消息认证和数字签名讲义
合集下载
消息认证与数字签名
•
应当注意 只用私钥加密不能提供保密性。因为任 何人只要有A的公开密钥,就能够对该密文进行解密。
5.1.2 消息认证码
消息认证码 MAC(或称密码检验和)是在个密钥 的控制下将任意长的消息映射到一个简短的定长数据 分组,并将它附加在消息后。设M 是变长的消息,K 是仅由收发双方共享的密钥,则M的MAC由如下的函 数C生成:MAC = CK ( M ) • 这里CK ( M )是定长的。发送者每次将MAC附加到消 息中。接收者通过重新计算MAC来对消息进行认证。 •
•
产生认证符的方法可分ຫໍສະໝຸດ 下三类:① 信息加密:将明文加密后以密文作为认证符; ② 消息认证码 MAC:用一个密钥控制的公开函数作 用后产生的固定长度的数值,也称密码校验和。 ③ 散列函数:一个将任意长度的消息映射为定长的 散列值的函数,以散列值作为认证符。
5.1.1 加密认证 • 信息加密能够提供一种认证措施,这里分对 称密码体制加密认证和公钥密码体制加密认 证。
• 这里M是由分组Y0 , Y1 ,……,YL −1组成。如图5. 1所示。 ,
图5. 1 迭代型散列函数的结构
已经证明如果压缩函数是无碰撞的,则上述方法得到的Hash 函数也是无碰撞的。 因此,Hash函数的核心技术是设计无碰撞的 压缩函数。同样,攻击者对算法的攻击重点也是对f 的内部结构的 分析。与分组密码一样,f也是由若干轮处理过程组成,因而对f 的分析需要通过对各轮之间的比特模式的分析来进行,常常需要 先找出f的碰撞。 • 由于f 是压缩函数,因而一定存在碰撞。这就要求在设计f时 尽量使找出f的碰撞在计算上是不可行的。 •
2. 公钥密码体制加密认证
• 使用公开密钥加密信息的明文只能提供保密而不 能提供认证。为了提供认证,发送者 A用私钥对信息 的明文进行加密,任意接收者都可以用 A的公钥解密。 这种方式提供的认证措施与对称密码体制加密的情形 在原理上是相同的。与前面的一样,在明文中也要求 有某种内部结构,因此,接收者能够识别正常的明文 和随机的比特串。 • 采用这样的结构既可提供了认证,也可提供数字 签名。因为只有A 能够产生该密文,其它任何一方都 不能产生该密文,从效果上看 A 已经用私钥对信息的 明文进行了签名。
第05章消息认证与数字签名
8
第五章 消息认证与数字签名
数字信封
数字信封(DIGITAL ENVELOPE) : 对数据进行加密的密钥必须经常更换。 数字信封解决两个难题:取长补短 单钥体制:密钥分发困难;高效;数据的加密 公钥体制:加解密时间长;灵活;密钥的加密 目的:利用数据接收者的公钥来封装保护加密 数据的密钥。
9
第五章 消息认证与数字签名
5
第五章 消息认证与数字签名
公开密钥算法的主要特点如下: 1)用加密密钥PK对明文A加密后得到密文,再用解 密 密 钥 SK 对 密 文 解 密 , 即 可 恢 复 出 明 文 A。 DSK(EPK(A))=A 2)加密密钥不能用来解密,即: DPK(EPK(A))≠A ;DSK(ESK(A))≠A 3)用 SK 加密的信息只能用 PK 解密;用 PK 加密的信 息只能用SK解密。 4)从已知的PK不可能推导出SK。
主要内容
数字信封 数字指纹 数字证书 数字签名 数字水印 密码管理
1
第五章 消息认证与数字签名
一、密码学通常的作用
