單向函數(shù)數(shù)字簽名

認(rèn)證及數(shù)字簽名認(rèn)證信息認(rèn)證消息源認(rèn)證消息的完整性認(rèn)證安全系統(tǒng)的攻擊被動(dòng)攻擊主動(dòng)攻擊保密和認(rèn)證同屬密碼技術(shù)應(yīng)用

單向散列函數(shù)

單向散列函數(shù)，也稱hash函數(shù)，它可以提供判斷信息完整性的依據(jù)，是防止信息被篡改的一種有效方法。單向散列函數(shù)在數(shù)據(jù)加密、數(shù)據(jù)簽名和軟件保護(hù)等領(lǐng)域中有著廣泛的應(yīng)用。單向散列函數(shù)特點(diǎn)

hash函數(shù)的作用是當(dāng)向hash函數(shù)輸入一任意長度的的信息M時(shí)，hash函數(shù)將輸出一固定長度為m的散列值h。即：

h=h（M）

安全的hash函數(shù)的特點(diǎn)是：

1．hash函數(shù)能從任意長度的M中產(chǎn)生固定長度的散列值h。

2．已知M時(shí)，利用h（M）很容易計(jì)算出h。

3．已知M時(shí)，要想通過控制同一個(gè)h（M），計(jì)算出不同的h是很困難的。

4．已知h時(shí)，要想從h（M）中計(jì)算出M是很困難的。

5．已知M時(shí)，要找出另一信息M'，使h（M）=h（M'）是很困難的。

最常用的hash算法有MD5、SHA算法等。MD5算法

在對輸入的明文初始化之后，MD5是按每組512位為一組來處理輸入的信息，每一分組又被劃分為16個(gè)32位子分組，經(jīng)過了一系列的處理后，算法的輸出由四個(gè)32位分組組成，把這四個(gè)32位分組串聯(lián)（級聯(lián)）后將生成一個(gè)128位散列值。SHA算法和MD5算法一樣，SHA-1一次處理512位信息生成一個(gè)160位散列值用于創(chuàng)建數(shù)字簽名的單向算法散列算法的典型應(yīng)用用MD5校驗(yàn)和實(shí)現(xiàn)文件完整性保護(hù)文件系統(tǒng)完整性保護(hù)身份認(rèn)證網(wǎng)頁自動(dòng)恢復(fù)系統(tǒng)消息摘要消息摘要的作用單向散列函數(shù)MD5算法SHA安全散列算法消息摘要的作用在網(wǎng)絡(luò)安全目標(biāo)中，要求信息在生成、存儲(chǔ)或傳輸過程中保證不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失，因此需要一個(gè)較為安全的標(biāo)準(zhǔn)和算法，以保證數(shù)據(jù)的完整性。常見的消息摘要算法有：RonRivest設(shè)計(jì)的MD（StandardForMessageDigest，消息摘要標(biāo)準(zhǔn)）算法NIST設(shè)計(jì)的SHA（SecureHashAlgorithm，安全散列算法）單向散列函數(shù)

消息摘要算法采用單向散列（hash）函數(shù)從明文產(chǎn)生摘要密文。摘要密文又稱為哈希函數(shù)、數(shù)字指紋（DigitalFingerprint）、壓縮（Compression）函數(shù)、緊縮（Contraction）函數(shù)、數(shù)據(jù)認(rèn)證碼DAC（Dataauthenticationcode）、篡改檢驗(yàn)碼MDC（Manipulationdetectioncode）。散列函數(shù)的輸出值有固定的長度，該散列值是消息M的所有位的函數(shù)并提供錯(cuò)誤檢測能力，消息中的任何一位或多位的變化都將導(dǎo)致該散列值的變化。從散列值不可能推導(dǎo)出消息M，也很難通過偽造消息M’來生成相同的散列值。消息認(rèn)證認(rèn)證碼被附加到消息后以M||MAC方式一并發(fā)送，收方通過重新計(jì)算MAC以實(shí)現(xiàn)對M的認(rèn)證。如圖所示。假定收、發(fā)雙方共享密鑰k，如果收到的MAC與計(jì)算得出的MAC一致，那么可以得出如下結(jié)論：①接收方確信消息M未被篡改。此為完整性驗(yàn)證。②接收方確信消息來自所聲稱的發(fā)送者，因?yàn)闆]有其他人知道這個(gè)共享密鑰，其他人也就不可能為消息M附加合適的MAC。此為消息源驗(yàn)證。單向散列函數(shù)的抗碰撞性 抗碰撞性的能力體現(xiàn)出單向散列函數(shù)對抗生日攻擊和偽造的能力。弱抗碰撞性（Weakcollisionresistance）：對于任意給定的M，找到滿足M≠N且H(M)=H(N)的N，在計(jì)算上是不可行的；

