信息安全導(dǎo)論（以問題為導(dǎo)向） 課件 05 報文鑒別與哈希函數(shù)

1報文鑒別與哈希函數(shù)教學(xué)視頻、國家級一流在線課程鏈接：/course/FUDAN-1206357811內(nèi)容提要安全服務(wù)與安全需求報文鑒別的安全需求對報文加密來實現(xiàn)報文鑒別報文鑒別碼哈希函數(shù)生日攻擊2內(nèi)容提要1、安全服務(wù)與安全需求34復(fù)習(xí)：安全服務(wù)/安全需求我們的故事從哪里開始？

通信保密

：較早期的安全需求公開密鑰密碼對稱密鑰密碼提煉：安全服務(wù)/安全需求“通信保密”可以概括所有的安全需求嗎？

答：不能。信息安全需求有許多種，通信保密只是一種安全需求，我們對現(xiàn)實世界的安全需求提煉和歸類，用以下抽象名詞來概括典型的安全需求保密性（Confidentiality）完整性（Integrity）可用性（Availability）可認證（Authentication）抗抵賴/抗否認（Non-repudiation）5內(nèi)容提要2、報文鑒別的安全需求6安全需求分析的例子泄密流量分析修改內(nèi)容破壞數(shù)據(jù)包收到的先后順序不承認發(fā)送過某個報文冒名頂替瀏覽器訪問網(wǎng)銀Web服務(wù)器應(yīng)用的安全需求78報文鑒別的安全需求報文鑒別的三重含義（安全需求）:1）保護報文的完整性2）驗證發(fā)送者的身份3）抗抵賴：防止報文發(fā)送者抵賴

（解決爭議）將嘗試以下三種方案實現(xiàn)報文鑒別:報文加密報文鑒別碼(MAC)HASH（哈希）函數(shù)9報文鑒別的含義注意：不是所有的方案都能夠完整實現(xiàn)上述報文鑒別所包括的三個安全需求：1）需要仔細甄別2）訓(xùn)練密碼學(xué)思維；3）分析過程比結(jié)論重要：將嘗試以下三種方案實現(xiàn)報文鑒別:報文加密報文鑒別碼(MAC)HASH（哈希）函數(shù)10一些名詞的含意

報文vs.

明文

我們有時候不考慮保密性.報文鑒別（Message

Authentication）vs.身份認證（Authentication）內(nèi)容提要3、對報文加密來實現(xiàn)報文鑒別3.1用對稱密鑰1112報文加密-對稱密鑰報文加密在提供保密性的同時，本身也能提供了某些報文鑒別的安全服務(wù)如果發(fā)送者使用對稱密鑰加密報文:接收者知道發(fā)送者創(chuàng)建了它（前提：接收者自己沒有創(chuàng)建過）因為現(xiàn)在只有發(fā)送者和接收者知道這個對稱密鑰知道報文內(nèi)容在通信過程中沒有被篡改發(fā)送者（Source）A接收者（Destination）B13報文加密-對稱密鑰接收到的密文可以解密為明文，但可能難以自動確定報文是否被篡改報文應(yīng)具有合適的結(jié)構(gòu)，冗余信息或校驗和來檢測報文是否被更改發(fā)送者（Source）A接收者（Destination）B14報文加密-對稱密鑰AB:

E(K,M)，或記作EK(M)保密性——只有A和B知道K一定程度的報文鑒別——只能來自于A——傳輸過程中沒被篡改 —需要有特定的格式/冗余不提供抗抵賴——接受者不能偽造報文——發(fā)送者不能否認報文發(fā)送者（Source）A接收者（Destination）B內(nèi)容提要3、對報文加密來實現(xiàn)報文鑒別3.2用公開密鑰密碼1516報文加密-公鑰加密如果使用公鑰加密:無法實現(xiàn)報文鑒別所包括的任何一項安全服務(wù)因為任何人都知道公鑰僅能提供“保密性”發(fā)送者（Source）A接收者（Destination）B17報文加密-私鑰加密(簽名)如果使用私鑰加密:如果發(fā)送者使用私鑰加密，則不具有保密性因為任何人都知道公鑰然而可以實現(xiàn)報文鑒別所有的安全需求仍然需要冗余信息確認報文是否被篡改發(fā)送者（Source）A接收者（Destination）B18報文加密-先私鑰后公鑰發(fā)送者用私鑰對報文簽名，然后使用接收者的公鑰加密同時提供保密性和報文鑒別的所有三種安全服務(wù)代價是需要使用兩個公鑰發(fā)送者（Source）A接收者（Destination）B19報文加密－公開密鑰總結(jié)