公钥密码 ( 双钥密码、非对称密码),是 1976 年由 Diffie和Hellman在其“密码学新方向”一文中提出的 单向陷门函数是满足下列条件的函数f: (1)给定x,计算y=f(x)是容易的; (2)给定y, 计算x使y=f(x)是非常困难的,无实际意义。 (3)存在δ,已知δ 时,对给定的任何y,若相应的x存在, 则计算x使y=f(x)是容易的。 注:1*. 仅满足(1)、(2)两条的称为单向函数;第(3) 条称为陷门性,δ 称为陷门信息。
17
第五章 消息认证与数字签名
二、数字指纹
数字指纹是通过一类特殊的散列函数(HASH函 数)生成的,对这类HASH函数的特殊要求是: 1.输入报文的长度没有限制; 2.对输入任何报文,能生成固定长度的摘要 (数字指纹); 3.从报文能方便地算出摘要; 4.极难从指定的摘要生成一个报文,而由该 报文又反推算出该指定的摘要; 5.两个不同的报文极难生成相同的摘要。
第五章 消息认证与数字签名
数字信封
数字信封(DIGITAL ENVELOPE) : 对数据进行加密的密钥必须经常更换。 数字信封解决两个难题:取长补短 单钥体制:密钥分发困难;高效;数据的加密 公钥体制:加解密时间长;灵活;密钥的加密 目的:利用数据接收者的公钥来封装保护加密 数据的密钥。
9
第五章 消息认证与数字签名
5
第五章 消息认证与数字签名
公开密钥算法的主要特点如下: 1)用加密密钥PK对明文A加密后得到密文,再用解 密 密 钥 SK 对 密 文 解 密 , 即 可 恢 复 出 明 文 A。 DSK(EPK(A))=A 2)加密密钥不能用来解密,即: DPK(EPK(A))≠A ;DSK(ESK(A))≠A 3)用 SK 加密的信息只能用 PK 解密;用 PK 加密的信 息只能用SK解密。 4)从已知的PK不可能推导出SK。
主要内容
数字信封 数字指纹 数字证书 数字签名 数字水印 密码管理
1
第五章 消息认证与数字签名
一、密码学通常的作用
公钥密码 ( 双钥密码、非对称密码),是 1976 年由 Diffie和Hellman在其“密码学新方向”一文中提出的 单向陷门函数是满足下列条件的函数f: (1)给定x,计算y=f(x)是容易的; (2)给定y, 计算x使y=f(x)是非常困难的,无实际意义。 (3)存在δ,已知δ 时,对给定的任何y,若相应的x存在, 则计算x使y=f(x)是容易的。 注:1*. 仅满足(1)、(2)两条的称为单向函数;第(3) 条称为陷门性,δ 称为陷门信息。
17
第五章 消息认证与数字签名
二、数字指纹
数字指纹是通过一类特殊的散列函数(HASH函 数)生成的,对这类HASH函数的特殊要求是: 1.输入报文的长度没有限制; 2.对输入任何报文,能生成固定长度的摘要 (数字指纹); 3.从报文能方便地算出摘要; 4.极难从指定的摘要生成一个报文,而由该 报文又反推算出该指定的摘要; 5.两个不同的报文极难生成相同的摘要。
第7章 消息认证与数字签名
• 因此,在通信双方未建立起完全的信任关系时,需 要有新的信息安全技术来保证传输信息的真实性, 解决通信双方的争端,这就是数字签名技术。
第7章 消息认证与数字签名
11
数字签名的概念
• 数字签名是对以数字形式存储的电子信息进行处 理,产生一种类似于传统手写签名功能的信息处 理过程。
• 它通常将某个算法作用于需要签名的消息,产生 一种带有操作者身份信息的编码。
22
(3)公钥加密提供保密、认证和数字签名
ePU (ePR (m)) A→B:
b a
A
B
m
e
PRa
ePRa (m)
e
PUb
ePUb (ePRa (m))
d
PRb
ePRa (m)
d
PUa
m