強(qiáng)抗碰撞性（Strongcollisionresistance）：找到任何滿足H（x）=H（y）的偶對（x，y）在計(jì)算上是不可行的。哈希函數(shù)分類根據(jù)是否使用密鑰帶秘密密鑰的Hash函數(shù)：消息的散列值由只有通信雙方知道的秘密密鑰K來控制，此時(shí)散列值稱作MAC(MessageAuthenticationCode)不帶秘密密鑰的Hash函數(shù)：消息的散列值的產(chǎn)生無需使用密鑰，此時(shí)散列值稱作MDC(MessageDetectionCode)哈希函數(shù)-生日攻擊如果采用傳輸加密的散列值和不加密的報(bào)文M，攻擊者需要找到N，使得H(N)=H(M)，以便使用替代報(bào)文來欺騙接收者。一種基于生日悖論的攻擊可能做到這一點(diǎn)，生日問題：一個(gè)教室中，最少應(yīng)有多少個(gè)學(xué)生，才使至少有兩人具有相同生日的概率不小于1/2？ 概率結(jié)果與人的直覺是相違背的。實(shí)際上只需23人，即任找23人，從中總能選出兩人具有相同生日的概率至少為1/2生日攻擊實(shí)例A準(zhǔn)備兩份合同M和N，一份B會(huì)同意，一份會(huì)取走他的財(cái)產(chǎn)而被拒絕A對M和N

各做32處微小變化（保持原意），分別產(chǎn)生232個(gè)64位hash值根據(jù)前面的結(jié)論，超過0.5的概率能找到一個(gè)M和一個(gè)N

，它們的hash值相同A提交M，經(jīng)B審閱后產(chǎn)生64位hash值并對該值簽名，返回給AA用N

替換M結(jié)論：Hash必須足夠長（128，160，224，256，…）消息認(rèn)證的局限性消息認(rèn)證可以保護(hù)信息交換雙方不受第三方的攻擊，但是它不能處理通信雙方的相互攻擊信宿方可以偽造消息并稱消息發(fā)自信源方，信源方產(chǎn)生一條消息，并用和信源方共享的密鑰產(chǎn)生認(rèn)證碼，并將認(rèn)證碼附于消息之后信源方可以否認(rèn)曾發(fā)送過某消息，因?yàn)樾潘薹娇梢詡卧煜?，所以無法證明信源方確實(shí)發(fā)送過該消息在收發(fā)雙方不能完全信任的情況下，引入數(shù)字簽名來解決上述問題數(shù)字簽名的作用相當(dāng)于手寫簽名數(shù)字簽名概述

在網(wǎng)絡(luò)通信和電子商務(wù)中很容易發(fā)生如下問題。

1．否認(rèn)，發(fā)送信息的一方不承認(rèn)自己發(fā)送過某一信息。

2．偽造，接收方偽造一份文件，并聲稱它來自某發(fā)送方的。

3．冒充，網(wǎng)絡(luò)上的某個(gè)用戶冒充另一個(gè)用戶接收或發(fā)送信息。

4．篡改，信息在網(wǎng)絡(luò)傳輸過程中已被篡改，或接收方對收到的信息進(jìn)行篡改。

用數(shù)字簽名（DigitalSignature）可以有效地解決這些問題。數(shù)字簽名就是主要用于對數(shù)字信息進(jìn)行的簽名，以防止信息被偽造或篡改等。

數(shù)字簽名離不開公鑰密碼學(xué)，在公鑰密碼學(xué)中，密鑰由公開密鑰和私有密鑰組成。數(shù)字簽名包含兩個(gè)過程：使用私有密鑰進(jìn)行加密（稱為簽名過程），接受方或驗(yàn)證方用公開密鑰進(jìn)行解密（稱為驗(yàn)證過程）。RSA算法的簽名和驗(yàn)證過程RSA算法的簽名和驗(yàn)證過程數(shù)字簽名機(jī)制傳統(tǒng)簽名的基本特點(diǎn):

能與被簽的文件在物理上不可分割 簽名者不能否認(rèn)自己的簽名 簽名不能被偽造 容易被驗(yàn)證數(shù)字簽名是傳統(tǒng)簽名的數(shù)字化，基本要求: 能與所簽文件“綁定” 簽名者不能否認(rèn)自己的簽名 簽名不能被偽造 容易被自動(dòng)驗(yàn)證RSA一般應(yīng)用過程乙方甲方明文乙方公鑰解密甲方私鑰解密甲方私鑰加密乙方公