散列函數(shù)與數(shù)字簽名.ppt

《散列函數(shù)與數(shù)字簽名.ppt》由會(huì)員分享，可在線閱讀，更多相關(guān)《散列函數(shù)與數(shù)字簽名.ppt（48頁珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、信息安全概論,電子科技大學(xué)出版社 2007年8月,2020/7/20,1,2020/7/20,第五章 散列函數(shù)與數(shù)字簽名,5.1 概述 5.2 消息摘要 5.3 消息認(rèn)證 5.4 數(shù)字簽名 5.5 小結(jié),2,5.1 概述消息摘要,消息摘要（消息的數(shù)字指紋）是數(shù)字簽名體系中實(shí)現(xiàn)信息完整性保障的技術(shù)。 消息摘要的工作原理：將消息作為Hash函數(shù)的輸入數(shù)據(jù)，生成定長(zhǎng)的輸出數(shù)據(jù)（即消息摘要），并將其作為消息的附加信息。 Hash函數(shù)有兩個(gè)基本特性： 輸入數(shù)據(jù)的任何細(xì)微變化將導(dǎo)致輸出數(shù)據(jù)的巨大改變 難以進(jìn)行逆運(yùn)算 利用這兩個(gè)特性，消息接收方根據(jù)消息摘要能驗(yàn)證收到的消息在傳輸過程中是否發(fā)生了改變，從而驗(yàn)證

2、了消息的完整性和有效性。,2020/7/20,3,5.1 概述公開密鑰技術(shù),公開密鑰技術(shù)是數(shù)字簽名體系中進(jìn)行身份認(rèn)證和保障不可抵賴性的主要技術(shù)。 在公鑰加密技術(shù)中，利用發(fā)送者A的私鑰加密的信息只有用發(fā)送者A的公鑰才能解密。 在A的私鑰沒有泄露的情況下，如果一個(gè)經(jīng)某私鑰加密的信息能被A的公鑰解密，那么就說明該私鑰屬于A，從而可以確定該信息是由A發(fā)出的。（A無法抵賴） 同理，別人也無法冒充A發(fā)送信息，因?yàn)樗麤]有A的私鑰。,2020/7/20,4,2020/7/20,5.1 概述數(shù)字簽名,信息完整性和不可抵賴性是信息安全的兩個(gè)基本要素。 數(shù)字簽名技術(shù)通過結(jié)合消息摘要技術(shù)和公開密鑰技術(shù)，保證了不可靠網(wǎng)

3、絡(luò)中傳輸?shù)男畔⒌耐暾院涂狗裾J(rèn)性。 數(shù)字簽名的大致步驟 發(fā)送方利用Hash函數(shù)對(duì)待發(fā)消息M進(jìn)行摘要處理，生成一個(gè)固定長(zhǎng)度的消息摘要H(M)。 用自己的私鑰對(duì)該消息摘要（即一個(gè)hash值）進(jìn)行加密，形成發(fā)送方的一個(gè)數(shù)字簽名。（這個(gè)數(shù)字簽名作為消息的附件隨消息一起發(fā)送到接收方。） 接收方利用數(shù)字簽名中的消息摘要對(duì)消息的完整性進(jìn)行判斷，利用發(fā)送方的公鑰對(duì)發(fā)送方進(jìn)行身份認(rèn)證和保證抗否認(rèn)性。,5,圖5.1 數(shù)字簽名過程,5.2 消息摘要,5.2.1 Hash函數(shù)的概念和原理 5.2.2 MD5算法 5.2.3 SHA-1算法 5.2.4 MD5和SHA-1算法的比較 5.2.5 HMAC算法,2020/

