HASH函数与消息认证课件

HASH函數與消息認證§7-1HASH函數安全HASH函數的一般結構壓縮函數HASH填充§7－2散列演算法SHA-1演算法邏輯輸入：最大長度為264位的消息；輸出：160位消息摘要；處理：輸入以512位數據塊為單位處理；SHA-1演算法邏輯步驟2：添加長度。一個64位塊，表示原始消息長度步驟3：初始化MD緩衝區。160位，表示為5個32位的寄存器

(A,B,C,D,E)。初始化為：

A=67452301 B=EFCDAB89 C=98BADCFE D=10325476 E=C3D2E1F0

big-endianformat步驟1：添加填充位。使數據位的長度

448mod512步驟4：以512位數據塊為單位處理消息。四輪，每輪20步。 四個基本邏輯函數：f1,f2,f3,f4.步驟5：輸出。全部L個512位數據塊處理完畢後，輸出160位消息摘要。步數16進制0<=t<=19Kt=5A82799920<=t<=39Kt=6ED9EBA140<=t<=59Kt=8F1BBCDC60<=t<=79Kt=CA62C1D6SHA-1總結CV0=IVCVq+1=SUM32(CVq,ABCDEq)MD=CVL其中：IV=ABCDE的初始值

ABCDEq=第q輪消息數據塊處理最後一輪所得的結果

L=數據塊的個數

SUM32=對每一個輸入對的字求加模232

MD=最後的消息摘要值SHA－1壓縮函數SHA-1壓縮函數－單輪邏輯

A,B,C,D,E

(E+f(t,B,C,D)+S5(A)+Wt+Kt),A,S30(B),C,D其中，

A,B,C,D,E=緩衝區的5個字

t =步數，0<=t<=79 f(t,B,C,D)=步t的基本邏輯函數

Sk =迴圈左移k位給定的32位字

Wt=一個從當前512數據塊導出的32位字

Kt=一個用於加法的常量，四個不同的值如前定義

+ =加模232SHA－1邏輯函數的真值表BCDf1f2f3f400000000011101010010101110101000101101001011010101111111Step FunctionName FunctionValue(0t19) f1=f(t,B,C,D) (BC)(BD)(20t39) f2=f(t,B,C,D) BCD(40t59) f3=f(t,B,C,D) (BC)(BD)(CD)(60t79) f4=f(t,B,C,D) BCDWt=S1(Wt-16

Wt-14Wt-8Wt-3)如何計算Wt?SHA-1演算法舉例見教材

例7－1§7－3消息認證網路系統安全要考慮:用密碼保護傳送的資訊使其不被破譯就是防止對手對系統進行主動攻擊認證則是防止主動攻擊的重要技術，分為實體認證和消息認證消息認證的目的：驗證資訊來源的真實性，即信源識別驗證資訊內容的完整性竄擾者信宿信源認證編碼器認證解碼器通道安全通道密鑰源一個純認證系統的模型系統中：發送者：通過一個公開的無擾通道將消息送給接收者接收者：不僅想收到消息本身，而且還要驗證消息是否來自合法的發送者及消息是否經過篡改攻擊者：不僅要截收和破譯通道中傳送的密報，而且可偽造密文送給接收者進行欺詐實際認證系統還要防止收方、發方之間的相互欺詐認證系統的功能層次底層的認證函數：產生一個用來認證消息的認證標識上層的認證協議：基於認證標識提供了一種能使接收方驗證消息真實性的機制

認證函數分類資訊加密函數(Messageencryption)

用完整資訊的密文作為對資訊的認證資訊認證碼MAC(MessageAuthenticationCode)

是對信源消息的一個編碼函數散列函數(HashFunction)

