密码学--HASH函数
合集下载
密(研)11-密码学Hash函数
第11章 密码学Hash函数Crytographic Hash Functions课程内容大纲1. 引言第一部分:对称密码2. 传统加密技术第三部分:密码学数据完整性算法11.密码学Hash函数3. 分组密码与数据加密标准(DES) 12.消息认证码(MAC) 4. 数论与有限域的基本概念 13.数字签名 5. 高级加密标准(AES) 6. 分组密码的工作模式 7. 伪随机数的产生和流密码第四部分:相互信任14.密钥管理与分发 15.用户认证第二部分:公钥密码8. 数论入门 9. 公钥密码学与RSA 10. 密钥管理和其他公钥密码体制讲课内容11.1 密码学Hash函数的应用 11.2 两个简单的Hash函数 11.3 需求和安全性、安全Hash函数结构 11.4 基于分组密码链接的Hash函数 11.5 安全Hash算法(SHA) 补充:Hash函数MD511.1 密码学Hash函数的应用Hash函数定义• (单词"hash"的翻译:哈希、杂凑、散列、… ) • Hash函数H是一公开函数,用于将任意长的消息 M映射为较短的、固定长度的一个值H(M)。
称函 值H(M)为杂凑值、杂凑码或消息摘要 M → h = H(M)• 在安全应用中使用的Hash函数称为密码学Hash 函数(cryptographic hash function)Hash函数特点• Hash值 H(M) 是消息中所有 比特的函数,因此提供了一 种错误检测能力,即改变消 息中任何一个比特或几个比 特都会使杂凑码发生改变。
Hash函数的应用(1)消息认证 (2)数字签名 (3)其它一些应用Hash函数应用之一:消息认证• 消息认证是用来验证消息完整性的一种机制或服务 完整性 • 当Hash函数用于提供消息认证功能时,Hash函数 值通常称为消息摘要(message digest)• 一般地,消息认证是通过使用消息认证码(MAC) 实现的,即带密钥的Hash函数。
HASH函数简介
② 弱单向性:已知x,找出x’ (x’ ≠x),使得 h(x’ )= h(x) 在计算上是不可行的,满足这一 性质的单向散列函数称为弱单向散列函数。
Hash函数的安全性
问题 碰撞
实例:Hash函数h:X → Y
找出:x,x’∈X使得x’ ≠x,并且h(x’ )= h(x) ③ 强单向性:找出任意两个不同的输入x,x’ 使得h(x’ )= h(x)在计算上是不可行的,满足 这一性质的单向散列函数,则称其为强单向 散列函数
它适用在32位字长的处理器上用高速软件实 现--它是基于 3ash算法:
MD5:1992年4月Ron Rivest公布的MD4的改 进RFC 1321称为MD5 它对输入仍以512位分组,其输出是4个32位 字的级联,与 MD4 相同。MD5比MD4来得 复杂,并且速度较之要慢一点,但更安全, 在抗分析和抗差分方面表现更好。
Hash算法
从密码分析的角度来看,MD5被认为是易受 攻击的 2004年山东大学王小云教授破译了MD5, 采用”比特追踪法”(模差分方法)可以很 快的找到一个碰撞。而且这种攻击已经部 分的可实用化,即找到有意义的碰撞。
Hash算法
著名的Hash算法:
SHA1:安全杂凑算法(secure hash algorithm,
Hash函数
Hash函数
在实际的通信保密中,除了要求实现数 据的保密性之外,对传输数据安全性的 另一个基本要求是保证数据的完整性。 密码学中的Hash函数可为数据完整性提 供保障
数据的完整性是指数据从 发送方产生后,经过传输 或存储以后,未被以未授 权的方式修改的性质。
Hash函数
