第03章 消息鑒別與數(shù)字簽名

第3章消息鑒別與數(shù)字簽名經(jīng)典密碼學(xué)->現(xiàn)代公開的計算機環(huán)境保密

有效系統(tǒng)地保障電子數(shù)據(jù)的機密性、完整性和真實性公開的計算機網(wǎng)絡(luò)環(huán)境中，傳輸中的數(shù)據(jù)可能遭受到威脅（5種）：泄密通信業(yè)務(wù)量分析偽造：攻擊者假冒發(fā)方身份，向網(wǎng)絡(luò)插入一條消息；或假冒接收方發(fā)送一個消息確認。篡改：內(nèi)容篡改序號篡改時間篡改行為抵賴保密消息鑒別數(shù)字簽名第3章消息鑒別與數(shù)字簽名3.1消息鑒別3.1.1消息鑒別的概念3.1.2基于MAC的鑒別3.1.3基于散列函數(shù)的鑒別3.1.4散列函數(shù)3.2

數(shù)字簽名3.1.消息鑒別完整性是安全的基本要求之一。篡改消息是對通信系統(tǒng)的主動攻擊常見形式。被篡改的消息是不完整的；信道的偶發(fā)干擾和故障也破壞消息完整性。接收者能檢查所收到的消息是否完整；進一步接收者能識別所收到的信息是否源于所聲稱的主體。即消息來源的真實性保障消息完整性和真實性的手段：

消息鑒別技術(shù)3.1.1消息鑒別的概念消息鑒別概念：是一個對收到的消息進行驗證的過程，驗證的內(nèi)容包括：真實性：消息發(fā)送者是真正的，而非假冒完整性：消息在存儲和傳輸過程中沒有被篡改過。消息鑒別系統(tǒng)功能上的層次結(jié)構(gòu)低層產(chǎn)生鑒別符高層：調(diào)用鑒別函數(shù)，驗證低層：鑒別函數(shù)高層：認證協(xié)議3.1.1消息鑒別的概念根據(jù)鑒別符的生成方式，鑒別函數(shù)分（3類）：基于消息加密方式以整個消息的密文作為鑒別符基于消息鑒別碼（MAC）3.1.2發(fā)送方利用公開函數(shù)+密鑰產(chǎn)生一個固定長度的值作為鑒別標識，并與消息一同發(fā)送基于散列函數(shù)3.1.3采用hash函數(shù)將任意長度的消息映射為一個定長的散列值，以此散列值為鑒別碼。MAC方式的一種特例最近幾年消息鑒別符的熱點轉(zhuǎn)向Hash函數(shù)導(dǎo)出MAC的方法3.1.2基于MAC的鑒別消息鑒別碼原理基于DES的消息鑒別碼3.1.2-1消息鑒別碼原理消息鑒別碼(MAC

MessageAuthenticationCode)又密碼校驗和。原理：采用公開函數(shù)和密鑰生成一個固定大小的小數(shù)據(jù)塊，即MAC，并附加到消息后面?zhèn)鬏?，接收方利用與發(fā)送方共享的密鑰進行鑒別。MAC提供消息完整性保護，可以在不安全信道中傳輸，因為MAC生成需要密鑰。

3.1.2-1消息鑒別碼原理MK源A宿BMC||C(K,M)K比較圖3-2MAC鑒別原理圖C通信雙方AB共享密鑰K，AB,則A計算MAC，其中：M—明文C---MAC函數(shù)K---共享的密鑰MAC---消息鑒別碼

MAC=C(K,M)3.1.2-1消息鑒別碼原理消息和MAC一起發(fā)給接收方。接收方對收到的消息利用相同的密鑰K計算，得出新的MAC。如果接收到的MAC與計算得出的MAC相等：接收者可以確信消息M在傳送途中未被篡改接收者可以確信消息來自所聲稱的發(fā)送者如果消息中含有序列號（如TCP序列號），接收方可以相信接收順序是正確的。因為攻擊者無法成功修改序列號并保持MAC與消息一致。圖3-2僅僅提供鑒別，而不能提供保密性。因為消息是明文傳輸?shù)?。如果要加密？?.1.2-1消息鑒別碼原理MAC與加密函數(shù)類似，但不需要可逆，更不易攻破。使用分離的消息鑒別碼的情形(3)：加解密算法，尤其公鑰算法代價大。廣播信息經(jīng)濟可靠方式，明文傳送，一個接收者驗證。一些應(yīng)用不關(guān)心保密，而關(guān)心消息鑒別將鑒別函數(shù)和加密函數(shù)結(jié)構(gòu)上分離，可使層次結(jié)構(gòu)更加靈活。應(yīng)用層鑒別消息，傳輸層提供保密。3.1.2-2基于DES的消息鑒別碼基于DES的消息鑒別碼基于分組密碼，并按密文塊鏈接模式操作CBC。數(shù)據(jù)鑒別算法CBC—MAC密文分組鏈接消息鑒別碼數(shù)據(jù)鑒別算法圖圖3-3p57O0

