第11章 密码学Hash函数
- 格式:ppt
- 大小:307.00 KB
- 文档页数:26
下载文档原格式
合集下载
密(研)11-密码学Hash函数
第11章 密码学Hash函数Crytographic Hash Functions课程内容大纲1. 引言第一部分:对称密码2. 传统加密技术第三部分:密码学数据完整性算法11.密码学Hash函数3. 分组密码与数据加密标准(DES) 12.消息认证码(MAC) 4. 数论与有限域的基本概念 13.数字签名 5. 高级加密标准(AES) 6. 分组密码的工作模式 7. 伪随机数的产生和流密码第四部分:相互信任14.密钥管理与分发 15.用户认证第二部分:公钥密码8. 数论入门 9. 公钥密码学与RSA 10. 密钥管理和其他公钥密码体制讲课内容11.1 密码学Hash函数的应用 11.2 两个简单的Hash函数 11.3 需求和安全性、安全Hash函数结构 11.4 基于分组密码链接的Hash函数 11.5 安全Hash算法(SHA) 补充:Hash函数MD511.1 密码学Hash函数的应用Hash函数定义• (单词"hash"的翻译:哈希、杂凑、散列、… ) • Hash函数H是一公开函数,用于将任意长的消息 M映射为较短的、固定长度的一个值H(M)。
称函 值H(M)为杂凑值、杂凑码或消息摘要 M → h = H(M)• 在安全应用中使用的Hash函数称为密码学Hash 函数(cryptographic hash function)Hash函数特点• Hash值 H(M) 是消息中所有 比特的函数,因此提供了一 种错误检测能力,即改变消 息中任何一个比特或几个比 特都会使杂凑码发生改变。
Hash函数的应用(1)消息认证 (2)数字签名 (3)其它一些应用Hash函数应用之一:消息认证• 消息认证是用来验证消息完整性的一种机制或服务 完整性 • 当Hash函数用于提供消息认证功能时,Hash函数 值通常称为消息摘要(message digest)• 一般地,消息认证是通过使用消息认证码(MAC) 实现的,即带密钥的Hash函数。
密码学--HASH函数
声称者A 验证者(系统)B 口令表
A
H(mA)(m为口令)
A
H (m A )
'
H(mA)
A:口令m’
=
是 接受
否
拒绝
Hash函数在银行应用举例采用Hash函数,银行操作人员不能获取到用户的密码
THE END!
由m计算H(m)容易
H
由H(m)计算上m不容易
HASH函数的安全性要 求
② 抗弱碰撞性:对于任何给定消息及其散列 值,不可能找到另一个能映射出该散列值的 消息; input
M m H output
m’
给定H(M)
HASH函数的安全性要 求
③ 抗强碰撞性:对于任何两个不同的消息, 它们的散列值必定不同,很难找到两条消息m 和m’,使得H(m)=H(m’)。 input M m m’ H(m)=H(m’) H output
YL-1
b n
CVi-1
f
n
CVi
压缩函数基本结构
HASH填充
在生成散列值之前,对输入消息进行分 组时,如果最后一块报文不足分组长度 要求,就要进行填充。
全部填充0
填充比特 的最高位为 1,其余为0
HASH函数的应用
Hash算列函数由于其单向性和随机性的特点, 主 要运用于提供数据完整性 ( 包括数字签名、以及与 数字签名联系起来的数字指纹的应用 ) 知识证明、 密钥推导、伪随机数生成等方面。 1.数字签名的应用
HASH函数的概念
对于Hash函数H有下面六个要求:
任意长度
m 消息
(1)能够接受任意长度的消息作为输入;
(2)能够生成较短的固定长度的输出; (3)对任何消息输入都应该能够容易和快速
A
H(mA)(m为口令)
A
H (m A )
'
H(mA)
A:口令m’
=
是 接受
否
拒绝
Hash函数在银行应用举例采用Hash函数,银行操作人员不能获取到用户的密码
THE END!
由m计算H(m)容易
H
由H(m)计算上m不容易
HASH函数的安全性要 求
② 抗弱碰撞性:对于任何给定消息及其散列 值,不可能找到另一个能映射出该散列值的 消息; input
M m H output
m’
给定H(M)
HASH函数的安全性要 求
③ 抗强碰撞性:对于任何两个不同的消息, 它们的散列值必定不同,很难找到两条消息m 和m’,使得H(m)=H(m’)。 input M m m’ H(m)=H(m’) H output
YL-1
b n
CVi-1
f
n
CVi
压缩函数基本结构
HASH填充
在生成散列值之前,对输入消息进行分 组时,如果最后一块报文不足分组长度 要求,就要进行填充。
全部填充0
填充比特 的最高位为 1,其余为0
HASH函数的应用
Hash算列函数由于其单向性和随机性的特点, 主 要运用于提供数据完整性 ( 包括数字签名、以及与 数字签名联系起来的数字指纹的应用 ) 知识证明、 密钥推导、伪随机数生成等方面。 1.数字签名的应用
HASH函数的概念
对于Hash函数H有下面六个要求:
任意长度
m 消息
(1)能够接受任意长度的消息作为输入;
(2)能够生成较短的固定长度的输出; (3)对任何消息输入都应该能够容易和快速
HASH函数简介
② 弱单向性:已知x,找出x’ (x’ ≠x),使得 h(x’ )= h(x) 在计算上是不可行的,满足这一 性质的单向散列函数称为弱单向散列函数。
Hash函数的安全性
问题 碰撞
实例:Hash函数h:X → Y
找出:x,x’∈X使得x’ ≠x,并且h(x’ )= h(x) ③ 强单向性:找出任意两个不同的输入x,x’ 使得h(x’ )= h(x)在计算上是不可行的,满足 这一性质的单向散列函数,则称其为强单向 散列函数
它适用在32位字长的处理器上用高速软件实 现--它是基于 3ash算法:
MD5:1992年4月Ron Rivest公布的MD4的改 进RFC 1321称为MD5 它对输入仍以512位分组,其输出是4个32位 字的级联,与 MD4 相同。MD5比MD4来得 复杂,并且速度较之要慢一点,但更安全, 在抗分析和抗差分方面表现更好。
Hash算法
从密码分析的角度来看,MD5被认为是易受 攻击的 2004年山东大学王小云教授破译了MD5, 采用”比特追踪法”(模差分方法)可以很 快的找到一个碰撞。而且这种攻击已经部 分的可实用化,即找到有意义的碰撞。
Hash算法
著名的Hash算法:
SHA1:安全杂凑算法(secure hash algorithm,
Hash函数
Hash函数
在实际的通信保密中,除了要求实现数 据的保密性之外,对传输数据安全性的 另一个基本要求是保证数据的完整性。 密码学中的Hash函数可为数据完整性提 供保障
数据的完整性是指数据从 发送方产生后,经过传输 或存储以后,未被以未授 权的方式修改的性质。
Hash函数
