第5章報文鑒別與散列函數(shù)

第5章報文鑒別與散列函數(shù)內(nèi)容鑒別的需求；散列函數(shù)；報文鑒別碼簽名5.1鑒別的需求網(wǎng)絡(luò)通信環(huán)境中會受到下列攻擊泄露;通信量分析：連接的頻率和持續(xù)的時間、報文數(shù)量等。偽裝：假源點;內(nèi)容篡改:修改內(nèi)容;

序號篡改:增刪內(nèi)容;

計時篡改：報文回放;

抵賴：終點否認收到、源點否認發(fā)送過。

5.2鑒別函數(shù)鑒別函數(shù)：用來產(chǎn)生用于鑒別一個報文的值：鑒別符。鑒別符用于鑒別報文在通信過程中是否被篡改、刪除和修改等。產(chǎn)生鑒別符的幾類函數(shù)：報文加密:以整個報文作為它的鑒別符號報文鑒別碼(MAC)散列函數(shù)鑒別函數(shù)-報文加密對稱加密：提供保密：僅源點和終點共享K。一定程度的鑒別：僅來自源點。不提供簽名：接收人可以偽造、發(fā)送人可以否認。EMMDKKEk(M)鑒別函數(shù)-報文加密私鑰加密：提供鑒別和簽名：僅源點有私鑰KS。任何一方都能用公開密鑰Kp脫密。EMMDKsKpEKs(M)鑒別函數(shù)-報文加密公開密鑰加密：提供報密：僅終點有脫密的私鑰KS。不提供簽名：接收人可以偽造、發(fā)送人可以否認。EMMDKpKSEKp(M)鑒別函數(shù)-報文加密對稱密鑰加密：提供保密：BKp鑒別與簽名：AKsEMMDAKsBKsEBKp(EAKs(M))EBKpABDAKp為什么需要報文鑒別EMMDKKY=Ek(M)Z≠Ek(M)NDK消息鑒別VS常規(guī)加密保密性與真實性是兩個不同的概念根本上,信息加密提供的是保密性而非真實性加密代價大(公鑰算法代價更大)鑒別函數(shù)與保密函數(shù)的分離能提供功能上的靈活性某些信息只需要真實性,不需要保密性

–

廣播的信息難以使用加密(信息量大)

–

網(wǎng)絡(luò)管理信息等只需要真實性

–

政府/權(quán)威部門的公告為什么需要報文鑒別碼加密與鑒別分離，使得結(jié)構(gòu)靈活。例如：應(yīng)用層鑒別，底層加密；減少工作量，驗證鑒別碼較容易；監(jiān)控計算機程序，防止程序被修改，但裝載時不要對程序解密。報文鑒別碼MACMAC，也稱為密碼檢驗和，由如下形式的函數(shù)C生成: MAC=Ck(M)其中M是變長的報文K是僅由收發(fā)雙方共享的密鑰Ck{M)是定長的鑒別符。當(dāng)報文確信或已知是正確時，終點每次將MAC附加到報文中。接收者通過重新計算MAC來對報文進行鑒別。5.2.2散列函數(shù)(HashFunction)

散列函數(shù)的定義散列函數(shù)：M:變長報文H(M):定長的散列碼(報文摘要）主要用于為文件、報文或其它分組數(shù)據(jù)產(chǎn)生指紋散列函數(shù)的說明H(M):輸入為任意長度的消息M;輸出為一個固定長度的散列值，稱為消息摘要(MessageDigest）H(M)是消息M的所有位的函數(shù)并提供錯誤檢測能力：消息中的任何一位或多位的變化都將導(dǎo)致該散列值的變化H(M)又稱為：哈希函數(shù)、數(shù)字指紋（Digitalfingerprint)、壓縮（Compression)函數(shù)、數(shù)據(jù)鑒別碼（Dataauthenticationcode）等HashvsMACMAC需要對全部數(shù)據(jù)進行加密MAC速度慢Hash是一種直接產(chǎn)生鑒別碼的方法散列函數(shù)方法(a)提供了保密和鑒別。MH||EDMHEk[M||H(M)]kkH(M)比較散列函數(shù)方法(b)散列與加密結(jié)果合并為一個整體函數(shù)實際上就是一個MAC。E[H(M)]是變長報文M和密鑰K的函數(shù)值，且它生成一個定長的輸出，對不知道該密鑰的對手來說是安全的。提供鑒別MHE||MHDEk[H(M)]KKEK(H(M)]比較散列函數(shù)方法(c)提供鑒別、抵賴。MHE||MHDEKRa(H(M)]KRaKUaEKRa(H(M)]比較散列函數(shù)方法(d)同時提供保密性、鑒別和抵賴。MHE||EDMHDEk[M||EKRa(H(M)]kkKRaKUaEKRa(H(M)]比較散列函數(shù)方法(e)通信各方共享一個公共的秘密值s。對報文鑒別。M||H||H[(M||s)]s比較||Hs散列函數(shù)方法(f)通過包含報文和散列碼的整體進行加密就能對上一種方法(e)增加保密功能M||H||Ek(H[(M||s)])s比較||HsEkH[(M||s)]Dk散列函數(shù)的目標散列函數(shù)的目的是為文件、報文或其他的分組數(shù)據(jù)產(chǎn)生“指紋”。要用于報文鑒別，散列函數(shù)H必須具有如下性質(zhì)：H能用于任何大小的數(shù)據(jù)分組。H產(chǎn)生定長輸出。對任何給定的x，H(x)要相對易于計算，使得硬件和軟件實現(xiàn)成為實際可行。對任何給定的碼H(x)，從H(x)計算x，在計算上是不可行的。這就是所謂的單向性質(zhì)。對任何給定的分組x，尋找不等于x的y，使得H(y)=H(x)在計算上是不可行的。

