密码学与信息安全 第11章 消息认证和散列函数
《密码学与信息安全》复习提纲
《密码学与信息安全》复习提纲第1章引言安全攻击的两种类型。
被动攻击的概念。
主动攻击的概念。
常见的被动攻击和主动攻击各有哪些?安全服务包括哪些类型?安全机制分为特定安全机制和普遍的安全机制。
常见的特定安全机制主要有哪些?第2章传统加密技术对称加密方案的5个基本成分。
密码编码学系统对明文的处理方法。
攻击传统的密码体制的两种一般方法。
基于密码分析者知道信息的多少而产生的密码攻击的几种类型。
无条件安全的概念。
计算上安全的概念。
传统对称密码使用的两种技术。
单表代换密码的加密过程。
对单表代换密码的统计学攻击过程。
Playfair密码中密钥矩阵的构成方法。
Playfair密码的加密和解密过程。
Hill密码的加密和解密过程。
一次一密的概念。
实现一次一密的两个基本难点。
置换技术的概念。
转轮机的基本原理。
第3章分组密码和数据加密标准流密码与分组密码的区别。
乘积密码的概念。
混淆和扩散的概念及区别。
Feistel密码的典型结构。
其具体实现依赖于哪些参数?Feistel密码加密过程和解密过程的异同点。
数据加密标准DES的加密过程。
DES密钥的产生过程。
两种重要的密码分析方法:差分分析和线性分析。
Feistel密码的强度来自于三个方面:迭代轮数、轮函数、密钥扩展算法。
轮函数的三个设计标准:非线性、严格雪崩效应、位独立。
第5章高级加密标准三重DES的优缺点。
计时攻击和能量分析攻击的概念。
AES轮函数由四个不同的阶段组成:字节代换、行移位、列混淆、轮密钥加。
高级加密标准AES的加密过程。
AES密钥的产生过程。
第6章对称密码的其他内容多重加密的概念。
对称密码有5种标准的工作模式:电子密码本、密文分组链接、密文反馈、输出反馈、计数器模式。
对双重DES进行中间相遇攻击的过程。
密文分组链接模式(CBC)对明文的处理过程。
密文反馈模式和输出反馈模式的区别。
设计流密码需要考虑的三个主要因素。
流密码RC4的密钥流产生过程。
密文窃取模式(CTS)对明文的处理过程。
密(研)11-密码学Hash函数
第11章 密码学Hash函数Crytographic Hash Functions课程内容大纲1. 引言第一部分:对称密码2. 传统加密技术第三部分:密码学数据完整性算法11.密码学Hash函数3. 分组密码与数据加密标准(DES) 12.消息认证码(MAC) 4. 数论与有限域的基本概念 13.数字签名 5. 高级加密标准(AES) 6. 分组密码的工作模式 7. 伪随机数的产生和流密码第四部分:相互信任14.密钥管理与分发 15.用户认证第二部分:公钥密码8. 数论入门 9. 公钥密码学与RSA 10. 密钥管理和其他公钥密码体制讲课内容11.1 密码学Hash函数的应用 11.2 两个简单的Hash函数 11.3 需求和安全性、安全Hash函数结构 11.4 基于分组密码链接的Hash函数 11.5 安全Hash算法(SHA) 补充:Hash函数MD511.1 密码学Hash函数的应用Hash函数定义• (单词"hash"的翻译:哈希、杂凑、散列、… ) • Hash函数H是一公开函数,用于将任意长的消息 M映射为较短的、固定长度的一个值H(M)。
称函 值H(M)为杂凑值、杂凑码或消息摘要 M → h = H(M)• 在安全应用中使用的Hash函数称为密码学Hash 函数(cryptographic hash function)Hash函数特点• Hash值 H(M) 是消息中所有 比特的函数,因此提供了一 种错误检测能力,即改变消 息中任何一个比特或几个比 特都会使杂凑码发生改变。
Hash函数的应用(1)消息认证 (2)数字签名 (3)其它一些应用Hash函数应用之一:消息认证• 消息认证是用来验证消息完整性的一种机制或服务 完整性 • 当Hash函数用于提供消息认证功能时,Hash函数 值通常称为消息摘要(message digest)• 一般地,消息认证是通过使用消息认证码(MAC) 实现的,即带密钥的Hash函数。
《网络与信息安全》习题
一、单项选择题1。
DES是使用最广泛的对称密码,它的密钥长度为位.A. 64B. 56 C。
128 D。
10242.数字签名是一种认证技术,它保证消息的来源与。
A。
保密性 B. 完整性 C。
可用性 D。
不可重放3。