公鑰加密：僅提供保密性20報文加密－公開密鑰總結(jié)

私鑰加密：報文鑒別所有的三種安全服務(wù)21報文加密-私鑰加密(簽名)

發(fā)送者（Source）A接收者（Destination）B22報文加密－公開密鑰總結(jié)

先私鑰后公鑰加密：保密性、報文鑒別的所有三種服務(wù)內(nèi)容提要4、報文鑒別碼4.1報文鑒別碼的定義2324用加密實現(xiàn)報文鑒別的缺點Q:報文加密的缺點?開銷

加密整個報文，相當(dāng)于用整個報文作文報文鑒別碼較難實現(xiàn)自動的25報文鑒別碼(MAC)報文鑒別碼：固定長度的比特串（例如128個bit,等）由報文鑒別碼算法生成算法的輸入包括：報文和密鑰算法設(shè)計類似于對稱密鑰算法，但不可逆附加到報文上用于報文鑒別接收者對報文執(zhí)行相同方向的計算并檢查它是否與收到的MAC匹配確保報文來自聲稱的發(fā)送者且傳輸過程中沒被篡改26報文鑒別碼如圖所示MAC提供報文鑒別的完整性、發(fā)送者身份驗證兩種安全服務(wù)27報文鑒別碼為什么用MAC?有時候只需要報文鑒別有時需要長時間保存數(shù)據(jù)的完整性(例如：檔案)注意MAC不是數(shù)字簽名內(nèi)容提要4、報文鑒別碼4.2報文鑒別碼的用法2829報文鑒別碼的用法

(a)報文鑒別的1，2兩項安全服務(wù)發(fā)送者（Source）A接收者（Destination）B30報文鑒別碼的用法發(fā)送者（Source）A接收者（Destination）B

(b)保密性和報文鑒別的第1和2項服務(wù)明文加報文鑒別碼31報文鑒別碼的用法發(fā)送者（Source）A接收者（Destination）B

(b)保密性和報文鑒別的第1和2項服務(wù)密文加報文鑒別碼內(nèi)容提要4、報文鑒別碼4.3報文鑒別碼的性質(zhì)3233MAC的性質(zhì)MAC是密碼性質(zhì)校驗和

MAC=CK(M)壓縮可變長度的報文M使用秘鑰K輸出固定長度的報文鑒別碼是一個多對一的函數(shù)可能許多報文有相同的MAC但是找到這些MAC值相同的報文是非常困難的34MAC的要求攻擊：能夠找到M’≠M,但CK(M’)＝CK(M)需要MAC滿足以下要求:不能通過一個報文和它的MAC，找到另一條有相同MAC的報文MAC應(yīng)該是均勻分布的MAC應(yīng)該取決于報文的每一位35可以使用分組密碼的CBC（CipherBlockChaining）模式將最后一個密文塊作為MACDataAuthenticationAlgorithm(DAA)

報文鑒別碼算法就是基于DES-CBC，是一個早期的MAC生成算法令I(lǐng)V=0并用比特0填充最后一個明文塊在CBC模式下使用DES加密報文將最后一個密文塊作為MAC值或者最后一個塊的最左邊的M位(16≤M≤64)這個算法最終得到的MAC太短，不夠安全簡單的構(gòu)造MAC算法的方法36DAA算法內(nèi)容提要5、哈希函數(shù)5.1哈希函數(shù)的定義與性質(zhì)3738哈希函數(shù)（Hash）將任意長度的報文壓縮到固定長度的二進制串：

h=H(M)

通常假設(shè)哈希函數(shù)是公開的沒有密鑰注意MAC使用對稱密鑰用于檢測報文是否被更改

保護完整性能夠通過多種不同的方式應(yīng)用于報文經(jīng)常用于創(chuàng)建數(shù)字簽名39哈希函數(shù)和數(shù)字簽名40哈希函數(shù)性質(zhì)實質(zhì)上是生成輸入文件/報文/數(shù)據(jù)的指紋

h=H(M)壓縮可變長度的報文M生成固定長度的指紋找到碰撞構(gòu)成對哈希的攻擊：找到M’≠M,但H(M’)＝H(M)41對哈希函數(shù)的要求可應(yīng)用于任意大小的報文

M生成固定長度的輸出h很容易計算報文M的哈希值：h=H(M)

