第3章信息认证技术

第3章信息认证技术第三章信息认证技术•3.1概述•3.2哈希函数•3.3消息认证技术•3.4数字签名•3.5身份认证第3章信息认证技术3.1概述•在网络通信和电子商务中很容易发生如下问题。1．否认，发送信息的一方不承认自己发送过某一信息。2．伪造，接收方伪造一份文件，并声称它来自某发送方的。3．冒充，网络上的某个用户冒充另一个用户接收或发送信息。4．篡改，信息在网络传输过程中已被篡改，或接收方对收到的信息进行篡改。用数字签名（DigitalSignature）可以有效地解决这些问题。数字签名就是主要用于对数字信息进行的签名，以防止信息被伪造或篡改等。第3章信息认证技术3.1概述•一个安全的认证系统应满足以下条件：（1）合法的接收者能够检验所接收消息的合法性和真实性。（2）合法的发送方对所发送的消息无法进行否认。（3）除了合法的发送方之外，任何人都无法伪造、篡改消息。第3章信息认证技术3.2哈希函数•哈希函数，单向散列函数•基本思想–输入任意长度的消息M，产生固定长度的数据输出。向hash函数输入一任意长度的信息M时，hash函数将输出一固定长度为m的散列值h。即：h=H(M)第3章信息认证技术性质：固定长度输出散列值h。给定M，很容易计算h。给定h，根据H(M)＝h计算M很难。给定M，找到另一消息M’，满足H(M)＝H(M’)，在计算上是不可行的---弱抗碰撞性。对于任意两个不同的消息M≠M’，它们的散列值不可能相同---强抗碰撞性。注：碰撞性是指对于两个不同的消息M和M’，如果它们的摘要值相同，则发生了碰撞。3.2哈希函数第3章信息认证技术安全散列函数的一般结构与分组对称密码的CBC模式非常相似。函数的输入M被分为b位的L个分组Y0,Y1,..YL-1，以及n位链接变量初值V0，通常bn。反复调用压缩函数f：Vi=f(Yi-1,Vi-1)，i=1,2,..L。f输出Vi仍然是n位。M的散列值H(M,V0)=VL算法的核心是压缩函数f在对M的分组中，最后一组YL-1不足b位时填充0或者1将其补足。通常还将M的长度填充到最后一个分组中。fY0V0fY1V1fYL-1VL-1VL安全散列函数的一般结构第3章信息认证技术•常用的哈希函数–MD5–SHA-1–RIPEMD-160–等等第3章信息认证技术MD5算法•麻省理工学院RonRivest提出，可将任意长度的消息经过变换得到一个128位的散列值。•MD5算法：–MD5以512位分组来处理输入的信息，每一分组又被划分为16个32位子分组，经过了一系列的处理后，算法的输出由四个32位分组组成，将这四个32位分组级联后生成128位散列值。MD5产生消息摘要的过程第3章信息认证技术MD5算法实现逻辑由4个步骤组成：S1：消息分组与填充。（1）将输入信息M按顺序每512位一组进行分组：M=M1，M2，…，Mn-1，Mn（2）将信息M的Mn长度填充为448位。当Mn长度L（bit为单位）448时，在信息Mn后加一个“1”，然后再填充447-L个“0”，使最后的信息Mn长度为448位。当Mn长度L448时，在信息Mn后加一个“1”，然后再填充512-L+447个“0”，使最后的信息Mn长度为512位，Mn+1长度为448位最后一个分组的后64位为M的位长度（低字节优先）。S2：缓冲区初始化。MD5算法使用128位缓冲区存放处理过程的中间结果和最后的消息摘要值。这128位缓冲分为4个32位逻辑寄存器A、B、C、D。每个寄存器以Little-Endian存放数据，其初始值为：A=0x1234567，B=0x89abcdef，C=0xfedcba98，D=0x7543210这四个32位变量被称为链接变量，它们始终参与运算并形成最终的散列值。第3章信息认证技术S3：对每个分组Mi进行压缩处理HMD5。HMD5是算法核心。HMD5内部有4轮处理过程。