当前位置:文档之家 › 信息安全原理与技术ch05-Hash函数和数字签名

信息安全原理与技术ch05-Hash函数和数字签名

  • 格式:ppt
  • 大小:845.00 KB
  • 文档页数:63

下载文档原格式

  / 63

合集下载

网络安全 介绍hash函数PPT文档116页

网络安全 介绍hash函数PPT文档116页
承 诺,踏 上旅途 ,义无 反顾。 40、对时间的价值没有没有深切认识 的人, 决不会 坚韧勤 勉。
31、只有永远躺在泥坑里的人,才不会再掉进坑里。——黑格尔 32、希望的灯一旦熄灭,生活刹那间变成了一片黑暗。——普列姆昌德 33、希望是人生的乳母。——科策布 34、形成天才的决定因素应该是勤奋。——郭沫若 35、学到很多东西的诀窍,就是一下子不要学很多。——洛克
网络安全 介绍hash函数
36、“不可能”这个字(法语是一个字 ),只 在愚人 的字典 中找得 到。--拿 破仑。 37、不要生气要争气,不要看破要突 破,不 要嫉妒 要欣赏 ,不要 托延要 积极, 不要心 动要行 动。 38、勤奋,机会,乐观是成功的三要 素。(注 意:传 统观念 认为勤 奋和机 会是成 功的要 素,但 是经过 统计学 和成功 人士的 分析得 出,乐 观是成 功的第 三要素 。

数字签名的原理及过程

数字签名的原理及过程

数字签名的原理及过程数字签名是一种用于验证数据完整性和身份认证的技术。

它利用公钥密码学的原理,通过对数据进行加密和解密操作,确保数据的真实性和可靠性。

本文将详细介绍数字签名的原理及过程。

一、数字签名的原理数字签名是基于公钥密码学的技术,它使用了非对称加密算法和哈希算法。

非对称加密算法使用了两个密钥,一个是公钥,一个是私钥。

公钥用来加密数据,私钥用来解密数据。

而哈希算法则是一种将任意长度的数据转换为固定长度摘要的算法。

数字签名的原理可以简单概括为以下几个步骤:1. 发送方使用私钥对要发送的数据进行加密,并生成数字签名。

2. 接收方使用发送方的公钥对接收到的数据进行解密,并获得数字签名。

3. 接收方使用相同的哈希算法对接收到的数据进行哈希运算,并生成摘要。

4. 接收方将生成的摘要与解密后的数字签名进行比对,如果一致,则说明数据完整且发送方身份真实。

二、数字签名的过程下面将详细介绍数字签名的具体过程:1. 发送方使用私钥对要发送的数据进行加密,并生成数字签名。

发送方首先使用哈希算法对要发送的数据进行哈希运算,生成摘要。

然后,发送方使用自己的私钥对摘要进行加密,生成数字签名。

2. 发送方将加密后的数据和数字签名一起发送给接收方。

接收方接收到数据后,首先使用发送方的公钥对数字签名进行解密,得到解密后的摘要。

3. 接收方使用相同的哈希算法对接收到的数据进行哈希运算,生成摘要。

然后,接收方将解密后的摘要与自己计算得到的摘要进行比对。

如果两者一致,则说明数据完整且发送方身份真实。

三、数字签名的应用数字签名在现代通信和电子商务中得到了广泛的应用。

它可以确保数据的完整性,防止数据被篡改或伪造。

同时,数字签名还可以用于身份认证,确保通信双方的身份真实可靠。

在电子商务中,数字签名可以用于验证商家的身份和交易的完整性。

当消费者在网上购物时,商家可以使用私钥对订单信息进行加密,并生成数字签名。

消费者在收到订单信息后,可以使用商家的公钥对数字签名进行解密,并验证订单的完整性和商家的身份。

《信息安全原理与技术(第3版)》教学大纲

《信息安全原理与技术(第3版)》教学大纲

作者:郭亚军、宋建华、李莉、董慧慧定价:39.50元ISBN:9787302450078《信息安全概论》教学大纲课程编号:86310015课程中文名称:信息安全概论课程英文名称:Information Security Conspectus二、课程性质与教学目标:信息安全课程是为计算机科学与技术、通信工程和电信专业本科高年级学生开设的一门专业选修课程。