• 提供保密:只有接收方B拥有私钥PRb,才能正确解密得 到明文。 • 提供认证:只有A拥有私钥PRa,只能发自A。 • 提供数字签名:只有A拥有私钥PRa,任何人包括B都不能 伪造密文,发送方不可否认发送消息。 第7章 消息认证与数字签名
– 底层的认证函数对消息生成某种认证标 志; – 上层的认证协议基于认证标志提供一种 分析、鉴别、验证消息真实性的机制。
第7章 消息认证与数字签名
17
认证函数
• 消息加密:将整个需要认证的消息加密, 加密的密文作为认证标志。
• 消息认证码(MAC):将需要认证的消息 及密钥通过MAC函数得到一个固定长度的 MAC值,将其作为认证标志。 • Hash函数:将需要认证的消息通过Hash函 数得到一个固定长度的消息摘要值,将其 作为认证标志。
第7章 消息认证与数字签名
2
第7章 消息认证与数字签名
• 认证可分为实体认证和消息认证两大类。 –实体认证即证实某个人是否是他所声称 的那个实体,也称为身份认证 ; –消息认证即消息接收者证实接收到的消 息是否真实、完整。 • 数字签名是一种取代手写签名的电子签名 技术,它也是一种特殊的认证技术,在身 份认证、数据完整性和不可否认性等方面 有着不可替代的作用。
第7章 消息认证与数字签名
11
数字签名的概念
• 数字签名是对以数字形式存储的电子信息进行处 理,产生一种类似于传统手写签名功能的信息处 理过程。
• 它通常将某个算法作用于需要签名的消息,产生 一种带有操作者身份信息的编码。
22
(3)公钥加密提供保密、认证和数字签名
ePU (ePR (m)) A→B:
b a
A
B
m
e
PRa
ePRa (m)
e
PUb
ePUb (ePRa (m))
d
PRb
ePRa (m)
d
PUa
m
• 提供保密:只有接收方B拥有私钥PRb,才能正确解密得 到明文。 • 提供认证:只有A拥有私钥PRa,只能发自A。 • 提供数字签名:只有A拥有私钥PRa,任何人包括B都不能 伪造密文,发送方不可否认发送消息。 第7章 消息认证与数字签名
– 底层的认证函数对消息生成某种认证标 志; – 上层的认证协议基于认证标志提供一种 分析、鉴别、验证消息真实性的机制。
第7章 消息认证与数字签名
17
认证函数
• 消息加密:将整个需要认证的消息加密, 加密的密文作为认证标志。
• 消息认证码(MAC):将需要认证的消息 及密钥通过MAC函数得到一个固定长度的 MAC值,将其作为认证标志。 • Hash函数:将需要认证的消息通过Hash函 数得到一个固定长度的消息摘要值,将其 作为认证标志。
第7章 消息认证与数字签名
2
第7章 消息认证与数字签名
• 认证可分为实体认证和消息认证两大类。 –实体认证即证实某个人是否是他所声称 的那个实体,也称为身份认证 ; –消息认证即消息接收者证实接收到的消 息是否真实、完整。 • 数字签名是一种取代手写签名的电子签名 技术,它也是一种特殊的认证技术,在身 份认证、数据完整性和不可否认性等方面 有着不可替代的作用。
消息认证与数字签名
最后一次i循环得到的ABCD级联起来 (共4*32=128位 )就是报文摘要。
说明:常数组T[1…64]:T[i]为32位整 数,第i步中, T[i]取232*abs(sin(i))的整数 部分,用十六进制表示,i的单位是弧度。 有的算法中直接给出了常数。如第1轮:
[ABCD 0 7 oxd76aa478] [ABCD 0 7 oxe8c7b756] [ABCD 0 7 ox242070db] [ABCD 0 7 oxc1bdceee] ………
(3)报文分组