Hash函数通用来构造数据的短“指纹”(函 数值);一旦数据改变,指纹就不再正确。 即使数据被存储在不安全的地方,通过重新 计算数据的指纹并验证指纹是否改变,就能 够检测数据的完整性。
第十讲 密码Hash函数
第十讲 密码Hash函数
本讲提要
分类与架构 基本构造 修改发现码(MDC) 消息认证码(MAC)
1 分类与架构
1.1 基本性质与定义 定义1 Hash函数(在不严格意义下)是至少满 足下列两条性质的函数h。 (1) 压缩:h将任意有限比特长度的输入x映 射为固定长度为n的输出h(x)。 (2) 容易计算:给定h和输入x,容易计算出 h (x )。
1.1 基本性质与定义(续) 定义 3 单向 Hash 函数 (OWHF) 是满足定义 1 以 及定义2中(1)和(2)的Hash函数。 定义4 抗碰撞Hash函数(CRHF)是满足定义1以 及定义2中(2)和(3)的Hash函数。 # 虽然几乎所有实际使用的 CRHF 都有抗原像 攻击的性质,但由于技术原因定义 4 并未给出。
定义 2 修改发现码 (MDC) 是 Hash 函数 h ,对于输入 x 和x以及相应输出y和y满足如下性质: (1) 原像不可逆:对于几乎所有的 Hash 输出不可能 计算出其的Hash输入。也就是,在不知道输入的情 况下给定任意一个输出y,找到任意一个输入x满足 h(x)=y是计算不可能的。 (2) 二次原像不可逆:对于任何一个给定的输入 x, 找到另一个输入 xx ,且满足 h(x)=h(x) ,在计算上 不可能。 (3) 抵抗碰撞:找到两个不同的输入 x 和 x ,满足 h(x)=h(x),在计算上不可能(注意:这里两个输入可 以自由选择)。
1 分类与架构(续)
1.4 其他应用
MDC的其他应用 (1) 知识确认。 (2) 密钥产生。 (3) 伪随机数发生。 # 这些MDC可能需要满足一些超过之前定 义的附加性质。
2 基本构造
2.1 迭代结构的一般模型
高级视图
任意长度输入
本讲提要
分类与架构 基本构造 修改发现码(MDC) 消息认证码(MAC)
1 分类与架构
1.1 基本性质与定义 定义1 Hash函数(在不严格意义下)是至少满 足下列两条性质的函数h。 (1) 压缩:h将任意有限比特长度的输入x映 射为固定长度为n的输出h(x)。 (2) 容易计算:给定h和输入x,容易计算出 h (x )。
1.1 基本性质与定义(续) 定义 3 单向 Hash 函数 (OWHF) 是满足定义 1 以 及定义2中(1)和(2)的Hash函数。 定义4 抗碰撞Hash函数(CRHF)是满足定义1以 及定义2中(2)和(3)的Hash函数。 # 虽然几乎所有实际使用的 CRHF 都有抗原像 攻击的性质,但由于技术原因定义 4 并未给出。
定义 2 修改发现码 (MDC) 是 Hash 函数 h ,对于输入 x 和x以及相应输出y和y满足如下性质: (1) 原像不可逆:对于几乎所有的 Hash 输出不可能 计算出其的Hash输入。也就是,在不知道输入的情 况下给定任意一个输出y,找到任意一个输入x满足 h(x)=y是计算不可能的。 (2) 二次原像不可逆:对于任何一个给定的输入 x, 找到另一个输入 xx ,且满足 h(x)=h(x) ,在计算上 不可能。 (3) 抵抗碰撞:找到两个不同的输入 x 和 x ,满足 h(x)=h(x),在计算上不可能(注意:这里两个输入可 以自由选择)。
1 分类与架构(续)
1.4 其他应用
MDC的其他应用 (1) 知识确认。 (2) 密钥产生。 (3) 伪随机数发生。 # 这些MDC可能需要满足一些超过之前定 义的附加性质。
2 基本构造
2.1 迭代结构的一般模型
高级视图
任意长度输入
第17讲 Hash 函数.
