單向函數(shù)數(shù)字簽名

認(rèn)證及數(shù)字簽名認(rèn)證信息認(rèn)證消息源認(rèn)證消息的完整性認(rèn)證安全系統(tǒng)的攻擊被動(dòng)攻擊主動(dòng)攻擊保密和認(rèn)證同屬密碼技術(shù)應(yīng)用

單向散列函數(shù)

單向散列函數(shù)，也稱hash函數(shù)，它可以提供判斷信息完整性的依據(jù)，是防止信息被篡改的一種有效方法。單向散列函數(shù)在數(shù)據(jù)加密、數(shù)據(jù)簽名和軟件保護(hù)等領(lǐng)域中有著廣泛的應(yīng)用。單向散列函數(shù)特點(diǎn)

hash函數(shù)的作用是當(dāng)向hash函數(shù)輸入一任意長(zhǎng)度的的信息M時(shí)，hash函數(shù)將輸出一固定長(zhǎng)度為m的散列值h。即：

h=h（M）

安全的hash函數(shù)的特點(diǎn)是：

1．hash函數(shù)能從任意長(zhǎng)度的M中產(chǎn)生固定長(zhǎng)度的散列值h。

2．已知M時(shí)，利用h（M）很容易計(jì)算出h。

3．已知M時(shí)，要想通過(guò)控制同一個(gè)h（M），計(jì)算出不同的h是很困難的。

4．已知h時(shí)，要想從h（M）中計(jì)算出M是很困難的。

5．已知M時(shí)，要找出另一信息M'，使h（M）=h（M'）是很困難的。

最常用的hash算法有MD5、SHA算法等。MD5算法

在對(duì)輸入的明文初始化之后，MD5是按每組512位為一組來(lái)處理輸入的信息，每一分組又被劃分為16個(gè)32位子分組，經(jīng)過(guò)了一系列的處理后，算法的輸出由四個(gè)32位分組組成，把這四個(gè)32位分組串聯(lián)（級(jí)聯(lián)）后將生成一個(gè)128位散列值。SHA算法和MD5算法一樣，SHA-1一次處理512位信息生成一個(gè)160位散列值用于創(chuàng)建數(shù)字簽名的單向算法散列算法的典型應(yīng)用用MD5校驗(yàn)和實(shí)現(xiàn)文件完整性保護(hù)文件系統(tǒng)完整性保護(hù)身份認(rèn)證網(wǎng)頁(yè)自動(dòng)恢復(fù)系統(tǒng)消息摘要消息摘要的作用單向散列函數(shù)MD5算法SHA安全散列算法消息摘要的作用在網(wǎng)絡(luò)安全目標(biāo)中，要求信息在生成、存儲(chǔ)或傳輸過(guò)程中保證不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失，因此需要一個(gè)較為安全的標(biāo)準(zhǔn)和算法，以保證數(shù)據(jù)的完整性。常見(jiàn)的消息摘要算法有：RonRivest設(shè)計(jì)的MD（StandardForMessageDigest，消息摘要標(biāo)準(zhǔn)）算法NIST設(shè)計(jì)的SHA（SecureHashAlgorithm，安全散列算法）單向散列函數(shù)

消息摘要算法采用單向散列（hash）函數(shù)從明文產(chǎn)生摘要密文。摘要密文又稱為哈希函數(shù)、數(shù)字指紋（DigitalFingerprint）、壓縮（Compression）函數(shù)、緊縮（Contraction）函數(shù)、數(shù)據(jù)認(rèn)證碼DAC（Dataauthenticationcode）、篡改檢驗(yàn)碼MDC（Manipulationdetectioncode）。散列函數(shù)的輸出值有固定的長(zhǎng)度，該散列值是消息M的所有位的函數(shù)并提供錯(cuò)誤檢測(cè)能力，消息中的任何一位或多位的變化都將導(dǎo)致該散列值的變化。從散列值不可能推導(dǎo)出消息M，也很難通過(guò)偽造消息M’來(lái)生成相同的散列值。消息認(rèn)證認(rèn)證碼被附加到消息后以M||MAC方式一并發(fā)送，收方通過(guò)重新計(jì)算MAC以實(shí)現(xiàn)對(duì)M的認(rèn)證。如圖所示。假定收、發(fā)雙方共享密鑰k，如果收到的MAC與計(jì)算得出的MAC一致，那么可以得出如下結(jié)論：①接收方確信消息M未被篡改。此為完整性驗(yàn)證。②接收方確信消息來(lái)自所聲稱的發(fā)送者，因?yàn)闆](méi)有其他人知道這個(gè)共享密鑰，其他人也就不可能為消息M附加合適的MAC。此為消息源驗(yàn)證。單向散列函數(shù)的抗碰撞性 抗碰撞性的能力體現(xiàn)出單向散列函數(shù)對(duì)抗生日攻擊和偽造的能力。弱抗碰撞性（Weakcollisionresistance）：對(duì)于任意給定的M，找到滿足M≠N且H(M)=H(N)的N，在計(jì)算上是不可行的；

