第八講-報(bào)文鑒別

1、網(wǎng)絡(luò)通信的攻擊威脅n泄露：把報(bào)文內(nèi)容發(fā)布給任何人或沒(méi)有合法密鑰的進(jìn)程n流量分析：發(fā)現(xiàn)通信雙方之間報(bào)文流的通信模式,可以用來(lái)確定連接的頻率、持續(xù)時(shí)間長(zhǎng)度；還可以發(fā)現(xiàn)報(bào)文數(shù)量和長(zhǎng)度等網(wǎng)絡(luò)通信的攻擊威脅n偽裝:以假的源點(diǎn)身份將報(bào)文插入網(wǎng)絡(luò)中n內(nèi)容篡改:報(bào)文內(nèi)容被插入,刪除,變換,修改n序號(hào)篡改:對(duì)通信雙方報(bào)文序號(hào)的任何修改，包括插入、刪除或重排序n時(shí)間篡改:報(bào)文延遲或重放n抵賴:接受者否認(rèn)收到某報(bào)文；發(fā)送者否認(rèn)發(fā)送過(guò)某報(bào)文報(bào)文鑒別信源識(shí)別：驗(yàn)證報(bào)文的發(fā)送者是真實(shí)的，而不是冒充的驗(yàn)證報(bào)文的完整性,在傳送或存儲(chǔ)過(guò)程中未被篡改，重放或延遲等n數(shù)字簽名的目的報(bào)文鑒別n鑒別的結(jié)構(gòu)底層必須有某種函數(shù)產(chǎn)生一個(gè)鑒別

2、標(biāo)識(shí):用于認(rèn)證一個(gè)報(bào)文的值高層認(rèn)證協(xié)議以底層函數(shù)為原語(yǔ),使接收者完成報(bào)文的鑒別報(bào)文鑒別的三種方式n消息加密:以整個(gè)報(bào)文的密文作為鑒別標(biāo)識(shí)對(duì)稱加密公鑰加密n報(bào)文鑒別碼(MAC):以一個(gè)公共函數(shù)和一個(gè)密鑰產(chǎn)生一個(gè)固定長(zhǎng)度的值作為認(rèn)證鑒別標(biāo)識(shí)n散列函數(shù)(HASH):一個(gè)公共函數(shù),將任意長(zhǎng)度的報(bào)文映射到一個(gè)固定長(zhǎng)度的散列值，作為鑒別標(biāo)識(shí)對(duì)稱加密保密和認(rèn)證AB:():()kkABkA E MBB D MM與 共享密鑰，查看是否為有意義的明文對(duì)稱加密保密和認(rèn)證n提供保密-僅A和B共享密鑰n提供一定程度的鑒別A是用此密鑰發(fā)送密文的唯一來(lái)源B需要某些手段確定解密結(jié)果是合法明文：校驗(yàn)碼n 不提供簽名發(fā)送人和接收

3、人均可偽造報(bào)文ABbKUb 提供保密 僅B有KR 能解密 不提供鑒別 任何一方均可以使用加密報(bào)文而假稱它是發(fā)自A的公鑰加密保密公鑰加密鑒別和簽名ABn提供鑒別和簽名公鑰加密保密、鑒別和簽名ABnKRa提供認(rèn)證和簽名僅A有KRa可進(jìn)行加密任何一方均能使用KUa驗(yàn)證簽名nKUb提供保密性報(bào)文鑒別碼接收者可以確信消息M未被改變接收者可以確信消息來(lái)自所聲稱的發(fā)送者若報(bào)文中包含序號(hào)(如HDLC,X.25, TCP),則接收者可以保證報(bào)文的正常順序,因?yàn)楣粽邿o(wú)法成功更改序列號(hào)報(bào)文鑒別ABMAC=CK(M),K為A和B共享密鑰,M為明文A-B: M|CK(M)n提供鑒別：僅A和B共享密鑰ABMAC=CK1

4、(M)A-B: EK2M|CK1(M)n提供鑒別：僅A和B共享密鑰K1n提供保密：僅A和B共享密鑰K2報(bào)文鑒別與保密：鑒別與密文連接ABMAC=CK1(EK2(M)A-B: EK2M|CK1(EK2(M)n提供鑒別：僅A和B共享密鑰K1n提供保密：僅A和B共享密鑰K2報(bào)文鑒別 VS 常規(guī)加密散列函數(shù)()hH M散列函數(shù)的要求nH能用于任意大小分組,能產(chǎn)生定長(zhǎng)輸出n對(duì)任何給定的x,H(x)要相對(duì)易于計(jì)算,使得硬件和軟件實(shí)現(xiàn)成為可能n單向性:對(duì)任何給定的碼h,尋找x使得H(x)= h在計(jì)算上是不可行的散列函數(shù)的要求n映射分布均勻性和差分分布均勻性n輸入中每一比特信息,應(yīng)盡量均勻的反映到輸出的每一比

