现代密码学散列函数与消息鉴别课件

主要内容散列函数MD5算法安全散列算法SHA1消息鉴别基于加密技术的消息鉴别基于散列函数的消息鉴别·HMAC算法散列函数的概念散列函数(hash函数)可以表示为h=(m)其中,m为任意长度的输入消息(message)h为固定长度的消息摘要(messagedigest,MD),也称为散列码,函数H即为散列函数。散列函数H有以下基本特性:(1)H(m)能用于任意长度的的数据并产生定长输出。(2)对于给定的m,H(m)易于计算,使得软件和硬件实现成为实际可行3)H(m)算法公开,不需要密钥。H还必须具有以下安全特性:(1)单向性:对任何给定的码h,寻找m使得H(m)h在计算上是不可行的(2)具有弱抗碰撞性(weekcollisionresistance):对于任何给定的消息m,寻找一个与m不同的消息m使得H(m)=H(m)在计算上不可行(3)具有强抗碰撞性(strongcollisionresistance):寻找任意两个不同的消息m和m使得使得H(m)=H(m)在计算上不可行。对散列函数必须具有的性质的理解:系统可能存在的伪造方式1.伪造方式一:若攻击者截获某一消息摘要h,如果H的逆函数H1是易求的,可算出H1(h)=m,满足h=H(m)。为防止这一点,必须要求散列函数H为单向的,即计算H的逆函数H1在计算上是不可行的。2.伪造方式二:从一个有效签名(m,y)开始,此处y=sigk(H(m)。首先计算h=H(m),并企图找到一个m=m满足H(m’)=H(m)。若做到这一点,则(m,y)也将为有效签名。为防止这一点,要求函数h具有弱抗冲突特性,即,对给定消息m,在计算上几乎找不到不同于m的m∈X使H(m)=H(m)。3伪造方式三:首先找到两个不同的消息m和m’,满足H(m)=H(m”),然后把m给他人且使他人对m的摘要H(m)签名,从而得到y,那么(m,y)是一个对于(m,y)有效的伪造。为防止这一点,要求函数h具有强抗冲突特性,即,在计算上几乎不可能找到相异的m,m使得H(m)=H(m”)注:强抗冲突自然含弱抗冲突!散列函数的应用保证数据的完整性数据存储中的完整性假定m是要存储的信息,h=H(m)是消息m的散列值,并将h安全的保存,之后使用数据m时,用户都可以先用散列函数计算其散列值并与h比较,若相等,则说明数据m是完整的,否则说明m被篡改2通信过程中的数据完整性假定m是要发送的信息,,h=H(m)是消息m的散列值,将(m,h)发送给接受者,接收者验证h是否等于H(m)。(存在很大的安全问题!!!问题:Hash函数H是公开的,攻击者如果将m改成m,消息摘要也会变成h=H(m?),接收者无法发现消息的改变。个解决方法:带密钥的hash函数h=H(k,m)攻击者无法计算h’=H(k,m2),因为没有密钥k。散列函数实现数据传输中的完整性保护模型假定A要给B发送一条信息m,且他们共享一个密钥k,则A进行以下计算:h=H(mk),并把mh(表示两个消息序列的连接)发送给B,B很容易计算H(m,k),验证m的完整性。散列函数的应用数字签名将散列函数应用于数字签名,一般方法是不直接对消息m签名,而对m对应的散列码h进行签名,这样可以提高签名的速度(hl<m),且不泄露签名所对应的信息,因此散列函数在数字签名中应用广泛。散列函数的一般结构目前使用的大多数散列函数,其结构都是迭代型的。将输入的消息m分成t个分组(m1,m2,…,m),每组固定长度为b位如果最后一个分组的长度不够,需要对其进行填充。通常的填充方法是保证最后一个分组的最后64位为m的总长度,然后在中间填充。Yo链接变量bY1=第i个输入分组f=压缩算法入的分组数n=散列码长度b=输入分组长度对散列函数的攻击穷举攻击:第一种是最明显的:给定消息M的散列值H(M),破译者逐个生成其他消息M′,以使H(MHM′)假定其输出为m比特,那么寻找一个消息,使其散列值与给定