按照每组512位,将报文分成n+1组:Y0、 Y1…Yn。每一分组又可表示为16个32位的子 分组。
(4)初始化MD5参数
MD5中有4个32位的链接变量,用于存 储中间结构和最终散列值。初始值用十六进 制表示,分别为:
A=ox01234567 C=oxfedcba98 B=ox89abcdef D=ox76543210
第一个人的生日为特定生日; 第二个人不在该日生的概率为(1-1/365) ; 第三个人与前二人不同生日的概率为(1-2/365) ; ……………. 第t个人与前t-1人不同生日的概率为(1-(t-1)/365) ; 所以t个人都不同生日的概率为
1* (1-1/365) * (1-2/365) *…*(1-(t-1)/365)
没被改变。
5.使用Hash函数提供消息鉴别
①对称加密 提供保密与鉴别
A→B:EK(M‖H(M))
②对称加密
提供鉴别
A→B:M‖EK(H(M))
③公钥加密
提供鉴别与数字签名
A→B:M‖EKa(H(M))
④在③的基础上 对称加密 提供鉴别、数
字签名与保密 A→B:EK (M‖EKa(H(M)))
消息认证与数字签名
电子商务信息安全技术消息认证与数字签名曹健消息认证与数字签名•消息认证•数字签名•复合型加密体制PGP消息认证与数字签名传输介质transmission medium 传送给B 的信息B 收到信息截取伪造攻击篡改中断入侵者C消息认证消息认证(Message Authentication)•消息认证用于抗击主动攻击•验证接收消息的真实性和完整性–真实性——的确是由所声称的实体发过来的–完整性——未被篡改、插入和删除消息认证(消息鉴别)是一个证实收到的消息认证(消息鉴别)是个证实收到的消息来自可信的源点且未被篡改的过程。
消息认证消息加密认证M ED M用户A 用户K eE (M)K d K ()•由于攻击者不知道密钥K ,也就不知道如何改变密文中的信息位才能在明文中产生预期的改变中的信息位才能在明文中产生预期的改变。
•接收方可以根据解密后的明文是否具有合理的语法结构来进行消息认证。
消息认证发送的明文本身并没有明显的语法结构或特征,例如二进制文件,很难确定解密后的消息就是明文本身。
二进制文件很难确定解密后的消息就是明文本身消息认证消息认证码(Message Authenticaion Code ,MAC )KMAC 用户A用户BMAC M C C 比较KMAC •A 和B 共享密钥K •A 计算MAC=C k (M),•和一起发送到M MAC 起发B •B 对收到的M ,计算MAC ,比较两个MAC 是否相同。
消息认证消息认证码•消息认证码是消息和密钥的公开函数,它产生消息认证码是消息和密钥的数它产生定长的值,以该值作为认证符。
•利用密钥和消息生成一个固定长度的短数据块,并将其附加在消息之后。
认证符:一个用来认证消息的值。
由消息的发送方产生认证符,并传递给接收方。
认证函数:产生认证符的函数,认证函数实际上代表了一种产生认证符的方法。
种产生认证符的方法消息认证消息认证码MAC函数与加密函数类似都需要明文密钥和•函数与加密函数类似,都需要明文、密钥和算法的参与。
06密码学基础(五)消息认证和数字签名PPT课件
MAC算法的要求
条件:
➢ 攻击者知道MAC函数但不知道密钥K
要求:
➢ 已知M和CK(M),要想构造M使得CK(M)=CK(M)在 计算上不可行 (计算上无碰撞)
➢ CK(M)均匀分布:随机选择M和M, Pr[CK(M) = CK(M)]=2-|MAC|