通过本课程的学习,使学生能熟练掌握信息安全的基本概念、框架和技术;本课程重点学习密码算法的基本原理;数字签名,认证协议;Kerberos;X.509认证服务;公钥基础设施;PGP;IP安全体系结构;安全套接层和传输层安全入侵检测原理;防火墙的设计原理等知识。

使学生在完成本课程学习后,能够独立进行信息安全方面的研究和工作。

三、教学内容及基本要求第一单元密码技术简介[知识点]1.信息安全概述2.安全服务模型以及信息安全模型;3.对称密码模型与分组密码原理;4.数据加密标准;5.公开密码体制的基本原理与RSA算法;6.密钥管理和数字签名;7.消息认证和hash函数;[教学内容]了解信息安全的基本概念以及基本模型,理解对称加密原理,公钥加密原理以及密钥管理。

理解hash函数原理以及数字签名原理。

[重点](1) 数据加密标准;(2) 高级加密标准;(3) RSA算法;(4)密钥管理;(5)hash函数;(6)数字签名。

[难点](1)数据加密标准;(2)高级加密标准;(3)hash函数.[教学要求]1、了解服务、机制与攻击意义,了解在安全服务模型和信息安全模型。

2、理解对称密码模型;理解密码攻击类型。

3、理解古典加密技术原理:代换技术、置换技术。

4、掌握信息安全的数学基础。

5、理解分组密码原理。

6、理解数据加密标准加密过程和分组密码设计原理。

7、理解高级加密标准以及RC6的加密过程。

8、理解流密码的工作原理,了解RC4的加密原理和过程。

9、理解分组密码的工作模式。

网络与信息安全第5章+数字签名和Hash函数

网络与信息安全第5章+数字签名和Hash函数
源自27-Apr-11返回
27-Apr-11
消息摘要是数字签名体系中实现信息完整性保障的技术,其工作原理是 将消息作为函数的输入数据进行处理,生成定长的输出数据(即消息摘 要),并将其作为消息的附加信息。利用Hash函数的两个基本特性—— —输入数据的任何细微变化将导致输出数据的巨大改变和难以逆运算, 消息接受方能验证收到的消息在传输过程中是否发生了改变,从而保证 了消息的完整性和有效性。消息摘要有时也称为消息的数字指纹。 公开密钥技术是数字签名体系中进行身份认证和保障抗否认性的主要技 术。利用发送者的私钥加密的信息只有用发送者的公钥才能解密,因此, 在A的私钥没有泄露的情况下,如果一个经过私钥加密的信息能被A的公 钥解密便说明该私钥属于A,从而可以确定该信息是由A发出的,A无法 否认自己曾经发送过这个信息。同理,别人也无法冒充A发送信息,因 为他没有A的私钥。 数字签名作为保障信息安全的重要技术之一,越来越得到人们的重视。 它涉及到了很多的其它关键技术,并且在很多安全应用领域中得到了广 泛的应用,如网上交易安全协议SET、无线传输层安全协议WTLS等都涉 及到了数字签名。在数字签名实现机制中,如何选择加密算法、Hash函 数,如何尽可能的统一数字签名规范等等问题都有待于进一步的研究和 探讨。
27-Apr-11
生日攻击对Hash函数提出了一个必要的安全条件, 即消息摘要必须足够的长。一个40比特长的消息 摘要是很不安全的,因为仅仅用220 (大约一百万) 次随机Hash可至少以1/2的概率找到一个碰撞。为 了抵抗生日攻击,通常建议消息摘要的长度至少 应选取为128比特,此时生日攻击需要约264次 Hash。统计结果表明,如hash(m)的长度为128位 (bit)时,则任意两个分别为M1,M2的输入报文具有 完全相同的h(m)的概率接近于零。安全Hash标准 的输出长度选为160比特。

信息安全密码技术及数字签名

信息安全密码技术及数字签名

信息安全密码技术及数字签名1,对称密码技术对称密码加密也称常规密码加密、单钥密码加密,它包括许多数据加密方法。

对称密码系统的基本模型见下图:对称密码加密的基本特征是:数据加密和解密使用同一个密钥;在算法公开的前提下,所有秘密都在密钥中,因此密钥本身是通过另外的秘密信道传递。

