第11讲 认证、哈希算法.ppt

第十一讲认证、哈希算法
上海交通大学计算机科学系
1. Message Authentication
消息认证包括:
消息完整性
身份识别
不可否认性
2. 消息认证码(MAC)
message authentication code (MAC)
签名的电子等价形式
与消息同时发送
通过一些算法, 依赖于消息及双方共享的秘密
消息可以是不任意长
MAC 可以是任意长,但常选固定长度
这需要hash function
“压缩”消息成固定长度
3. 消息认证过程
4. 利用对称密码进行认证
利用对称密码加密的消息可以作为认证内容
因为只有密钥的拥有者才可以生成
(要求消息有一定的冗余度)
但不能解决消息的不可否认性
(无法证明谁生成的消息)
5. Hashing Functions
把任意长的消息“压缩”成固定长的消息的算法
数字签名时,常被使用
通常,HASH 函数是公开的
输出长度应足够大,防止生日攻击
64-bits 认为太小
通常 128-512bits
6. Hash 函数设计原理
H能用于任何大小的数据分组;
H产生定长输出;
对任意给定的x, H(x)要相对易于计算,使得软硬件实现都实际可行;
对任意给定的码h, 寻求x使得H(x)=h在计算上是不可行的(单向性);
任意给定分组x, 寻求不等于x的y, 使得H(y)= H(x)在计算上不可行(弱抗攻击性);
寻求对任何的(x,y)对使得H(x)=H(y)在计算上不可行(强抗攻击性);
7 Hash 函数设计原理
生日攻击(基于生日悖论)
在k个人中,找一个与某人生日相同的人的
,只需k>183; 而在此人群中,
,只需
k>23.
b
Y0
n
f
b
Y1
n
f
b
YL-1
n
CVL-1
f
CV1
n
n
IV = 初始值
CV = 链接值
Yi = 第i 个输入数据块
f = 压缩算法
n = 散列码的长度
b = 输入块的长度
8 安全杂凑算法的一般结构
CVL
CV0=IV= initial n-bit value
CVi=f(CVi-1, Yi-1) (1  i  L)
H(M) = CVL
9 MD5 算法逻辑
输入:任意长度的消息
输出:128位消息摘要
处理:以512位输入数据块为单位
MD5 (RFC 1321) developed by Ron Rivest at MIT in 90’s.