第03章 消息鑒別與數字簽名

第3章消息鑒別與數字簽名經典密碼學->現代公開的計算機環(huán)境保密有效系統(tǒng)地保障電子數據的機密性、完整性和真實性公開的計算機網絡環(huán)境中，傳輸中的數據可能遭受到威脅（5種）：泄密通信業(yè)務量分析偽造：攻擊者假冒發(fā)方身份，向網絡插入一條消息；或假冒接收方發(fā)送一個消息確認。篡改：內容篡改序號篡改時間篡改行為抵賴保密消息鑒別數字簽名第3章消息鑒別與數字簽名3.1消息鑒別3.1.1消息鑒別的概念3.1.2基于MAC的鑒別3.1.3基于散列函數的鑒別3.1.4散列函數3.2

數字簽名3.1.消息鑒別完整性是安全的基本要求之一。篡改消息是對通信系統(tǒng)的主動攻擊常見形式。被篡改的消息是不完整的；信道的偶發(fā)干擾和故障也破壞消息完整性。接收者能檢查所收到的消息是否完整；進一步接收者能識別所收到的信息是否源于所聲稱的主體。即消息來源的真實性保障消息完整性和真實性的手段：

消息鑒別技術3.1.1消息鑒別的概念消息鑒別概念：是一個對收到的消息進行驗證的過程，驗證的內容包括：真實性：消息發(fā)送者是真正的，而非假冒完整性：消息在存儲和傳輸過程中沒有被篡改過。消息鑒別系統(tǒng)功能上的層次結構低層產生鑒別符高層：調用鑒別函數，驗證低層：鑒別函數高層：認證協議3.1.1消息鑒別的概念根據鑒別符的生成方式，鑒別函數分（3類）：基于消息加密方式以整個消息的密文作為鑒別符基于消息鑒別碼（MAC）3.1.2發(fā)送方利用公開函數+密鑰產生一個固定長度的值作為鑒別標識，并與消息一同發(fā)送基于散列函數3.1.3采用hash函數將任意長度的消息映射為一個定長的散列值，以此散列值為鑒別碼。MAC方式的一種特例最近幾年消息鑒別符的熱點轉向Hash函數導出MAC的方法3.1.2基于MAC的鑒別消息鑒別碼原理基于DES的消息鑒別碼3.1.2-1消息鑒別碼原理消息鑒別碼(MAC

MessageAuthenticationCode)又密碼校驗和。原理：采用公開函數和密鑰生成一個固定大小的小數據塊，即MAC，并附加到消息后面?zhèn)鬏?，接收方利用與發(fā)送方共享的密鑰進行鑒別。MAC提供消息完整性保護，可以在不安全信道中傳輸，因為MAC生成需要密鑰。

3.1.2-1消息鑒別碼原理MK源A宿BMC||C(K,M)K比較圖3-2MAC鑒別原理圖C通信雙方AB共享密鑰K，AB,則A計算MAC，其中：M—明文C---MAC函數K---共享的密鑰MAC---消息鑒別碼

MAC=C(K,M)3.1.2-1消息鑒別碼原理消息和MAC一起發(fā)給接收方。接收方對收到的消息利用相同的密鑰K計算，得出新的MAC。如果接收到的MAC與計算得出的MAC相等：接收者可以確信消息M在傳送途中未被篡改接收者可以確信消息來自所聲稱的發(fā)送者如果消息中含有序列號（如TCP序列號），接收方可以相信接收順序是正確的。因為攻擊者無法成功修改序列號并保持MAC與消息一致。圖3-2僅僅提供鑒別，而不能提供保密性。因為消息是明文傳輸的。如果要加密？…3.1.2-1消息鑒別碼原理MAC與加密函數類似，但不需要可逆，更不易攻破。使用分離的消息鑒別碼的情形(3)：加解密算法，尤其公鑰算法代價大。廣播信息經濟可靠方式，明文傳送，一個接收者驗證。一些應用不關心保密，而關心消息鑒別將鑒別函數和加密函數結構上分離，可使層次結構更加靈活。應用層鑒別消息，傳輸層提供保密。3.1.2-2基于DES的消息鑒別碼基于DES的消息鑒別碼基于分組密碼，并按密文塊鏈接模式操作CBC。數據鑒別算法CBC—MAC密文分組鏈接消息鑒別碼數據鑒別算法圖圖3-3p57O0