4、7/20,6,2020/7/20,5.2 消息摘要概述,在通信過程中，信息的完整性是信息安全保證的重要指標(biāo)。 信息完整性是指信息在存儲(chǔ)和傳輸過程中不被非法篡改、破壞、增刪，能真實(shí)無誤地到達(dá)目的地的特性。 消息摘要是保證信息完整性的基本技術(shù)之一，Hash函數(shù)則是消息摘要技術(shù)的核心內(nèi)容。 目前最典型的兩個(gè)Hash算法：MD5算法和SHA-1算法。,7,2020/7/20,5.2.1 Hash函數(shù)的概念,Hash函數(shù)的定義 把可變長(zhǎng)度的輸入數(shù)據(jù)轉(zhuǎn)換成固定長(zhǎng)度的輸出數(shù)據(jù)的一種函數(shù)。這個(gè)定長(zhǎng)的輸出數(shù)據(jù)稱為輸入數(shù)據(jù)的消息摘要，也稱為散列值、哈希值或數(shù)字指紋。 Hash函數(shù)具有單向性 指從輸入數(shù)據(jù)很容易計(jì)算

5、其Hash值，但通過Hash值想找到其對(duì)應(yīng)的輸入數(shù)據(jù)是很困難的。 也就是說，要找到一個(gè)輸入數(shù)據(jù)使其Hash值等于一個(gè)特定值是很困難的。 一個(gè)好的Hash函數(shù)也是無碰撞的 即很難產(chǎn)生兩個(gè)輸入數(shù)據(jù)，使它們的Hash值相同。,8,5.2.1 Hash函數(shù)的性質(zhì),一個(gè)典型的Hash函數(shù)應(yīng)具有下列特性： 單向性：已知Hash函數(shù)的輸出c=hash(m) ，要求它的輸入m是困難的。 快速性：已知輸入m，計(jì)算hash(m)是容易的。 抗碰撞性：已知hash(m1)=c1，構(gòu)造m2使hash(m2)=c1是困難的。 雪崩性：c=hash(m)，c的每一比特都與m的每一比特有關(guān)，具有高度敏感性。 輸入數(shù)據(jù)沒有長(zhǎng)

6、度限制：對(duì)輸入任何長(zhǎng)度的數(shù)據(jù)能夠生成該輸入消息固定長(zhǎng)度的輸出。,2020/7/20,9,5.2.1 Hash函數(shù)的例子,一個(gè)最簡(jiǎn)單的Hash函數(shù)的例子 將輸入數(shù)據(jù)M分成n個(gè)等長(zhǎng)的分組Mi(1in)，然后對(duì)每個(gè)分組按位進(jìn)行異或運(yùn)算，得到的結(jié)果便為其消息摘要。,2020/7/20,10,圖5.2 簡(jiǎn)單的Hash函數(shù)示例,2020/7/20,5.2.1 Hash函數(shù)的攻擊方法,Hash函數(shù)的安全性取決于其抗各種攻擊的能力。 攻擊者的目標(biāo)通常是找到兩個(gè)不同消息映射為同一值。一般假定攻擊者知道Hash算法。 攻擊Hash函數(shù)有兩種基本方法，都屬于選擇明文攻擊。 窮舉攻擊法(Exhaustive Atta

7、ck) 生日攻擊(Birthday Attack) 窮舉攻擊法 給定H=h(M)，其中H為初值，攻擊者在所有可能的M中尋求有利于攻擊者的M，使h(M)=h(M)，由于限定了目標(biāo)h(M)來尋找M，這種攻擊又稱為目標(biāo)攻擊法。,11,2020/7/20,5.2.1 Hash函數(shù)的生日攻擊法,生日攻擊法可用于攻擊任何Hash算法，它只依賴于消息摘要的長(zhǎng)度，即Hash值的長(zhǎng)度。 生日攻擊基于生日悖論。 在一個(gè)教室中，找一個(gè)與某人生日相同的概率不小于0.5時(shí)，所需學(xué)生為183人。 在一個(gè)教室中，至少有兩個(gè)學(xué)生的生日在同一天的概率不小于0.5的學(xué)生人數(shù)僅為23人。 對(duì)于n比特Hash值的生日攻擊，當(dāng)進(jìn)行2n