对称密码系统的安全性依赖于两个因素:其一,加密算法强度至少应该满足:当敌手已知算法,通过截获密文不能导出明文或者发现密钥。

更高的要求是当敌手即使拥有部分密文以及相应明文段落也不能导出明文或者发现密钥系统。

其二,发送方和接收方必须以安全的方式传递和保存密钥副本,对称加密的安全性取决于密钥的保密性而不是算法的机密性。

2,公钥密码技术公钥密码也称为非对称密码,公钥密码系统的核心是信源端对明文加密和信宿端对密文解密时分别使用两个相互对应,但计算上只能单向推导的一对密钥。

根据应用的需要,将其中一个称为公钥,另一个称为私钥。

传统的对称密码系统主要是建立在位操作基础之上,而公钥密码算法和密钥生成则是建立在数学函数基础之上。

目前,公钥密码理论中大量使用数论等数学理论和方法,对现代密码学产生了深远的影响。

公钥加密方法的安全性主要基于复杂数学问题的难解性假设,根据所基于的数学难题来分类,以下三类系统目前被认为是安全和有效的:基于大整数因子分解的公钥密码系统(如RSA)、椭圆曲线离散对数系统(如ECC),离散对数系统(如DSA)。

在数据保密通信中,加密钥匙是公开的,解密私钥原则上不传递,因此密钥的分配和管理较对称密码系统简单。

公开密钥加密系统还能够很容易地实现数字签名。

因此,公钥密码技术适应了电子商务应用需要。

3,HASH函数HASH函数,又称杂凑函数,是在信息安全领域有广泛和重要应用的密码算法,它有一种类似于指纹的应用。

在网络安全协议中,杂凑函数用来处理电子签名,将冗长的签名文件压缩为一段独特的数字信息,像指纹鉴别身份一样保证原来数字签名文件的合法性和安全性。

信息安全原理与实践-第二版05 哈希函数及其他

信息安全原理与实践-第二版05 哈希函数及其他

5
签名的正确方法
• 假设没有碰撞,那么对h(M)签名和对消息M实施签名的效果一样好。 事实上,对哈希值实施签名比起仅仅对消息本身实施签名,实际上会 更加安全。 • 现在数字签名的安全性不仅依赖于公钥系统的安全性,而且也依赖于 哈希函数本身的安全性——如果二者中有任何一个比较弱,签名体制 就可能会被破解。
9
5.4 生日攻击
假设哈希函数h生成一个n位二进制长的输出。Trudy原则上能够发起一次 生日攻击,具体如下:
• Trudy选择一条“恶意”消息E,这是她想让Alice签名的消息,但是Alice并不想对其签 名。 Trudy也创建了一条无害的消息I,她有信心Alice愿意对这条消息签名。 然后,Trudy通过对消息实施较小的编辑性修改,生成2n/2条该无害消息I的变体。这些 无害的消息,我们分别标识为Ii,其中i = 0,1, ... ,2n/2 – 1,所有消息都与I的含义相同, 但是既然消息本身不同,那么它们的哈希值也不一样。 同样,Trudy创建出2n/2个恶意消息E的变体,分别标识为Ei,其中i = 0,1, ... ,2n/2 – 1。 这些消息也都与原始的恶意消息E表达同样的含义,但是它们的哈希值不一样。 Trudy对所有的恶意消息Ei以及所有的无害消息Ii实施哈希运算。根据上述生日问题的讨 论,她就有希望找到一个碰撞,比方说,h(Ej) = h(Ik)。基于这样的一个碰撞,Trudy将Ik 发送给Alice,并请Alice对其进行签名。既然这条消息看起来没有问题,Alice就对其进 行签名,并将Ik和[h(Ik)]Alice返回给Trudy。既然h(Ej) = h(Ik),那么由此可以得出[h(Ej)]Alice = [h(Ik)]Alice,于是,Trudy实际上就已经获得了Alice对恶意消息Ej的签名。

数字签名及哈希函数

数字签名及哈希函数第一篇:数字签名及哈希函数数字签名与哈希函数懂得一点公钥密码基础知识的人都知道,发信息的人用自己的私钥对所发信息进行加密(Encryption),接收信息者用发信者的公钥来解密(Decryption),就可以保证信息的真实性、完整性与不可否认性。