=IVO1=Ek（D1O0）O2=Ek（D2O1）。。。ON=Ek（DNON-1）3.1.3基于散列函數的鑒別散列函數(Hash)是消息鑒別碼(MAC)的一種變形。散列函數與消息鑒別碼相同點：輸入都是可變大小M；輸出都是固定大小散列碼H(M)散列函數與消息鑒別碼不同點:散列碼不使用密鑰，它僅是輸入消息的函數。需要安全地存放和傳輸消息摘要，防止被篡改。3.1.3基于散列函數的鑒別散列碼用于消息鑒別的兩種方法：圖1）加密消息及散列碼ABA計算，加密：E(K，[M||H(M)])B解密，計算，比較2）僅加密散列碼（共享密鑰）AB:A計算，加密：M||E(K，[H(M)])B計算，解密，比較3.1.3-散列碼用于消息鑒別的兩種方法：(a)加密消息及散列碼(b)只加密散列碼D()MH()密鑰KE()密鑰KH()||比較MMH(M)H()D()比較密鑰KE()密鑰KMH(M)H()源A宿B3.1.3基于散列函數的鑒別HMAC散列函數+MAC（K，M）IP安全和SSL協議使用HMACRF2104給出的HMAC設計目標（5）

HMAC總體結構圖圖3-5p59HMAC(K,M)=H[(K+

opad)||H[(K+

ipad)||M]]不必修改而直接使用現有的散列函數。散列函數---黑盒如果找到更快更安全的散列函數，應能很容易替代原來嵌入的散列函數。應保持散列函數的原有性能，不能過分降低其性能。對密鑰的使用和處理應比較簡單如果已知嵌入的散列函數的強度，則完全可以知道認證機制抗密碼分析的強度。3.1.4散列函數散列函數是一種將輸入任意長度消息映射到固定長度消息摘要的函數。h=H（M），沒有K散列函數安全性SHA-1算法MD5算法3.1.4-1散列函數安全性攻擊：攻擊者得到h(M)，試圖偽造M’，使h(M’)=h(M)散列函數必須滿足的安全特征（3）：單向性對于任意給定的散列碼h，尋找x使得H(x)=h在計算上不可行。強對抗碰撞性（3）輸入輸出h(M)容易計算+(4)：尋找任何的(M1,M2)使得H(M1)=h(M2)在計算上不可行。弱對抗碰撞性(4減弱)：對于任意給定的分組M,尋找不等于M的M’，使得H(M’)=h(M)在計算上不可行。弱對抗碰撞的散列函數隨著使用次數增加，安全性降低。3.1.4-2SHA-1算法SHA是美國家標準和技術協會（NIST）1993提出，1995年發(fā)布SHA-1。輸入512比特單位分組，輸出160比特消息摘要。步驟：附加填充位填充后結果長度（模512）=448附加長度64位：表示原始消息長度初始化散列緩沖區(qū)兩個緩沖區(qū)（2*5*32位），第一個緩沖區(qū)ABCDE初始化值.第二個緩沖區(qū)H0H1

H2

H3

H4計算消息摘要（每一個階段一個分組），每組80輪輸出。第N階段輸出步驟2得到的消息塊M1,M2,…Mn.每塊80輪運算，每輪輸入ABCDE，更新.每一輪使用:附加常數Kt

給出，0<=t<=79;函數ft

消息M擴充（16*32比特）(80*32比特)

