網(wǎng)絡(luò)安全理論課件 第5章 消息認證與數(shù)字簽名

第五章

消息認證與數(shù)字簽名1信息加密消息認證數(shù)字簽名身份認證密碼學應(yīng)用25.1消息認證3消息接收者證實收到的消息來自可信的源點且未被篡改的過程真實性：發(fā)送者真實非假冒——信源鑒別；完整性：消息在傳送或存儲過程中沒被篡改、重放、亂序或延遲等；目的：使接收者能識別報文的源、內(nèi)容的真?zhèn)?、時間有效性等。防止主動攻擊重要技術(shù)，防止如下一些攻擊：假冒：冒充某合法實體發(fā)送一個消息內(nèi)容修改：對消息內(nèi)容篡改，包括插入、刪除、轉(zhuǎn)換和修改。順序修改：對消息順序修改，包括插入、刪除和重新排序。計時修改：對消息延遲和重放消息（報文）認證核心思路：比較發(fā)送方發(fā)送的消息M和接收方收到的消息M`是否一致M`=？M類比快遞消息（報文）認證三元組（K,T,V)密鑰生成算法K標簽算法T驗證算法V對比加密模型消息認證模型2023/5/14信源密鑰源認證編碼器認證譯碼器K公開信道安全信道信宿TV攻擊者認證編碼器、譯碼器抽象為認證函數(shù)發(fā)送方產(chǎn)生一個認證標識（AuthenticationIdentification）給出合理認證協(xié)議(AuthenticationProtocol)接收者完成消息的鑒別（Authentication）認證（鑒別）函數(shù)2023/5/14分三類：消息加密函數(shù)(Messageencryption)用完整信息的密文作為對信息的認證。消息認證碼MAC(MessageAuthenticationCode)對信源信息的一個編碼函數(shù)公開函數(shù)+密鑰產(chǎn)生一個固定長度的值作為認證標識散列函數(shù)(HashFunction)數(shù)字指紋（公開的函數(shù)），它將任意長的信息映射成一個固定長度的信息。認證函數(shù)消息自身加密作為認證度量用完整信息的密文作為對信息的認證。消息發(fā)送/接收方事先約定密鑰信源：發(fā)送M+C，其中C=EK(M)，認證標識信宿：接收M`+C，驗證：M=DK(C)，M`=?M消息加密函數(shù)MEKEK(M)MEK(M)消息的密文為認證標識消息有多長，認證標識就有多長消息加密函數(shù)認證缺點10MEKEK(M)MEK(M)假定通信雙方共享密鑰K發(fā)送方使用K生成一個固定大小的短數(shù)據(jù)塊，并將該數(shù)據(jù)塊附加到消息后面 MAC＝Ck（M） send：M+MAC接收方接收到消息M`+MAC，使用K生成

MAC`＝Ck（M`）

MAC`＝？MACMAC函數(shù)類似于加密函數(shù)，但固定大小不需要可逆性，因此在數(shù)學上比加密算法被攻擊的弱點要少認證函數(shù)：消息認證碼（MAC）112023/5/14MAC基本用法：消息認證BobAliceM||KCK(M)CKCM比較僅認證不保密MAC中使用了密鑰，這點和對稱密鑰加密一樣，如果密鑰泄漏了或者被攻擊了，則MAC的安全性則無法保證。窮舉攻擊MAC安全要求2023/5/1413基于DES的消息認證碼2023/5/14142023/5/14MAC基本用法：認證+保密MAC與明文連接M||K1CK(M)CK2CM比較EK2MDK1MBobAlice2023/5/14MAC的基本用法：認證+保密M||K1CK1(Ek2(M))CCC比較EK2K1MAC與密文連接CMDK2BobAliceEk2(M)優(yōu)點：認證標識（碼）大小固定且短缺點：需要密鑰，不需要從MAC解密出m有沒有不需密鑰就能生成定長且短的認證標識的方法呢？MAC優(yōu)缺點17HASH消息摘要、哈希函數(shù)、數(shù)字指紋、雜湊函數(shù) h=H(M)輸入（不需密鑰）：任意長度的消息M輸出：一個固定短長度散列值H(M)