Hash函数通用来构造数据的短“指纹”(函 数值);一旦数据改变,指纹就不再正确。 即使数据被存储在不安全的地方,通过重新 计算数据的指纹并验证指纹是否改变,就能 够检测数据的完整性。
第十讲 密码Hash函数
第十讲 密码Hash函数
本讲提要
分类与架构 基本构造 修改发现码(MDC) 消息认证码(MAC)
1 分类与架构
1.1 基本性质与定义 定义1 Hash函数(在不严格意义下)是至少满 足下列两条性质的函数h。 (1) 压缩:h将任意有限比特长度的输入x映 射为固定长度为n的输出h(x)。 (2) 容易计算:给定h和输入x,容易计算出 h (x )。
1.1 基本性质与定义(续) 定义 3 单向 Hash 函数 (OWHF) 是满足定义 1 以 及定义2中(1)和(2)的Hash函数。 定义4 抗碰撞Hash函数(CRHF)是满足定义1以 及定义2中(2)和(3)的Hash函数。 # 虽然几乎所有实际使用的 CRHF 都有抗原像 攻击的性质,但由于技术原因定义 4 并未给出。
定义 2 修改发现码 (MDC) 是 Hash 函数 h ,对于输入 x 和x以及相应输出y和y满足如下性质: (1) 原像不可逆:对于几乎所有的 Hash 输出不可能 计算出其的Hash输入。也就是,在不知道输入的情 况下给定任意一个输出y,找到任意一个输入x满足 h(x)=y是计算不可能的。 (2) 二次原像不可逆:对于任何一个给定的输入 x, 找到另一个输入 xx ,且满足 h(x)=h(x) ,在计算上 不可能。 (3) 抵抗碰撞:找到两个不同的输入 x 和 x ,满足 h(x)=h(x),在计算上不可能(注意:这里两个输入可 以自由选择)。
1 分类与架构(续)
1.4 其他应用
MDC的其他应用 (1) 知识确认。 (2) 密钥产生。 (3) 伪随机数发生。 # 这些MDC可能需要满足一些超过之前定 义的附加性质。
2 基本构造
2.1 迭代结构的一般模型
高级视图
任意长度输入
本讲提要
分类与架构 基本构造 修改发现码(MDC) 消息认证码(MAC)
1 分类与架构
1.1 基本性质与定义 定义1 Hash函数(在不严格意义下)是至少满 足下列两条性质的函数h。 (1) 压缩:h将任意有限比特长度的输入x映 射为固定长度为n的输出h(x)。 (2) 容易计算:给定h和输入x,容易计算出 h (x )。
1.1 基本性质与定义(续) 定义 3 单向 Hash 函数 (OWHF) 是满足定义 1 以 及定义2中(1)和(2)的Hash函数。 定义4 抗碰撞Hash函数(CRHF)是满足定义1以 及定义2中(2)和(3)的Hash函数。 # 虽然几乎所有实际使用的 CRHF 都有抗原像 攻击的性质,但由于技术原因定义 4 并未给出。
定义 2 修改发现码 (MDC) 是 Hash 函数 h ,对于输入 x 和x以及相应输出y和y满足如下性质: (1) 原像不可逆:对于几乎所有的 Hash 输出不可能 计算出其的Hash输入。也就是,在不知道输入的情 况下给定任意一个输出y,找到任意一个输入x满足 h(x)=y是计算不可能的。 (2) 二次原像不可逆:对于任何一个给定的输入 x, 找到另一个输入 xx ,且满足 h(x)=h(x) ,在计算上 不可能。 (3) 抵抗碰撞:找到两个不同的输入 x 和 x ,满足 h(x)=h(x),在计算上不可能(注意:这里两个输入可 以自由选择)。
1 分类与架构(续)
1.4 其他应用
MDC的其他应用 (1) 知识确认。 (2) 密钥产生。 (3) 伪随机数发生。 # 这些MDC可能需要满足一些超过之前定 义的附加性质。
2 基本构造
2.1 迭代结构的一般模型
高级视图
任意长度输入
哈希函数.ppt
二次探测法:如果di取值可能为1,-1,2,-2,4,-4,9,-9,16,-16,...k*k,-
k*k(k<=m/2)称二次探测再散列,用公式表达如下:
例:在长度为11的哈希表中已填有关键字分别17,60,29的 记录,现有第四个记录,其关键字为38,由哈希函数得到 地址为5,若用线性探测再散列,如下:
哈希函数 哈希表中的元素是由哈希函数确定的。将
数据元素的关键字K作为自变量,通过一定的函数关系 (称为哈希函数)计算出的值,即为该元素的存储地址。 表示为:
Addr = H(key) 这个函数就是哈希函数
二、冲突及冲突处理
由于哈希函数是一个压缩映像,因此,在一般情况下, 很容易产生“冲突”现象
在哈希元素(地址)求解过程中,不同关键字值对应到同一 个存储地址的现象称为冲突。即关键字K1 K2, 但哈希函 数值 H(K1)= H(K2)。 均匀的哈希函数可以减少冲突,但不能避免冲突。发生冲突 后,必须解决;也即必须寻找下一个可用地址。 处理冲突是建立哈希表过程中不可缺少的一部分。
0 1 2 3 4 5 6 7 8 9 10
(a)插入前
60 17 29
0 12 3 4 5
6
7
8
9 10
(b)线性探测再散列
60 17 29 38
0 1 2 3 4 5 6 7 8 9 10 38 60 17 29
(c)二次探测再散列
0123
45
6
7
8 9 10
38
60 17 29
(d)伪随机探测再散列,伪随机数列为9,5,3,8,1...
解题思路:首先,明确一下几格概念:什么是hash表、 什么是hash函数、什么是线性探查法、冲突在哪里; 其次逐一求余;最后找出冲突,利用线性探查法解决 问题。
k*k(k<=m/2)称二次探测再散列,用公式表达如下:
例:在长度为11的哈希表中已填有关键字分别17,60,29的 记录,现有第四个记录,其关键字为38,由哈希函数得到 地址为5,若用线性探测再散列,如下:
哈希函数 哈希表中的元素是由哈希函数确定的。将
数据元素的关键字K作为自变量,通过一定的函数关系 (称为哈希函数)计算出的值,即为该元素的存储地址。 表示为:
Addr = H(key) 这个函数就是哈希函数
二、冲突及冲突处理
由于哈希函数是一个压缩映像,因此,在一般情况下, 很容易产生“冲突”现象
在哈希元素(地址)求解过程中,不同关键字值对应到同一 个存储地址的现象称为冲突。即关键字K1 K2, 但哈希函 数值 H(K1)= H(K2)。 均匀的哈希函数可以减少冲突,但不能避免冲突。发生冲突 后,必须解决;也即必须寻找下一个可用地址。 处理冲突是建立哈希表过程中不可缺少的一部分。
0 1 2 3 4 5 6 7 8 9 10
(a)插入前
60 17 29
0 12 3 4 5
6
7
8
9 10
(b)线性探测再散列
60 17 29 38
0 1 2 3 4 5 6 7 8 9 10 38 60 17 29
(c)二次探测再散列
0123
45
6
7
8 9 10
38
60 17 29
(d)伪随机探测再散列,伪随机数列为9,5,3,8,1...