Wj=Mj

（0<=j<=15）

Wj=

(Wj-3Wj-8Wj-14Wj-16)<<1

（16<=j<=79）

H0,H1,H2,H3,H4A,B,C,D,E

TEMP=

(A<<5)+ft(B,C,D)+E+Wj+Kt,

E=DD=CC=B<<30,B=AA=TEMP最后：A,B,C,D,EH0+A,H1+B,H2+C,H3+D,H4+E計算消息摘要ft非線性函數明文相關的內容3.1.4-3MD5*MD5：1991麻省理工學院RonaldL.Rivest

MD4改進，速度慢，安全性高。輸入512分組（16*32）輸出128位（4*32）步驟消息填充結果長度模512=448添加長度初始化緩沖區(qū)(4*32)abcd→AABBCCDD定義輔助函數4個非線性函數4輪計算3.1.4MD5*定義輔助函數4個非線性函數F(X,Y,Z),G(X,Y,Z),H(),I（）4種操作：FF(a,b,c,d,Mj,s,ti)=ab+(a+F(b,c,d)+M[i]+ti)<<s4輪計算（4*16）第一輪FF(a,b,c,d,Mj,s,ti)16次第二輪GG(a,b,c,d,Mj,s,ti)16次第三輪HH(a,b,c,d,Mj,s,ti)16次第四輪II(a,b,c,d,Mj,s,ti)16次

ti=4294967296*abs(sin(i))整數部分最后a,b,c,d=a+AA,b+BB,c+CC,d+DD3.2數字簽名手寫簽名與數字簽名手寫簽名作用：鑒別、核準、負責等作用，表示簽名者對文件的認同，產生某種承諾或法律上的效應。數字簽名是手寫簽名數字化形式，公鑰密碼學發(fā)展中最重要的概念之一，一項重要的計算機網絡安全技術美國，中國《電子簽名法》，可靠的數字簽名與手寫簽名或印章具有同等法律效率。3.2數字簽名3.2.1數字簽名簡介3.2.2基于公鑰密碼的數字簽名原理3.2.3數字簽名算法(難)3.2.1數字簽名簡介數字簽名必要性數字簽名的概念及特征3.2.1-1數字簽名的必要性消息鑒別能通過驗證消息完整性和真實性，保護通信不受外部第三方的攻擊，但不能防止通信雙方內部的相互攻擊，如：B偽造一個消息，并聲稱是從A收到的。因AB共享密鑰，A無法證明自己沒有發(fā)送。A可以否認發(fā)送過某個消息，B無法證明A發(fā)送過。電子商務方面法律應防范：例：（1）進行電子資金轉賬時，接收方增加轉賬資金，并聲稱這是來自發(fā)送方的轉賬金額。(2)委托方發(fā)送電子郵件要求經紀人進行股票交易，交易賠錢，委托方偽稱從沒有發(fā)過這樣的消息。應用環(huán)境：通信(電子交易)雙方彼此不能完全信任的情況下….數字簽名，手寫簽名。消息鑒別概念：是一個對收到的消息進行驗證的過程，驗證的內容包括：真實性：消息發(fā)送者是真正的，而非假冒完整性：消息在存儲和傳輸過程中沒有被篡改過。3.2.1-2數字簽名的概念及其特征數字簽名概念(DS)ISO7498-2:▲附加在數據單元上的一些數據，或是對數據單元所作的密碼變換，這種數據和變換允許數據單元接收者用以確認數據單元來源和數據單元完整性，并保護數據，防止被人(包括接收者)進行偽造.消息鑒別概念一個數字簽名體制是一個五元組(M,A,K,S,V)M:消息空間；