單向函數(shù)：正向計算容易，反向計算困難不同消息不同指紋，用作消息標識消息M的所有位的函數(shù)：消息中的任何一位或多位的變化都將導(dǎo)致該散列值的變化。散列函數(shù)HashFunction19Hash認證基本思路MHhMhh=hash(M)M`hHh`比較三元組（K,T,V)密鑰生成算法K標簽算法T驗證算法V溫故而知新——消息認證模型2023/5/14信源密鑰源認證編碼器認證譯碼器K公開信道安全信道信宿TV攻擊者認證函數(shù)：消息加密函數(shù)(Messageencryption)消息認證碼MAC(MessageAuthenticationCode)散列函數(shù)(HashFunction)任意長度數(shù)據(jù)塊，產(chǎn)生固定長度散列值；單向性：任意給定m,計算H(m)相對容易；對任意給定h，找到m滿足H(m)=h在計算上不可行；安全性，沖突（碰撞）一定存在，但發(fā)現(xiàn)困難任意給定消息m1，找到m2≠m1滿足H(m2)=H(m1)計算上不可行；找到任意消息對(m1,m2)，滿足H(m1)=H(m2)計算上不可行。安全HASH函數(shù)要求輸入消息序列，以迭代的方式每次處理一個分組。一個最簡單的哈希函數(shù)：每個分組按比特異或(XOR)。將消息M分成N個定長分組：M1M2M3M4…MNH(M)=M1⊕M2⊕M3⊕M4⊕…⊕MN簡單的哈希算法22弱無碰撞對給定消息x∈X，在計算上幾乎找不到異于x的x'∈X使h(x)=h(x')。強無碰撞在計算上幾乎不可能找到相異的x，x'使得h(x)=h(x')。注：強無碰撞自然含弱無碰撞！Hash函數(shù)的分類——根據(jù)安全水平：帶秘密密鑰消息散列值由只有通信雙方知道的秘密密鑰K來控制。此時，散列值稱作MAC。不帶秘密密鑰消息散列值的產(chǎn)生無需使用密鑰。此時，散列值稱作篡改檢驗碼MDC。Hash函數(shù)的分類——根據(jù)是否使用密鑰基于數(shù)學難題計算速度慢，不實用利用對稱密碼體制直接設(shè)計Hash函數(shù)的構(gòu)造幾乎被所有hash函數(shù)使用把原始消息M分成一些固定長度的塊Yi最后一塊填充設(shè)定初始值CV0壓縮函數(shù)f,CVi=f(CVi-1,Yi-1)最后一個CVi為hash值hash函數(shù)通用結(jié)構(gòu)bY0nIV=CV0fbY1nfbYL-1nCVL-1fCV1nnIV=initialvalue初始值CV=chainingvalue鏈接值Yi=ithinputblock(第i個輸入數(shù)據(jù)塊)f=compressionalgorithm(壓縮算法）n=lengthofhashcode(散列碼的長度)b=lengthofinputblock(輸入塊的長度)CVLCV0=IV=initialn-bitvalueCVi=f(CVi-1,Yi-1)(1iL)H(M)=CVLhash函數(shù)通用結(jié)構(gòu)MD5SHA-1RIPEMD-160幾種常用的HASH算法Merkle1989年提出hashfunction模型，RonRivest于1990年提出MD4，1992年,MD5(RFC1321)輸入：512bit塊輸出：128bit2004年前最主要hash算法，在國內(nèi)外有著廣泛的應(yīng)用，曾一度被認為非常安全?，F(xiàn)行美國標準SHA-1以MD5前身MD4為基礎(chǔ)。MD5簡介2004年國際密碼學會議（Crypto’2004）山東大學王小云教授做了破譯MD5、HAVAL128、MD4和RIPEMD算法的報告?？梢院芸煺业組D5“碰撞”——兩個文件產(chǎn)生相同MD5“指紋”。意味著：在網(wǎng)絡(luò)上電子簽署一份合同后，還可能找到另一份具有相同簽名但內(nèi)容迥異的合同，這樣兩份合同的真?zhèn)涡员銦o從辨別。宣告固若金湯的世界通行密碼標準MD５的堡壘轟然倒塌，引發(fā)了密碼學界的軒然大波。來自中國的驚艷哈希函數(shù)的基本用法2023/5/14M||H(M)HHM比較BobAlice存在問題：偽造消息+偽造摘要M1+H(M1)哈希函數(shù)的基本用法（a）2023/5/14M||H(M)HKHM比較EKMDMBobAlice提供認證提供保密EK(M|H(M))哈希函數(shù)的基本用法（b）2023/5/14M||KEK(H(M))HHM比較EDBobAlice加密和hash疊加，提供認證K哈希函數(shù)的基本用法（c）2023/5/14M||K’bDK’b(H(M))HHM比較DEBobAlice使用公鑰密碼：提供認證提供簽名Kb哈希函數(shù)的基本用法(d)2023/5/14M||KDK’b(H(M))HHM比較EDBobAlice提供認證提供簽名提供保密KMMDK’bEKbEk(M|DK’b(H(M))5.2數(shù)字簽名消息認證保證完整性/真實性：保護通信雙方數(shù)據(jù)交換不被第三方侵犯不保證不可否認性，通信雙方相互欺騙，如：B偽造消息，聲稱從A收到的。B收到A發(fā)送的消息，A否認發(fā)過。例如：通過Email向股票經(jīng)紀人發(fā)出執(zhí)行某項交易的命令；股票交易虧損后抵賴發(fā)出過命令。數(shù)字簽名需求數(shù)字簽名防止源點或終點否認（抵賴）的認證技術(shù)傳統(tǒng)（筆跡）簽名的模擬，傳統(tǒng)簽名基本特點：能與被簽的文件在物理上不可分割簽名者不能否認自己的簽名簽名不能被偽造容易被驗證數(shù)字簽名是傳統(tǒng)簽名的數(shù)字化，基本要求：能與所簽文件“綁定”簽名者不能否認自己的簽名簽名不能被偽造容易被自動驗證數(shù)字簽名五元組(M,C,K,S,V)（對應(yīng)密碼算法五元組）M：所有消息組成的有限集C：所有可能的簽名組成的有限集K：所有可能的密鑰組成的有限集S：簽名算法V：驗證算法數(shù)字簽名39簽名必須依賴于被簽名信息的一個位串模式；簽名必須使用簽名者唯一的信息，以防止雙方的偽造與否認；必須相對容易生成該數(shù)字簽名；必須相對容易識別和驗證該數(shù)字簽名；偽造簽名在計算上不可行已有簽名偽造新的消息給定消息偽造數(shù)字簽名在存儲器中保存數(shù)字簽名副本可行數(shù)字簽名設(shè)計要求以方式分直接數(shù)字簽名仲裁數(shù)字簽名以安全性分無條件安全的數(shù)字簽名計算上安全的數(shù)字簽名以可簽名次數(shù)分一次性的數(shù)字簽名多次性的數(shù)字簽名數(shù)字簽名分類直接數(shù)字簽名2023/5/14Sa（M）Alice(A)Bob(B)直接簽名Eb(Sa(M))Alice(A)Bob(B)加密＋簽名M，Sa(H(M))Eb(M，Sa(H(M)))Alice(A)Bob(B)Hash＋簽名Alice(A)Bob(B)加密＋簽名＋Hash簽名有效性依賴于發(fā)方私鑰安全性；發(fā)方私鑰丟失或被盜用，攻擊者就可以偽造簽名。發(fā)送方抵賴：聲稱私有密鑰丟失或被竊，他人偽造簽名；改進：簽名包含時間戳，并要求私鑰暴露及時報告給授權(quán)中心；敵方可偽造早于或等于時間T的時間戳：時間戳不可信，簽名者可自己加時間戳（偽造）直接數(shù)字簽名缺點引入仲裁者發(fā)送方將簽名消息首先送到仲裁者；仲裁者測試消息及其簽名，以檢查其來源和內(nèi)容；然后將消息加上時間戳，并與仲裁驗證通過指示一起發(fā)給接收者。仲裁者扮演敏感和關(guān)鍵角色。所有參與者必須極大地相信這一仲裁機制工作正常。（trustedsystem）仲裁數(shù)字簽名2023/5/14仲裁簽名——對稱密碼Alice(A)Bob(B)Trent(T)M,EAT[IDA,H(M)]EBT[IDA,M,EAT[IDA,H(M)],T]明文傳送Alice(A)Bob(B)Trent(T)EAB(M),EAT[IDA,H(EAB(M))]EBT(IDA,EAB(M),EAT[IDA,H(EAB(M),T]仲裁可見明文，密文傳送存在的問題：