每轮处理结构一样，但使用的位逻辑函数不同，分别表示为F、G、H、I。每轮处理的输入是当前正在处理的512位分组、128位缓冲区(A、B、C、D)的当前值和常量表T中四分之一的常数，即分别为T[1..16]、T[17…32]、T[33…48]、T[49...64]。第4轮处理的输出再与第1轮的输入CVq按照4个32位字进行模232相加，结果即为压缩函数HMD5对当前512位分组的输出。常量表T=T[1,…64]中各元素：T[i]=int(232×abs(sin(i)))，为32位整型数。T作为予置的常数表，其作用是随机化32位整型量，消除输入数据的规律性。压缩函数HMD5每轮处理细节由对128位缓冲区(A、B、C、D)的16步迭代构成，每一步运算如下：a←B+CLS(s,A+g(B,C,D)+X[k]+T[i]))其中，+为模232加法，CLS(s,w)是对32位字w循环左移s位。位逻辑函数g分别取F、G、H、I之一，X[k]=M[q×16+k]，即消息的第q个分组中第k个32位字(k=1,2,..16)。512位分组的压缩处理HMD5HMD5中每步的逻辑运算第3章信息认证技术位逻辑运算函数F、G、H、I定义如下：F(x,y,z)=(x&y)|((~x)&z)G(x,y,z)=(x&z)|(y&(~z))H(x,y,z)=x⊕y⊕zI(x,y,z)=z⊕(y&(~z))上图中ρj(i)表示各轮处理中使用16个32位字的不同次序（j=2,3,4）。其中第1轮按照初始次序；第2、3、4轮按照下式对(1,2,..16)进行置换：ρ2(i)=（1+5*i）mod16ρ3(i)=（5+3*i）mod16ρ4(i)=(7*i)mod16S4：将消息M的L个分组处理完毕，最后一个分组处理的输出即为消息M的摘要。因此，第3、4步可以总结为：CV0=V1CVq+1=CVq+RFI(Yq,RFH(Yq,RFG(Yq,RFF(Yq,CVq))))q=1,2,..(L-1)MD=CVL其中RFX()为与位逻辑函数X结合的轮处理过程(X=F、G、H、I)，+为对应32位字模232加法。V1取缓冲区(A、B、C、D)的初值。第3章信息认证技术MD5算法的核心处理HMD5中重复进行位逻辑运算F、G、H、I，使得最终输出的摘要中每一位与输入消息中所有位相关，因此达到很好的混淆效果。MD5在数据处理中广泛使用。例如：用户口令可以用MD5码值秘密存储。当用户输入口令时先转换为对应MD5码值，在和系统保存的密码MD5值进行比较(Linux)。这样系统在未知用户口令的情况下即可实现对口令的验证，同时用户口令对于系统管理员也是未知的。第3章信息认证技术•SHA(SecureHashAlgorithm)是美国国家标准与技术研究所（NIST）提出，于1993年作为联邦信息处理标准（FIPS180）发布的，1995年又发布了其修订版（FIPS180-1），通常称为SHA-1。•与MD5相比，SHA-1生成160位的消息摘要，执行速度有所降低，却被认为更安全。明文消息的最大长度可达到264位。3.2.3SHA-1算法第3章信息认证技术•与MD5算法类似，SHA-1算法也需要对消息进行填充补位。•补位是这样进行的：先添加一个1，然后再添加多个0，使得消息长度满足对512取模后余数是448。•SHA-1的中间结果和最终结果保存在160位的缓冲区中，缓冲区用5个32位的变量表示，这些变量初始化为：A=0x67452301B=0xefcdab89C=0x98badcfeD=0x10325476E=0xc3d2e1f03.2.3SHA-1算法第3章信息认证技术A第1轮DCB第2轮第4轮E+++第3轮++ADCBESHA-1的主循环3.2.3SHA-1算法第3章信息认证技术79605940))()()(3920190))(()(),,(tZYXtZYZXYXtZYXtZXYXZYXftSHA-1的非线性函数3.2.3SHA-1算法第3章信息认证技术•对512位的消息进行处理，将其从16个32位的消息分组变成80个32位的消息分组。