=IVO1=Ek（D1

O0）O2=Ek（D2

O1）。。。ON=Ek（DN

ON-1）3.1.3基于散列函數(shù)的鑒別散列函數(shù)(Hash)是消息鑒別碼(MAC)的一種變形。散列函數(shù)與消息鑒別碼相同點：輸入都是可變大小M；輸出都是固定大小散列碼H(M)散列函數(shù)與消息鑒別碼不同點:散列碼不使用密鑰，它僅是輸入消息的函數(shù)。需要安全地存放和傳輸消息摘要，防止被篡改。3.1.3基于散列函數(shù)的鑒別散列碼用于消息鑒別的兩種方法：圖1）加密消息及散列碼ABA計算，加密：E(K，[M||H(M)])B解密，計算，比較2）僅加密散列碼（共享密鑰）AB:A計算，加密：M||E(K，[H(M)])B計算，解密，比較3.1.3-散列碼用于消息鑒別的兩種方法：(a)加密消息及散列碼(b)只加密散列碼D()MH()密鑰KE()密鑰KH()||比較MMH(M)H()D()比較密鑰KE()密鑰KMH(M)H()源A宿B3.1.3基于散列函數(shù)的鑒別HMAC散列函數(shù)+MAC（K，M）IP安全和SSL協(xié)議使用HMACRF2104給出的HMAC設(shè)計目標（5）

HMAC總體結(jié)構(gòu)圖圖3-5p59HMAC(K,M)=H[(K+

opad)||H[(K+

ipad)||M]]不必修改而直接使用現(xiàn)有的散列函數(shù)。散列函數(shù)---黑盒如果找到更快更安全的散列函數(shù)，應(yīng)能很容易替代原來嵌入的散列函數(shù)。應(yīng)保持散列函數(shù)的原有性能，不能過分降低其性能。對密鑰的使用和處理應(yīng)比較簡單如果已知嵌入的散列函數(shù)的強度，則完全可以知道認證機制抗密碼分析的強度。3.1.4散列函數(shù)散列函數(shù)是一種將輸入任意長度消息映射到固定長度消息摘要的函數(shù)。h=H（M），沒有K散列函數(shù)安全性SHA-1算法MD5算法3.1.4-1散列函數(shù)安全性攻擊：攻擊者得到h(M)，試圖偽造M’，使h(M’)=h(M)散列函數(shù)必須滿足的安全特征（3）：單向性對于任意給定的散列碼h，尋找x使得H(x)=h在計算上不可行。強對抗碰撞性（3）輸入輸出h(M)容易計算+(4)：尋找任何的(M1,M2)使得H(M1)=h(M2)在計算上不可行。弱對抗碰撞性(4減弱)：對于任意給定的分組M,尋找不等于M的M’，使得H(M’)=h(M)在計算上不可行。弱對抗碰撞的散列函數(shù)隨著使用次數(shù)增加，安全性降低。3.1.4-2SHA-1算法SHA是美國家標準和技術(shù)協(xié)會（NIST）1993提出，1995年發(fā)布SHA-1。輸入512比特單位分組，輸出160比特消息摘要。步驟：附加填充位填充后結(jié)果長度（模512）=448附加長度64位：表示原始消息長度初始化散列緩沖區(qū)兩個緩沖區(qū)（2*5*32位），第一個緩沖區(qū)ABCDE初始化值.第二個緩沖區(qū)H0H1

H2

H3

H4計算消息摘要（每一個階段一個分組），每組80輪輸出。第N階段輸出步驟2得到的消息塊M1,M2,…Mn.每塊80輪運算，每輪輸入ABCDE，更新.每一輪使用:附加常數(shù)Kt

給出，0<=t<=79;函數(shù)ft

消息M擴充（16*32比特）

(80*32比特)

Wj=Mj

（0<=j<=15）

Wj=

(Wj-3Wj-8Wj-14Wj-16)<<1

（16<=j<=79）

H0,H1,H2,H3,H4A,B,C,D,E

TEMP=

(A<<5)+ft(B,C,D)+E+Wj+Kt,

E=DD=CC=B<<30,B=AA=TEMP最后：A,B,C,D,EH0+A,H1+B,H2+C,H3+D,H4+E計算消息摘要ft非線性函數(shù)明文相關(guān)的內(nèi)容3.1.4-3MD5*MD5：1991麻省理工學(xué)院RonaldL.Rivest