分组密码有5种工作模式, 适合传输DES密钥.A.ECB B. CBC C. CFB D.OFB4。
关于双钥密码体制的正确描述是。
A.双钥密码体制中加解密密钥不相同,从一个很难计算出另一个B.双钥密码体制中加密密钥与解密密钥相同,或是实质上等同C.双钥密码体制中加解密密钥虽不相同,但是可以从一个推导出另一个D.双钥密码体制中加解密密钥是否相同可以根据用户要求决定5。
下列关于网络防火墙说法错误..的是。
A.网络防火墙不能解决来自内部网络的攻击和安全问题B.网络防火墙能防止受病毒感染的文件的传输C.网络防火墙不能防止策略配置不当或错误配置引起的安全威胁D.网络防火墙不能防止本身安全漏洞的威胁6.数字签名是附加于消息之后的一种数据,它是对消息的密码变换,保证了和完整性。
A.保密性B.消息的来源 C.可用性 D.不可否认性7.关于RSA,以下说法不正确的是 .A.收发双方使用不同的密钥 B.非对称密码C.流密码 D.分组密码8.作为网络层安全协议,IPSEC有三个协议组成。
A. AH、ESP、IKE B. AH、ESP、PGPC. AH、TLS、IKE D. AH、SSL、IKE9.DES是使用最广泛的对称密码,它的分组长度为位。
A.64 B.56 C.128 D.102410.包过滤防火墙工作在层.A.链路层 B.网络层 C.传输层 D.应用层11.下面各种加密算法中属于双钥制加密算法的是。
A.RSA B.LUC C.DES D.DSA12.对网络中两个相邻节点之间传输的数据进行加密保护的是。
A.节点加密B.链路加密 C.端到端加密D.DES加密13.一般而言,Internet防火墙建立在一个网络的。
安全散列函数
安全散列函数安全散列函数(Secure Hash Function)是一种被广泛应用于密码学领域的算法,用于将任意长度的数据转化为固定长度的哈希值。
它具有不可逆、唯一性和抗碰撞等特点,被广泛用于数据完整性校验、数字签名、消息认证码等领域。
一、安全散列函数的定义和特点安全散列函数是一种将输入数据通过特定算法转换为固定长度哈希值的函数。
它的主要特点包括:1. 不可逆性:安全散列函数是单向函数,即无法从哈希值反推出原始输入数据。
这种性质保证了数据的安全性,不会因为散列值的泄露而导致数据的暴露。
2. 唯一性:对于不同的输入数据,安全散列函数应该产生不同的哈希值。
这样可以避免不同的数据产生相同的哈希值,即碰撞。
3. 抗碰撞性:安全散列函数应该具有较高的抗碰撞能力,即输入不同的数据,产生相同的哈希值的可能性极小。
这样可以保证数据的完整性和可靠性。
二、安全散列函数的应用1. 数据完整性校验:安全散列函数常被用于验证数据的完整性,确保数据在传输和存储过程中没有被篡改。
发送方通过对原始数据进行哈希计算,将哈希值与接收方预先获得的哈希值进行比对,如果一致,则说明数据没有被篡改。
2. 数字签名:数字签名是一种用于验证数据来源和完整性的技术。
发送方通过对原始数据进行哈希计算,并使用私钥对哈希值进行加密,生成数字签名。
接收方使用发送方的公钥对数字签名进行解密,得到哈希值,并通过对原始数据进行哈希计算,将两个哈希值进行比对,如果一致,则说明数据来源可信且完整。
3. 消息认证码:消息认证码(MAC)是一种用于验证消息完整性和真实性的技术。
它使用安全散列函数和密钥对消息进行处理,生成一个固定长度的认证码。
接收方使用相同的密钥和安全散列函数对接收到的消息进行处理,并将生成的认证码与接收到的认证码进行比对,如果一致,则说明消息的完整性和真实性得到了保证。
三、安全散列函数的常见算法常见的安全散列函数算法包括MD5、SHA-1、SHA-256等。
密码学部分习题及答案
*1.2 被动和主动安全威胁之间有什么不同?被动攻击的本质是窃听或监视数据传输;主动攻击包含数据流的改写和错误数据流的添加。
*1.3 列出并简要定义被动和主动安全攻击的分类。
被动攻击包含信息内容泄露和流量分析。
信息内容泄露:信息收集造成传输信息的内容泄露。
流量分析:攻击者可以决定通信主机的身份和位置,可以观察传输的消息的频率和长度。
这些信息可以用于判断通信的性质。
主动攻击包括假冒、重放、改写消息、拒绝服务。
假冒:指某实体假装成别的实体。
重放:指将攻击者将获得的信息再次发送,从而导致非授权效应。
改写消息:指攻击者修改合法消息的部分或全部,或者延迟消息的传输以获得非授权作用。
拒绝服务:指攻击者设法让目标系统停止提供服务或资源访问,从而阻止授权实体对系统的正常使用或管理。