發(fā)方與仲裁可以結(jié)盟來否認一個簽名，

或者收方與仲裁結(jié)盟來偽造一個簽名。

使用公開密碼算法解決這個問題。發(fā)送方產(chǎn)生沒法抵賴，接收方?jīng)]法偽造2023/5/14仲裁簽名——公鑰密碼＋密文傳送Alice(A)Bob(B)Trent(T)IDA,SA[IDA,EB(SA(M))]ST[IDA,EB(SA(M)),T]溫故而知新——哈希函數(shù)的基本用法(d)2023/5/14M||KDK’b(H(M))HHM比較EDBobAlice提供認證提供簽名提供保密KMMDK’bEKbEk(M|DK’b(H(M))數(shù)字簽名：密碼算法的應(yīng)用典型用法：公開密碼算法簽名簽名：簽名者（發(fā)送方）私鑰對待簽名信息解密運算DKR（m）sig（m）驗證：驗證者（接收方）用簽名者公鑰（證書）加密簽名EKU（sig（m））m溫故而知新——數(shù)字簽名需求普通數(shù)字簽名算法RSAEIGamalDSS/DSA群簽名算法盲簽名算法數(shù)字簽名算法Chaum和vanHeyst1991年提出，群中各個成員以群的名義匿名地簽發(fā)消息，特性：只有群成員能代表