解题思路:首先,明确一下几格概念:什么是hash表、 什么是hash函数、什么是线性探查法、冲突在哪里; 其次逐一求余;最后找出冲突,利用线性探查法解决 问题。
HASH函数
B C D
A
MD4 (1990年10月作为RFC1320发表) by Ron Rivest at MIT
• MD4的设计目标 • 安全性: • 速度:32位体系结构下计算速度快. • 简明与紧凑:易于编程. • 有利的小数在前的结构(Intel 80xxx, Pentium ) • MD4与MD5的区别 • MD4用3轮,每轮16 步,MD5用4轮,每轮16步. • MD4中第一轮没有常量加;MD5中64步每一步用了一 个不同的常量 T[i]; • MD5用了四个基本逻辑函数,每轮一个;MD4用了三 个. • MD5每轮加上前一步的结果;MD4没有.
y 取 k 个随机值得到函数的 k 个输出中至少有一个 等于h(x)的概率为 1-[1-1/n]k 由(1+x)k≈1+kx,其中|x|<<1,可得
1-[1-1/n]k≈1-[1-k/n]=k/n
给定 h(x) ,如果对 h 随机取 k 个输入,至少有一个 输入 y 使得 h(y)=h(x) 的概率为 1-[1-1/n]k≈1-[1-k/n]=k/n • 若使上述概率等于0.5,则 k=n/2。特别地,如果 h 的输出为 m 比特长,即可能的输出个数 n=2m,则 k=2m-1。
• 生日攻击(基于生日悖论) 在k个人中,找一个与某人生日相同的人的 概率超过0.5时,只需k>183; 而在此人群中, 至少有两个人生日相同的概率超过0.5,只 需k>23.
将生日悖论推广为下述问题:已知一个在1到n 之间均匀分布的整数型随机变量,若该变量的 k 个 取值中至少有两个取值相同的概率大于0.5,则k至 少多大? n! P(n, k ) 1 与上类似, (n k )!n k 令P(n, k)>0.5,可得 k 1.18 n n 若取 n=365,则
A
MD4 (1990年10月作为RFC1320发表) by Ron Rivest at MIT
• MD4的设计目标 • 安全性: • 速度:32位体系结构下计算速度快. • 简明与紧凑:易于编程. • 有利的小数在前的结构(Intel 80xxx, Pentium ) • MD4与MD5的区别 • MD4用3轮,每轮16 步,MD5用4轮,每轮16步. • MD4中第一轮没有常量加;MD5中64步每一步用了一 个不同的常量 T[i]; • MD5用了四个基本逻辑函数,每轮一个;MD4用了三 个. • MD5每轮加上前一步的结果;MD4没有.
y 取 k 个随机值得到函数的 k 个输出中至少有一个 等于h(x)的概率为 1-[1-1/n]k 由(1+x)k≈1+kx,其中|x|<<1,可得
1-[1-1/n]k≈1-[1-k/n]=k/n
给定 h(x) ,如果对 h 随机取 k 个输入,至少有一个 输入 y 使得 h(y)=h(x) 的概率为 1-[1-1/n]k≈1-[1-k/n]=k/n • 若使上述概率等于0.5,则 k=n/2。特别地,如果 h 的输出为 m 比特长,即可能的输出个数 n=2m,则 k=2m-1。
• 生日攻击(基于生日悖论) 在k个人中,找一个与某人生日相同的人的 概率超过0.5时,只需k>183; 而在此人群中, 至少有两个人生日相同的概率超过0.5,只 需k>23.
将生日悖论推广为下述问题:已知一个在1到n 之间均匀分布的整数型随机变量,若该变量的 k 个 取值中至少有两个取值相同的概率大于0.5,则k至 少多大? n! P(n, k ) 1 与上类似, (n k )!n k 令P(n, k)>0.5,可得 k 1.18 n n 若取 n=365,则
Hash算法实验原理及哈希函数简介
任务一 MD5算法111111*********一.哈希函数简介信息安全的核心技术是应用密码技术。
密码技术的应用远不止局限于提供机密性服务,密码技术也提供数据完整性服务。
密码学上的散列函数(Hash Functions)就是能提供数据完整性保障的一个重要工具。
Hash函数常用来构造数据的短“指纹”:消息的发送者使用所有的消息产生一个附件也就是短“指纹”,并将该短“指纹”与消息一起传输给接收者。
即使数据存储在不安全的地方,接收者重新计算数据的指纹,并验证指纹是否改变,就能够检测数据的完整性。
这是因为一旦数据在中途被破坏,或改变,短指纹就不再正确。
散列函数是一个函数,它以一个变长的报文作为输入,并产生一个定长的散列码,有时也称为报文摘要,作为函数的输出。
散列函数最主要的作用于是用于鉴别,鉴别在网络安全中起到举足轻重的地位。
鉴别的目的有以下两个:第一,验证信息的发送者是真正的,而不是冒充的,同时发信息者也不能抵赖,此为信源识别;第二,验证信息完整性,在传递或存储过程中未被篡改,重放或延迟等。
二.哈希函数特点密码学哈希函数(cryptography hash function,简称为哈希函数)在现代密码学中起着重要的作用,主要用于对数据完整性和消息认证。
哈希函数的基本思想是对数据进行运算得到一个摘要,运算过程满足:z压缩性:任意长度的数据,算出的摘要长度都固定。
z容易计算:从原数据容易算出摘要。
z抗修改性:对原数据进行任何改动,哪怕只修改1个字节,所得到的摘要都有很大区别。
z弱抗碰撞:已知原数据和其摘要,想找到一个具有相同摘要的数据(即伪造数据),在计算上是困难的。
z强抗碰撞:想找到两个不同的数据,使它们具有相同的摘要,在计算上是困难的。
三.针对哈希函数的攻击与传统密码体制的攻击方式相比,对散列函数的攻击方法主要有两种:z穷举攻击:它可以用于任何类型的散列函数的攻击,最典型的方式就是所谓的“生日攻击”。
Hash函数
第3轮 以 [ABCD k s i]表示如下操作 A = B + ((A + H(B,C,D) + X[k] + T[i]) <<< s). Do the following 16 operations. [ABCD 5 4 33] [DABC 8 11 34] [CDAB 11 16 35] [BCDA 14 23 36] [ABCD 1 4 37] [DABC 4 11 38] [CDAB 7 16 39] [BCDA 10 23 40] [ABCD 13 4 41] [DABC 0 11 42] [CDAB 3 16 43] [BCDA 6 23 44] [ABCD 9 4 45] [DABC 12 11 46] [CDAB 15 16 47] [BCDA 2 23 48]
3、强无碰撞hash函数是单向的。 总之,Hash函数应该满足 1)由自变量求函数是容易的,反之是困难的。 2)寻找碰撞是困难的
四、Hash函数实例 MD5
MD:Merkle-Damgard结构 输入:任意长度的消息 输出:128位消息摘要 处理:以512位输入数据块为单位
L×512 bits=N ×32bits × K bits 报文
填充 (1 to 448 bits)
100…0
报文长度 (K mod 264)
512 bits
512 bits
512 bits
512 bits
Y0
512
Y1
512
Yq
512
YL-1
512
128
128 128 128
HMD5
IV CV1
HMD5
CVq
HMD5
CVL-1
密码学---hash函数(SHA-256)的C++实现