2.1 对称密码的基本因素是什么。
对称密码的基本因素包括明文、加密算法、秘密密钥、、密文、解密算法2.5 什么是置换密码置换密码是保持明文的字母不变,但是顺序被重新排列*2.6差分分析(differential cryptanalysis)是一种选择明文攻击,其基本思想是:通过分析特定明文差分对相对应密文差分影响来获得尽可能大的密钥。
它可以用来攻击任何由迭代一个固定的轮函数的结构的密码以及很多分组密码(包括DES),它是由Biham和Shamir于1991年提出的选择明文攻击。
2.9 分组密码和流密码的区别在流密码中,加密和解密每次只处理数据流的一个符号。
在分组密码中,将大小为m的一组明文符号作为整体进行加密,创建出相同大小的一组密文。
典型的明文分组大小是64位或者128为。
*2.11 DES是什么DES是数据加密标准的简称,它是一种是用最为广泛的加密体质。
采用了64位的分组长度和56位的密钥长度。
它将64位的输入经过一系列变换得到64位的输出。
解密则使用了相同的步骤和相同的密钥。
2.13 简述对称密码的优缺点优点:效率高,算法简单,系统开销小;适合加密大量数据;明文长度与密文长度相等。
第5讲 消息认证
十进制移位加MAC算法
第 P1=9359354506
+ x2=5283586900
Q1=8217882178
+ x2=5283586900
二
轮
P1+x2=4642941406
Q1+x2=3501469078
+R(8)(P1+x2)=4294140646 +R(9)(Q1+x2)=5014690783 P2=8937082052 …. …. Q2=8516159861
第5讲
消息认证
1
5.1 基本概念
1. 报文鉴别(消息认证)的概念
消息认证(Message Authentication)
Message:消息、报文。
Authentication: 鉴别、认证。
认证:消息的接收者对消息进行的验证。
真实性:消息确实来自于其真正的发送者,而非假冒;
完整性:消息的内容没有被篡改。
设计MAC函数的要点
如果攻击者得到一个 M 及其对应的 MAC,那么他试图构造 一个消息 M’ 使得 MAC’ = MAC 在计算上应该是不可行的。 MAC 函数应是均匀分布的,即随机选择消息 M 和 M’, MAC = MAC’ 的概率应是 2-n,其中 n 是 MAC 的位数。 令 M’ 为 M 的某些已知变换,即:M’ = f (M),应保证在这 种情况下,MAC = MAC’ 的概率为 2-n。
MAC = CK(M)
MAC被附加在消息中传输,用于消息的合法性鉴别。
消息认证码用于认证
K MAC M C C
A和B共享密钥K A计算MAC=Ck(M),
比较
MAC
信息安全复习题答案
《密码编码学与网络安全》复习题1.信息安全(计算机安全)目标是什么机密性(confidentiality):防止未经授权的信息泄漏完整性(integrity):防止未经授权的信息篡改可用性(avialbility):防止未经授权的信息和资源截留抗抵赖性、不可否认性、问责性、可说明性、可审查性(accountability):真实性(authenticity):验证用户身份2.理解计算安全性(即one-time pad的理论安全性)使用与消息一样长且无重复的随机密钥来加密信息,即对每个明文每次采用不同的代换表不可攻破,因为任何明文和任何密文间的映射都是随机的,密钥只使用一次3.传统密码算法的两种基本运算是什么代换和置换前者是将明文中的每个元素映射成另外一个元素;后者是将明文中的元素重新排列。
4.流密码和分组密码区别是什么各有什么优缺点分组密码每次处理一个输入分组,对应输出一个分组;流密码是连续地处理输入元素,每次输出一个元素流密码Stream: 每次加密数据流的一位或者一个字节。
连续处理输入分组,一次输出一个元素,速度较快。
