最好开始舍弃MD5 他说 既然现在这种算法的弱点已暴露出来 在有效的攻击发动之前 现在是撤离的时机 普林斯顿大学教授EdwardsFelton的个人网站上 也有类似的评论 他说 留给我们的是什么呢 MD5已经受了重伤 它的应用就要淘汰 SHA 1仍然活着 但也不会很长 必须立即更换SHA 1 但是选用什么样的算法 这需要在密码研究人员达到共识 美国国家技术与标准局 NIST 的评论 美国国家技术与标准局 NIST 于2004年8月24日发表专门评论 在最近的国际密码学会议 Crypto2004 上 研究人员宣布他们发现了破解数种HASH算法的方法 其中包括MD4 MD5 HAVAL 128 RIPEMD还有SHA 0 分析表明 于1994年替代SHA 0成为联邦信息处理标准的SHA 1的减弱条件的变种算法能够被破解 但完整的SHA 1并没有被破解 也没有找到SHA 1的碰撞 研究结果说明SHA 1的安全性暂时没有问题 但随着技术的发展 技术与标准局计划在2010年之前逐步淘汰SHA 1 换用其他更长更安全的算法 如SHA 224 SHA 2