密码学---hash函数(SHA-256)的C++实现 1//SHA-2562/*理解算法最重要,最好⾃⼰动⼿实现试试看,可以使⽤MFC写⼀个简单的交互界⾯*/34 #include <iostream>5 #include <cstdio>6 #include <cstdlib>78using namespace std;910#define SHA256_ROTL(a,b) (((a>>(32-b))&(0x7fffffff>>(31-b)))|(a<<b))11#define SHA256_SR(a,b) ((a>>b)&(0x7fffffff>>(b-1)))12#define SHA256_Ch(x,y,z) ((x&y)^((~x)&z))13#define SHA256_Maj(x,y,z) ((x&y)^(x&z)^(y&z))14#define SHA256_E0(x) (SHA256_ROTL(x,30)^SHA256_ROTL(x,19)^SHA256_ROTL(x,10))15#define SHA256_E1(x) (SHA256_ROTL(x,26)^SHA256_ROTL(x,21)^SHA256_ROTL(x,7))16#define SHA256_O0(x) (SHA256_ROTL(x,25)^SHA256_ROTL(x,14)^SHA256_SR(x,3))17#define SHA256_O1(x) (SHA256_ROTL(x,15)^SHA256_ROTL(x,13)^SHA256_SR(x,10))18char* StrSHA256(const char* str, long long length, char* sha256){19char *pp, *ppend;20long l, i, W[64], T1, T2, A, B, C, D, E, F, G, H, H0, H1, H2, H3, H4, H5, H6, H7;21 H0 = 0x6a09e667, H1 = 0xbb67ae85, H2 = 0x3c6ef372, H3 = 0xa54ff53a;22 H4 = 0x510e527f, H5 = 0x9b05688c, H6 = 0x1f83d9ab, H7 = 0x5be0cd19;23long K[64] = {240x428a2f98, 0x71374491, 0xb5c0fbcf, 0xe9b5dba5, 0x3956c25b, 0x59f111f1, 0x923f82a4, 0xab1c5ed5,250xd807aa98, 0x12835b01, 0x243185be, 0x550c7dc3, 0x72be5d74, 0x80deb1fe, 0x9bdc06a7, 0xc19bf174,260xe49b69c1, 0xefbe4786, 0x0fc19dc6, 0x240ca1cc, 0x2de92c6f, 0x4a7484aa, 0x5cb0a9dc, 0x76f988da,270x983e5152, 0xa831c66d, 0xb00327c8, 0xbf597fc7, 0xc6e00bf3, 0xd5a79147, 0x06ca6351, 0x14292967,280x27b70a85, 0x2e1b2138, 0x4d2c6dfc, 0x53380d13, 0x650a7354, 0x766a0abb, 0x81c2c92e, 0x92722c85,290xa2bfe8a1, 0xa81a664b, 0xc24b8b70, 0xc76c51a3, 0xd192e819, 0xd6990624, 0xf40e3585, 0x106aa070,300x19a4c116, 0x1e376c08, 0x2748774c, 0x34b0bcb5, 0x391c0cb3, 0x4ed8aa4a, 0x5b9cca4f, 0x682e6ff3,310x748f82ee, 0x78a5636f, 0x84c87814, 0x8cc70208, 0x90befffa, 0xa4506ceb, 0xbef9a3f7, 0xc67178f2,32 };33 l = length + ((length % 64 > 56) ? (128 - length % 64) : (64 - length % 64));34if (!(pp = (char*)malloc((unsigned long)l))) return0;35for (i = 0; i < length; pp[i + 3 - 2 * (i % 4)] = str[i], i++);36for (pp[i + 3 - 2 * (i % 4)] = 128, i++; i < l; pp[i + 3 - 2 * (i % 4)] = 0, i++);37 *((long*)(pp + l - 4)) = length << 3;38 *((long*)(pp + l - 8)) = length >> 29;39for (ppend = pp + l; pp < ppend; pp += 64){40for (i = 0; i < 16; W[i] = ((long*)pp)[i], i++);41for (i = 16; i < 64; W[i] = (SHA256_O1(W[i - 2]) + W[i - 7] + SHA256_O0(W[i - 15]) + W[i - 16]), i++);42 A = H0, B = H1, C = H2, D = H3, E = H4, F = H5, G = H6, H = H7;43for (i = 0; i < 64; i++){44 T1 = H + SHA256_E1(E) + SHA256_Ch(E, F, G) + K[i] + W[i];45 T2 = SHA256_E0(A) + SHA256_Maj(A, B, C);46 H = G, G = F, F = E, E = D + T1, D = C, C = B, B = A, A = T1 + T2;47 }48 H0 += A, H1 += B, H2 += C, H3 += D, H4 += E, H5 += F, H6 += G, H7 += H;49 }50free(pp - l);51 sprintf(sha256, "%08X%08X%08X%08X%08X%08X%08X%08X", H0, H1, H2, H3, H4, H5, H6, H7);52return sha256;53 }54char* FileSHA256(const char* file, char* sha256){5556 FILE* fh;57char* addlp, T[64];58long addlsize, j, W[64], T1, T2, A, B, C, D, E, F, G, H, H0, H1, H2, H3, H4, H5, H6, H7;59long long length, i, cpys;60void *pp, *ppend;61 H0 = 0x6a09e667, H1 = 0xbb67ae85, H2 = 0x3c6ef372, H3 = 0xa54ff53a;62 H4 = 0x510e527f, H5 = 0x9b05688c, H6 = 0x1f83d9ab, H7 = 0x5be0cd19;63long K[64] = {640x428a2f98, 0x71374491, 0xb5c0fbcf, 0xe9b5dba5, 0x3956c25b, 