強(qiáng)抗碰撞性（Strongcollisionresistance）：找到任何滿足H（x）=H（y）的偶對(duì)（x，y）在計(jì)算上是不可行的。哈希函數(shù)分類根據(jù)是否使用密鑰帶秘密密鑰的Hash函數(shù)：消息的散列值由只有通信雙方知道的秘密密鑰K來(lái)控制，此時(shí)散列值稱作MAC(MessageAuthenticationCode)不帶秘密密鑰的Hash函數(shù)：消息的散列值的產(chǎn)生無(wú)需使用密鑰，此時(shí)散列值稱作MDC(MessageDetectionCode)哈希函數(shù)-生日攻擊如果采用傳輸加密的散列值和不加密的報(bào)文M，攻擊者需要找到N，使得H(N)=H(M)，以便使用替代報(bào)文來(lái)欺騙接收者。一種基于生日悖論的攻擊可能做到這一點(diǎn)，生日問(wèn)題：一個(gè)教室中，最少應(yīng)有多少個(gè)學(xué)生，才使至少有兩人具有相同生日的概率不小于1/2？ 概率結(jié)果與人的直覺(jué)是相違背的。實(shí)際上只需23人，即任找23人，從中總能選出兩人具有相同生日的概率至少為1/2生日攻擊實(shí)例A準(zhǔn)備兩份合同M和N，一份B會(huì)同意，一份會(huì)取走他的財(cái)產(chǎn)而被拒絕A對(duì)M和N

各做32處微小變化（保持原意），分別產(chǎn)生232個(gè)64位hash值根據(jù)前面的結(jié)論，超過(guò)0.5的概率能找到一個(gè)M和一個(gè)N

，它們的hash值相同A提交M，經(jīng)B審閱后產(chǎn)生64位hash值并對(duì)該值簽名，返回給AA用N

替換M結(jié)論：Hash必須足夠長(zhǎng)（128，160，224，256，…）消息認(rèn)證的局限性消息認(rèn)證可以保護(hù)信息交換雙方不受第三方的攻擊，但是它不能處理通信雙方的相互攻擊信宿方可以偽造消息并稱消息發(fā)自信源方，信源方產(chǎn)生一條消息，并用和信源方共享的密鑰產(chǎn)生認(rèn)證碼，并將認(rèn)證碼附于消息之后信源方可以否認(rèn)曾發(fā)送過(guò)某消息，因?yàn)樾潘薹娇梢詡卧煜?，所以無(wú)法證明信源方確實(shí)發(fā)送過(guò)該消息在收發(fā)雙方不能完全信任的情況下，引入數(shù)字簽名來(lái)解決上述問(wèn)題數(shù)字簽名的作用相當(dāng)于手寫(xiě)簽名數(shù)字簽名概述

在網(wǎng)絡(luò)通信和電子商務(wù)中很容易發(fā)生如下問(wèn)題。

1．否認(rèn)，發(fā)送信息的一方不承認(rèn)自己發(fā)送過(guò)某一信息。

2．偽造，接收方偽造一份文件，并聲稱它來(lái)自某發(fā)送方的。

3．冒充，網(wǎng)絡(luò)上的某個(gè)用戶冒充另一個(gè)用戶接收或發(fā)送信息。

4．篡改，信息在網(wǎng)絡(luò)傳輸過(guò)程中已被篡改，或接收方對(duì)收到的信息進(jìn)行篡改。

用數(shù)字簽名（DigitalSignature）可以有效地解決這些問(wèn)題。數(shù)字簽名就是主要用于對(duì)數(shù)字信息進(jìn)行的簽名，以防止信息被偽造或篡改等。

數(shù)字簽名離不開(kāi)公鑰密碼學(xué)，在公鑰密碼學(xué)中，密鑰由公開(kāi)密鑰和私有密鑰組成。數(shù)字簽名包含兩個(gè)過(guò)程：使用私有密鑰進(jìn)行加密（稱為簽名過(guò)程），接受方或驗(yàn)證方用公開(kāi)密鑰進(jìn)行解密（稱為驗(yàn)證過(guò)程）。RSA算法的簽名和驗(yàn)證過(guò)程RSA算法的簽名和驗(yàn)證過(guò)程數(shù)字簽名機(jī)制傳統(tǒng)簽名的基本特點(diǎn):

能與被簽的文件在物理上不可分割 簽名者不能否認(rèn)自己的簽名 簽名不能被偽造 容易被驗(yàn)證數(shù)字簽名是傳統(tǒng)簽名的數(shù)字化，基本要求: 能與所簽文件“綁定” 簽名者不能否認(rèn)自己的簽名 簽名不能被偽造 容易被自動(dòng)驗(yàn)證RSA一般應(yīng)用過(guò)程乙方甲方明文乙方公鑰解密甲方私鑰解密甲方私鑰加密乙方公