(注:这里提到的加密、解密是指密码运算,其目的并非信息保密。

)那么,我们也可以笼统地说,以上方法就已经达到了数字签名的目的。

因为首先,私钥是发信者唯一持有的,别的任何人不可能制造出这份密文来,所以可以相信这份密文以及对应的明文不是伪造的(当然,发信者身份的确定还要通过数字证书来保证);出于同样原因,发信者也不能抵赖、否认自己曾经发过这份信息;另外,信息在传输当中不可能被篡改,因为如果有人试图篡改,密文就解不出来。

这样,用私钥加密,公钥解密的技术方法就可以代替传统签名、盖章,保证了信息的真实性、完整性与不可否认性。

但是,这样做在实际使用中却存在一个问题:要发的信息可能很长,非对称密码又比较复杂,运算量大,而为了保证安全,私钥通常保存在USB Key或IC卡中,加密运算也是在Key或卡中进行。

一般来说,小小的USB Key或IC卡中的微处理器都做得比较简单而处理能力较弱,这样,加密所用的时间就会很长而导致无法实用。

另外,即使对于网站服务器而言,虽然它的处理能力很强,但服务器要同时处理许许多多签名加密的事情,也同样存在着加密耗时长系统效率低的问题。

有没有解决这个问题的办法呢?有的,常用的方法是使用哈希函数。

什么是哈希函数哈希(Hash)函数在中文中有很多译名,有些人根据Hash的英文原意译为“散列函数”或“杂凑函数”,有些人干脆把它音译为“哈希函数”,还有些人根据Hash函数的功能译为“压缩函数”、“消息摘要函数”、“指纹函数”、“单向散列函数”等等。