•用到的80对常数：79...,17,161)(15...,,1,0161483，当当tMMMMtMWtttttt3.2.3SHA-1算法79606162059401803920196019082799950tdcxcatbbcdcfxtebaedxtaxKt第3章信息认证技术SHA-1的基本操作过程a非线性函数+++KtWt5+bcdabcde30e3.2.3SHA-1算法第3章信息认证技术•1981年，NIST发布FIPS180-2，新增了三个哈希函数，分别为SHA-256，SHA-384，SHA-512，其散列值的长度分别为256,384,512。同时，NIST指出FIPS180-2的目的是要与使用AES而增加的安全性相适应。SHA-1SHA-256SHA-384SHA-512散列值长度160256384512消息大小26426421282128分组大小51251210241024字长32326464步数808080803.2.3SHA-1算法第3章信息认证技术3.3消息认证技术•网络传输过程中信息保密性的要求：(1)对敏感的数据进行加密，即使别人截获文件也无法得到真实内容。(2)保证数据的完整性，防止截获人对数据进行篡改。(3)对数据和信息的来源进行验证，以确保发信人的身份。•消息认证是指使合法的接收方能够检验消息是否真实的方法。检验内容包括验证通信的双方和验证消息内容是否伪造或遭篡改。第3章信息认证技术常见的认证函数：(1)消息加密：将整个消息的密文作为认证码。(2)哈希函数：通过哈希函数使消息产生定长的散列值作为认证码。(3)消息认证码（MAC）：将消息与密钥一起产生定长值作为认证码。3.3消息认证技术第3章信息认证技术消息M加密E(·)密钥KInternet解密D(·)密钥K消息M基于对称密钥加密的消息认证过程3.3消息认证技术(1)消息加密认证第3章信息认证技术添加校验码的消息认证过程消息M加密E(·)密钥KInternet解密D(·)密钥K消息MF(M)F(M)消息MF(·)F(·)Match?3.3消息认证技术(1)消息加密认证第3章信息认证技术基于公钥加密的消息认证过程加密E(·)Internet解密D(·)消息M消息M加密E(·)密钥KAS解密D(·)密钥KBP密钥KBS密钥KAP(1)消息加密认证3.3消息认证技术第3章信息认证技术使用哈希函数的消息认证过程InternetH(M)消息M密钥K解密D(·)密钥KH加密E(·)H(M)EK(H(M))消息MEK(H(M))消息MHH(M)Match?3.3消息认证技术(2)哈希函数认证第3章信息认证技术保证机密性的哈希函数消息认证过程Internet消息M密钥K解密D(·)密钥KH加密E(·)H(M))消息MMatch?EK(M||H(M))EK(M||H(M))H(M))消息MHH(M))(2)哈希函数认证3.3消息认证技术第3章信息认证技术混合加密认证(2)哈希函数认证3.3消息认证技术Internet消息M密钥KH||H(M)消息M密钥KASEKAS(H(M))消息MEKAS(H(M))加密E(·)加密E(·)密钥KBP密文1密文2密文1密文2密钥K解密D(·)解密D(·)密钥KBS消息MEKAS(H(M))HH(M)加密E(·)解密D(·)密钥KAPH(M)Match?发送方接收方第3章信息认证技术•MAC函数与加密函数相似之处在于使用了密钥，但差别在于加密函数是可逆的，而MAC函数可以是单向的，它无需可逆，因此比加密更不容易破解。•哈希函数同样也可以用来产生消息认证码。–假设Ｋ是通信双方Ａ和Ｂ共同拥有的密钥，A要发送消息M给B，在不需要进行加密的条件下，A只需将M和K合起来一起通过哈希函数计算出其散列值，即H(M||K)，该散列值就是M的消