➢ f是M的一个变换(例如对某些位取反),那么, Pr[CK(M)= CK(f(M))]=2-|MAC|
对于任何选定的编码规则,则(相应于某一特定密钥) :发方从Y中选出用来代表消息的许用序列,即码字
收方根据编码规则唯一地确定出发方按此规则向他传 来的消息。
窜扰者由于不知道密钥,因而所伪造的假码字多是Y 中的禁用序列,收方将以很高的概率将其检测出来, 而被拒绝认证
系统设计者的任务是构造好的认证码 (Authentication Code),使接收者受骗概率极小化
y得*∈到A一k个, 以合使法接的收消者息收x*到,y*这后样,窜可扰用者密欺钥诈k解成密功 。 窜扰者虽然知道X,Y,y,A(.,.),但不知具体密码k
关于MAC算法
MAC不等于数字签名
➢ 因为通讯双方共享同一个密钥
MAC有固定的长度
MAC结构的重要性,例如,密钥足够长+加密 算法足够好安全
通信双方是用户A为发信方,用户B为接收方, 用户B接收到信息后,通过解密来判决信息是 否来自A、 信息是否是完整的、有无窜扰。
常规加密
公钥加密
私钥加密
公私钥加密
公(私d)公钥私加钥密加密:机:机密密性性,,可可认认证和证签和名签名
消息认证码(MAC)
简介: 设S为通信中的发方A发送的所有可能的信源集
保密和认证同时是信息系统安全的两个方面,但它们 是两个不同属性的问题。认证不能自动提供保密性, 而保密性也不能自然提供认证功能(能同时实现吗)
消息认证与数字签名(2)
14
消息认证
❖ 消息认证是使预定的消息接收者能够检验收到的消 息是否真实的方法。检验内容应包括:
❖ (1)证实报文的源和宿 ❖ (2)报文内容是否曾受到偶然的或有意的篡改 ❖ (3)报文的序号和时间栏
总之,消息认证使接收者能识别:
消息的源,内容的真伪,时间性和意定的信宿
❖ 这种认证只在相应通信的双方之间进行,而不允许 第三者进行上述认证。认证不一定是实时的,可用
映射成一个固定长度的信息
可编辑ppt
10Leabharlann 信息加密函数作认证 信息加密函数分二种: 一种是常规的对称密钥加密函数; 另一种是公开密钥的双密钥加密函 数。
可编辑ppt
11
信息认证码(MAC)
设S为通信中的发方A发送的所有可能的信源集合
为了达到防窜扰的目的,发方A和收方B设计一个编码
法
则。发方A根据这个法则对信源S进行编码,信源经编
码
后成为消息,M表示所有可能的消息集合。发方A通信
时,发送的是消息。用简单的例子说明设S={0,1},
M={00,01,10,11}, 定义四个不同的编码法则e0,e1,e2,e3:
00 01 10 11
e0 0 1
e1 0
1
e2 0 1
e3 0 1
可编辑ppt
12
这样就构成一个认证码MAC 。 •发方A和收方B在通信前先秘密约定使用的编 码法则。
可编辑ppt
8
④:有分裂的认证系统与无分裂的认证系统。
一个认证系统中,发方在将信源信息发送给合 法接收方时,先将该信息利用共同约定的编码规 则编码成为消息, 把消息在公共信道上发送; 接 收方接收到从发方发来的消息后, 利用掌握的编 码规则破解消息得到实际发方要发送的信息。
消息鉴别与数字签名课件
3.1. 消息鉴别
完整性是安全的基本要求之一。篡改消息是对通 信系统的主动攻击常见形式。
被篡改的消息是不完整的;信道的偶发干扰和故障也 破坏消息完整性。
接收者能检查所收到的消息是否完整; 进一步接收者能识别所收到的信息是否源于所声称的
主体。即消息来源的真实性
保障消息完整性和真实性的手段: 消息鉴别技术
1. 泄密
保密 2.
通信业务量分析
消息 3. 鉴别
4.
数字 5.