0x59f111f1, 0x923f82a4, 0xab1c5ed5,650xd807aa98, 0x12835b01, 0x243185be, 0x550c7dc3, 0x72be5d74, 0x80deb1fe, 0x9bdc06a7, 0xc19bf174,660xe49b69c1, 0xefbe4786, 0x0fc19dc6, 0x240ca1cc, 0x2de92c6f, 0x4a7484aa, 0x5cb0a9dc, 0x76f988da,670x983e5152, 0xa831c66d, 0xb00327c8, 0xbf597fc7, 0xc6e00bf3, 0xd5a79147, 0x06ca6351, 0x14292967,680x27b70a85, 0x2e1b2138, 0x4d2c6dfc, 0x53380d13, 0x650a7354, 0x766a0abb, 0x81c2c92e, 0x92722c85,690xa2bfe8a1, 0xa81a664b, 0xc24b8b70, 0xc76c51a3, 0xd192e819, 0xd6990624, 0xf40e3585, 0x106aa070,700x19a4c116, 0x1e376c08, 0x2748774c, 0x34b0bcb5, 0x391c0cb3, 0x4ed8aa4a, 0x5b9cca4f, 0x682e6ff3,710x748f82ee, 0x78a5636f, 0x84c87814, 0x8cc70208, 0x90befffa, 0xa4506ceb, 0xbef9a3f7, 0xc67178f2,72 };73 fh = fopen(file, "rb");74 fseek(fh, 0, SEEK_END);75 length = _ftelli64(fh);76 addlsize = (56 - length % 64 > 0) ? (64) : (128);77if (!(addlp = (char*)malloc(addlsize))) return0;78 cpys = ((length - (56 - length % 64)) > 0) ? (length - length % 64) : (0);79 j = (long)(length - cpys);80if (!(pp = (char*)malloc(j))) return0;81 fseek(fh, -j, SEEK_END);82 fread(pp, 1, j, fh);83for (i = 0; i < j; addlp[i + 3 - 2 * (i % 4)] = ((char*)pp)[i], i++);84free(pp);85for (addlp[i + 3 - 2 * (i % 4)] = 128, i++; i < addlsize; addlp[i + 3 - 2 * (i % 4)] = 0, i++);86 *((long*)(addlp + addlsize - 4)) = length << 3;87 *((long*)(addlp + addlsize - 8)) = length >> 29;88for (rewind(fh); 64 == fread(W, 1, 64, fh);){89for (i = 0; i < 64; T[i + 3 - 2 * (i % 4)] = ((char*)W)[i], i++);90for (i = 0; i < 16; W[i] = ((long*)T)[i], i++);91for (i = 16; i < 64; W[i] = (SHA256_O1(W[i - 2]) + W[i - 7] + SHA256_O0(W[i - 15]) + W[i - 16]), i++);92 A = H0, B = H1, C = H2, D = H3, E = H4, F = H5, G = H6, H = H7;93for (i = 0; i < 64; i++){94 T1 = H + SHA256_E1(E) + SHA256_Ch(E, F, G) + K[i] + W[i];95 T2 = SHA256_E0(A) + SHA256_Maj(A, B, C);96 H = G, G = F, F = E, E = D + T1, D = C, C = B, B = A, A = T1 + T2;97 }98 H0 += A, H1 += B, H2 += C, H3 += D, H4 += E, H5 += F, H6 += G, H7 += H;99 }100for (pp = addlp, ppend = addlp + addlsize; pp < ppend; pp = (long*)pp + 16){101for (i = 0; i < 16; W[i] = ((long*)pp)[i], i++);102for (i = 16; i < 64; W[i] = (SHA256_O1(W[i - 2]) + W[i - 7] + SHA256_O0(W[i - 15]) + W[i - 16]), i++); 103 A = H0, B = H1, C = H2, D = H3, E = H4, F = H5, G = H6, H = H7;104for (i = 0; i < 64; i++){105 T1 = H + SHA256_E1(E) + SHA256_Ch(E, F, G) + K[i] + W[i];106 T2 = SHA256_E0(A) + SHA256_Maj(A, B, C);107 H = G, G = F, F = E, E = D + T1, D = C, C = B, B = A, A = T1 + T2;108 }109 H0 += A, H1 += B, H2 += C, H3 += D, H4 += E, H5 += F, H6 += G, H7 += H;110 }111free(addlp); fclose(fh);112 sprintf(sha256, "%08X%08X%08X%08X%08X%08X%08X%08X", H0, H1, H2, H3, H4, H5, H6, H7); 113return sha256;114 }115116char* StrSHA256(const char* str, long long length, char* sha256);117118int main(void){119char text[256];120 cout<<"请输⼊原⽂:\n" ;121while(cin>>text)122 {123 cout<<"请输⼊原⽂:\n" ;124char sha256[256];125 StrSHA256(text,sizeof(text)-1,sha256); // sizeof()包含了末尾的终⽌符'\0'故 -1126 cout<<"执⾏SHA-256算法后的结果如下:\n";127 puts(sha256);128129 }130131 system("pause");132return0;133 }。
Hash函数
4 Hash函数的需求 函数的需求