8、/2次的選擇明文攻擊下成功的概率將超過0.63 。,12,2020/7/20,5.2.1 Hash函數(shù)的生日攻擊法,生日攻擊對(duì)Hash函數(shù)提出了一個(gè)必要的安全條件，即消息摘要必須足夠的長(zhǎng)。 一個(gè)40比特長(zhǎng)的消息摘要是很不安全的，因?yàn)閮H僅用220 (大約一百萬)次隨機(jī)Hash可至少以1/2的概率找到一個(gè)碰撞。 為了抵抗生日攻擊，通常建議消息摘要的長(zhǎng)度至少應(yīng)選取為128比特，此時(shí)生日攻擊需要約264次Hash。 統(tǒng)計(jì)結(jié)果表明：當(dāng)hash值的長(zhǎng)度為128比特時(shí)，則任意兩個(gè)報(bào)文M1和M2具有相同hash值的概率接近于零。 安全Hash標(biāo)準(zhǔn)的輸出長(zhǎng)度選為160比特。,13,2020/7/20,Hash函

9、數(shù)的單向性和抗碰撞性使Hash函數(shù)適用于加密與認(rèn)證機(jī)制。 UNIX系統(tǒng)一直使用Hash函數(shù)進(jìn)行口令認(rèn)證，系統(tǒng)并不直接存儲(chǔ)用戶的登錄口令明文，而是存儲(chǔ)其Hash值。 用戶登錄時(shí)，系統(tǒng)對(duì)其輸入的口令進(jìn)行Hash值計(jì)算，如果結(jié)果與系統(tǒng)中存儲(chǔ)的Hash值匹配，則允許該用戶登錄系統(tǒng)。 這種機(jī)制還實(shí)現(xiàn)了對(duì)用戶口令的保密，因?yàn)榧词构粽哌M(jìn)入系統(tǒng)竊取了用戶口令的Hash值，他也無法通過其計(jì)算出用戶口令。 Hash函數(shù)的雪崩性則使其適用于數(shù)據(jù)完整性的保障機(jī)制中。,14,5.2.1 Hash函數(shù)的應(yīng)用,5.2.1 Hash函數(shù)的分類,Hash函數(shù)按其是否有密鑰控制分為兩大類 一類有密鑰控制稱為密碼Hash函數(shù)。密

10、碼Hash函數(shù)的Hash值不但與輸入數(shù)據(jù)有關(guān)，還與密鑰有關(guān)，因此具有認(rèn)證功能。 一類沒有密鑰控制稱為一般Hash函數(shù)，一般Hash函數(shù)的Hash值只與輸入數(shù)據(jù)有關(guān)，因此不具備認(rèn)證功能，只用于檢測(cè)輸入數(shù)據(jù)的完整性，一般與公鑰加密技術(shù)結(jié)合使用。典型的Hash算法有MD5和SHA等。,2020/7/20,15,2020/7/20,5.2.2 MD5算法簡(jiǎn)介,MD5(Message-Digest Algorithm 5)在90年代初由MIT的計(jì)算機(jī)科學(xué)實(shí)驗(yàn)室和RSA Data Security Inc發(fā)明，經(jīng)MD2、MD3和MD4發(fā)展而來。 MD5將任意長(zhǎng)度的輸入消息變換成一個(gè)128bit的大整數(shù)，并

11、且它是一個(gè)不可逆的變換算法。 MD5的典型應(yīng)用是對(duì)一段信息（Message）產(chǎn)生信息摘要（Message-Digest），以防止被篡改。 MD5還廣泛用于加密技術(shù)上。比如在UNIX系統(tǒng)中用戶的密碼就是經(jīng)MD5（或其它類似的算法）加密后存儲(chǔ)在文件系統(tǒng)中。,16,2020/7/20,5.2.2 MD5算法的工作原理,17,圖5.3 MD5算法處理過程,5.2.2 MD5算法的具體過程,（1）信息填充 對(duì)輸入信息進(jìn)行填充，使信息長(zhǎng)度為512比特（分組長(zhǎng)度）的整數(shù)倍。 （2）初始化鏈接變量(Chaining Variable) 4個(gè)32位整型參數(shù)A, B, C, D （3）循環(huán)處理 以A, B, C,

