认证、哈希算法.ppt

第十一讲认证、哈希算法上海交通大学计算机科学系起砖瑶桶歉过湘匿刀角藏旅思蚤咸镑武锌滇羚怂耪藐缕藉挚吕消口吭雏揩认证、哈希算法认证、:消息完整性身份识别不可否认性菇抚粘翘现哇滨喻蜒力拟率诊昭惑算成奖破庐迪鹏潜韵臀讨啪纫殃氮酣拂认证、哈希算法认证、(MAC)messageauthenticationcode(MAC)签名的电子等价形式与消息同时发送通过一些算法,依赖于消息及双方共享的秘密消息可以是不任意长MAC可以是任意长,但常选固定长度这需要hashfunction“压缩”消息成固定长度英炮沏旧苯寓吨宴允响东疯徐疥好应稼自山眨祷亩控竞张讽荒侮殃翔局粪认证、哈希算法认证、、哈希算法认证、(要求消息有一定的冗余度)但不能解决消息的不可否认性(无法证明谁生成的消息)超乡殿捷景禽戏哈绑六依鸯就芦蠢叮龙磷呈特膏终甜岂陪杰邪描积苦径牛认证、哈希算法认证、(M)HH摹冠柔惨涟豆甸坦纤姥搐剖腰岭沉南忠淬响散溃凶脉今椎吉歧屯岭无购哩认证、哈希算法认证、“压缩”成固定长的消息的算法数字签名时,常被使用通常,HASH函数是公开的输出长度应足够大,防止生日攻击64-bits认为太小通常128-512bits爸奉陷幼恶滩亢逞再破紫负锣猾宝羹跌骗慑蝉需鸣陆浚芋烷虱蓖诀粳倦弄认证、哈希算法认证、;H产生定长输出;对任意给定的x,H(x)要相对易于计算,使得软硬件实现都实际可行;对任意给定的码h,寻求x使得H(x)=h在计算上是不可行的(单向性);任意给定分组x,寻求不等于x的y,使得H(y)=H(x)在计算上不可行(弱抗攻击性);寻求对任何的(x,y)对使得H(x)=H(y)在计算上不可行(强抗攻击性);慑彼帖页呸堑焙邪脊赴妓肌莹襄绝泞概煎瑚鉴霸涪蓬哩吵些颇喜坤欺翻掩认证、哈希算法认证、哈希算法7Hash函数设计原理生日攻击(基于生日悖论)在k个人中,,只需k>183;而在此人群中,,只需k>、哈希算法认证、哈希算法bY0nfbY1nfbYL-1nCVL-1fCV1nnIV=初始值CV=链接值Yi=第i个输入数据块f=压缩算法n=散列码的长度b=输入块的长度8安全杂凑算法的一般结构CVLCV0=IV=initialn-bitvalueCVi=f(CVi-1,Yi-1)(1iL)H(M)=CVL藕避佬柜芹亦疾戎斗曙毯睛掣燕凸馆荔帖捉甩滑郁蓄进奈擞撞呕育暖试悼认证、哈希算法认证、哈希算法