– H能用于任何大小的数据分组 能用于任何大小的数据分组; 能用于任何大小的数据分组 – H产生定长输出 产生定长输出; 产生定长输出 – 对任意给定的 H(x)要相对易于计算 使得 对任意给定的x, 要相对易于计算,使得 要相对易于计算 软硬件实现都实际可行; 软硬件实现都实际可行 – 对任意给定的码 寻求 使得 对任意给定的码h, 寻求x使得 使得H(x)=h在计算 在计算 上是不可行的(单向性 单向性); 上是不可行的 单向性 – 任意给定分组 寻求不等于 的y, 使得 任意给定分组x, 寻求不等于x的 H(y)= H(x)在计算上不可行 弱抗攻击性 在计算上不可行(弱抗攻击性 在计算上不可行 弱抗攻击性); – 寻求对任何的 寻求对任何的(x,y)对使得 对使得H(x)=H(y)在计算 对使得 在计算 上不可行(强抗攻击性 强抗攻击性); 上不可行 强抗攻击性
Hash函数 散列 哈希函数 函数(散列 哈希函数) 函数 散列,哈希函数
1 Hash函数 函数
– Hash函数是将任意长度的报文映射成一个 函数是将任意长度的报文映射成一个 较短的定长输出报文的函数. 较短的定长输出报文的函数 – 如下形式: h = H(M), M是变长的报文,h是定 如下形式: M是变长的报文 是变长的报文,h是定 长的Hash值. 长的 值 – Hash函数的目的是为文件、报文或其它的 函数的目的是为文件、 函数的目的是为文件 分组数据产生“数字指报文认证的方式 续.) 码提供报文认证的方式(续 码提供报文认证的方式 – (d) A->B: Ek(M || EKRa( H(M) ) )
• 提供认证和数字签名 • 提供保密 仅A和B共享 提供保密(仅 和 共享 共享K)
harsh函数-概述说明以及解释
harsh函数-概述说明以及解释1.引言1.1 概述概述部分的内容可以描述一下harsh函数是什么以及它的重要性和作用。
可以参考以下内容:概述:随着计算机科学的快速发展,数据安全和隐私保护变得尤为重要。
在这个数字化时代,我们需要一种可靠的方法来保护数据的完整性和安全性。
在这方面,hash函数扮演着至关重要的角色。
Hash函数是一种常见的密码算法,主要用于将数据转换为固定长度的字符串。
它通过对任意长度的数据应用哈希算法,生成一个唯一的哈希值。
这个哈希值可以用来验证数据的完整性,检测数据的变化和确定数据的唯一性。
在hash函数的世界里,harsh函数是一种特殊类型的hash函数,它具有许多独特的特点和优势。
与传统的hash函数相比,harsh函数不仅具有更高的效率和更低的冲突率,还可以提供更好的数据安全性和隐私保护。
harsh函数的工作原理是将输入数据通过一系列复杂而精确的计算,转换为一个唯一的哈希值。
这个哈希值具有不可逆的特性,即无法通过哈希值来恢复原始数据。
这种不可逆的特性使得harsh函数成为密码学中重要的工具,广泛应用于数字签名、数据验证、身份验证等各个领域。
此外,harsh函数还具有较低的碰撞概率,即不同的输入数据生成相同哈希值的概率非常低。
这使得harsh函数在数据完整性验证等关键应用场景中更加可靠。
另外,harsh函数还具有良好的计算性能和效率,使得它能够承担大规模数据处理的任务。
总的来说,harsh函数在确保数据安全性和完整性方面发挥着重要作用。
它的独特特性使其在各个领域得到广泛应用,同时也推动了数据安全和密码学的发展。
未来,随着计算机技术的不断进步,人们对于更加高效和安全的harsh函数算法的需求也将不断增加。
1.2文章结构文章结构部分的内容可以描述整篇文章的组织架构和章节安排:在本文中,我将按照如下结构来阐述关于harsh函数的相关知识。
首先,我将在引言部分进行概述,简要介绍harsh函数的定义、背景和应用领域。
网络安全-10-密码学Hash函数
Hash函数
浓缩任意长的消息 M 到一个固定
长度的取值 h = H(M)
通常假设 hash 函数是公开的且不
使用密钥(MAC使用密钥)
Hash函数用户检测对消息的改变
2015/8/12
西安电子科技大学计算机学院
5
密码学Hash函数
哈希函数的应用
消息认证
数字签名
2015/8/12
西安电子科技大学计算机学院
2015/8/12
西安电子科技大学计算机学院
31
2015/8/12
西安电子科技大学计算机学院
32
推荐的SHA标准
2015/8/12 2015/8/12
西安电子科技大学计算机学院 西安电子科技大学计算机学院
33
33
2015/8/12
西安电子科技大学计算机学院
34
2015/8/12
西安电子科技大学计算机学院
哈希函数
在公钥密码的内容中,已经介绍了“单向 函数”的概念。而哈希函数是一类特殊的单 向函数。 设数据文件是任意长度的比特串 x 。在密 码应用中,希望有这样的函数 y=H(x),满足: (1)将x压缩成为固定长度的比特串y。 (2)不同的x一定要生成不同的 y 。(一般 情况) (3)由y的值无法倒算x的值。
如果采用64-bit的Hash码,以一半概率找到碰撞 的代价的数量级是232
2015/8/12 西安电子科技大学计算机学院 14
生日悖论
2015/8/12
西安电子科技大学计算机学院
15
Hash安全特性之间的关系
抗弱碰撞攻击
抗原像攻击
抗强碰撞攻击
2015/8/12
哈希Hash(散列函数)
Hash(散列函数)Hash,一般翻译做散列、杂凑,或音译为哈希,是把任意长度的输入(又叫做预映射pre-image)通过散列算法变换成固定长度的输出,该输出就是散列值。
这种转换是一种压缩映射,也就是,散列值的空间通常远小于输入的空间,不同的输入可能会散列成相同的输出,所以不可能从散列值来确定唯一的输入值。
简单的说就是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数基本概念编辑若结构中存在和关键字K相等的记录,则必定在f(K)的存储位置上。
由此,不需比较便可直接取得所查记录。
称这个对应关系f为散列函数(Hash function),按这个事先建立的表为散列表。
对不同的关键字可能得到同一散列地址,即key1≠key2,而f(key1)=f(key2),这种现象称碰撞。
具有相同函数值的关键字对该散列函数来说称做同义词。
综上所述,根据散列函数H(key)和处理冲突的方法将一组关键字映射到一个有限的连续的地址集(区间)上,并以关键字在地址集中的“象” 作为记录在表中的存储位置,这种表便称为散列表,这一映象过程称为散列造表或散列,所得的存储位置称散列地址。
若对于关键字集合中的任一个关键字,经散列函数映象到地址集合中任何一个地址的概率是相等的,则称此类散列函数为均匀散列函数(Uniform Hash function),这就是使关键字经过散列函数得到一个“随机的地址”,从而减少冲突。
性质所有散列函数都有如下一个基本特性:如果两个散列值是不相同的(根据同一函数),那么这两个散列值的原始输入也是不相同的。
这个特性是散列函数具有确定性的结果。
但另一方面,散列函数的输入和输出不是一一对应的,如果两个散列值相同,两个输入值很可能是相同的,但不绝对肯定二者一定相等(可能出现哈希碰撞)。
输入一些数据计算出散列值,然后部分改变输入值,一个具有强混淆特性的散列函数会产生一个完全不同的散列值。
[1]典型的散列函数都有无限定义域,比如任意长度的字节字符串,和有限的值域,比如固定长度的比特串。
Hash函数
Hash函数概念将任意长度的输⼊变换为固定长度的输出的不可逆的单向密码体制Hash函数在数字签名和消息完整性检测等⽅⾯有着⼴泛的应⽤Hash函数同时是⼀种具有压缩特性的单向函数,其像通常称为数字指纹,消息摘要或散列值。