Hash函数的安全性
生日攻击法
分别把消息m和M表示成r和R个变形的消息
Hash函数的安全性
生日攻击法
计算真消息m的变形与假消息M的变形发生碰撞的 概率 由于n比特长的散列值共有2n个,所以对于给定m 的变形mi和M的变形Mj,mi与Mj不碰撞的概率是 1-1/2n。由于M共有R个变形,所以M的全部变形 都不与mi碰撞的概率是:
1 2 k 1 1 1 ...1 . 365 365 365
k人中至少有2人生日相同的概率为: 1 2 k 1 P(365, k ) 1 1 1 ...1 . 365 365 365
有P(365,23)=0.5073。即在23个人中,至少有两 个人生日相同的概率大于0.5,这个数字比人们 直观猜测的结果小得多,因而称为生日悖论。
Hash函数的安全性
生日攻击法 生日悖论原理可以用于构造对Hash函数 的攻击
设Hash函数值有n个比特,m是真消息,M 是伪造的假消息,分别把消息m和M表示成r 和R个变形的消息。消息与其变形消息具有 不同的形式,但有相同的含义。将消息表示 成变形消息的方法很多,例如增加空格、使 用缩写、使用意义相同的单词、去掉不必要 的单词等。
第8章 Hash 函数
Hash函数定义
数据安全 机密性 完整性 认证性 密码技术主要保证数据的机密性 Hash函数能保证数据的完整性和认证性
Hash函数定义
Hash函数常用来构造数据的短“指纹”:消息的 发送者使用所有的消息产生一个附件也就是短 “指纹”,并将该短“指纹”与消息一起传输给 接收者。 即使数据存储在不安全的地方,接收者重新计算 数据的指纹,并验证指纹是否改变,就能够检测 数据的完整性。这是因为一旦数据在中途被破坏, 或改变,短指纹就不再正确。
武汉大学《密码学》课件第十三讲 HASH函数
z 目的:
与AES配套 增强安全性
z 与SHA-1比较:
结构相同 逻辑函数相同 摸算术相同
27
三、SHA-2 HASH函数
1、 SHA-2的概况
SHA参数比较
Hash码长度 消息长度 分组长度 字长度 迭代步骤数 安全性
SHA-1 160 <264 512 32 80 80
SHA-256 256 <264 512 32 64 128
SHA-384 384 <2128 1024 64 80 192
SHA-512 512 <2128 1024 64 80 256
注:1、所有的长度以比特为单位。
2、安全性是指对输出长度为n比特hash函数的生日攻击产生碰撞的工作量大约为2n/2
。
28
三、SHA-2 HASH函数
2、 SHA-512
注意:在① 、②步后,数据长度为1024的N倍。 将数据分成N块,每块1024位,进行迭代处理。
30
三、SHA-2 HASH函数
L位 消息
N×1024位
L 10…0 消息长度
1024位 M1
1024位 M2
1024位 MN
512位 IV F
+ H1 F
+ H2
z F块处理 z +为摸264加
⑹压缩函数
z 每轮对A,B,C,D,E进行20次迭代,四轮共80次迭代。 t为迭代次数编号,所以 0≤t≤79 。
z 其中,ft(B,C,D) = 第t步使用的基本逻辑函数; <<s 表示 32位的变量循环左移s位 W t表示从当前分组BLK导出的32位的字 K t表示加法常量,共使用4个不同的加法常量 +为 模232加法
与AES配套 增强安全性
z 与SHA-1比较:
结构相同 逻辑函数相同 摸算术相同
27
三、SHA-2 HASH函数
1、 SHA-2的概况
SHA参数比较
Hash码长度 消息长度 分组长度 字长度 迭代步骤数 安全性
SHA-1 160 <264 512 32 80 80
SHA-256 256 <264 512 32 64 128
SHA-384 384 <2128 1024 64 80 192
SHA-512 512 <2128 1024 64 80 256
注:1、所有的长度以比特为单位。
2、安全性是指对输出长度为n比特hash函数的生日攻击产生碰撞的工作量大约为2n/2
。
28
三、SHA-2 HASH函数
2、 SHA-512
注意:在① 、②步后,数据长度为1024的N倍。 将数据分成N块,每块1024位,进行迭代处理。
30
三、SHA-2 HASH函数
L位 消息
N×1024位
L 10…0 消息长度
1024位 M1
1024位 M2
1024位 MN
512位 IV F
+ H1 F
+ H2
z F块处理 z +为摸264加
⑹压缩函数
z 每轮对A,B,C,D,E进行20次迭代,四轮共80次迭代。 t为迭代次数编号,所以 0≤t≤79 。
z 其中,ft(B,C,D) = 第t步使用的基本逻辑函数; <<s 表示 32位的变量循环左移s位 W t表示从当前分组BLK导出的32位的字 K t表示加法常量,共使用4个不同的加法常量 +为 模232加法