1、Hash算法是把任意长度的输入数据经过算法压缩,输出一个尺寸小了很多的固定长度的数据,即哈希值。

计算机网络安全中的数字签名原理研究

计算机网络安全中的数字签名原理研究随着互联网技术的飞速发展,计算机网络的安全问题也越来越受到重视。

在网络中,数字签名被广泛应用于身份认证、数据完整性保护、非否认性和授权等方面。

那么,数字签名的原理和应用方法是什么呢?一、数字签名的原理数字签名是通过公钥加密和私钥解密技术进行实现的。

首先,发送方使用私钥对消息进行加密,生成数字签名。

接收方使用发送方的公钥对数字签名进行解密,获取消息内容。

数字签名涉及三个概念:消息摘要、签名算法和校验算法。

1. 消息摘要消息摘要是将消息转化为长度固定的哈希值的过程。

常用的消息摘要算法有MD5、SHA-1和SHA-256等。

消息摘要算法的特点是:输入的消息长度可以是任意的,但输出的摘要值长度固定。

2. 签名算法签名算法是利用消息摘要和私钥生成数字签名的过程。

常用的签名算法有RSA、DSA和ECDSA等。

签名算法的特点是:生成数字签名需要使用私钥,每个私钥只能对应唯一的公钥。

3. 校验算法校验算法是利用数字签名和公钥对消息进行解密的过程。

常用的校验算法有RSA、DSA和ECDSA等。

校验算法的特点是:每个公钥只能对应唯一的私钥,校验算法验证数字签名是否属于发送方。

如果通过验证,则说明消息确实是由发送方发送的,并且未被篡改。

二、数字签名的应用数字签名在计算机网络中的应用非常广泛,主要包括身份认证、数据完整性保护、非否认性和授权等方面。

1. 身份认证数字签名可以用于身份认证,防止伪造。

当用户登录应用程序时,应用程序会要求用户输入用户名和密码。

应用程序将使用用户名和密码来验证用户的身份,并在验证通过之后,使用数字签名生成一个加密过的令牌。

当用户需要访问应用程序的其他部分时,应用程序将要求用户提供加密过的令牌,以验证用户的身份。

2. 数据完整性保护数字签名可以用于数据完整性保护,防止数据篡改。

当用户发送数据给接收方时,应用程序会使用数字签名对数据进行加密。

当接收方收到数据时,应用程序将使用数字签名解密数据,以确保数据没有被篡改过。

网络安全 介绍hash函数

▪ 认证:Certification 资格审查 计算安全学用语,指为了鉴定一个计算机系统或网络的设计 和它提供的手段在多大程度上能满足预定的安全要求而进 行的技术评估
鉴别的结构
任何消息认证或数字签名机制可以看到两个层次:
▪ 底层必须有某种函数产生一个认证标识:一个
用于认证一个报文的值
▪ 高层认证协议以底层函数为原语,使接收者完
CK(M)应均匀分布,即:随机选择消息M和M’, CK(M)= CK(M’) 的概率是2-n,其中n是MAC的位数
令M’为M的某些变换,即:M’=f(M),(例如:f可以涉及M中 一个或多个给定位的反转),在这种情况下,Pr[CK(M)= CK(M’)] = 2-n
例子:基于DES的报文鉴别码
的散列码,有时也称报文摘要,作为输出。 数字签名(Digital Signature)
是一种防止源点或终点抵赖的鉴别技术。
消息鉴别与散列函数
Message Authentication and Has Functions
鉴别和认证
▪ 鉴别:authentication 真伪性
(1) 用来验证发送的数据,特别是一个信息的完整性的过程 (2) 在用户开始使用系统时对其身份进行的确认
对称加密-保密和鉴别
B A
A与B共享密钥k A : Ek (M ) B B : Dk (M ),查看M是否为有意义的明文
对称加密-保密和鉴别
• 提供保密 -仅A和B共享k
• 提供一定程度的鉴别 -仅来自A -传输中不会被更改 -需要某种结构和冗余
• 不提供签名 -接收人可以伪造报文 -发送人可以伪造报文
明文M的自动确定
▪ M定义为有意义的明文序列,便于自动识别 ▪ 强制定义明文的某种结构,这种结构是易于识别但又

哈希函数和数字签名概述

12
MAC的动机
为了鉴别而加密整个报文不够方便
对称加密整个报文是个浪费
• 即使同时为了保密,也有另外的办法和体制
用非对称加密速度太慢,每秒仅百来笔
• 后来引入了签名体制
鉴别和加密的分离带来灵活性
确实有时只要鉴别而不用(或不能)加密
• 如法律文书、公开信、声明、公告、公证、鉴定等 • 如软件鉴别/防病毒、网络管理报文等
数据
用户B
哈希算法
哈希算法
哈希值
用户A 的私 钥
用户A 的公 钥
哈希值
哈希值
如果哈希值匹配,说 明该数据由该私钥签 名。
18
数字签名的要求
依赖性:数字签名必须依赖要签名消息的比特模式 (不可分离性)
唯一性:签名者使用唯一的“消息”生成数字签名 ,以防伪造和否认 (独特性)
可验证性 :数字签名必须是在算法上可验证的。 抗伪造:伪造一个数字签名在计算上不可行 (不可
4
哈希运算——完整性
用户A
用户B
数据 哈希算法
哈希值
哈希算法
如果哈希值匹配, 说明数据有效
数据
哈希值
用户A发函数
安全Hash函数的一般结构
Y0
Y1
YL-1
b
b
b
IV n
f
n
f
n
……
n fn
CVL
CV1
CVL-1
IV = 初始值
CV = 链接值
Yi = 第i 个输入数据块
输入:最大长度为264位的消息; 输出:160位消息摘要; 处理:输入以512位数据块为单位处理.
8
比较SHA1/ MD5
散列值长度
MD5 128bits SHA1 160bits
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
28
中间相遇攻击法(Meet in the Middle Attack)-续
• (4) 根据“生日悖论”,有很大的概率可以找 到一堆X及Y满足EX[hN-2]= DY[G]。 (5) 如果找到了这样的X和Y,攻击者重新构 造一个明文:Q1, Q2, …, QN-2, X, Y。这个新 的明文的散列值也为h,因此攻击者可以使用 已知的数字签名为这个构造的明文伪造新的 明文的签名。
32
MD5算法步骤-续
填充位 N512位 L位 原始消息长 度(64位)
消息
100...00
L
512位
512位
512位
512位
Y0
512 128 IV
Y1
512