A：簽名空間K密鑰空間；S：簽名算法集合，V：驗證算法集合

。滿足對任意k，有一簽名算法Sigk一驗證算法Verk

，對任意mM，aA，

Verk(m，a)=1a=Sigk（m）（m，a）是一個消息簽名對。3.2.1-2數字簽名的概念及其特征數字簽名特征(4)(提出需求)可驗證性不可偽造性不可否認性：發(fā)送方發(fā)送簽名消息，無法抵賴發(fā)送行為；接收方在收到消息后，也無法否認接收行文數據完整性：發(fā)送方能夠對消息的完整性進行校驗，具有消息鑒別的作用3.2.1-2數字簽名的概念及其特征根據特征數字簽名應滿足下列條件—實現機制-6簽名必須是與信息相關的二進制位串。簽名必須使用發(fā)送者某些獨有信息，以防偽造與抵賴；產生數字簽名比較容易；識別和驗證簽名比較容易；偽造該數字簽名在計算是不可行的：無論從給定的數字簽名偽造消息，還是從給定消息偽造一個數字簽名；保存一個數字簽名副本是可行的。3.2.1-2數字簽名的概念及其特征基于公鑰體制可以獲得數字簽名:簽名算法使用簽名人的私鑰，私有保密。驗證算法使用簽名人的公鑰，可以被任何人驗證3.2.2基于公鑰密碼的數字簽名原理假定接收方已知發(fā)送方的公開密鑰，發(fā)送方A用自己的私鑰kRa對整個消息或消息的哈希值進行加密生成數字簽名。接收方用發(fā)送方的公鑰對簽名進行驗證，從而確認簽名消息的準確性。原理圖考慮效率，采用第二種方法。對消息散列值加密3.2.2基于公鑰密碼的數字簽名原理圖3-6基于公鑰密碼的數字簽名原理M比較密鑰KUaMPRa||HEEPRa(H(M)）HDMCMPRaPUaED發(fā)送方A接收方B3.2.2基于公鑰密碼的數字簽名原理圖3-7簽名和保密CCMPUbPUaDD發(fā)送方A接收方BMEPRaC’EPRbM比較密鑰PUaPRa||HEE(K,[M||E(PRa,H(M))]）HDKEDKME(PRa,H(M)）簽名和保密時，先簽名再外層加密在發(fā)生爭執(zhí)時的好處?3.2.2基于公鑰密碼的數字簽名原理簽名的有效性依賴于發(fā)送方私鑰的安全性。每條簽名的消息包含時間戳。泄密后向管理中心報告的時間3.2.3數字簽名算法基于RSA的數字簽名算法數字簽名標準DSS3.2.3-1基于RSA的數字簽名算法使用一個散列函數H，H的輸入是消息，輸出是定長的散列碼。發(fā)送方用私鑰和RSA算法對散列碼加密形成簽名，發(fā)送簽名和消息。接收方收到消息后，計算散列碼，并用發(fā)送方公鑰解密得到發(fā)送方的散列碼，如果兩個散列碼相同，則認為簽名有效。圖M比較PUaPRa||HEE(PRa，H(M))HD圖3-8RSA數字簽名3.2.3-2數字簽名標準DSSDSS：NIST1991年提出聯邦數字加密標準；使用安全散列算法SHA

，給出數字簽名方法DSAMPRA||HSigHM比較PUGKsrVerPUGPUAPUG：全局公開密鑰PRa：發(fā)送方的私鑰K:隨機數DSS數字簽名與RSA不同，是一種公鑰方法，只提供數字簽名，不提供加密和密鑰分配。3.2.3-2數字簽名標準DSSDSA安全性基于計算離散對數的困難性。算法：發(fā)送方確定全局公開密鑰KUG：p,q,g素數p，512~1024bits，位數64的倍數素數q是p-1的因子，159或160bitsg=h(p-1)/qmodq,1<h<(p-1)，整數，且g>1發(fā)送方確定公鑰和私鑰私鑰：隨機數x，滿足0<x<q公鑰：y=gxmodp單向函數x->y與每條消息相關的秘密值K，0<k<q，每次簽名