签名
伪造: 攻击者假冒发方身份,向网络插入一条消 息;或假冒接收方发送一个消息确认。
篡改:内容篡改 序号篡改 时间篡改
行为抵赖
一是作为领导干部一定要树立正确的 权力观 和科学 的发展 观,权 力必须 为职工 群众谋 利益, 绝不能 为个人 或少数 人谋取 私利
基于消息加密方式 以整个消息的密文作为鉴别符
基于消息鉴别码(MAC)3.1.2 发送方利用公开函数+密钥产生一个固定长度的 值作为鉴别标识,并与消息一同发送
基于散列函数 3.1.3 采用hash函数将任意长度的消息映射为一个定长 的散列值,以此散列值为鉴别码。MAC方式的一 种特例
最近几年消息鉴别符的热点转向 Hash函数导 出MAC的方法
一是作为领导干部一定要树立正确的 权力观 和科学 的发展 观,权 力必须 为职工 群众谋 利益, 绝不能 为个人 或少数 人谋取 私利
第3章 消息鉴别与数字签名
经典密码学->现代公开的计算机环境
保密有效系统地保障电子数据的机密性、完整性 和真实性
公开的计算机网络环境中,传输中的数据可能 遭受到威胁(5种):
3.1.2 -1 消息鉴别码原理
消息和MAC一起发给接收方。接收方对收到的 消息利用相同的密钥K计算,得出新的MAC。 如果接收到的MAC与计算得出的MAC相等:
完整性是安全的基本要求之一。篡改消息是对通 信系统的主动攻击常见形式。
被篡改的消息是不完整的;信道的偶发干扰和故障也 破坏消息完整性。
接收者能检查所收到的消息是否完整; 进一步接收者能识别所收到的信息是否源于所声称的
主体。即消息来源的真实性
保障消息完整性和真实性的手段: 消息鉴别技术
1. 泄密
保密 2.
通信业务量分析
消息 3. 鉴别
4.
数字 5.
签名
伪造: 攻击者假冒发方身份,向网络插入一条消 息;或假冒接收方发送一个消息确认。
篡改:内容篡改 序号篡改 时间篡改
行为抵赖
一是作为领导干部一定要树立正确的 权力观 和科学 的发展 观,权 力必须 为职工 群众谋 利益, 绝不能 为个人 或少数 人谋取 私利
基于消息加密方式 以整个消息的密文作为鉴别符
基于消息鉴别码(MAC)3.1.2 发送方利用公开函数+密钥产生一个固定长度的 值作为鉴别标识,并与消息一同发送
基于散列函数 3.1.3 采用hash函数将任意长度的消息映射为一个定长 的散列值,以此散列值为鉴别码。MAC方式的一 种特例
最近几年消息鉴别符的热点转向 Hash函数导 出MAC的方法
一是作为领导干部一定要树立正确的 权力观 和科学 的发展 观,权 力必须 为职工 群众谋 利益, 绝不能 为个人 或少数 人谋取 私利
第3章 消息鉴别与数字签名
经典密码学->现代公开的计算机环境
保密有效系统地保障电子数据的机密性、完整性 和真实性
公开的计算机网络环境中,传输中的数据可能 遭受到威胁(5种):
3.1.2 -1 消息鉴别码原理
消息和MAC一起发给接收方。接收方对收到的 消息利用相同的密钥K计算,得出新的MAC。 如果接收到的MAC与计算得出的MAC相等:
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Sun Yat-sen University
哈希函数
强抗碰撞性(Strong collision resistance) ✓找到任何满足H(x)=H(y) 的偶对(x,y)在计算上是不可行的 ✓complexity is 2n/2
前三条是Hash函数实际应用于消息认证中所必须满足的, 第四条单向性是指,由消息很容易计算出Hash码,但由 Hash码却不能计算出相应的消息,第五条性质是保证不能 找到与给定消息具有相同Hash值的另一消息,可以在使用 时对Hash值加密的方法中防止伪造,第六条性质涉及Hash 函数抗生日攻击的能力强弱
Sun Yat-sen University
消息认证和数字签名
中山大学信息科学与技术学院 王常吉 副教授 2006年11月
免费课件下载
Sun Yat-sen University
消息认证和数字签名