5、特上, 輸出的每一比特,都是輸入中盡可能多比特的信息一起作用的結(jié)果n抗沖突性:在統(tǒng)計(jì)上無(wú)法產(chǎn)生2個(gè)散列值相同的預(yù)映射。n弱抗沖突性:給定任意分組x,尋找不等于x的y,使得H(x)=H(y)在計(jì)算上是不可行的n強(qiáng)抗沖突性:尋找任何的(x,y),使得H(x)= H(y)在計(jì)算上是不可行的A-B: EKM|H(M)n提供鑒別：加密保護(hù)H(M)n提供保密：僅A和B共享密鑰KA-B: M|EkH(M)n提供鑒別：加密保護(hù)H(M)A-B: M|EKRaH(M)n提供鑒別：加密保護(hù)H(M)n提供簽名：僅A能生成EKRaH(M)A-B: EKM|EKRaH(M)n提供鑒別：加密保護(hù)H(M)n提供保密：僅A和B

6、共享密鑰KA-B: M|H(M|S)n提供鑒別:僅A和B共享秘密值S,且S不在信道中傳輸n減少了兩次加/解密過(guò)程A-B: EKM|H(M|S)n提供鑒別：僅A和B共享秘密值Sn提供保密：僅A和B共享密鑰Kn減少了兩次加/解密過(guò)程n報(bào)文鑒別碼需要對(duì)全部數(shù)據(jù)進(jìn)行加密n報(bào)文鑒別碼速度慢n散列函數(shù)是一種直接產(chǎn)生鑒別碼的方法nMerkle于1989年提出迭代散列函數(shù)模型n具體做法:把原始消息M分成一些固定長(zhǎng)度b比特的塊Yi,(Y0,Y1, YL-1,)最后一塊填充為b比特,并包含報(bào)文M的長(zhǎng)度值設(shè)定初始值CV0壓縮函數(shù)f,CVi=f(CVi-1,Yi-1)最后一個(gè)CVi為hash值,H(M,CV0)=CV

7、LMD5描述nRon Rivest于1990年提出MD4n1992年, Ron Rivest 完成MD5 (RFC 1321) n在最近數(shù)年,MD5是最主要的hash算法n現(xiàn)行美國(guó)標(biāo)準(zhǔn)SHA-1以MD5的前身MD4為基礎(chǔ)MD5描述：n輸入：任意長(zhǎng)度的報(bào)文n輸入分組長(zhǎng)度：512bit n輸出：128bit報(bào)文MD5設(shè)計(jì)目標(biāo)MD5示意圖n消息分組與填充附加填充比特,對(duì)報(bào)文進(jìn)行填充使報(bào)文長(zhǎng)度(比特?cái)?shù))與448模512同余，即填充后長(zhǎng)度為512的整數(shù)倍減去64附加長(zhǎng)度值,將64bit表示的初始報(bào)文M的位長(zhǎng)度(低字節(jié)序)附加在填充后報(bào)文尾部。將消息M分組為Y0, Y1, YL-1,其中每個(gè)分組為512位

8、最后一個(gè)分組YL-1,前448位為消息M的尾部加上填充值,填充值最高位為1,其余位為0（低字節(jié)序)MD5描述step 2n緩沖區(qū)初始化nMD5使用緩沖區(qū)存放處理過(guò)程的中間結(jié)果和最后的消息摘要n緩沖區(qū)MD為128bitnMD可表示為4個(gè)32bit的寄存器(A,B,C,D),每個(gè)寄存器均以小字節(jié)序存放數(shù)據(jù)n壓縮：由壓縮函數(shù)HMD5對(duì)每個(gè)消息分組Yi進(jìn)行4輪循環(huán)的壓縮處理。),(150iiMDiYCVHCVIVCVn輸出LCVMD HMD5壓縮算法nHMD5壓縮算法輸入：當(dāng)前處理的512位分組Yi128位緩沖區(qū)MD中4個(gè)32位寄存器A,B,C,D的當(dāng)前值常量表T中的常數(shù):T1.16,T17.32,

9、T33.48,T49.64HMD5壓縮算法n常量表T1.64中各元素Ti為32位整數(shù),取值為：為弧度值iiabsINTTi),(sin(2(32n常量表T:隨機(jī)化32位整型量,消除輸入數(shù)據(jù)的規(guī)律性 Function g(b,c,d)F(b,c,d) (b&c)|(b&d)G(b,c,d) (b&d)|(c&d)H(b,c,d) bcdI(b,c,d) c(b|d)基本MD5操作(單步)HMD5壓縮算法BB+(A+g(B,C,D)+XK+Ti)s)A,B,C,D: 緩存中的4個(gè)字g: 基本邏輯函數(shù)F,G,H,I中的一個(gè)s: 32bit參數(shù)循環(huán)左移s個(gè)比特Xk: =