精品文档-密码学基础(范九伦)-第4章
第4章 Hash函数
实际应用中的Hash函数可分为简单的Hash函数和带密钥的 Hash函数。带密钥的Hash函数通常用来作为消息认证码(Message Authentication Code)。假定Alice和Bob有一个共享的密钥k, 通过该密钥可以产生一个Hash函数Hk。对于消息x,Alice和Bob 都能够计算出相应的消息摘要y=Hk(x)。Alice通过公共通信信道 将二元组(x,y)发送给Bob。当Bob接收到(x,y)后,它可以通过 检验y=Hk(x)是否成立来确定消息x的完整性。如果y=Hk(x)成立, 说明消息x和消息摘要y都没有被篡改。
第4章 Hash函数
下面给出带密钥的Hash函数族的定义。 定义4.1.4 一个带密钥的Hash函数族包括以下构成要素: (1) X:所有消息的集合(有限集或无限集); (2) Y:所有消息摘要构成的有限集合; (3) K:密钥空间,是所有密钥的有限集合; (4) 对任意的k∈K,都存在一个Hash函数Hk∈H,Hk: X→Y。 如果Hk(x)=y,则二元组(x,y)∈X×Y称为在密钥k下是有效 的。
第4章 Hash函数 生日攻击的思想来源于概率论中一个著名的问题——生日问
题。该问题是问一个班级中至少要有多少个学生才能够使得有两 个学生生日相同的概率大于1/2。该问题的答案是23。即只要班 级中学生的人数大于23人,则班上有两个人生日相同的概率就将 大于1/2。基于生日问题的生日攻击意味着要保证消息摘要对碰 撞问题是安全的,则安全消息摘要的长度就有一个下界。例如, 长度为40比特的消息摘要是非常不安全的,因为仅仅在220(大约 为一百万)个随机Hash函数值中就有50%的概率发现一个碰撞。所 以对于安全的消息摘要,现在通常建议可接受的最小长度为128 比特(此时生日攻击需要超过264个Hash函数值)。而实际使用的消 息摘要一般为160比特甚至更长。
第7章 密码学Hash函数
• 是介于0到n-1之间的一个整数(zhěngshù)
• 例2: 明文: “Go now”
•
G 01000111
•
o 01101111
•
n 01101110
•
o 01101111
•
w 01110111
• • 不行
01011110
13
精品PPT
Hash函数(hánshù)构造
• 基于分组密码 • 用候选单向函数构造Hash函数 • 矩阵单向函数 • 基于胞元自动机的算法 • 以有限域中元素的指数(zhǐshù)运算构造 • 用流密码构造
•
B = EFCDAB89
•
C = 98BADCFE
•
D = 10325476
• Step 4) 消息由512-bits 数据块(Y0,Y1,…,YL-1)处理 4
轮,每轮16次迭代
29
精品PPT
4轮
HMD5
Yq 512-bit
Message
512
CVq 128
A
B
C
D
F,T[1…16],M[i]
MD5 压缩(yā suō)函数
• 每一轮(yī lún)有16次迭代,每1次迭代形如: • B B + (( A + g(B,C,D) + M[k] +T[i])<<<s) • • g:4轮都不同的非线性函数 (F,G,H,I) • 第一轮(yī lún):F(X,Y,Z) = (X Y) ((¬X) Z) • 第二轮:G(X,Y,Z) = (X Z) (Y (¬Z)) • 第三轮:H(X,Y,Z) = X Y Z • 第四轮:I(X,Y,Z) = Y (X (¬Z))
• 例2: 明文: “Go now”
•
G 01000111
•
o 01101111
•
n 01101110
•
o 01101111
•
w 01110111
• • 不行
01011110
13
精品PPT
Hash函数(hánshù)构造
• 基于分组密码 • 用候选单向函数构造Hash函数 • 矩阵单向函数 • 基于胞元自动机的算法 • 以有限域中元素的指数(zhǐshù)运算构造 • 用流密码构造
•
B = EFCDAB89
•
C = 98BADCFE
•
D = 10325476
• Step 4) 消息由512-bits 数据块(Y0,Y1,…,YL-1)处理 4
轮,每轮16次迭代
29
精品PPT
4轮
HMD5
Yq 512-bit
Message
512
CVq 128
A
B
C
D
F,T[1…16],M[i]
MD5 压缩(yā suō)函数
• 每一轮(yī lún)有16次迭代,每1次迭代形如: • B B + (( A + g(B,C,D) + M[k] +T[i])<<<s) • • g:4轮都不同的非线性函数 (F,G,H,I) • 第一轮(yī lún):F(X,Y,Z) = (X Y) ((¬X) Z) • 第二轮:G(X,Y,Z) = (X Z) (Y (¬Z)) • 第三轮:H(X,Y,Z) = X Y Z • 第四轮:I(X,Y,Z) = Y (X (¬Z))