散列值的⽣成过程可以表⽰为h = H(M)其中h是定长的散列值,H是哈希函数,M是⼀个变长消息散列函数主要⽤于消息认证和数字签名,因此需要具备以下特性1. H可应⽤于任意长度的消息2. H产⽣定长的输出3. 对任意给定的消息x,计算H(x)⽐较容易,⽤硬件软件均可实现4. 单向性:对任意给定的散列值h,找到满⾜H(x) = h 的x在计算上是不可⾏的5. 抗弱碰撞性:对任意给定的消息x,找到x != y并且H(x) = H(y)的消息y在计算上是不可⾏的6. 抗强碰撞性:找到任何满⾜H(x) = H(y) 的偶对(x,y)在计算上是不可⾏的性质2是哈希函数的基本特性,性质3是哈希函数的可⽤性,性质4,5,6是哈希函数为满⾜不同应⽤⽽需具备的基本安全性质应⽤数字签名由于消息散列值通常⽐消息本⾝短的多,因此对消息散列值进⾏数字签名在处理上⽐对消息本⾝进⾏签名要⾼效的多。
⽣成程序或⽂档的数字指纹hash函数可以⽤来保证消息的完整性。
⾸先,通过哈希函数变换得到程序或⽂档的散列值,然后将散列值存储,对程序或⽂档进⾏定时的检测,与已存储的散列值进⾏⽐较,以此来实现完整性验证。
⽤于安全传输和⽤户⼝令⽤于保存⽤户登陆⼝令(密码),通过⽤户id及⼝令⽣成相应的散列值,然后保存,⽤户在进⼊系统输⼊⼝令时,⽣成散列值与存储的散列值进⾏⽐较,这样可以确保⽤户⼝令不被管理员或攻击者获取到哈希算法消息认证消息认证的作⽤主要有两个:⼀个是验证信息来源的真实性,⼀般称之为信息源认证;另⼀个是验证消息的完整性消息认证码(MAC)利⽤消息和双放共享的密钥通过认证函数来⽣成⼀个固定长度的短数据块,并将该数据块附加在消息后⽐如发送⽅A和接收⽅B共享密钥K,若A向B发送消息M,则MAC = C(K,M) ,其中C是认证函数,MAC是消息认证码(a)为明⽂传输,(b)为先计算MAC后,将MAC数据块附加在M信息后进⾏加密传输,(c)为先将M进⾏加密,再⽣成MAC,并附在消息块后进⾏传输基于哈希的消息认证码HMAC是实际应⽤中使⽤最多的⽅案,如SSL就使⽤HMAC来实现消息认证功能。
hash函数算法
hash函数算法Hash函数算法是一种将任意长度的数据映射成固定长度的HASH值的算法。
它的主要作用是为了保证数据的完整性和安全性。
Hash函数算法的核心思想是将数据在特定算法下进行加密,从而使得数据无法被篡改或伪造。
Hash函数算法广泛应用于信息安全领域,比如密码保护、数字签名等。
Hash函数算法的原理是将明文数据输入Hash函数,经过一系列数学运算(如乘法、加法、取模等)得到Hash值。
Hash值通常是固定长度,而且对于不同的输入数据,得到的Hash值也是不同的。
因此,通过对比两个数据的Hash值,可以判断它们是否相同。
如果Hash值相同,则可以认为两个数据是相同的;如果不同,则可以认为它们是不同的。
在Hash函数算法中,有许多经典的Hash算法,比如MD5、SHA-1、SHA-2、SHA-3等。
这些算法已经被广泛应用于各种网络应用中,比如密码保护、数字签名、数据完整性验证等。
在这些算法中,MD5算法是最常用的一种Hash算法,它能够将任意长度的数据转换成固定长度的128位Hash值。
不过,近年来,MD5算法的安全性已经受到了很大的质疑,因此,安全性更高的SHA-256和SHA-512算法正在逐渐取代MD5算法。
除了经典的Hash算法外,还有一些新型的Hash算法被提出,比如SipHash、BLAKE、Grøstl等。
这些算法在保证Hash函数的安全性和性能的同时,还具有一定的抗攻击性和抗碰撞性。
这些算法的应用范围还比较有限,但是随着技术的发展,它们未来有望成为Hash函数算法的主流。
总之,Hash函数算法是数据安全保护的重要手段。
它能够保护数据的完整性和安全性,并且具有一定的抗攻击性。
目前,经典的Hash函数算法已经广泛应用于各种网络应用中,而新型的Hash函数算法也正在逐步崭露头角。
未来,Hash函数算法将继续发展,成为信息安全的重要保障。
第11章 hash函数
13
hash函数应用 (1)消息认证
A B:E k [M H(M)] 提供鉴别 -加密保护H(M) 提供保密 -仅A和B共享密钥k
A B:M E k [H(M)] 提供鉴别 -加密保护H(M)
A B: M H(M S)]] 提供鉴别 -仅A和B共享消息S
其他应用
产生单向口令文件:
如操作系统存储口令的Hash值而不是口令本 身。 入侵检测和病毒检测: 将每个文件的Hash值H(F)存储在安全系统中, 随后就能够通过重新计算H(F)来判断文件是 否被修改过。
构建随机函数(PRF)或用做伪随机发生器。
(2)hash定义
散列函数
H(M): 输入为任意长度的消息M; 输出为一个固定长
固定长度的值作为认证标识
散列函数:一个公开函数将任意长度的消息映
射到一个固定长度的哈希值,作为认证标识
对称加密
A B
A与B共享密钥k A : Ek ( M ) B B : Dk ( M ),查看M 是否为有意义的明文
哈希函数的应用
消息认证 数字签名
口令保护、文件完整性等
2017/7/10
鉴别和认证
鉴别:authentication 认证:Certification
真伪性
(1) 用来验证发送的数据,特别是一个信息的完整性的过程 (2) 在用户开始使用系统时对其身份进行的确认 计算安全学用语,指为了鉴定一个计算机系统或网络的设计 和它提供的手段在多大程度上能满足预定的安全要求而进 行的技术评估
2017/7/10 25
散列函数应满足的条件:
散列函数的目的是为需认证的数据产生一个“指 纹”。为了能够实现对数据的认证,散列函数应满 足以下条件: 1)函数的输入可以是任意长。 2)压缩性:函数的输出是固定长,如MD5输出128bit, SHA-1输出160 bit。具有压缩性。 3)已知X,求H(x)较为容易,可用硬件或软件实现。 4)抗原像攻击(单向性):已知h,求使得H(x)=h的 x在计算上是不可行的,这一性质称为函数的单向性, 称H(x)为单向散列函数。
Hash 函数
1. 2 基于分组密码的Hash 函数
基于分组密码的CFB 工作模式的Hash 函数H
首先选取一个初始向量
令
然后计算
基于分组密码的CBC 工作模式的Hash 函数H
首先选取一个初始向量
令
然后计算
1. 3 Hash函数MD4
设x 是一个消息, 用二进制表示。首先由x 生成一个数组
是长度为32 比特(bit)的(0,1) 序列,
②对i = 0 至N/16 - 1 执行第3 步至第10 步
③对j = 0 至15 执行X[j] = M[16i + j ] ④ 对j = 16 至79 执行 X[j] = (X[j - 3] ⊕ X[j - 8] ⊕ X[j -14] ⊕ X[j -16]) ≤ 1
⑤将寄存器A、B、C、D、E 中的值存储到另外四个寄存器AA、BB、CC、DD
中, AA = A, BB = B, CC = C,DD = D,EE=E
⑥ 执行Round1 ⑦ 执行Round2
点此查看Round1
点此查看Round2
⑧ 执行Round3 ⑨ 执行Round4
点此查看Round3
点此查看Rouቤተ መጻሕፍቲ ባይዱd3
⑩A = A + AA,B = B + BB,C = C + CC, D = D + DD,E=E+EE
现代密码学
主要内容
公钥密码的理论基础 RSA 公钥密码 大素数的生成
EIGamal 公钥密码
1. 1 Hash 函数的性质
定义8.1 设H 是一个Hash函数, 给定一个消息x, 如果寻找另外
一个与x 不同的消息 使得