尋找對任何的(x,y)對使得H(x)=H(y)在計算上是不可行的。5.2.3散列算法

5.2.3.1MD5MD5描述Merkle于1989年提出hashfunction模型RonRivest于1990年提出MD41992年,RonRivest

完成MD5(RFC1321)在最近數(shù)年之前,MD5是最主要的hash算法現(xiàn)行美國標準SHA-1以MD5的前身MD4為基礎(chǔ)MD5描述

輸入：任意長度的報文輸入分組長度：512bit

輸出：128bit報文5.2.3.1.1設(shè)計目標安全性直接安全性速度簡單性和緊湊性有利的Little-Endian結(jié)構(gòu)MD5描述－step1

附加填充比特對報文進行填充，使其比特數(shù)與448模512同余，即填充長度為512的整數(shù)倍減去64填充方法：填充比特串的最高位為1，其余各位均為0MD5描述－step2

附加長度值|M2|為512的倍數(shù):Y0,Y1,…,YL-1MD5描述－step3初始化MD緩存MD為128bit，用于存放散列函數(shù)的中間及最終結(jié)果MD可表示為4個32bit的寄存器(A,B,C,D)，初始化如下：MD5描述－step4以512個比特（16個字）分組處理消息主循環(huán)包含共64步操作，分別使用4個非線性函數(shù)。每一次循環(huán)可以表示為7步。64步操作形式：ab+((a+g(b,c,c)+X[k]+T[i]<<<s)MD5報文摘要算法(Rivest，RFC1321)Y1512Y0512Yq512YL-1512······HMD5HMD5HMD5HMD5報文L*512-64-填充長度填充1-512長度64IVCVqCV1CVL-1128位摘要MD5:RFC1321MD4:RFC1320MD2:RFC1319HMD5CVq128BACDG,T[17,18,…,32],X[ρ2(k)]16個步驟BACDF,T[1,2,…,16],X[k]16個步驟BACD32BACDH,T[33,34,…,48],X[ρ3(k)]16個步驟I,T[49,50,…,64],X[ρ4(k)]16個步驟Yq512++++CVq+11284輪，每輪16步驟ABCDABCD+++CLSs+X[k]T[i]gX[k]是分組的第k個32比特,k=1,2,…,16T[i]=232abs(sin(i))的整數(shù)部分b=b+((a+g(b,c,d)+X[i]+T[i])<<<s)MD5的安全性Berson表明，對單循環(huán)MD5，使用不用的密碼分析可能在合理的時間內(nèi)找出能夠產(chǎn)生相同摘要的兩個報文，這個結(jié)果被證明對四個循環(huán)中的任意一個循環(huán)也成立，但作者沒有能夠提出如何攻擊包含全部4個循環(huán)MD5的攻擊Boer和Bosselaers顯示了即使緩存ABCD不同，MD5對單個512bit分組的執(zhí)行將得到相同的輸出(偽沖突）Dobbertin的攻擊技術(shù)：使MD5的壓縮函數(shù)產(chǎn)生沖突，即尋找MD5被認為是易受攻擊的，逐漸被SHA-1和RIPEMD-160替代5.2.3.2安全散列算法SHA-1安全散列算法(SHA)由美國國家標準和技術(shù)協(xié)會(NIST)提出，作為聯(lián)邦信息處理標準(FIPSPUB180)在1993年公布。1995年發(fā)布了一個修訂版FIPSPUB180-1通常稱為SHA-1SHA也是基于MD4的。最大報文長度264-1，散列碼長度160bit。結(jié)構(gòu)與MD5類似，抗攻擊能力比MD5強；HMAC（密碼散列算法RFC2104）Keyed-HashingforMessageAuthenticationCode在最近幾年，研究的熱點轉(zhuǎn)向由密碼散列碼導(dǎo)出MAC。這樣的目的在于：密碼散列函數(shù)如MD5和SHA-1的軟件執(zhí)行速度比對稱分組密碼如DES的快。很容易獲得密碼散列函數(shù)的庫代碼。美國或其他國家對密碼散列函數(shù)沒有出口限制，而對稱分組密碼，即便用作MAC也是限制的。HMAC的主要設(shè)計目標：無需修改地使用現(xiàn)有的散列函數(shù)(比如MD5或SHA-1)。特別是，散列函數(shù)的軟件實現(xiàn)執(zhí)行很快，且程序代碼碼是公開的和容易獲得的。當(dāng)出現(xiàn)或獲得更快的或更安全的散列函數(shù)時，對算法中嵌入的散列函數(shù)要能輕易地進行替換。保持散列函數(shù)的原有性能不會導(dǎo)致算法性能的降低。使用和處理密鑰的方式很簡單。HMACHMAC算法RFC2104SiY0Y1……YL-1散列函數(shù)bbitsbbitsbbitsK+ipad⊕K+opad⊕S0H(Si||M)散列函數(shù)HMACk(M)nbitsIVnbitsIV填充到bbitsHMAC算法對密鑰K的左端填充一些0生成一個bbits的串K+。ipad:b/8個00110110，opad:01011010。將K