10、Mq*16+k,第q個(gè)長(zhǎng)度為512bit報(bào)文分組中的第k個(gè)32bit字Ti:矩陣T中的第i個(gè)32bit字+：模232加法HMD5壓縮算法16mod7)(16mod)35()(16mod)51()(432iiiiiiSecure Hash Algorithm簡(jiǎn)介SHA-1算法SHA-1算法)01230(0123)103254760(76543210)980(98)890(89)674523010(01234567FEDxCFEDCExDBADCFExFEDCBACxEFCDABABCDEFBxAn步驟4：對(duì)每個(gè)消息分組Yi進(jìn)行4輪循環(huán)的壓縮處理,每輪處理結(jié)構(gòu)相同,但使用的位邏輯函數(shù)不同,每輪處理

11、由20次迭代組成每一步運(yùn)算步驟常量從消息塊導(dǎo)出),),30(,),), 5 (),(),(DCBCLSAKWACLSDCBfEEDCBAii每一步運(yùn)算步驟-位邏輯函數(shù) C DH(B,C,D)= (B&C)|(B&D)|(C&D)I(B,C,D)= B C DSHA-1算法結(jié)論nSHA-1使用big-endiann速度慢于MD5n安全性優(yōu)于MD5RIPEMD-160n歐洲RIPE項(xiàng)目的結(jié)果nRIPEMD為128位n更新后成為RIPEMD-160n基礎(chǔ)是MD5n算法n輸入：任意長(zhǎng)度的消息n輸出：長(zhǎng)度為160位的消息摘要n處理：以512位數(shù)據(jù)塊為單位nHash函數(shù)把變長(zhǎng)信息映

12、射到定長(zhǎng)信息nHash函數(shù)不具備可逆性nHash函數(shù)速度較快nHash函數(shù)與對(duì)稱密鑰加密算法有某種相似性n對(duì)Hash函數(shù)的密碼分析比對(duì)稱密鑰密碼更困難nHash函數(shù)可用于消息摘要nHash函數(shù)可用于數(shù)字簽名n用于保護(hù)通信雙方免受第三方攻擊n無(wú)法防止通信雙方的相互攻擊n信宿方偽造報(bào)文n信源方否認(rèn)已發(fā)送的報(bào)文n引入數(shù)字簽名，是筆跡簽名的模擬數(shù)字簽名n傳統(tǒng)簽名的基本特點(diǎn):n與被簽的文件在物理上不可分割n簽名者不能否認(rèn)自己的簽名n簽名不能被偽造n容易被驗(yàn)證n數(shù)字簽名是傳統(tǒng)簽名的數(shù)字化,基本要求:n能與所簽文件“綁定”n簽名者不能否認(rèn)自己的簽名n簽名不能被偽造n容易被驗(yàn)證數(shù)字簽名n數(shù)字簽名的性質(zhì)數(shù)字簽名

13、的性質(zhì)n必須能夠驗(yàn)證作者及其簽名的日期時(shí)間n必須能夠認(rèn)證簽名時(shí)刻的內(nèi)容n簽名必須能夠由第三方驗(yàn)證，以解決爭(zhēng)議n數(shù)字簽名需要滿足的條件n收方條件：接收者能夠核實(shí)和確認(rèn)發(fā)送者對(duì)消息的簽名,但不能偽造對(duì)消息者的簽名n發(fā)方條件：發(fā)送者事后不能否認(rèn)和抵賴對(duì)消息的簽名n公證條件：公證方能確認(rèn)收方的信息，做出仲裁，但不能偽造這一過(guò)程。n簽名必須是依賴于被簽名信息的一個(gè)位串模板n簽名必須使用某些對(duì)發(fā)送者是唯一的信息，以防止雙方的偽造與否認(rèn)n必須相對(duì)容易生成該數(shù)字簽名n必須相對(duì)容易識(shí)別和驗(yàn)證該數(shù)字簽名n偽造該數(shù)字簽名在計(jì)算復(fù)雜性意義上具有不可行性，既包括對(duì)一個(gè)已有的數(shù)字簽名構(gòu)造新的消息，也包括對(duì)一個(gè)給定消息偽造一個(gè)數(shù)字簽名n在存儲(chǔ)器中保存一個(gè)數(shù)字簽名副本是現(xiàn)實(shí)可行的n系統(tǒng)初始化過(guò)程：產(chǎn)生數(shù)字簽名方案中用到的一切參數(shù)，包括公開(kāi)和秘密參數(shù)n簽名產(chǎn)生過(guò)程：用戶利用給定的算法對(duì)消息m產(chǎn)生簽名sig(m),簽名過(guò)程可以公開(kāi)也可以不公開(kāi)n簽名驗(yàn)證過(guò)程：驗(yàn)證者利用公開(kāi)驗(yàn)證方法及簽名公鑰對(duì)給定消息的簽名進(jìn)行驗(yàn)證，得出簽名的有效性判斷直接數(shù)字簽名直接數(shù)字簽名n驗(yàn)證模式依賴于發(fā)送方的保密密鑰n發(fā)送方要抵賴發(fā)送某一消息時(shí)，可能會(huì)聲稱其私有密鑰丟失或被竊，從而他人偽造了他的簽名n改進(jìn)