消息认证(Message Authentication)
✓验证所收到的消息确实是来自真正的发送方,并且未被
免费课件下载
| 9/24/2020
16
© 广东省信息安全技术重点实验室
Sun Yat-sen University
消息认证码
Data Authentication Algorithm
✓FIPS publication (FIPS PUB 113)
✓ANSI standard (X9.17)
✓有两种使用广泛的基于DES的MAC,一种按CFB模式,
公钥加密:认证和签名
| 9/24/2020
10
© 广东省信息安全技术重点实验室
Sun Yat-sen University
消息加密(非对称)
M
E
EkRa(M) E
KRa
KUb
D EkRa(M)
D
M
KRb
KUa
EKUb(EkRa(M))
公钥加密:机密性,可认证和签名
免费课件下载
| 9/24/2020
免费课件下载
| 9/24/2020
12
© 广东省信息安全技术重点实验室
Sun Yat-sen University
消息认证码
MAC函数类似于加密函数,但不需要可逆性,因 此在数学上比加密算法被攻击的弱点要少
MAC的基本用途
免费课件下载
| 9/24/2020
13
© 广东省信息安全技术重点实验室
Sun Yat-sen University
消息认证码
免费课件下载
| 9/24/2020
14
© 广东省信息安全技术重点实验室
Sun Yat-sen University
消息认证码
为什么使用消息认证码 ✓保密性与真实性是两个不同的概念,从根本上讲,信息加密提供的
是保密性而非真实性
✓加密代价大(公钥算法代价更大) ✓认证函数与保密函数的分离能提供功能上的灵活性 ✓认证码可延长报文的保护期限,同时能处理报文内容(使用加密,当
✓Hash函数:将任意长的消息映射为定长的Hash值的公
开函数,以Hash值作为认证符
免费课件下载
| 9/24/2020
6
© 广东省信息安全技术重点实验室
Sun Yat-sen University
消息认证模型
一个安全的消息认证系统,需满足
✓意定的接收者能够检验和证实消息的合法性、真实性和
完整性
✓消息的发送者和接收者不能抵赖 ✓除了合法的消息发送者,其它人不能伪造合法的消息
✓上述标出的认证编码器和认证译码器可抽象为认证函数 ✓一个安全的认证系统,首先要选好恰当的认证函数,然
后在此基础上,给出合理的认证协议(Authentication Protocol)
免费课件下载
| 9/24/2020
5
© 广东省信息安全技术重点实验室
Sun Yat-sen University
消息认证模型
一种按CBC模式运行。在CBC模式下,消息按64bit分组, 不足时以0补齐,初始向量为0,送入DES系统加密,但
不输出密文,只取加密结果最左边的r位作为认证符,r 取大小可由通信双方约定。美国联邦电信建议采 用24bit[FTSC-1026],而美国金融系统采用32bit [ABA,1986]
免费课件下载
免费课件下载
| 9/24/2020
7
© 广东省信息安全技术重点实验室
Sun Yat-sen University
消息加密(对称)
消息加密本身提供了一种认证手段(消息的自身加密可以 作为一个认证的度量)
对称加密方式 ✓A与B共享密钥K ✓A→B:EK[M]=C ✓B:M=DK[C],查看M是否为有意义的明文(如何区分真实的明文
报文解密后,保护就失效了)
✓某些信息只需要真实性,不需要保密性 广播的信息难以使用加密(信息量大) 网络管理信息等只需要真实性 政府/权威部门的公告
免费课件下载
| 9/24/2020
15
© 广东省信息安全技术重点实验室
Sun Yat-sen University
消息认证码
对MAC的安全要求
✓如果一个攻击者得到M和CK(M),则攻击者构造一个消息
A用M- 替换M Hash必须足够长( 128, 160,224,256,…)
免费课件下载
| 9/24/2020
23
© 广东省信息安全技术重点实验室