Yi

512
YN-1
512 128
HMD5
128 CV1
31
MD5算法步骤-续
• 4)以512位的分组为单位对消息进行循环 散列计算:经过处理的消息,以512位为单 位,分成N个分组,用Y0,Y1,…,YN-1。 MD5对每个分组进行散列处理。每一轮的 处理会对(A,B,C,D)进行更新。 • 5)输出散列值:所有的N个分组消息都处 理完后,最后一轮得到的四个缓冲区的值 即为整个消息的散列值。
23

生日悖论
• 我们可以如下描述这类问题:k为多大时, 在k个人中至少找到两个人的生日相同的 概率大于0.5?不考虑二月二十九日并且 假定每个生日出现的概率相同。
24

首先k个人的生日排列的总数目是365k。这样, k个人有不同生日的排列数为:

因此,k个人有不同生日的概率为不重复的排列 数除以总数目,得到:
14
MAC的性质
• 一个安全的MAC函数应具有下列性质:
– 若攻击者知道M和Ck(M),则他构造满足 Ck(M’)= Ck(M)的消息M’在计算上是不可行的。 – Ck(M)应是均匀分布的,即对任何随机选择的 消息M和M’, Ck(M)=Ck(M’)的概率是2-n,其中n 是MAC的位数。 – 设M’是M 的某个已知的变换,即M’=f(M),则 Ck(M)= Ck(M’)的概率为2-n。

29
MD5
• MD5(Message-Digest Algorithm 5)是由 Ronald L. Rivest(RSA算法中的“R”)这90年代初开发 出来的,经MD2、MD3和MD4发展而来。它比MD4复杂, 但设计思想类似,同样生成一个128位的信息散列值。其 中,MD2是为8位机器做过设计优化的,而MD4和MD5却 是面向32位的计算机。 • 2004年8月,在美国召开的国际密码学会议(Crypto’2004) 上,王小云教授给出破解MD5、HAVAL-128、 MD4和 RIPEMD算法的报告。给出了一个非常高效的寻找碰撞的 方法,可以在数个小时内找到MD5的碰撞。
15
基于DES的消息认证码
D1(64位) D2(64位) D1(64位) D2(64位)
+
K(56位) DES加密 K DES加密
+ „
K DES加密 K
+
DES加密
O1(64位)
O2(64位)
ON-1
ON
16
5.3 Hash函数
• Hash函数(也称散列函数或杂凑函数)是将 任意长的消息M作为输入生成一个固定长 的输出串h的函数,即h=H(M)。 这个输出串h称为该消息的散列值(或消 息摘要,或杂凑值)。
5
认证的目的
• 第一,验证消息的发送者是合法的,不是 冒充的,这称为实体认证,包括对信源、 信宿等的认证和识别;

第二,验证信息本身的完整性,这称为消 息认证,验证数据在传送或存储过程中没 有被篡改、重放或延迟等。
6
认证的目的
• 可提供认证功能的认证码的函数可分为三 类:
– 加密函数:使用消息发送方和消息接收方共 享的密钥对整个消息进行加密,则整个消息 的密文作为认证符。 – 消息认证码:它是消息和密钥的函数,产生 定长度值,该值作为消息的认证符。 – 散列函数:它是将任意长的消息映射为定长 的hash值的函数,以该hash值作为认证符。


22
生日攻击(Birthday Attack)
• 如果攻击者希望伪造消息M的签名来欺骗接收者, 则他需要找到满足H(M’)=H(M)的M’来替代M。 对于生成64位散列值的散列函数,平均需要尝 试263 次以找到M’。但是建立在生日悖论上的生 日攻击法,则会更有效。 对于上述问题换种说法:假设一个函数有n个函 数值,且已知一个函数值H(x)。任选k个任意数 作为函数的输入值,则k必须为多大才能保证至 少找到一个输入值y且H(x)=H(y)的概率大于0.5?