5.利用playfair密码加密明文bookstore,密钥词是(HARPSICOD),所得的密文是什么I/JD RG LR QD HGHARPS bo ok st or ex I/JD DG PU GO GVI/JCODBEFGKLMNQTUVWXYZ6.用密钥词cat实现vigenere密码,加密明文vigenere coper,所得的密文是什么XIZGNXTEVQPXTKey: catca t ca tcatcatcatPlaintext: vigenere coperChipertext: XIZGNXTE VQPXT7.假定有一个密钥2431的列置换密码,则明文can you understand的密文是多少YNSDCODTNURNAUEAKey: 2 4 3 1Plaintext: c a n yo u u nd e r st a n dChipertext: YNSDCODTNURNAUEA8.什么是乘积密码多步代换和置换,依次使用两个或两个以上的基本密码,所得结果的密码强度将强与所有单个密码的强度.9.混淆和扩散的区别是什么扩散(Diffusion):明文的统计结构被扩散消失到密文的,使得明文和密文之间的统计关系尽量复杂.即让每个明文数字尽可能地影响多个密文数字混淆(confusion):使得密文的统计特性与密钥的取值之间的关系尽量复杂,阻止攻击者发现密钥10.Feistel密码中每轮发生了什么样的变化将输入分组分成左右两部分。
3消息认证和Hash函数
若要提供认证,则A用其私钥对消息加密,而B用A的 公钥对接收的消息解密。因为只有A拥有PRa,能产 生用PUa可解密的密文,所以该消息一定来自A。 同样,对明文也必须有某种内部结构以使接收方能 区分真实的明文和随机的位串。
源A 宿B D E(PRa, M) PUa M
M
E PRa
(c) 公钥加密:认证和签名
其中:M=输入消息, C=MAC函数 K=共享的密钥,MAC=消息认证
消息认证码
1. 2.
3.
发送方将消息和MAC一起发送给接收方。接收方对 收到的消息用相同的密钥K进行相同的计算得出新 的MAC,并将接收到的MAC与其计算出的MAC进行 比较。 如果我们假定只有收发双方知道密钥K,那么若接 收到的MAC与计算得出的MAC相等,则: 接收方可以相信消息未被修改。 接收方可以相信消息来自真正的发送方。 如果消息中含有序列号,那么接收方可以相信消息 顺序是正确的。
MAC的性质
性质2:C(k,M)应是均匀分布的,即对任何随 机选择的消息M和M’, C(k,M) = C(k,M’)的概率 是2-n,其中n是MAC的位数。
该要求是为了阻止基于选择明文的穷举攻击,也就 是说,假定攻击者不知道K,但是他可以访问MAC 函数,能对消息产生MAC,那么攻击者可以对各种 消息计算MAC,直至找到与给定MAC相同的消息为 止。如果MAC函数具有均匀分布的特征,那么穷举 方法平均需要2n-1步才能找到具有给定MAC的消息。
消息认证码的基本用法
提供认证
(a)消息认证 (b)消息认证和保密性:与明文有关的认证 (c)消息认证和保密性:与密文有关的认证
提供认证和保密性
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
认证函数之消息认证码(MAC)
可提供认证,但不能提供保密性
认证函数之消息认证码(MAC)
认证函数之消息认证码(MAC)
认证方式为什么不直接用信息加密模式,而使用 MAC?
认证函数之消息认证码(MAC)
特点:1)MAC函数类似于加密函数,但不需要可逆性。
因此在数学上比加密算法被攻击的弱点要少。 2)MAC=C(K,M)函数是个多对一的函数。 例如:100位的密钥,10位的MAC 则可以计算出2100条MAC,但不同的MAC值最多210个 即:平均同一MAC可由
提供认证和签名
----只有A拥有用于加密的密钥PRa ----传输中未被改变
----需要某种数据组织形式/冗余
----任何一方可用PUa来验证签名 (b)公钥加密:保密性、认证和签名 A→B:E[PUb, E[PRa,M]] 提供保密性(因为PUb)
提供认证和签名(因为PRa)
认证函数之消息认证码(MAC)
认证函数之消息加密
对称加密模式
认证函数之消息加密
对称加密模式
解密后并不能保证就是正确 的FCS 攻击者产生密文发送给接收方 如:xxxxxxxxxxxxxxx
攻击者构造一个正确的FCS
认证函数之消息加密
对称加密模式
由前所述可知,FCS和加密函数执行的顺序是很 重要的,对于内部错误控制,由于攻击者很难产 生密文,使得解密后其错误控制是正确的,因此 内部错误控制可以提供认证;如果FCS是外部码, 那么攻击者可以构造具有正确错误控制码的消息, 虽然攻击者不知道解密后的明文是什么,但他可 以造成混淆并破坏通信。 事实上,在要发送的消息中加入任何类型的结构 信息都会增强认证能力。例如考虑使用TCP/IP协 议传送消息的结构
3.
