(中文版) 公钥加密和消息认证
应用密码学手册
应用密码学手册
应用密码学手册是一本关于密码学的指南,涵盖了密码学的基本概念、技术、算法以及密码学在应用中的实践指导。
这本手册旨在帮助读者理解密码学的原理和应用,以及如何在实际应用中使用密码学保护数据和通信安全。
手册内容包括对称加密、公钥加密、数字签名、消息认证码、哈希函数、随机数生成等密码学基础知识的详细介绍,以及密码学在网络安全、数据加密、身份认证等领域的应用案例和建议。
应用密码学手册通常包括以下主题:
1. 密码学基础知识:介绍密码学的基本概念、术语和原理,包括对称加密、公钥加密、数字签名、消息认证码、哈希函数等相关技术介绍。
2. 密码学算法:介绍常用的密码学算法,如AES、RSA、
DSA等,包括算法的原理、优缺点以及安全性评估等内容。
3. 密码学协议:介绍常用的密码学协议,如SSL/TLS、IPsec、SSH等,包括协议的原理、加密算法选择、安全配置以及常
见的安全风险和对策等知识。
4. 密码学应用实践:介绍密码学在实际应用中的具体实践,包括数据加密、身份认证、网络安全等领域的应用案例和最佳实践。
应用密码学手册对于密码学从业人员、安全工程师、开发人员、
网络管理员以及对密码学感兴趣的读者都是非常有价值的资源,可以帮助他们理解密码学的原理和应用,提升数据和通信的安全性。
第3讲 公钥密码和消息认证-(3)消息认证码
HMAC的安全性依赖于散列函数H的密码学属性:
• ①抗碰撞属性; • ②当应用于一个单独的消息分组时H的压缩函数的消息认证属性。
网络与信息安全
12
“挑战/响应”(Challenge/Response)身份认证
网络与信息安全
17
网络与信息安全
b bit S0
H(Si||M) 填充到b比特
n bit IV
HASH n bit
HMACK(M)
9
• 与ipad= 00110110进行异 或将导致K一半的比特翻转 。
• 与opad=01011010进行异 或将导致K一半的比特翻转 。
HMAC算法的有效实现
K+
ipad
b bit b bit
Yi:(0≤i≤L-1)是M的第i个分组, L:M的分组数,
b:是一个分组中的比特数( MD5的128,SHA-1的512)
n:嵌入的哈希函数所产生的哈希值的长度(MD5为128, SHA-1为160)
K:密钥,如果密钥长度大于b,则将密钥输入到哈希函数 中产生一个n比特长的密钥,K+是左边经填充0后的K, K+的长度为b比特,
• 消息认证码:它是一个需要密钥的算法,可以对可变长度 的消息进行认证,把输出的结果作为认证符。
网络与信息安全
3
利用Байду номын сангаас列函数来设计MAC原因
• ①一般的散列函数的软件执行速度比分组 密码的要快。
• ②密码散列函数的库代码来源广泛。
因此HMAC应运而生
第3讲 公钥密码和消息认证-(1)消息认证方法
2
3.1 消息认证方法
加密可以防止被动攻击(窃听)。
消息认证可以检测主动攻击(伪造数据和业 务)。
认证包括:
•验证消息的内容有没有被篡改 •验证消息的来源是否可信 •验证消息的时效性(消息有没有被认为地延迟或重放) •两个实体之间消息流的相对顺序
3
网络与信息安全
3
消息内容认证
• 消息内容认证常用的方法:
②冒充攻击 •攻击者冒充合法用户发布虚假消息。 •为避免这种攻击可采用身份认证技术。
③重组攻击
•把以前协议执行时一次或多次传输的信息重新组合进行攻击。 •为了避免这类攻击,把协议运行中的所有消息都连接在一起。
④篡改攻击 •修改、删除、 添加或替换真实的消息。 •为避免这种攻击可采用消息认证码MAC或hash函数等技术。
网络与信息安全
8
方法二:非加密算法的消息认证
• 不依赖于加密算法,都会生成认证标签, 并附在消息的后面进行传输。消息本身并 不会被加密,因此不提供消息的保密性。
• 通常消息认证和消息加密是两个独立的功 能,但在一些特殊场景下可以将两者结合 起来使用。
网络与信息安全
9
消息认证码
• MAC(Message authentication code)
• 另一种是通信双方事先约定各自发送消息所使用的通行字 ,发送消息中含有此通行字并进行加密,接收者只需判别 消息中解密的通行字是否等于约定的通行字就能鉴别发送 者。为了安全起见,通行字应该是可变的。
网络与信息安全
5
消息序号和操作时间的认证
• 消息的序号和时间性的认证主要是阻止消 息的重放攻击。
• 常用的方法有消息的流水作业、链接认证 符随机数认证和时间戳等。
信息安全 第5章消息认证
所以许多不同的密钥(约2k-n个),计算出来的MAC都 等于MAC1。这些密钥中哪一个是正确的密钥不得而 知。这时需要新的M-MAC对来测试这2k-n个密钥, 于是有如下的重复攻击:
重复攻击
Step 1:
给定M1和MAC1 = C k1 (M1) 对所有2k个密钥,判断MACi = C ki (M1) 匹配数约为: 2k-n
没有消息认证的通信系统是极为危险的
消息M
用户A 用户B
篡改、伪造、重放、冒充
恶意者C
消息认证(Message Authentication)
消息认证用于抗击主动攻击
验证接收消息的真实性和完整性 真实性
的确是由所声称的实体发过来的
完整性
未被篡改、插入和删除
验证消息的顺序性和时间性(未重排、重放
MD5 hash算法 MD5 Hash Algorithm
MD4是MD5杂凑算法的前身, 由Ron Rivest于1990年10月作为RFC 提出,1992年4月公布的MD4的改进 (RFC 1320,1321)称为MD5。
M E K EK(M) D K M
由于攻击者不知道密钥K,他也就不知道如何改变密文中的 信息位才能在明文中产生预期的改变。 接收方可以根据解密后的明文是否具有合理的语法结构来进 行消息认证。 但有时发送的明文本身并名优明显的语法结构或特征,例如 二进制文件,因此很难确定解密后的消息就是明文本身。
提供消息认证和保密性:
K2
A
M
E C
K1
||
C K1
C K 1 [ E K 2 ( M )]
D 比较 K2
B
A和B共享K1和K2 K1:用于生成MAC K2:用于加密
密码学与加密技术
将生成的密钥存储在安全的环境中,如硬件安全模块(HSM)或专门的密钥管理系统。采用加密技术对密钥进行保护,防止未经授权的访问和使用。
密钥存储
在密钥生命周期结束后,采用安全的方式销毁密钥,确保密钥不再被使用或泄露。可以采用物理销毁或加密销毁等方式。
密钥销毁
集中管理
01
KDC作为密钥管理的中心,负责密钥的生成、分发和销毁等全生命周期管理。通过集中管理,可以简化密钥管理流程,提高管理效率。
要点一
要点二
工作原理
IPSec协议族通过在网络层对IP数据包进行加密和认证,确保数据在传输过程中的机密性、完整性和身份验证。同时,IPSec还支持灵活的密钥管理和安全策略配置,可满足不同网络环境的安全需求。
安全性评估
IPSec协议族的安全性取决于多个因素,包括加密算法和认证算法的选择、密钥管理的安全性、安全策略的配置等。在实际应用中,需要根据具体需求和安全风险来选择合适的IPSec配置方案。
03
MAC应用
广泛应用于网络通信、文件传输、电子支付等领域,以确保消息的机密性、完整性和认证性。
消息认证码定义
一种通过特定算法生成的固定长度值,用于验证消息的完整性和认证性。
MAC生成过程
发送方和接收方共享一个密钥,发送方使用密钥和消息作为输入,通过MAC算法生成MAC值,并将MAC值附加在消息上发送给接收方。
通过SSL/TLS协议对传输的数据进行加密,确保数据在传输过程中的机密性和完整性,防止数据被窃取或篡改。
1
2
3
采用密码学技术对物联网设备进行身份认证,确保设备的合法性和可信度,防止设备被伪造或冒充。
设备身份认证
对物联网设备之间传输的数据进行加密处理,确保数据在传输过程中的机密性和完整性,防止数据被窃取或篡改。
消息认证(Message Authentication)
Message Digest
目标:确保信息的完整性(Integrity) 特色: (1) 不需密钥 (2) 任意长信息输入,固定长摘要输出 (3) 找出两个不同的输入,使输出相同在计算上很难 常用系統: MD5 (RFC 1321) SHA-1 (FIPS 180-1)
Structure of Message Digest
Message authentication code
• Prerequisite: A and B shares a key K
– Can be a session key
• MAC: a short fixed-size data block, depending on the message M and the shared key K • MAC(K,M)=CK(M) • Sender: M||CK(M) • Receiver: on receiving M’|C’
HMAC的设计目标
• Hash函数不使用密钥,不能直接用于MAC • HMAC要求 –可不经修改使用现有hash函数 –其中嵌入的hash函数可易于替换为更快和更安 全的hash函数 –保持嵌入的hash函数的最初性能,不因适用于 HAMC而使其性能降低 –以简单方式使用和处理密钥 –在对嵌入的hash函数合理假设的基础上,易于 分析 HMAC用于认证时的密码强度
MD5不再安全!?