12、 D作為輸入?yún)?shù)，對(duì)填充后信息的每個(gè)分組進(jìn)行四輪循環(huán)處理，每輪循環(huán)對(duì)分組進(jìn)行16次操作。,2020/7/20,18,2020/7/20,5.2.2 MD5算法信息填充,信息填充 在信息的后面填充一個(gè)1和若干個(gè)0，直到信息長(zhǎng)度擴(kuò)展至512n+448比特為止。 然后在其后附加一個(gè)64比特的數(shù)據(jù)，此數(shù)據(jù)表示填充前信息的長(zhǎng)度。此時(shí)信息的比特長(zhǎng)度恰好是512的整數(shù)倍。 填充后將消息被劃分成若干個(gè)512位的分組，每一分組又被劃分為16個(gè)32位子分組。這些分組即為算法后續(xù)循環(huán)處理的輸入信息。,19,5.2.2 MD5算法初始化鏈接變量,初始化鏈接變量 MD5算法中有A、B、C、D四個(gè)變量，最初存放的4個(gè)3

13、2位整數(shù)被稱作鏈接變量，鏈接變量初始化為如下值： A=0 x01234567 B=0 x89abcdef C=0 xfedcba98 D=0 x76543210 當(dāng)設(shè)置好這四個(gè)鏈接變量后，就開始進(jìn)入算法的循環(huán)處理。,2020/7/20,20,5.2.2 MD5算法循環(huán)處理,循環(huán)處理 消息的每一個(gè)分組均經(jīng)過4輪循環(huán)處理，處理前將緩沖區(qū)A、B、C、D的內(nèi)容作為輸入?yún)?shù)，處理后的結(jié)果再加入到A、B、C、D中去。,2020/7/20,21,5.2.2 MD5算法循環(huán)處理,每輪循環(huán)處理 每輪循環(huán)對(duì)一個(gè)分組進(jìn)行16次操作。每次操作對(duì)a, b, c和d中的其中三個(gè)作一次非線性函數(shù)運(yùn)算，然后將所得結(jié)果加上第四

14、個(gè)變量、分組的一個(gè)子分組和一個(gè)常數(shù)。再將所得結(jié)果循環(huán)左移，并加上a, b, c或d中之一。最后用該結(jié)果取代a, b, c或d中之一。,2020/7/20,22,2020/7/20,5.2.3 SHA-1算法,安全哈希算法SHA ( Secure hash Algorithm) 由美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)局NIST ( National Institute of Standards Technology)在MD4的基礎(chǔ)上開發(fā)出來的。 SHA于1993作為聯(lián)邦消息處理標(biāo)準(zhǔn)(FIPS PUB 180)公布。在1995年出版了改進(jìn)版本FIPS PUB 181，叫做SHA-1。 SHA-1算法允許的最大輸入報(bào)文

15、的長(zhǎng)度不超過264位，輸出160比特的報(bào)文摘要。 SHA算法同樣以512位分組為單位進(jìn)行處理。,23,5.2.3 SHA-1算法的具體過程,1.信息填充 填充方法與MD5算法相同。 2.初始化消息摘要(MD)緩存器 使用由5個(gè)32位寄存器組成的160位緩存來存放中間結(jié)果和最終散列值。 3.摘要處理 處理核心是一個(gè)4個(gè)循環(huán)的壓縮函數(shù)模塊，其中每個(gè)循環(huán)由20個(gè)處理步驟組成。,2020/7/20,24,2020/7/20,5.2.4 MD5算法和SHA-1算法的比較,MD5和SHA-1都屬于MD4的改進(jìn)版本，它們之間的比較如下表所示。,25,5.2.5 HMAC算法,2020/7/20,26,HMA

