04第四章 散列函数与报文鉴别

FF(a,b,c,d,Mj,s,ti)表示： a=b+((a+F(b,c,d)+Mj+ti)<<<s) GG(a,b,c,d,Mj,s,ti)表示： a=b+((a+G(b,c,d)+Mj+ti)<<<s) HH(a,b,c,d,Mj,s,ti)表示： a=b+((a+H(b,c,d)+Mj+ti)<<<s) II(a,b,c,d,Mj,s,ti)表示： a=b+((a+I(b,c,d)+Mj+ti)<<<s) 这里，Mj表示报文的第j个子分组(从0到15)，每一个 循环还使用一个64元素表T[1…64]的四分之一， 用ti表示，ti=4294967296*abs(sin(i))的整数部分，i 的单位是弧度，(4294967296等于2的32次方)。 <<<s表示32位参数循环左移s个比特。
Return
4.4 MD5 报文摘要算法
MD5报文摘要算法是由Rivest(即RSA中的R)提 出的第5个版本的MD，此算法可对任意长度 的报文进行计算，然后得出128位的MD代码。 其作用是将大容量信息在数字签名前被“压缩” 成一种保密的格式。 MD5算法曾经是使用最普遍的安全散列算法， 但近年来出现了针对该算法的可能攻击手段。 算法描述 算法以任意长度的报文作为输入，产生一个 128位的报文摘要作为输出。输入是按512位分 组进行处理。算法处理流程见图。
4.3.1 对散列函数的要求
使用散列函数的目的是为文件、报文或其它分组数 据产生“指纹”，要用于报文鉴别。散列函数H必 须具有如下性质： – H应该能够用于任何大小的数据块。(实际应用 要求) – H应当生成一个固定长度的输出。 – 对任何给定的报文M，计算H(M)应当是容易的， 不论是用硬件还是用软件实现。 – 对于任何给定的代码m，找出x使得H(x)=m，在 计算上是不可行的。也就是说散列函数的逆运 算H-1(m)=x在计算上是不可行的。这是散列函数 的单向特性。
– 对于任何给定的数据块x，找出y<>x，
使H(y)=H(x)，在计算上是不可行的。 该特性保证了不同的报文不易得出相 同的MD码(防止生成替代报文)。弱抗 冲突 – 寻找对任何的(x, y)对使得H(x)=H(y)在 计算上不可行。强抗冲突
4.3.2 简单散列函数
所有散列函数的操作都使用下列一般性原则。 输入(文件或报文)被视作长度为n-bit的分组 序列，输入的处理方式是以迭代的方式每次 处理一个分组，以产生一个l-bit的散列值。(l ≤n) 一个最简单的散列函数是每个分组按比特异 或。 即：Ci = b1i b2i … bmi 其中： Ci =第i比特的散列码，1≤ i ≤ n m =输入中n-bit分组数。
第一轮 ： Mj s ti FF(a,b,c,d,M0, 7, 0xd76aa478) FF(d,a,b,c,M1, 12,0xe8c7b756) FF(c,d,a,b,M2, 17,0x242070db) FF(b,c,d,a,M3, 22,0xc1bdceee) FF(a,b,c,d,M4, 7, 0xf57c0faf) FF(d,a,b,c,M5, 12,0x4787c62a) FF(c,d,a,b,M6, 17,0xa8304613) FF(b,c,d,a,M7, 22,0xfd469501) FF(a,b,c,d,M8, 7, 0x698098d8) FF(d,a,b,c,M9, 12,0x8b44f7af) FF(c,d,a,b,M10,17,0xffff5bb1) FF(b,c,d,a,M11,22,0x895cd7be) FF(a,b,c,d,M12,7, 0x6b901122) FF(d,a,b,c,M13,12,0xfd987193) FF(c,d,a,b,M14,17,0xa679438e) FF(b,c,d,a,M15,22,0x49b40821)
Return
4.2 鉴别函数
4.2.1 报文加密
4.2.2 报文鉴别码
4.2.3 散列函数
4.2.1 报文加密
(1) 常规加密 考虑直接使用常规加密方法。通信的双方A和B 共享密钥K，A使用密钥K对发往B的报文M进 行加密。 如果没有其它人知道密钥K，就能提供保密性。 B也能确信收到的报文来自A。因为除B外，A 是惟一拥有密钥K的，并可以构建用K解密的密 文。并且，不知道密钥K的敌方不会知道如何 改变密文来产生明文中期望的变化。所以，如 果M恢复，B知道M中的内容末被任何人改动。 结论：常规加密提供保密性和鉴别。
M E H
K EK(M||H(M||S))
D
K
M
