网络安全-11：消息认证和Hash函数.ppt

《网络安全-11：消息认证和Hash函数.ppt》由会员分享，可在线阅读，更多相关《网络安全-11：消息认证和Hash函数.ppt（31页珍藏版）》请在三一办公上搜索。

1、上节课内容,单纯的加解密算法无法保证抵抗下述攻击伪装内容修改顺序修改计时修改发送方否认接收方否认,不属于机密性范畴,属于数据完整性范畴,2023/6/23,西安电子科技大学计算机学院,2,密码学Hash函数,密码学Hash函数,密码学Hash函数可用于实现消息认证和数字签名,消息认证,2023/6/23,西安电子科技大学计算机学院,5,消息认证：验证所收到的消息确实是真实的且未被修改的消息，它也可验证消息的顺序和及时性。数字签名：是一种认证技术，其中的一些方法可用来抗发送方否认攻击。（接收者可验证但不能伪造）,2023/6/23,西安电子科技大学计算机学院,6,消息认证函数(1),任何消息认证

2、或数字签名机制在功能上分两层：下层是某种产生认证符的函数 上层协议进行验证,消息认证函数(2),产生认证符的函数类型消息加密：消息的密文作为认证符消息认证码：消息和密钥的公开函数，产生定长的值作为认证符。MAC:message authentication code Hash函数：将任意长消息映射为定长的hash值作为认证符,2023/6/23,西安电子科技大学计算机学院,8,消息加密(1),消息加密也能提供一种认证的方法对称密码，既可以提供认证又可以提供保密性，但不是绝对的。,2023/6/23,西安电子科技大学计算机学院,10,消息加密(2),公钥体制中:加密不能提供对发送方的认证（公钥是

3、公开的）发送方可用自己的私钥进行签名接收方可用发送方的公钥进行验证保密性和可认证性,2023/6/23,西安电子科技大学计算机学院,12,P233-234,2023/6/23,西安电子科技大学计算机学院,13,消息认证码(MAC),一种认证技术利用密钥来生成一个固定长度的短数据块（MAC），并将该数据块附加在消息之后。MAC的值依赖于消息和密钥 MAC=Ck(M)MAC函数于加密类似，但MAC算法不要求可逆性，而加密算法必须是可逆的。接收方进行同样的MAC码计算并验证是否与发送过来的MAC码相同,2023/6/23,西安电子科技大学计算机学院,14,MAC 特性,MAC码是一个密码校验和MAC

4、=CK(M)消息M的长度是可变的密钥K是要保密的，且收发双方共享。产生固定长度的认证码MAC算法是一个多对一的函数多个消息对应同一MAC值但是找到同一MAC值所对应的多个消息应该是困难的。,2023/6/23,西安电子科技大学计算机学院,15,Message Authentication Code,2023/6/23,西安电子科技大学计算机学院,16,若相同，则有：接收方可以相信消息未被修改。接收方可以相信消息来自真正的发送方。接收方可以确信消息中含有的序列号是正确的。为什么需要使用MAC?有些情况只需要认证（如广播）文档的持续保护（例如解密后的保护）由于收发双方共享密钥，所以MAC不能提供数

5、字签名,2023/6/23,西安电子科技大学计算机学院,17,对MACs的要求：抗多种攻击（例如穷举密钥攻击）且满足:已知一条消息和MAC,构造出另一条具有同样MAC的消息是不可行的MACs应该是均匀分布的MAC应该依赖于消息的所有比特位,2023/6/23,西安电子科技大学计算机学院,18,2023/6/23,西安电子科技大学计算机学院,19,2023/6/23,西安电子科技大学计算机学院,20,Hash函数,浓缩任意长的消息M到一个固定长度的取值 h=H(M)通常假设hash函数是公开的且不使用密钥（MAC使用密钥）Hash函数用户检测对消息的改变多种方式工作方式常用于产生数字签名,202

6、3/6/23,西安电子科技大学计算机学院,21,2023/6/23,西安电子科技大学计算机学院,22,2023/6/23,西安电子科技大学计算机学院,23,Hash函数和数字签名,2023/6/23,西安电子科技大学计算机学院,24,2023/6/23,西安电子科技大学计算机学院,25,对Hash函数的要求,可用于任何尺寸的消息M产生固定长度的输出 h对任何消息M,计算h=H(M)是容易的。给定 h，计算满足H(x)=h的x在计算上是不可行的单向性给定x，计算满足H(y)=H(x)的y在计算上是不可行的抗弱碰撞性（weak collision resistance）找到任何满足 H(y)=H(

7、x)的偶对（x,y），在计算上是不可行的。抗碰撞性（strong collision resistance）,2023/6/23,西安电子科技大学计算机学院,26,生日攻击,也许认为64-bit的hash已经是安全的，但生日悖论的结果告诉我们，不！生日攻击:结论就是用更多比特位的 MAC/hash,2023/6/23,西安电子科技大学计算机学院,27,Hash函数用途举例,用途一：公平提交方案 Alice猜测了一个号码x1，但不知道中奖号码x2；Bob设置了中奖号码x2，但不知道Alice猜测的号码x1。Alice希望首先获得x2，然后重新确定x1使得x1=x2。Bob希望首先获得x1，然后重

8、新确定x2使得x2x1。防止两人作弊的方案称为“公平提交方案”。两人使用一个公开的杂凑函数y=H(x)。方案如下：,2023/6/23,西安电子科技大学计算机学院,28,Hash函数用途举例,（1）Alice计算y1=H(x1)，并将y1发送给Bob。（2）Bob计算y2=H(x2)，并将y2发送给Alice。（3）Alice收到y2后，将x1发送给Bob。（4）Bob收到y1后，将x2发送给Alice。（5）Alice收到x2后，检验是否y2=H(x2)，若是则x2是真实的中奖号码。（6）Bob收到x1后，检验是否y1=H(x1)，若是则x1是Alice的真实的猜测号码。,2023/6/23,西安电子科技大学计算机学院,29,Hash函数用途举例,2023/6/23,西安电子科技大学计算机学院,30,方案分析Alice发送y1给Bob，Bob发送y2给Alice，这叫做承诺。Alice发送x1给Bob，Bob发送x2给Alice，这叫做践诺。当承诺值确定以后，无法改变践诺值。当对方发送来了承诺值以后，己方无法计算出对方的践诺值，因而无法“随机应变地”确定自己的践诺值，以重合或避开对方的践诺值。综上所述，杂凑函数阻止了双方作弊。,Hash函数用途举例,2023/6/23,西安电子科技大学计算机学院,31,哈希函数的应用,三个重要的hash函数MD5SHA-1RIPEMD-160,