是一個公開的函數，它將任意長的資訊映射成一個固定長度的資訊一、基於消息加密的認證

困難性：接收方需要確定解密消息的合法性確定消息來源的真實性特點：①提供機密性②提供認證③不能提供數字簽名基於公鑰密碼體制：提供認證

特點：能實現數字簽名提供認證基於公鑰密碼體制：實現簽名、加密和認證

特點：提供機密性數字簽名認證缺點：一次完整的通信需要執行公鑰演算法的加密、解密操作各兩次二、基於消息認證碼(MAC)的認證

特點：MAC函數無需可逆收發雙方使用相同的密鑰，MAC不能提供數字簽名只提供消息認證，不能提供機密性改進方案特點：提供機密性三、基於散列函數(HASH)的認證

認證協議單向認證(one-wayauthentication)雙方認證(mutualauthentication)單向認證E-mail傳統加密方法：1、AKDC：IDA||IDB||N12、KDCA：EKa[Ks||IDB||N1||EKb[Ks||IDA]]3、AB：

EKb[Ks||IDA]||EKs[M]公鑰加密方法：

AB：EKUb[Ks]||EKs[M]AB：M||EKRa[H(M)]AB：EKUb[M||EKRa[H(M)]]One-WayAuthentication雙向認證協議最常用的協議該協議使得通信各方互相認證鑒別對方的身份，然後交換會話密鑰認證的成功取決於：聲稱者與它的密鑰間綁定的證實聲稱者基於亂數的數字簽名的證實雙向認證原理傳統加密方法1、AKDC：IDA||IDB||N12、KDCA：EKa[Ks||IDB||N1||EKb[Ks||IDA]]3、AB：

EKb[Ks||IDA]4、BA：EKs[N2]5、AB：

EKs[f(N2)]本協議的目的就是要安全地分發一個會話密鑰Ks給A和BNeedham/SchroederProtocol[1978]安全漏洞……

假定攻擊方C已經掌握A和B之間通信的一個老的會話密鑰。C可以在第3步冒充A利用老的會話密鑰欺騙B。除非B記住所有以前使用的與A通信的會話密鑰，否則B無法判斷這是一個（舊密鑰）重放攻擊。如果C可以中途阻止第4步的握手資訊，則可以冒充A在第5步回應。從這一點起，C就可以向B發送偽造的消息而對B來說認為是用認證的會話密鑰與A進行的正常通信。安全漏洞……DenningProtocol[1982]改進：1、AKDC：IDA||IDB2、KDCA：EKa[Ks||IDB||T||EKb[Ks||IDA||T]]3、AB：

EKb[Ks||IDA||T]4、BA：

EKs[N1]5、AB：

EKs[f(N1)]|Clock-T|<

t1+

t2

其中：

t1

是KDC時鐘與本地時鐘（A或B）之間差異的估計值；

t2是預期的網路延遲時間。新的問題……

必須依靠各時鐘均可通過網路同步如果發送者的時鐘比接收者的時鐘要快，攻擊者就可以從發送者竊聽消息，並在以後當時間戳對接收者來說成為當前時重放給接收者（抑制重放攻擊）強制各方定期檢查自己的時鐘是否與KDC的時鐘同步採用“臨時數”握手協議解決辦法？KEHN921、AB：IDA||Na2、BKDC：IDB||Nb||EKb[IDA

||Na||Tb]3、KDCA：EKa[IDB||Na||Ks||Tb]||EKb[IDA

||Ks||Tb]||Nb4、AB：

EKb[IDA

||Ks||Tb]||EKs[Nb]同時解決了抑制重放攻擊和用舊密鑰的重放攻擊公鑰加密方法：一個使用時間戳的方法是：1、AAS：IDA||IDB2、ASA：EKRas[IDA||KUa||T

]||EKRas[IDB||KUb||T

]3、AB：EKRas[IDA||KUa||T]||EKRas[IDB

||KUb||T]||EKUb[EKRa[Ks||T]]一個基於臨時值握手協議：WOO92b1、AKDC：IDA||IDB2、KDCA：EKRauth[IDB||KUb]3、AB：

EKUb[Na||IDA]4、B

KD