已知h，不能計算得到x

使得

H(x)=h單向性給定

x，找到

y，使得H(y)=H(x)是計算上不可行的弱抗碰撞性找到任意的

x,y；

使得H(y)=H(x)是計算上不可行的強抗碰撞性內(nèi)容提要5、哈希函數(shù)5.2哈希函數(shù)的用法4243哈希函數(shù)的應(yīng)用44哈希函數(shù)的應(yīng)用(a)加密報文和哈希值(d)加密(c)的輸出–用對稱密鑰(b)僅加密哈希值–用對稱密鑰(c)加密哈希值–發(fā)送者的私鑰(e)計算報文和隨機數(shù)的哈希值(f)加密(e)的輸出內(nèi)容提要5、哈希函數(shù)5.3哈希函數(shù)的算法實現(xiàn)4647簡單的哈希函數(shù)現(xiàn)將報文分組，報文分組異或運算的結(jié)果作為哈希值可以防止隨機的報文比特錯，但不夠安全

需要有密碼性質(zhì)的安全性更高的函數(shù)48用分組密碼構(gòu)造哈希函數(shù)可以使用分組密碼構(gòu)造哈希函數(shù)令H0=0并用零填充最后一個分組計算:Hi=EMi[Hi-1]將最后一個分組看做哈希值類似于CBC

方法，但不使用密鑰哈希值相對較短(限制為密文分組大小)49哈希算法的一般結(jié)構(gòu)

50經(jīng)典的哈希算法MD5SHA-1RIPEMD-16051MD5由RonaldRivest設(shè)計（RSA設(shè)計者之一）一系列Hash算法MD2,MD4…

生成128-bit的哈希值曾經(jīng)是廣泛使用的哈希算法成為Internet標(biāo)準(zhǔn)－RFC1321200x年起，窮舉攻擊和密碼分析都受到廣泛關(guān)注MD5算法分析工作，中國學(xué)者做出了重大貢獻。王小云等提出模差比特跟蹤法快速尋找哈希碰撞。在CRYPTO2004會議的快報中，王小云和同事演示了如何快速找到MD5和其他相關(guān)哈希函數(shù)中的碰撞。他們的工作獲得了極大的國際影響和關(guān)注。52SecureHashAlgorithm(SHA)SHA最初由NIST和NSA于1993年設(shè)計于1995年修訂為SHA-1與DSA簽名方案一起使用作為美國標(biāo)準(zhǔn)標(biāo)準(zhǔn)號FIPS180-11995,也是因特網(wǎng)標(biāo)準(zhǔn)RFC3174基于MD4設(shè)計生成160-bit的哈希值2005年起，針對SHA-1安全性的最新碰撞分析研究結(jié)果，引起了一定程度擔(dān)憂53修訂版SHA2002年，NIST發(fā)布了修訂版FIPS180-2給出了3種新的SHA版本

SHA-256,SHA-384,SHA-512為兼容AES密碼提供的更高的安全性而設(shè)計結(jié)構(gòu)和相關(guān)細節(jié)與SHA-1類似。因此，相關(guān)密碼分析是類似的，安全級別更高54SHA-512概覽55RIPEMD-160RIPEMD-160是在歐洲開發(fā)的參與攻擊MD4/5的研究人員設(shè)計某些方面與MD5/SHA類似

生成160-bit哈希值

比SHA慢，但更安全56哈希函數(shù)的安全性討論像分組密碼一樣，窮舉攻擊是最好的選擇前提是算法沒有漏洞暴力破解窮舉攻擊的平均嘗試次數(shù)是2m/2

其中m是輸出的哈希值的bit數(shù)量目前，128-bit哈希安全性較弱,160-bit甚至哈希值更長更好注意：分組密碼窮舉攻擊的平均嘗試次數(shù)是1/2*2m，其中m是密鑰長度內(nèi)容提要6、生日攻擊5758生日攻擊（BirthdayAttacks）生日悖論在一組23名隨機選擇的人中，至少有兩人同一天生日的概率約為50％。如果有30人，則概率約為70％。

找到具有相同生日的兩個人與找到哈希碰撞是一回事。59生日攻擊23個人生日各不相同的概率是

因此至少兩個人生日相同的概率為1-0.493=0.507上述公式不易求解，需要找到近似函數(shù)：

推廣到n個人的情形60n

個人生日各不相同的概率約為至少兩個人生日相同的概率約為更一般地說，假設(shè)我們有N個對象，N很大。有

r個人，每個人選擇一個對象61生日攻擊選擇

r2/2N=ln2,我們發(fā)現(xiàn)如果r≈1.177,那么至少兩個人選擇同一個對象的概率為50%。如果有N種可能性(N種哈希值)，并且我們有一個長度為

的列表（個報文），那么匹配的可能性在50％左右。如果我們想增大匹配的可能性，我們可以列出一個長度為的常數(shù)倍的列表。62生日攻擊(例子)我們有40個車牌，設(shè)每個車牌都以