16、C在SSL協(xié)議采用。 HMAC算法步驟： （1）密鑰變換：使密鑰k與消息塊l等長(zhǎng)。 （2）異或：ipad=0 x363636 （3）消息級(jí)聯(lián) （4）計(jì)算消息摘要 （5）異或：opad=0 x5A5A5A （6）消息級(jí)聯(lián) （7）輸出最終結(jié)果,5.3 消息認(rèn)證,5.3.1 消息認(rèn)證概述 5.3.2 采用Hash函數(shù)的消息認(rèn)證 5.3.3 采用MAC的消息認(rèn)證,2020/7/20,27,2020/7/20,5.3.1 消息認(rèn)證概述,消息認(rèn)證的定義 使消息接收者能驗(yàn)證收到的消息在傳輸過程中有沒有被篡改、偽造和假冒，消息的完整性和有效性是否被破壞的過程。 消息認(rèn)證的兩種模式 采用Hash函數(shù) 采用消息認(rèn)

17、證碼MAC(Message Authentication Code) 區(qū)別：是否需要密鑰的參與,28,2020/7/20,5.3.2 采用Hash函數(shù)的消息認(rèn)證,消息認(rèn)證方式一：明文,29,特點(diǎn)？,5.3.2 采用Hash函數(shù)的消息認(rèn)證,消息認(rèn)證方式二：加密消息,2020/7/20,30,特點(diǎn)？,5.3.2 采用Hash函數(shù)的消息認(rèn)證,消息認(rèn)證方式三：加密全部,2020/7/20,31,特點(diǎn)？,5.3.3 采用MAC的消息認(rèn)證,消息認(rèn)證碼MAC的概念 消息認(rèn)證碼MAC是由可變長(zhǎng)度的消息M和收發(fā)雙方共享的密鑰K產(chǎn)生的定長(zhǎng)函數(shù)值MAC=f(K, M) 。 舉例：基于DES的消息認(rèn)證碼 DES算法可

18、用于生成消息認(rèn)證碼，可使用密文的后若干位作為消息認(rèn)證碼。 MAC函數(shù)類似于加密。它與加密的區(qū)別是MAC函數(shù)不可逆。由于認(rèn)證函數(shù)的這個(gè)數(shù)學(xué)性質(zhì)使得它比加密函數(shù)更不容易破解。,2020/7/20,32,5.3.3 采用MAC的消息認(rèn)證,消息認(rèn)證方式一：明文,2020/7/20,33,5.3.3 采用MAC的消息認(rèn)證,消息認(rèn)證方式二：加密消息,2020/7/20,34,5.3.3 采用MAC的消息認(rèn)證,消息認(rèn)證方式三：加密全部,2020/7/20,35,5.4 數(shù)字簽名,5.4.1 基本概念 5.4.2 RSA簽名算法 5.4.3 DSA簽名算法 5.4.4 多重?cái)?shù)字簽名 5.4.5 不可抵賴數(shù)字簽

19、名 5.4.6 數(shù)字盲簽名,2020/7/20,36,2020/7/20,5.4.1 基本概念,數(shù)字簽名的定義 首先，數(shù)字簽名不是將手寫的簽名經(jīng)過掃描儀掃描后輸入電腦。 電子簽名法：數(shù)據(jù)電文中以電子形式所含（所附）、用于識(shí)別簽名人身份、并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)。 數(shù)字簽名是一串?dāng)?shù)據(jù)，該數(shù)據(jù)僅能由簽名人生成，并且該數(shù)據(jù)能夠表明簽名人的身份。 數(shù)字簽名的作用 確認(rèn)信息發(fā)送者，提供身份認(rèn)證和不可抵賴性。 與傳統(tǒng)文件中的手寫簽名具有同等法律效力。,37,5.4.1 基本概念,數(shù)字簽名無法用消息認(rèn)證碼代替 假設(shè)Alice和Bob正通過網(wǎng)絡(luò)完成一筆交易，那么可能出現(xiàn)兩種欺騙： （1）Bob偽造一個(gè)消