则,k个人中,至少找到两个人同日出生的概率 是:
25
Yuval的生日攻击
• (1) 合法的签名方对于其认为合法的消息愿意使用 自己的私钥对该消息生成的m位的散列值进行数 字签名。 (2) 攻击者为了伪造一份有(1)中的签名者签名的 消息,首先产生一份签名方将会同意签名的消息, 再产生出该消息的2m/2种不同的变化,且每一种 变化表达相同的意义(如:在文字中加入空格、 换行字符)。然后,攻击者再伪造一条具有不同 意义的新的消息,并产生出该伪造消息的2m/2种 变化。
– 伪装:攻击者生成一个消息并声称这条消息 是来自某合法实体,或者攻击者冒充消息接 收方向消息发送方发送的关于包括插入、删 除、转换和修改。 顺序修改:对通信双方消息顺序的修改,包括插 入、删除和重新排序。 计时修改:对消息的延迟和重放。在面向连接的 应用中,攻击者可能延迟或重放以前某合法会话 中的消息序列,也可能会延迟或重放是消息序列 中的某一条消息。
9

消息认证码的使用
发送者A 传输 接收者B
C M M M
K
比较
C
MAC
MAC
K
10
消息认证码的使用(续)
发送者A
|| M E D M
接收者B
C
C
K2
K2
K1
MAC
比较
K1
11
MAC的安全要求
• MAC中使用了密钥,这点和对称密钥加密 一样,如果密钥泄漏了或者被攻击了,则 MAC的安全性则无法保证。 在基于算法的加密函数中,攻击者可以尝 试所有可能的密钥以进行穷举攻击,一般 对k位的密钥,穷举攻击需要2(k-1)步。
H
E
D
比较
PRa
(a) 发送者A
|| M M
PUa
接收者B
H
H
E
D
比较
K
(b) 发送者A
|| M E
K
接收者B
D M H
H
K
(c)
K
比较
21
Hash函数的安全要求
• 1.单向性:对任何给定的散列码h,找到 满足H(x)=h的x在计算上是不可行的。 2.抗弱碰撞性:对任何给定的消息x,找 到满足y≠x且H(x)=H(y)的y在计算上是不 可行的。 3.抗强碰撞性:找到任何满足H(x)=H(y) 的偶对(x,y), y≠x在计算上是不可行的。
信息安全原理与技术
第5章 消息认证与数字签名
• 加密用于保密,但某些情况下消息的完整性 比保密性更重要。如果攻击者对消息的修改无法 被发现,这在电子商务等应用中会产生严重的后 果。 能否为数字消息(主机文件或网络通信的消 息)打上一个标签,使得一旦对消息进行了任何 形式的修改,哪怕只是一位,消息对应的标签也 会发生变化,从而使我们知道消息被修改了。这 类似于信封上的蜡封。
27

中间相遇攻击法(Meet in the Middle Attack)



(1) 根据已知数字签名的明文,先产生散列函 数值h。 (2) 再根据意图伪造签名的明文,将其分成每 个64位长的明文分组:Q1, Q2,…, QN-2。 Hash函数的压缩算法为:hi=EQi[hi-1],1iN2。 (3) 任意产生232个不同的X,对每个X计算 EX[hN-2]。同样的,任意产生232个不同的Y, 对每个Y计算DY[G],D是相对应E的解密函数。

19
Hash的一般结构
Y0 b Y1 b b YL-1
IV= n CV0
f
n CV1
f
n
n CVL-1
f
n
CVL
IV = 初始值 CV = 链接值 Yi = 第 i 个输入分组 f = 压缩算法 L = 输入分组数 n = 散列值的位长 b = 输入分组的位长
20
发送者A
|| M M
接收者B
H

17
安全的Hash函数的要求
• (1) H可以应用于任意长度的数据块, 产生固定长度的散列值; (2)对每一个给定的输入m,计算H(m) 是很容易的; (3)给定Hash函数的描述,对于给定的 散列值h,找到满足H(m) = h的m在计算 上是不可行的;


18

(4)给定Hash函数的描述,对于给定的 消息m1,找到满足m2m1且H(m2)=H(m1) 的m2在计算上是不可行的; (5)找到任何满足H(m1)=H(m2)且m1 m2的消息对(m1, m2)在计算上是不可行的。

12
对MAC的攻击
第一轮 · 给定M1, MAC1=CK(M1) · 对所有2k个密钥判断MACi=CKi(M1) · 匹配数2(k-n) 。 第二轮 · 给定M2, MAC2=CK(M2) · 对循环1中找到的2(k-n)个密钥判断MACi=CKi (M2) · 匹配数2(k-2n) 。 攻击者可以按此方法不断对密钥进行测试,直到 将匹配数缩写到足够小的范围。平均来讲,若 k=an,则需a次循环