H(M||S)
H
比较
S
Return
4.3 散列函数
散列函数可以用于报文的完整性鉴别，与加密技 术配合使用可以对报文的起源进行鉴别。此外还 可以用于存储文件的完整性检验。 散列函数将任意长度的报文当作自变量，结果产 生规定长度的报文摘要，可用如下函数形式表示： h = H(M) 其中M为变长报文，H(M)为定长的报文摘要MD。 当确信或已知报文值正确时，报文摘要MD在源 点被加到该报文上。接收端通过计算该报文的 MD来鉴别该报文。由于散列函数是公开的，所 以需要对其进行保护。
M
K1
E
K2 EK2(M||Ck1(M))
D
K2
M
C
比较
K1
C
Ck1(M)
(3) 先加密，后生成鉴别码，将MAC与密文连 接传输。(鉴别；加密)
M E
K1 K2
D
C
比较 K1 Ck1 (EK2(M)) K2
M
C
Return
4.2.3 散列函数
散列函数与报文摘要 • 散列函数(hash function)类似报文鉴别码，一 个散列函数以一个变长的报文作为输入，产生 一个定长的散列码H(M)作为输出，H(M)通常 又称为报文摘要MD (Message Digest)。 • 散列码(或MD)是报文所有比特的函数值，并 具有差错检测能力，即报文中任一比特或若干 比特发生改变都将导致(新计算的)散列码的改 变。 MD与MAC的区别：生成函数不同；是否需要 密钥(不需要密钥)
散列函数的使用方式 (1) 使用常规加密方法对附加散列码的报文进 行加密。 (鉴别；加密)
M H E
K EK(M||H(M))
D
K
M
H
比较
H(M)
(2) 使用常规加密方法仅对散列码进行加密。 (鉴别；不加密)
M H
K
M E
H
比较
D
EK(H(M))
K
(3) 使用公开密钥加密方法及发方的私有密钥仅 对散列码进行加密。 (鉴别；不加密)
A
M E EKRa(M) D
B
M
KRa
KUa
具有机密性和鉴别及签名的公开密钥加密： 加密/解密次数太多。仍存在报文合法性问 题。
A
M E
EKRa(M)
KRa KUb KRb KUa EKUb(EKRa(M))
B
D D M
E
解决上述问题的一种方法：强制明文具有 某种结构，这种结构易于识别、不能伪造。 如：计算机网络中采用的FCS(帧校验序列)。
第四章 散列函数与报文鉴别
4.1 鉴别概念 4.2 鉴别函数 4.3 散列函数 ★ 4.4 MD5 报文摘要算法★ 4.5 安全散列算法 SHA ★ 4.6 报文鉴别码 ★
4.1 鉴别概念
报文鉴别(Message Authentication)是防御网络主动攻击 的重要技术。在需要通过网络进行信息交换时，会遇 到以下攻击： ① 泄露：报文内容被透露给没有拥有合法密钥的任何人 或相关过程。 ② 通信量分析：发现通信双方的通信方式。在面向连接 的应用中，连接的频率和连接持续时间。在面向连接 或无连接的环境中，通信双方的报文数量和长度。 ③ 伪装：以假的源点身份将报文插入网络中。包括由敌 方伪造一条报文却声称它来自已授权的某个实体。另 外，还包括由假的报文接收者对收到报文发回假确认， 或者不予接受。
Return
4.2.2 报文鉴别码
原理：发送方使用一个密钥和特定算法对明 文产生一个短小的定长数据分组，即 MAC(报文鉴别码)，并将它附加在报文中。 在接收方，使用相同的密钥和算法对明文 计算MAC，如果新的MAC与报文中的MAC 匹配，那么： • 接收者确信报文未被更改过。 • 接收者确信报文来自所期望的发送方。 • 如果报文包含一个序号(如HDLC、X.25和 TCP)，那么接收者确信该序号的正确性。
MAC函数：MAC=CK(M)，MAC函数类似于 加密过程，一个主要区别是MAC函数无需可 逆。由于鉴别函数的这个特性，使得它比加 密函数更不易破解。 报文鉴别码的基本用法： (1) MAC直接与明文连接后传输(鉴别；不加密)。
M C
K
M
C
K 比较
Ck(M)
(2) MAC与明文连接后一起加密再传输。(鉴 别；加密)
M
H
KR
M
EKR(H(M))
H
比较
E
D
KU
(4) 在(3)的基础上增加保密功能。 (鉴别；加密)
M H E
KR
D
K
M
EKR(H(M))
H
比较
E
K
EK(M|| EKR(H(M)))
D
KU
(5) 使用散列码、公共秘密值的明文方案。 (鉴别；不加密)
SLeabharlann MS HM
H
比较
(6) 使用散列码、公共秘密值的保密方案。 (鉴别；加密) S
报文长度 K mod 264
L×512 K-bit 填充 1-512bit