20、息并使用與Alice共享的密鑰K產(chǎn)生該消息的認(rèn)證碼，然后聲稱該消息來自于A。但實(shí)際上Alice并未發(fā)送任何消息。 （2）既然Bob有可能偽造Alice發(fā)來的消息，那么Alice就可以對(duì)自己發(fā)過的消息予以否認(rèn)。 這兩種欺騙在實(shí)際應(yīng)用中都有可能發(fā)生。雙方爭(zhēng)執(zhí)不下而對(duì)簿公堂，但如果沒有更有效的機(jī)制避免這種爭(zhēng)端，法庭根本無法作出仲裁。,2020/7/20,38,5.4.1 基本概念,數(shù)字簽名必須具有以下特點(diǎn) 發(fā)送方必然產(chǎn)生自己獨(dú)有的信息來簽名以防止偽造和否認(rèn)。 這種簽名很容易產(chǎn)生。 對(duì)于接收方，應(yīng)該很容易驗(yàn)證簽名的真?zhèn)巍?對(duì)于給定的x，找出y(yx)使得簽名Sig(y) = Sig(x)在計(jì)算上是不可

21、行的。 找出任意兩個(gè)不同的輸入x、y，使得Sig(y) = Sig(x)在計(jì)算上是不可行的。,2020/7/20,39,2020/7/20,5.4.1 基本概念,數(shù)字簽名體制的組成 簽名生成算法：對(duì)消息m的簽名可記為Sig(m)=s。簽名密鑰是秘密的。 簽名驗(yàn)證算法：對(duì)簽名s的驗(yàn)證可記為Ver(s)=真，偽=0, 1。驗(yàn)證密鑰應(yīng)當(dāng)公開。 常用的數(shù)字簽名體制 RSA簽名體制 DSA簽名體制 ElGamal簽名體制 Rabin簽名體制,40,2020/7/20,5.4.1 基本概念,數(shù)字簽名的分類 直接數(shù)字簽名：發(fā)送者直接把消息和簽名發(fā)送給接收者，接收者直接利用發(fā)送者公鑰驗(yàn)證簽名。 基于仲裁的數(shù)字

22、簽名：發(fā)送者把消息和簽名經(jīng)由稱做仲裁者的可信第三方發(fā)送給接收者。接收者不能直接地驗(yàn)證簽名，簽名的合法性是通過仲裁者來檢驗(yàn)。,41,2020/7/20,5.4.1 基本概念,數(shù)字簽名與手寫簽名的區(qū)別 簽名綁定方式：手寫簽名與文件自然綁定；數(shù)字簽名中簽名和消息需要借助算法綁定。 簽名偽造難易程度：手寫簽名相對(duì)不安全，比較容易被偽造；數(shù)字簽名過程需用到簽名者的私鑰，簽名難以偽造。 簽名復(fù)制難易程度：手寫簽名難以拷貝，因?yàn)槭謱懞灻截惾菀着c原簽名區(qū)別開來；數(shù)字簽名容易被拷貝，因?yàn)橛行?shù)字簽名的拷貝同樣有效，這就需要在消息中包涵其它信息（時(shí)間戳）來阻止數(shù)字簽名的重復(fù)使用。,42,2020/7/20,5.

23、4.2 RSA簽名體制,43,簽名生成過程,簽名驗(yàn)證過程,5.4.3 DSA簽名算法,,2020/7/20,44,5.4.4 多重?cái)?shù)字簽名,應(yīng)用場(chǎng)景 需要兩個(gè)或多個(gè)人同時(shí)對(duì)一份文件進(jìn)行簽名。,2020/7/20,45,5.4.5 不可抵賴數(shù)字簽名,應(yīng)用場(chǎng)景 在沒有簽名方的同意下，接收方不能把簽名給第三者看。 算法思想 （1）Alice向Bob出示一個(gè)簽名。 （2）Bob產(chǎn)生一個(gè)隨機(jī)數(shù)并送給Alice。 （3）Alice利用隨機(jī)數(shù)和其私鑰進(jìn)行計(jì)算，并將計(jì)算結(jié)果發(fā)送給Bob。Alice只能計(jì)算該簽名是否有效。 （4）Bob確認(rèn)這個(gè)結(jié)果。,2020/7/20,46,5.4.6 數(shù)字盲簽名,應(yīng)用場(chǎng)景 希望Bob對(duì)文件簽名，但不希望他知道文件的（準(zhǔn)確）內(nèi)容。（采用“分割選擇技術(shù)”） 算法原理,2020/7/20,47,2020/7/20,作業(yè),P90：2，5，7,48,