安全的杂凑函数在设计时必须满足两个要求
● ●
找到两个不同输入而得到相同的输出值在计算上是不可行的—— 抗碰撞
给定一输出值找出输入值在計算上是不可行的——单向性
2004年在Crypto會議,來自山東大學的王出一种可以快速找到碰撞的方法 受影响的算法—— MD5、HAVAL-128、MD4、RIPEMD SHA-0及減弱条件下的SHA-1不安全——在任何初始值下 用240次hash运算可以找出SHA-0的碰撞 SHA-1预计至2010年也会被破解
什么是ssl
什么是ssl什么是SSL?SSL(Secure Sockets Layer),中文称为安全套接层,是一种加密和保护网络通信的网络协议。
SSL协议能够为网络通信提供加密、认证和完整性保护的功能。
它在网络传输层对数据进行加密,确保数据在传输过程中不被窃取或篡改。
SSL协议的主要作用是在客户端和服务器之间建立安全的连接,确保敏感的数据在传输过程中不受到未经授权的访问或篡改。
SSL协议的实质是使用公钥密码体制来进行通信加密,保证通信过程中数据的机密性和完整性。
SSL协议的工作原理是通过在客户端和服务器之间建立一个安全的通信信道,将敏感信息通过加密方式传输。
具体的工作流程如下:1. 客户端向服务器发起请求,要求建立SSL连接。
2. 服务器收到请求后,返回自己的证书,包含公钥。
3. 客户端收到服务器的证书后,首先校验证书的合法性和有效性。
校验包括验证证书的颁发机构是否可信以及证书的过期时间。
如果证书通过了校验,客户端生成一个随机数,用服务器的公钥加密,并发送给服务器。
4. 服务器使用自己的私钥解密客户端发送的随机数。
5. 客户端和服务器现在都持有了相同的随机数,用该随机数作为加密密钥来加密通信内容。
加密完成后发送给服务器。
6. 服务器收到加密后的通信内容后,再用自己的私钥解密,得到原始的通信内容。
通过以上的流程,SSL协议能够实现以下几个方面的保护:1. 数据加密:SSL协议使用对称加密算法来加密通信内容,保证数据在传输过程中不被窃取。
2. 数据完整性:SSL协议使用消息摘要算法来生成消息认证码,确保数据在传输过程中没有被篡改。
3. 身份认证:SSL协议通过数字证书来验证服务器的身份。
客户端可以通过校验证书的有效性来确认服务器的身份是否合法。
除了以上的保护措施,SSL协议还能够提供另外一种保护机制,即站点认证。
站点认证是指客户端通过验证服务器的数字证书来判断服务器的合法性。
在SSL连接中,服务器会将自己的数字证书发送给客户端,客户端根据证书的信息来判断是否信任此服务器。
公钥认证体系结构
公钥认证体系结构
公钥认证体系结构是一种基于公钥密码学的安全体系结构,用于确保通信中的实体的身份认证和数据的完整性和保密性。
它包含以下几个主要组成部分:
1. 实体:参与认证和通信的实体,包括客户端、服务器和其他网络设备。
2. 公钥和私钥:每个实体都有一对公钥和私钥。
公钥用于加密数据和验证签名,私钥用于解密数据和生成签名。
3. 证书颁发机构(CA):CA是一个可信的第三方机构,负责认证实体的公钥和身份,并签发数字证书。
证书包含实体的公钥和其他相关信息,并由CA签名以确保其真实性。
4. 数字证书:数字证书是一种由CA签发的文件,用于证明实体的身份和公钥的真实性。
它包含实体的公钥、身份信息和CA的数字签名。
5. 证书存储库:存储所有实体的数字证书的集合,以供其他实体验证。