Hash函数
第3轮 以 [ABCD k s i]表示如下操作 A = B + ((A + H(B,C,D) + X[k] + T[i]) <<< s). Do the following 16 operations. [ABCD 5 4 33] [DABC 8 11 34] [CDAB 11 16 35] [BCDA 14 23 36] [ABCD 1 4 37] [DABC 4 11 38] [CDAB 7 16 39] [BCDA 10 23 40] [ABCD 13 4 41] [DABC 0 11 42] [CDAB 3 16 43] [BCDA 6 23 44] [ABCD 9 4 45] [DABC 12 11 46] [CDAB 15 16 47] [BCDA 2 23 48]
3、强无碰撞hash函数是单向的。 总之,Hash函数应该满足 1)由自变量求函数是容易的,反之是困难的。 2)寻找碰撞是困难的
四、Hash函数实例 MD5
MD:Merkle-Damgard结构 输入:任意长度的消息 输出:128位消息摘要 处理:以512位输入数据块为单位
L×512 bits=N ×32bits × K bits 报文
填充 (1 to 448 bits)
100…0
报文长度 (K mod 264)
512 bits
512 bits
512 bits
512 bits
Y0
512
Y1
512
Yq
512
YL-1
512
128
128 128 128
HMD5
IV CV1
HMD5
CVq
HMD5
CVL-1
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
声称者A 验证者(系统)B 口令表
A
H(mA)(m为口令)
A
H (m A )
'
H(mA)
A:口令m’
=
是 接受
否
拒绝
Hash函数在银行应用举例采用Hash函数,银行操作人员不能获取到用户的密码
THE END!
由m计算H(m)容易
H
由H(m)计算上m不容易
HASH函数的安全性要 求
② 抗弱碰撞性:对于任何给定消息及其散列 值,不可能找到另一个能映射出该散列值的 消息; input
M m H output
m’
给定H(M)
HASH函数的安全性要 求
③ 抗强碰撞性:对于任何两个不同的消息, 它们的散列值必定不同,很难找到两条消息m 和m’,使得H(m)=H(m’)。 input M m m’ H(m)=H(m’) H output
YL-1
b n
CVi-1
f
n
CVi
压缩函数基本结构
HASH填充
在生成散列值之前,对输入消息进行分 组时,如果最后一块报文不足分组长度 要求,就要进行填充。
全部填充0
填充比特 的最高位为 1,其余为0
HASH函数的应用
Hash算列函数由于其单向性和随机性的特点, 主 要运用于提供数据完整性 ( 包括数字签名、以及与 数字签名联系起来的数字指纹的应用 ) 知识证明、 密钥推导、伪随机数生成等方面。 1.数字签名的应用
HASH函数的概念
对于Hash函数H有下面六个要求:
任意长度
m 消息
(1)能够接受任意长度的消息作为输入;
(2)能够生成较短的固定长度的输出; (3)对任何消息输入都应该能够容易和快速
地计算出散列值;
HASH散列函数
(4)应该是一个单向函数——难以或不可能 反推。也就是说,给定H(m),恢复m在 计算上是不可行的; (5)应该能够抵抗弱冲突,即当两个不同消
在进行数字签名过程中使用用户的私钥加 密消息的Hash值,其它任何知道该用户公钥的 人都能够通过数字签名来验证消息的完整性。 在这种情况下,攻击者要想篡改消息,则需要 知道用户的私钥。
HASH函数的应用
2.生成程序或文档的“数字指纹” HASH函数可以将任意长度的输入变换为固定长度的 输出,不同的输入对应着不同的输出,因此,可以 基于HASH函数变换得到程序或文档的散列值输出, 即“数字指纹”。
消息 T A M H(M) M B M' 消息
杂凑算法 = H(M)
H(M) = H(M') (正常) 或 H(M) <> H(M') (错误发生) = H(M')
杂凑算法
3.用于安全存储口令 如果基于HASH函数生成口令的散列值,然后在 系统中保存用户的ID和他的口令的散列值,而 不是口令本身,这有助于改善系统的安全性。
HASH函数的一般结构
1979 年, MerKle 基于数据压缩函数 f 建议了一个散列 函数的一般结构如下图所示。 MD系列、SHA系列大多数散列函数都使用该结构。
Y0 Y1 YL-1
b n IV=CV0 f
b n CV1 f n CV2 ...