MD4改進，速度慢，安全性高。輸入512分組（16*32）輸出128位（4*32）步驟消息填充結(jié)果長度模512=448添加長度初始化緩沖區(qū)(4*32)abcd→AABBCCDD定義輔助函數(shù)4個非線性函數(shù)4輪計算3.1.4MD5*定義輔助函數(shù)4個非線性函數(shù)F(X,Y,Z),G(X,Y,Z),H(),I（）4種操作：FF(a,b,c,d,Mj,s,ti)=ab+(a+F(b,c,d)+M[i]+ti)<<s4輪計算（4*16）第一輪FF(a,b,c,d,Mj,s,ti)16次第二輪GG(a,b,c,d,Mj,s,ti)16次第三輪HH(a,b,c,d,Mj,s,ti)16次第四輪II(a,b,c,d,Mj,s,ti)16次

ti=4294967296*abs(sin(i))整數(shù)部分最后a,b,c,d=a+AA,b+BB,c+CC,d+DD3.2數(shù)字簽名手寫簽名與數(shù)字簽名手寫簽名作用：鑒別、核準、負責(zé)等作用，表示簽名者對文件的認同，產(chǎn)生某種承諾或法律上的效應(yīng)。數(shù)字簽名是手寫簽名數(shù)字化形式，公鑰密碼學(xué)發(fā)展中最重要的概念之一，一項重要的計算機網(wǎng)絡(luò)安全技術(shù)美國，中國《電子簽名法》，可靠的數(shù)字簽名與手寫簽名或印章具有同等法律效率。3.2數(shù)字簽名3.2.1數(shù)字簽名簡介3.2.2基于公鑰密碼的數(shù)字簽名原理3.2.3數(shù)字簽名算法(難)3.2.1數(shù)字簽名簡介數(shù)字簽名必要性數(shù)字簽名的概念及特征3.2.1-1數(shù)字簽名的必要性消息鑒別能通過驗證消息完整性和真實性，保護通信不受外部第三方的攻擊，但不能防止通信雙方內(nèi)部的相互攻擊，如：B偽造一個消息，并聲稱是從A收到的。因AB共享密鑰，A無法證明自己沒有發(fā)送。A可以否認發(fā)送過某個消息，B無法證明A發(fā)送過。電子商務(wù)方面法律應(yīng)防范：例：（1）進行電子資金轉(zhuǎn)賬時，接收方增加轉(zhuǎn)賬資金，并聲稱這是來自發(fā)送方的轉(zhuǎn)賬金額。(2)委托方發(fā)送電子郵件要求經(jīng)紀人進行股票交易，交易賠錢，委托方偽稱從沒有發(fā)過這樣的消息。應(yīng)用環(huán)境：通信(電子交易)雙方彼此不能完全信任的情況下….數(shù)字簽名，手寫簽名。消息鑒別概念：是一個對收到的消息進行驗證的過程，驗證的內(nèi)容包括：真實性：消息發(fā)送者是真正的，而非假冒完整性：消息在存儲和傳輸過程中沒有被篡改過。3.2.1-2數(shù)字簽名的概念及其特征數(shù)字簽名概念(DS)ISO7498-2:▲附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對數(shù)據(jù)單元所作的密碼變換，這種數(shù)據(jù)和變換允許數(shù)據(jù)單元接收者用以確認數(shù)據(jù)單元來源和數(shù)據(jù)單元完整性，并保護數(shù)據(jù)，防止被人(包括接收者)進行偽造.消息鑒別概念一個數(shù)字簽名體制是一個五元組(M,A,K,S,V)M:消息空間；

A：簽名空間K密鑰空間；S：簽名算法集合，V：驗證算法集合

。滿足對任意k，有一簽名算法Sigk一驗證算法Verk

，對任意m

M，a

A，

Verk(m，a)=1

a=Sigk（m）（m，a）是一個消息簽名對。3.2.1-2數(shù)字簽名的概念及其特征數(shù)字簽名特征(4)(提出需求)可驗證性不可偽造性不可否認性：發(fā)送方發(fā)送簽名消息，無法抵賴發(fā)送行為；接收方在收到消息后，也無法否認接收行文數(shù)據(jù)完整性：發(fā)送方能夠?qū)ο⒌耐暾赃M行校驗，具有消息鑒別的作用3.2.1-2數(shù)字簽名的概念及其特征根據(jù)特征數(shù)字簽名應(yīng)滿足下列條件—實現(xiàn)機制-6簽名必須是與信息相關(guān)的二進制位串。簽名必須使用發(fā)送者某些獨有信息，以防偽造與抵賴；產(chǎn)生數(shù)字簽名比較容易；識別和驗證簽名比較容易；偽造該數(shù)字簽名在計算是不可行的：無論從給定的數(shù)字簽名偽造消息，還是從給定消息偽造一個