是计算上不可行的,
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 步骤4:以1024比特的分组(16个字)为单位 处理消息。算法的核心是具有80轮运算的模块。 每一轮,如t,使用一个64比特的值Wt,该值 由当前被处理的1024比特消息分组Mi导出。每 一轮还使用附加的常数Kt,其中0≤t≤79,用来 表示轮数。这些常数如下获得:前80个素数取 三次根,取小数部分的前64比特。 • 步骤5:输出。所有的N个1024比特分组都处 理完以后,从第N阶段输出的是512比特的消 息摘要。 Ho=IV Hi=SUM 64(Hi-1,abcdefghi) MD=HN
11.5.3 示例
• 略 • 说明:SHA-512有良好的雪崩效应。
11.6 SHA-3
NIST在2007后宣布公开征集新一代NIST的Hash函 数标准,称其为SHA-3。 • 算法要求如下: (1)能直接替代SHA-2。 (2)保持SHA-2的在线处理能力 • 评估准则: (1)安全性。 SHA-3能抵抗已有或潜在的对于 SHA-2函数的攻击方法。实际上意味着SHA-3的 设计蔌者结构上,或者在数学函数上或者两者兼 有,要与以前的算法有本质的不同 (2)效率。 (3)算法和实现特性。
散列函数应满足的条件:
散列函数的目的是为需认证的数据产生一 个“指纹”。为了能够实现对数据的认 证,散列函数应满足以下条件:
1)函数的输入可以是任意长。 2)压缩性:函数的输出是固定长,如MD5输出 128bit,SHA-1输出160 bit。具有压缩性。 3)已知X,求H(x)较为容易,可用硬件或软件实 现。 4)抗原像攻击(单向性):已知h,求使得 H(x)=h的x在计算上是不可行的,这一性质称为函 数的单向性,称H(x)为单向散列函数。
512 1
512 0
其中: t : 步骤数,0≤t≤79 Ch(e,f,g)= (e AND f)⊕(NOT e AND g) Maj(a,b,c)= (a AND b)⊕(a AND c) ⊕(b AND c)
512 0
a =ROTR28(a)⊕ROTR34(a)⊕ROTR39(a)
512
1
图11.8 SHA-512生成消息摘要
这个过程包含下列步骤: • 步骤1:附加填充位。填充消息使其长度模 1024与896同余,即使消息已经满足上述长 度要求,仍然需要进行填充,因此填充位 数在1到1024之间。填充由一个1和后续的0 组成。 • 步骤2:附加长度。在消息后附加一个128比 特的块,将其看做是128比特的无符号整数, 它包含填充前消息的长度。
(c)
(d)
11.1.2 数字签名
11.1.3其他应用
• 产生单向口令文件:
如操作系统存储口令的Hash值而不是 口令本身。 • 入侵检测和病毒检测: 将每个文件的Hash值H(F)存储在安全系统 中,随后就能够通过重新计算H(F)来判断 文件是否被修改过。
• 构建随机函数(PRF)或用做伪随机发生器。
作业: 1.思考题:P255 11.1 11.2 11.3 11.5 2.习题: 11.8 11.9 11.10
• 步骤3:初始化散列缓冲区。散列函数的中间 结果和最终结果保存于512比特的缓冲区中, 缓冲区用8个64比特的寄存器(a,b,c,d,e,f,g,h) 表示,并将这些寄存器初始化为下列64比特的 整数: a=6A09E667F3BCC908 e=510E527FADE682D1 b=BB67AE8584CAA73B f=9B05688C2B3E6C1F c=3C6EF372FE94F82B g=1F83D9ABFB41BD6B d=A54FF53A5F1D36F1 h=5BE0CD19137E2179
5)抗弱碰撞性:已知x,找出y(y≠x)使得 H(y)=H(x)在计算上是不可行的。 如果单向散列函数满足这一性质,则称其 是抗弱碰撞的。 6)抗强碰撞性:找出任意两个不同的输入x、y, 使得H(x)=H(y)在计算上是不可行的。如果 单向散列函数满足这一性质,则称其是抗 强碰撞的。 7)伪随机性:H的输出满足伪随机性测试标准
第11章 密码学Hash函数
在数字签名方案中也要用到散列函数。对需 要签名的消息用一个函数,产生一个固定 长度的消息摘要(Message Digest),最 后对消息摘要进行签名,得到确定长度的 签名消息。 散列(hash)
11.1.1消息认证 消息认证是用来验证消息完整性的一种机制 或服务。消息认证确保收到的数据确实和 发送时的一样(即没有修改、插入、删除 或重放),且发送方声称的身份是真实有 效的。
图11.9 SHA-512对单个1024位分组的处理
11.5.2
SHA-512轮函数
图11.10
基本的SHA-512运算(单轮)
T1=h+Ch(e,f,g)+( e )+Wt+Kt T2=( a )+Maj(a,b,c) a= T1 +T2 b=a c=b d=c e=d+ T1 f=e g=f h=g
11.3 需求与安全性
• 原像:对于Hash函数h=H(x),称x为H原像。
• 碰撞:因为H是多对一映射,所以对于任意
给定的Hash值h,对应有多个原像。如果满 足x≠y且H(x)=H(y),则称出现碰撞。 假设函数H的输入消息或数据块长度是b位, 输出的长度为n位,且b>n,则平均每个 Hash值对应2b/n个原像。
抗弱碰撞攻击
抗原像攻击
抗强碰撞攻击
Hash函数安全特性之间的联系
11.5安全Hash算法(SHA)
安全散列算法(SHA)是由美国标准与技术协会 (NIST)设计,并于1993年作为联邦信息处理标准 (FIPS 180)发布,修订版于1995年发布(FIPS 180-1),通常称之为SHA-1。 SHA-1产生160比特的 散列值。 2002年,NIST发布了修订版2,FIPS180-2,其中给 出了三种新的SHA版本,散列值长度依次为256,384 和512比特。分别称为SHA-256,SHA-384, SHA512,这些算法被统称为SHA-2。这些新的版本和 SHA-1具有相同的基础结构,使用了相同的模算术和 二元逻辑运算。2005年,NIST宣布了逐步废除SHA-1 的意图,到2010年,逐步转而依赖SHA的其他版本。 2008年发布了修订版FIPS 180-3,增加了224位版本。
SHA1
消息摘要长度 160
SHA- SHA-256 224
224 256
SHA-384
384
SHA-512
512
消息长度 分组长度
<264 512
<264 512
<264 512
<2128 1024
<2128 1024
字长度
步骤数
32
80
32
64
32
64
64
80
64
80
所有的长度以比特为单位。
11.5.1 SHA-512逻辑
e = ROTR14(e) ⊕ROTR18(e) ⊕ROTR41(e)
ROTRn(x):对64比特的变量x循环右移n比特 Wt: 64比特字,从当前的512比特输入分组导出 Kt: 64比特附加常数 +: 模264加
图11.11为SHA处理单个分组而产生的80字输入序列
前16个Wt直接取自当前分组的16个字。余下 的值按如下方式导出: Wt=σ1512(Wt-2)+Wt-7+σ0512 (Wt-15)+ Wt-16 其中: σ0512 (x) = ROTR1(x) ⊕ROTR8(x)⊕SHR7(x) σ1512(x)= ROTR19(x) ⊕ROTR61(x)⊕SHR6(x) SHRn(x): 对64比特变量x向左移动n位,右边 填充0