b n CVL-1 n f CVL
HASH函数的一般结构
Hash 函数是一个将任意 长度的消息序列映射为 较短的、固定长度的一 个值的函数。
mt
f : {0,1}
{0,1} (t 1)
m
HASH函数的具体描述
Hash函数也称为散列函数,是一公开函数, 不需要密钥,通常记为H,用于将任意长的消
息M映射为较短的、固定长度的一个值作为
认证符,记为H(M),经常称函数值H(M)为散 列值、哈希值、杂凑值、杂凑码或消息摘要 、数组指纹。 从密码角度看,Hash函数也可以看作是一种
HASH函数输入消息M,并将其分为L个固定长度的分 组,若最后一个数据块不满足输入分组长度要求,按 照一定规则进行填充
Y0 Y1 YL-1
b n IV=CV0 f
b n CV1 f n CV2 ...
b n CVL-1 n f CVL
该散列函数重复使用一个压缩函数 f。压缩函数 f 有 两个输入,一个是前一阶段的 n 位输入,另外一个 源于消息的b位分组,并产生一个n位的输出,算法 开始时需要一个初始变量IV,最终的输出值通过一 个输出变换函数 g得到消息散列值,通常b>n,故称f 为压缩函数,如下图所示:
单向密码体制,即它从一个明文到密文是不
可逆映射,只有加密过程,不能解密。
HASH函数的具体描述
散列值是消息中所有比特的函数,因此提 供了一种错误检测能力,即改变消息中任 何一个比特或几个比特都会使散列值发生 改变。
在密码学和数据安全技术中,散列函数是
实现有效、安全可靠数字签字和认证的重 要工具,是安全认证协议中的重要模块。
密码学
HASH函数
在实际的通信保密中,除了要求实现数 据的保密性之外,对传输数据安全性的 另一个基本要求是保证数据的完整性。
• 保密性:
– 怎样保持明文的秘密性,使得明文只能被某些 人阅读? – 用加密的方法 • 完整性: – 怎样确定一列信号在产生后没有被篡改? – 用什么方法?
密码学中的Hash函数的主要功能是提供有 效的数据完整性检验。
h(m) 固定长度
息输入生成相同的输出时,就产生了冲突; (6)应该能够抵抗强冲突,即找到两个有意 义的消息m1和m2,使得H(m1)=H(m2)几 乎是不可能的。
Hash散列函数一般模型
HASH函数的安全性要 求
① 单向性:由消息的散列值倒算出消息在计 算上不可行,即给定H(m),计算m在计算上 不可行; input input output output M M H
A
H(mA)(m为口令)
A
H (m A )
'
H(mA)
A:口令m’
=
是 接受
否
拒绝
Hash函数在银行应用举例采用Hash函数,银行操作人员不能获取到用户的密码
THE END!