6. 认证协议:用于实体之间进行身份认证和密钥交换的协议,如TLS(传输层安全协议)和SSH(安全外壳协议)。
7. 数字签名:用私钥对数据进行签名,以确保数据的完整性和真实性。
其他实体可以使用发送方的公钥验证签名。
通过公钥认证体系结构,实体可安全地进行身份认证和数据交换,并确保通信的机密性和完整性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
7
概要
利用传统加密的认证 非加密的消息认证 Hash函数的要求
简单hash函数
8
概要
利用传统加密的认证 非加密的消息认证 Hash函数的要求
简单hash函数
9
认证
• 要求 – 必须能够证实如下内容:
1. 消息来自合法的信源或者发送者; 2. 内容没有被篡改; 3. 可能还希望验证消息的时效性以及消息流的顺序。
函数。
43
简单Hash函数
一种最简单的Hash函数的每一个数据块都按比特异或。
这可用下式表示: Ci = bi1⊕bi2⊕…⊕bim 其中: Ci 为Hash码的第i比特,1 ≤ i ≤ n m 为输入中的n比特数据块的数目 bij 为第j块的第i比特 ⊕为异或操作
44
简单Hash函数
图3.3 (教材60页)
36
概要
利用传统加密的认证 非加密的消息认证 Hash函数的要求
简单Hash函数
37
Hash函数的要求
Hash函数的目的是为文件、消息或者其他数据块产生
“指纹” 。 为满足在消息认证中的应用, Hash函数H必须具有下 列性质:
1, H 可适用于任意长度的数据块。
38
Hash函数的要求
6, 找到满足H (x) = H (y)的任意一对(x, y)在计算 上不可行的.。这一特性有时被称为(strong collision resistance)(能够抵御生日攻击)。
40
Hash函数的要求
满足上面前五个性质的Hash函数称为弱Hash
函数。
如果还满足第六个性质,则称其为强Hash函数。
15
利用传统加密的认证
如果消息里包含错误检测码和序列号,则接收 者能够确认消息是否被篡改过和序列号是否正 确。
16
利用传统加密的认证
如果消息里还包含时间戳,则接收者能够确认 消息是否被延迟 超过正常的网络传输延时。
17
概要
利用传统加密的认证 非加密的消息认证 Hash函数的要求
2, H 能生成固定长度的输出。 3, 对于任意给定的x, H (x)要容易计算,并且可 以用软/硬件方式实现。
4, 对于任意给定值h, 找到满足H (x) = h的x在 计算上不可行。这一特性在文献中有时被称做单 向(one-way)性。
39
Hash函数的要求
5, 对任意给定的数据块x,找到满足H (y) = H (x) 的y ≠ x在计算上是不可行的。这一特性有时被称 为抗弱碰撞性(weak collision resistance)。
概要
利用传统加密的认证 非加密的消息认证 Hash函数的要求
简单Hash函数
13
利用传统加密的认证
回顾传统加密算法(42页, 表2.3)
14
利用传统加密的认证
简单地使用传统加密进行消息认证:
我们假设只有发送者和接收者共享一个密钥, 那么只有真正的发送者才能够成功地为对方加 密消息。
20
非加密的消息认证
2, 在信息交换中,另一种可能的情况是通信某一 端的负载太大,没有时间解密所有传入的消息。 3, 对明文形式的计算机程序进行认证是很有意义 的事情。
21
消息认证码
什么是消息认证码 (MAC)?