4. 5. 6. 7. 8.
11.1 对认证的要求
前两种攻击的方法属于消息保密性范畴。 对付第3种至第6种攻击的方法一般称为消 息认证;对付第7种攻击的方法属于数字签 名。一般而言,数字签名方法也能够抗第3 种至第6种攻击中的某些或全部攻击,对付 第8种攻击需要使用数字签名和为抗此种攻 击而设计的协议。
2100/210
个不同的密钥产生。
认证函数之散列函数
MAC产生的问题:基于对称密码体制,例如采用DES的
消息认证码。自然按64比特分划成一块一块,这样太慢。
散列函数: 可看作是MAC的一种变形,输入为任意长度的
消息M; 输出为一个固定长度的散列值H(M),又称为消息摘要 Message Digest。消息的微小变动都会导致摘要的大变化。
雪崩效应
Compared witch MAC :
MAC需要密钥,而散列函数仅是输入消息的函数
散列函数用于消息认证的各种方法
加密消息及散列值
广播消息时
用共享密钥加密散列值
散列函数用于消息认证的各种方法
用发送者私钥加密散列值
用共享密钥加密C的结果
散列函数用于消息认证的各种方法
散列函数用于消息认证的各种方法
认证函数之消息加密
公钥加密模式
认证函数之消息加密
公钥加密模式
使用公钥加密[图11.1(b)]可提供保密性,但不能提 供认证。发送方(A)使用接收方(B)的公钥PUb对 M加密,由于只有B拥有相应的私钥PRb,所以只有B 能对消息解密。但是任何攻击者可以假冒A用B的公钥 对消息加密,所以这种方法不能保证真实性。 图11.1(c)中A用其私钥对消息加密,而B用A的公 钥对接收的消息解密。与对称密码情形的推理一样, 这提供了认证功能:因为只有A拥有PRa,能产生用 PUa可解密的密文,所以该消息一定来自A。同样,对 明文也必须有某种内部结构以使接收方能区分真实的 明文和随机的位串。
第11章 消息认证和散列函数
消息认证和散列函数
消息认证是用来验证消息完整性的一种机制或服务。消息 认证确保收到的数据确实和发送时的一样(即没有修改、 插入、删除或重放),且发送方声称的身份是真实有效的。 用于消息认证的最常见的密码技术是消息认证码和安全散 列函数。
MAC是一种需要使用密钥的算法,以可变长度的消息和 密钥作为输入,产生一个认证码。拥有密钥的接受方产生 一个认证码来验证消息的完整性。 散列函数将可变长度的消息映射为固定长度的散列值,或 叫消息摘要。
整个消息的密文作为认证符,接收方根据认证符来验 证消息的真实性。
message authentication code (MAC,消息认证码)
是消息和密钥的函数,通过消息和密钥产生一个定长 的值作为认证符。
hash function (hash函数)
将任意长的消息映射为定长的散列值(认证码)。
认证函数之消息加密
认证函数之消息加密
公钥加密模式
如果既要提供保密性又要提供认证,那么A 可先用其私钥对M加密,这就是数字签名 (这不是构造数字签名的一般方法,但基 本原理类似);然后A用B的公钥对上述结 果加密,这可保证保密性。但这种方法的 缺点是,一次通信中要执行四次复杂的公 钥算法而不是两次。
认证函数之消息加密
公钥加密模式
为什么要先签名后加密? 攻击者可以把A给B的信息签 名去掉再加上自己的签名。
各种消息加密方法在保密性和认证方面的特点
(a)对称加密
A→B:E[K,M] 提供保密性 ----只有A和B共享K 提供认证 ----只能发自A ----传输中未被改变 ----需要某种数据组织形式/冗余 不能提供数字签名(因为共享密钥) ----接收方可以伪造消息 ----发送方可以否认消息
认证函数
任何消息认证或数字签名机制在功能上基本 可看做是有两层。下层中一定有某种产生 认证符的函数,认证符是一个用来认证消 息的值;上层协议中将该函数作为原语使 接收方可以验证消息的真实性。 用来产生认证符的函数类型可分为三类:
认证函数
三种认证函数: message encryption(消息加密) 对称密钥模式 公开密钥模式
才使至少有两人具有相同生日的概率不小于1/2?