由m计算H(m)容易
H
由H(m)计算上m不容易
HASH函数的安全性要 求
② 抗弱碰撞性:对于任何给定消息及其散列 值,不可能找到另一个能映射出该散列值的 消息; input
M m H output
m’
给定H(M)
HASH函数的安全性要 求
③ 抗强碰撞性:对于任何两个不同的消息, 它们的散列值必定不同,很难找到两条消息m 和m’,使得H(m)=H(m’)。 input M m m’ H(m)=H(m’) H output
YL-1
b n
CVi-1
f
n
CVi
压缩函数基本结构
HASH填充
在生成散列值之前,对输入消息进行分 组时,如果最后一块报文不足分组长度 要求,就要进行填充。
全部填充0
填充比特 的最高位为 1,其余为0
HASH函数的应用
Hash算列函数由于其单向性和随机性的特点, 主 要运用于提供数据完整性 ( 包括数字签名、以及与 数字签名联系起来的数字指纹的应用 ) 知识证明、 密钥推导、伪随机数生成等方面。 1.数字签名的应用
HASH函数的概念
对于Hash函数H有下面六个要求:
任意长度
m 消息
(1)能够接受任意长度的消息作为输入;
(2)能够生成较短的固定长度的输出; (3)对任何消息输入都应该能够容易和快速
地计算出散列值;
HASH散列函数
(4)应该是一个单向函数——难以或不可能 反推。也就是说,给定H(m),恢复m在 计算上是不可行的; (5)应该能够抵抗弱冲突,即当两个不同消
在进行数字签名过程中使用用户的私钥加 密消息的Hash值,其它任何知道该用户公钥的 人都能够通过数字签名来验证消息的完整性。 在这种情况下,攻击者要想篡改消息,则需要 知道用户的私钥。
HASH函数的应用
2.生成程序或文档的“数字指纹” HASH函数可以将任意长度的输入变换为固定长度的 输出,不同的输入对应着不同的输出,因此,可以 基于HASH函数变换得到程序或文档的散列值输出, 即“数字指纹”。
消息 T A M H(M) M B M' 消息
杂凑算法 = H(M)
H(M) = H(M') (正常) 或 H(M) <> H(M') (错误发生) = H(M')
杂凑算法
3.用于安全存储口令 如果基于HASH函数生成口令的散列值,然后在 系统中保存用户的ID和他的口令的散列值,而 不是口令本身,这有助于改善系统的安全性。
HASH函数的一般结构
1979 年, MerKle 基于数据压缩函数 f 建议了一个散列 函数的一般结构如下图所示。 MD系列、SHA系列大多数散列函数都使用该结构。
Y0 Y1 YL-1
b n IV=CV0 f
b n CV1 f n CV2 ...
b n CVL-1 n f CVL
HASH函数的一般结构
Hash 函数是一个将任意 长度的消息序列映射为 较短的、固定长度的一 个值的函数。
mt
f : {0,1}
{0,1} (t 1)
m
HASH函数的具体描述
Hash函数也称为散列函数,是一公开函数, 不需要密钥,通常记为H,用于将任意长的消
息M映射为较短的、固定长度的一个值作为
认证符,记为H(M),经常称函数值H(M)为散 列值、哈希值、杂凑值、杂凑码或消息摘要 、数组指纹。 从密码角度看,Hash函数也可以看作是一种
HASH函数输入消息M,并将其分为L个固定长度的分 组,若最后一个数据块不满足输入分组长度要求,按 照一定规则进行填充
Y0 Y1 YL-1
b n IV=CV0 f
b n CV1 f n CV2 ...
b n CVL-1 n f CVL
该散列函数重复使用一个压缩函数 f。压缩函数 f 有 两个输入,一个是前一阶段的 n 位输入,另外一个 源于消息的b位分组,并产生一个n位的输出,算法 开始时需要一个初始变量IV,最终的输出值通过一 个输出变换函数 g得到消息散列值,通常b>n,故称f 为压缩函数,如下图所示:
单向密码体制,即它从一个明文到密文是不
可逆映射,只有加密过程,不能解密。
HASH函数的具体描述
散列值是消息中所有比特的函数,因此提 供了一种错误检测能力,即改变消息中任 何一个比特或几个比特都会使散列值发生 改变。
在密码学和数据安全技术中,散列函数是
实现有效、安全可靠数字签字和认证的重 要工具,是安全认证协议中的重要模块。
密码学
HASH函数
在实际的通信保密中,除了要求实现数 据的保密性之外,对传输数据安全性的 另一个基本要求是保证数据的完整性。
• 保密性:
– 怎样保持明文的秘密性,使得明文只能被某些 人阅读? – 用加密的方法 • 完整性: – 怎样确定一列信号在产生后没有被篡改? – 用什么方法?
密码学中的Hash函数的主要功能是提供有 效的数据完整性检验。
h(m) 固定长度
息输入生成相同的输出时,就产生了冲突; (6)应该能够抵抗强冲突,即找到两个有意 义的消息m1和m2,使得H(m1)=H(m2)几 乎是不可能的。
Hash散列函数一般模型
HASH函数的安全性要 求
① 单向性:由消息的散列值倒算出消息在计 算上不可行,即给定H(m),计算m在计算上 不可行; input input output output M M H