密码编码学与网络安全(第五版)08密码学hash函数精选课件

1、Chapter 11 密码学Hash函数信息保障与安全哈希函数（杂凑函数）（1） Hash编码；（2） Hash函数；（3）散列编码：（4）散列函数；（5）单向压缩函数。哈希函数 在公钥密码的内容中，已经介绍了“单向函数”的概念。而哈希函数是一类特殊的单向函数。 设数据文件是任意长度的比特串x 。在密码应用中，希望有这样的函数 y=H(x)，满足： （1）将x压缩成为固定长度的比特串y。 （2）不同的x一定要生成不同的y。 （3）由y的值无法倒算x的值。哈希函数实际性质：哈希函数函数 y=H(x)满足（1）将任意长度的比特串x压缩成为固定长度的比特串y。（2）已知x，计算y=H(x)很容易；已

2、知y，找一个x满足y=H(x)却很困难。这一性质称为单向性。（3）找(x1，x2)，x1x2，H(x1)= H(x2)，很困难。这一性质称为无碰撞性。这样的函数称为哈希函数。2022/8/20华中农业大学信息学院5Hash函数浓缩任意长的消息M到一个固定长度的取值 h = H(M) 通常假设hash函数是公开的且不使用密钥（MAC使用密钥）Hash函数用户检测对消息的改变多种方式工作方式常用于产生数字签名2022/8/20华中农业大学信息学院6Hash算法Hash函数和分组密码的发展变化具有相似性穷举攻击能力的增强算法的不断改进分组密码：从DES 到 AES Hash算法: 从MD4 、MD5

3、 到 SHA-1、RIPEMD-160、SHA-512、Whirlpool2022/8/20华中农业大学信息学院7哈希函数的应用消息认证 数字签名 口令保护、文件完整性等Hash函数用于消息认证2022/8/20华中农业大学信息学院8Hash函数用于消息认证2022/8/20华中农业大学信息学院9Hash函数用于数字签名2022/8/20华中农业大学信息学院102022/8/20华中农业大学信息学院1112.1 MD5消息摘要算法由Ronald Rivest设计MD2(1989), MD4(1990), MD5(1991) 产生128-bit的hash值直到现在仍是被广泛使用的hash算法最近

4、已受到穷举攻击和密码分析攻击作为互联网的RFC1321标准2022/8/20华中农业大学信息学院12MD5 概览增加填充位。使得填充后的消息长度比512的某整数倍少64位（即长度 448 mod 512，64位用于存放消息的长度mod 264的结果）填充长度（填充前消息的长度为K位，将mod264 的结果填充到第一步的最后，最低有效位在前。）初始化MD缓冲区(A, B, C, D) : 4个字共128-bit，每字32bit.A = 67452301 B = EFCDAB89C = 98BADCFE D = 10325476以16个字（512bits）为分组处理消息用4轮（64次迭代）以16位

5、操作对消息分组和缓冲区进行处理把输出与缓冲输入相加作为新的缓冲值 把最后的缓冲值作为hash输出值（128比特）2022/8/20华中农业大学信息学院13MD5 处理过程 CV0 = IV CVq+1 = SUM32 CVq, RFI(Yq, RFH(Yq, RFG(Yq, RFF(Yq, CVq) MD = CVL-1其中：IV = 第三步定义的缓冲区ABCD的初值Yq = 消息的第q个512位分组L = 消息分组的个数（包括填充位和长度域）CVq = 处理消息的第q个分组时所使用的链接变量RFx = 使用基本逻辑函数x的轮函数MD = 消息摘要SUM32 = 对输入字分别执行模232加法2

6、022/8/20华中农业大学信息学院14MD5 Overview2022/8/20华中农业大学信息学院152022/8/20华中农业大学信息学院16MD5 压缩函数每一轮都由16步迭代构成: a = b + ( ( a + g( b, c, d ) + X k + T i ) s ) a, b, c, d 表示缓冲区的4个32位字,按照一定次序随迭代步骤而变化每次迭代只更新缓冲区中的一个字a16次迭代后，每个字被更新4次其中g ( b, c, d )表示每一轮的非线性函数，四轮依次为( F, G, H, I ) s：32位的变量循环左移s位Xk = Mq x 16 + k = 消息第q个512

7、位分组的第k个32位字T i 是由 sin 导出的 32 bit 的常量+ ：模232加法2022/8/20华中农业大学信息学院17MD5 压缩函数2022/8/20华中农业大学信息学院182022/8/20华中农业大学信息学院192022/8/20华中农业大学信息学院202022/8/20华中农业大学信息学院212022/8/20华中农业大学信息学院222022/8/20华中农业大学信息学院232022/8/20华中农业大学信息学院24MD5的强度MD5的hash值依赖于消息的所有比特位Rivest声称它对于已知攻击安全性足够好:Berson 92 采用差分的方法对单轮的攻击Boer & B

8、osselaers 93 说明了如何找到碰撞Dobbertin 96 提出的攻击对MD5最具威胁，可使MD5压缩函数产生碰撞。结论是MD5似乎不久就会有风险2022/8/20华中农业大学信息学院252022/8/20华中农业大学信息学院2612.2 安全Hash算法(SHA-1)SHA 由NIST 和NSA在1993年提出, 修订版于 2019年发布，称作SHA-1作为美国DSA数字签名方案的标准FIPS 180-1 2019, Internet RFC3174注意：算法是SHA, 标准称为SHS 产生160-bit hash值 现在作为建议的hash算法 基于MD4的设计2022/8/20华

9、中农业大学信息学院27SHA 概览增加填充位 填充长度初始化5个字(160-bit) 缓冲区(A, B, C, D, E) 为 (67452301, efcdab89, 98badcfe, 10325476, c3d2e1f0) 以16个字（512-bit ）为分组处理消息:将分组的16个字扩充为80个字用于压缩过程中4轮，每轮20步迭代把输出和输入相加以形成新的缓冲区取值将最后缓冲区的值作为hash值输出2022/8/20华中农业大学信息学院282022/8/20华中农业大学信息学院29SHA-1 压缩函数每轮20步迭代:(A, B, C, D, E) - (E + f(t, B ,C, D

10、) + (A5)+Wt+Kt), A, (B30), C, D)a, b, c, d, e指缓冲区的5个字t 是迭代步数，0t79f(t, B, C, D) 为第t步所用的非线性函数Wt 从当前消息分组中导出的32位的字Kt 加法常量2022/8/20华中农业大学信息学院30SHA-1 压缩函数2022/8/20华中农业大学信息学院312022/8/20华中农业大学信息学院322022/8/20华中农业大学信息学院33SHA-1 verses MD5穷举攻击更加困难（SHA-1:160, MD5:128） 对已知攻击不存在风险 (与 MD4/5相比)（SHA-1的设计原则尚未公开） 速度比MD5慢 (80 步，64 步) 两者设计都很简单紧凑低位结构和高位结构MD5:低位结构 SHA-1:高位结构2022/8/20华中农业大学信息学院34SHA的修改NIST1981年已经发布了FIPS 180-2除SHA-1外，新增加了3个hash算法： SHA-256, SHA-384, SHA-512，消息摘要的长度分别为：256，384，512与AES增强安全性