1 2 k 1 P ( n , k ) 1 (1 )(1 )...(1 ) >0.5 n n n
即:当n=365时,得k≈23,实际上只需23人, 从中总 能选出两人具有相同生日的概率至少为1/2。 当k=50,概率至少为97%。
生日悖论
2
128 64 2 条消息
对MD5的攻击
Rivest在MIT提出,但04年山东大学王小 云教授找到碰撞。
对认证的要求
1. 2. 泄密:将消息透露给没有合法密钥的任何人或程序。 传输分析:分析通信双方的通信模式。在面向连接的应 用中,确定连接的频率和持续时间;在面向连接或无连 接的环境中,确定双方的消息数量和长度。 伪装:欺诈源向网络中插入一条消息。如攻击者产生一 条消息并声称这条消息是来自某合法实体,或者非消息 接收方发送的关于收到或未收到消息的欺诈应答。 内容修改:对消息内容的修改。包括插入、删除、转换 和修改。 顺序修改:对通信双方消息顺序的修改。包括插入、删 除和重新排序。 计时修改:对消息的延时和重放。 发送方否认:发送方否认发送过某消息 接收方否认:接收方否认接收过某消息
11. 4 散列函数
生日攻击:给定一个散列函数,输出为n位,即可能 的输出为2n种,输出值为H(x),如果H有k个随机输入, k必须为多大,存在任意的x,y,使得H(y)=H(x)的概 率为0.5。 根据生日悖论,只需要k的值为:k=2n/2。 对散列函数实施攻击: MD5:散列长度为128位,则需要对 进行散列。
认证函数之消息加密
攻击者 A E(K,M) C’
对称加密模式
D(K,C’) B
对接收到的密文解密,再对所得明文的合法性进行判别,是 一件困难的事情。比如若明文是二进制文件,那么很难确定 解密后的消息是正确生成的,即是真实的明文。攻击者可以 简单地发布任何消息并伪称是发自合法用户的消息,从而造 成某种程度的破坏 。 解决的方法之一是,要求明文具有某种易于识别的结构,并 且不通过加密函数是不能重复这种结构的,例如Frame Check sum(帧校验和,FCS)。
各种消息加密方法在保密性和认证方面的特点
(b)公钥加密:保密性
A→B:E[PUb,M]
提供保密性 ----只有B拥有用于解密的密钥PRb 不能提供认证 ----任何一方都可用PUb对消息加密并假称是A
各种消息加密方法在保密性和认证方面的特点
(b)公钥加密:认证和签名
A→B:E[PRa,M]
(b)加密hash值:共享的密钥
A→B: M|| E (k,H(M)) 提供认证 ----H(M)受密码保护
(c)加密hash值:发送方私钥
A→B: M|| E (PRa,H(M)) 提供认证和数字签名 ----H(M)受密码保护 ----只有A能产生E(PRa ,H(M))
(d) 加密(c)的结果:共享的密钥
散列函数的相关性质
性质:
单向性:给定消息可以 产生一个散列码,而给 定散列码不可能产生对 应的消息。
弱碰撞:寻找能生成与 指定消息具有相同散列 值的消息。
强碰撞性:找到两个具有 相同散列值的消息。
散列函数的相关性质
弱碰撞: Oscar以一个有效签名(x,y)开始,此处y=sigk(h(x))。
对称加密
对称加密模式
发送方A用和B共享的密码钥K对发送给B的消息M加密, 显然可以提供保密性,因为默认没有第三方知道秘密 钥; B也可确信该消息是A产生的,即该模式也可提供认证 功能,因为攻击者没有密钥,不太可能冒充A产生一个 密文,恰好也可以用K恢复出预期的正确的明文。 上面的推断过程还是存在一些问题,就是万一明文M本身 就是不具可读性,B如何知道恢复出的是真正的明文?
如果不要求保证保密性,那么由于(b)和(c) 所需的计算较少,而且人们越来越对那些 不含加密函数的方法感兴趣,所以(b)和(c) 比那些对整条信息加密的方法要好一些。