11
© 广东省信息安全技术重点实验室
Sun Yat-sen University
消息认证码
MAC,也称密码校验和,是利用密钥来生成一个固定长度 的短数据块,并将该数据块附加在消息之后
假定通信双方A与B共享密钥K,A向B发送消息时,计算 MAC=CK(M),然后消息和MAC一起被发送给B,B对收到 的消息用相同的密钥K进行相同的计算,得出新的MAC, 并将接收到的MAC与B计算出的MAC进行对比,如果相等, 则 ✓B可以相信消息未被篡改 ✓B可以相信消息来自真正的发送方A ✓如果消息中含序列号,B可以相信消息的顺序正确
消息认证和数字签名方法在功能上分为两层:
✓下层中有产生认证符(一个用来认证消息的值)的函数,
上层协议中将该函数作原语使接收方可以验证消息的真 实性
可用来产生认证符的函数可分为三类:
✓消息加密:整个消息的密文作为认证符 ✓消息认证码MAC:它是消息和密钥的公开函数,产生一
个固定长度的值作为认证符,MAC = F(K, M)
✓又称为哈希函数、散列函数、数字指纹(Digital finger
print)、压缩(Compression)函数、紧缩 (Contraction )函数、数据认证码DAC(Data authentication code)、篡改检验码MDC (Manipulation detection code)
Sun Yat-sen University
生日攻击实例
A准备两份合同M和M-,一份B会同意,一份会取走他的财 产而被拒绝
A对M和M- 各做32处微小变化(保持原意),分别产生232 个64位hash值
根据前面的结论,超过0.5的概率能找到一个M和一个M- , 它们的hash值相同
A提交M,经B审阅后产生64位hash值并对该值签名,返 回给A
免费课件下载
| 9/24/2020
20
© 广东省信息安全技术重点实验室
Sun Yat-sen University
哈希函数分类
根据安全水平
✓弱无碰撞 ✓强无碰撞 ✓注:强无碰撞自然含弱无碰撞!
根据是否使用密钥
✓带秘密密钥的Hash函数:消息的散列值由只有通信双方
知道的秘密密钥K来控制,此时散列值称作MAC
一种基于生日悖论的攻击可能做到这一点,生日 问题
✓一个教室中,最少应有多少个学生,才使至少有两人具
有相同生日的概率不小于1/2?
✓概率结果与人的直觉是相违背的 ✓实际上只需23人,即任找23人,从中总能选出两人具有
相同生日的概率至少为1/2
免费课件下载
| 9/24/2020
22
© 广东省信息安全技术重点实验室
M-,使得CK(M-)= CK(M) 应在计算上不可行
✓CK(M) 应均匀分布,ห้องสมุดไป่ตู้随机选择消息M和M- ,CK(M)
=CK(M-) 的概率是2-n,其中n是MAC的位数
✓MAC值应平等地依赖于消息中的所有位,令M- 为M的某
些变换,即M- =f(M),例如f 可以涉及M中一个或多个给 定位的反转),在这种情况下,Pr[CK(M-)= CK(M) ] = 2-n
bits in the hash output
抗弱碰撞性(Weak collision resistance) ✓对于任意给定的 x,找到满足x≠y且H(x)=H(y)的y在计算上是
不可行的
✓complexity of attack is 2n
免费课件下载
| 9/24/2020
19
© 广东省信息安全技术重点实验室
✓不带秘密密钥的Hash函数:消息的散列值的产生无需使
用密钥,此时散列值称作MDC
免费课件下载
| 9/24/2020
21
© 广东省信息安全技术重点实验室
Sun Yat-sen University
哈希函数-生日攻击
如果采用传输加密的散列值和不加密的报文M, 攻击者需要找到M-,使得H(M-)=H(M),以便使用 替代报文来欺骗接收者
✓验证信息的发送者是真正的,而不是冒充的,此为信源
识别;
✓验证信息的完整性,在传送或存储过程中未被篡改,重
放或延迟等
免费课件下载
| 9/24/2020
3