一种认证技术利用私钥产生一小块数据,并将其附 到消息上,产生的那一小块数据就是消息认证码。
1, 如下图所示(图3.2 (a)) 消息摘要可用传统加密算法加密;如果只有发送者 和接收者共享密钥,则保密性是能保证的。
30
31
单向Hash函数
2, 如下图所示 (图3.2 (b)) 消息也可以使用公钥方式加密。 公钥方法有两个优势: (1) 既能提供数字签名又能提供消息认证; (2) 不需要在通信各方之间分发密钥。
22
消息认证码
例如 (教材56页, 图3.1)
23
A
B
24
消息认证码
使用MAC进行消息认证的概述:
该技术假设两个通信实体,我们称其为A和B,共享 一个公共密钥KAB。 当A有消息要发送给B时,A计算消息认证码 (MAC),作为消息和密钥的一个函数:MACM = F(KAB, M) 。消息连同MAC被一起传送给预定接收 者。
25
消息认证码
接收者对收到的消息进行相同的计算; 利用相同的密钥,产生一个新的MAC; 将收到MAC与计算得到的MAC进行比较。
26
消息认证码
若收到的认证码与计算得到的认证码相吻合,则:
1, 接收者能够确认消息没有被篡改。 2, 接收者能够确认消息来自它所声称的发送者。
27
消息认证码
简单Hash函数
18
非加密的消息认证
在本节,我们分析几种不依赖于加密的消息认证方法。
因为这种认证方法不加密消息,所以不能提供消息的 机密性。
19
非加密的消息认证
下面给出了三种较好的无需保密的消息认证情况:
1, 许多应用需要把相同的消息广播到多个目的地。 例如,通知当前的用户网络不可使用和控制中心的 警报信号。消息必须以带有相关消息认证标签的明 文形式发送。
• 阻止主动攻击 (伪造数据和交易)
10
消息认证的方法
利用传统加密的认证
只有发送者和接收者共享一个密钥
非加密的消息认证
生成认证标签,并且附在每一条消息上用于传 输
11
消息认证的方法
消息认证码
MAC 是以消息和密钥为输入,通过一定的函数 计算得来的值,MAC = F(K, M)
12
47
简单Hash函数
2, 如下连续处理每个n比特的数据块:
(a), 向左旋转1比特当前的Hash值。 (b), 异或数据块生成Hash值。
48
简单Hash函数
这些操作会使输入数据块“随机化”得更加彻底,消
除了输入中出现的任何规则性。但是它对于数据安全 性几乎不起作用。
49
本次课的知识点
32
33
单向Hash函数
3, 下图(图3.2 (c)) 是一种使用了Hash函数但
是没有使用加密的消息认证技术。
34
35
单向Hash函数
上面讲到的技术假设通信双方, 我们称为A和B, 共享一个秘密的值SAB。 当A要给B传送消息时; A: 计算Hash值 MDM = H (SAB || M) A: 发送[M || MDM]给B B: 由于拥有SAB,他能重新计算 H (SAB || M),验证MDM
3, 如果消息中包含序列号,那么接收者就可以确 认消息的正确序列,因为攻击者不能成功地修改序 列号。
28
单向Hash函数
MAC的一种替代方法是使用单向Hash函数。 如同 MAC,Hash函数接收变长的消息M作为输入,生
成定长的消息摘要H(M)作为输入。
29
单向Hash函数
图3.2 (教材57页)显示了消息认证的三种方式
第三章
公钥加密和消息认证 (Ⅰ)
主讲:綦朝晖
石家庄铁道学院计算机与信息工程分院
1
内容回顾
1,掌握三种分组密码的操作模式; 2,理解链路加密与端到端加密的基本含义; 3, 理解课堂上所提到的四种密钥分配方式;
2
内容回顾
电子密码本 (ECB)
密码分组链接 (CBC)
密码反馈 (CFB)
第六个性质可以防止像生日攻击这种类型的复
杂攻击。
41
概要
利用传பைடு நூலகம்加密的认证 非加密的消息认证 Hash函数的要求
简单Hash函数
42
简单Hash函数
所有Hash函数都按照下面不同原理操作。 把输入看成n比特的序列。 对输入用迭代方式每次处理一块,生成n比特的Hash
1, 掌握MAC 的基本含义; 2, 如何使用MAC进行信息验证; 3, 理解one-way hash函数的基本含义;
4, 理解书58页图3.2;
50
Homework
教材82页3.2
51
45
简单Hash函数
它为每一位比特位产生简单的奇偶校验,这称
作纵向冗余校验。
这种校验对于随机数据的完整性校验相当有效。
不过事实上它也仅仅对数据有效,对于许多格 式化数据函数的有效性很差。
46
简单Hash函数
对上面的方案进行改进的一种简单方法是在每
个数据块处理后, 对Hash值循环移动或者旋 转1比特。其步骤归纳如下: 1, 最初将n比特Hash值设置为零
3
4
5
内容回顾
链路加密 端到端加密
6
内容回顾
密钥分配
1, A能够选定密钥并通过物理方法传递给B。 2, 第三方可以选定密钥并通过物理方法传递给A 和B。 3, 如果A和B不久前使用过一个密钥,一方能够把 使用旧密钥加密的新密钥传递给另一方。 4, 如果A和B各自有一个到达第三方C加密链路, C能够在加密链路上传递密钥给A和B。