第5章報文鑒別與散列函數內容鑒別的需求；散列函數；報文鑒別碼簽名5.1鑒別的需求網絡通信環境中會受到下列攻擊泄露;通信量分析：連接的頻率和持續的時間、報文數量等。偽裝：假源點;內容篡改:修改內容;

序號篡改:增刪內容;

計時篡改：報文回放;

抵賴：終點否認收到、源點否認發送過。

5.2鑒別函數鑒別函數：用來產生用于鑒別一個報文的值：鑒別符。鑒別符用于鑒別報文在通信過程中是否被篡改、刪除和修改等。產生鑒別符的幾類函數：報文加密:以整個報文作為它的鑒別符號報文鑒別碼(MAC)散列函數鑒別函數-報文加密對稱加密：提供保密：僅源點和終點共享K。一定程度的鑒別：僅來自源點。不提供簽名：接收人可以偽造、發送人可以否認。EMMDKKEk(M)鑒別函數-報文加密私鑰加密：提供鑒別和簽名：僅源點有私鑰KS。任何一方都能用公開密鑰Kp脫密。EMMDKsKpEKs(M)鑒別函數-報文加密公開密鑰加密：提供報密：僅終點有脫密的私鑰KS。不提供簽名：接收人可以偽造、發送人可以否認。EMMDKpKSEKp(M)鑒別函數-報文加密對稱密鑰加密：提供保密：BKp鑒別與簽名：AKsEMMDAKsBKsEBKp(EAKs(M))EBKpABDAKp為什么需要報文鑒別EMMDKKY=Ek(M)Z≠Ek(M)NDK消息鑒別VS常規加密保密性與真實性是兩個不同的概念根本上,信息加密提供的是保密性而非真實性加密代價大(公鑰算法代價更大)鑒別函數與保密函數的分離能提供功能上的靈活性某些信息只需要真實性,不需要保密性

–

廣播的信息難以使用加密(信息量大)

–

網絡管理信息等只需要真實性

–

政府/權威部門的公告為什么需要報文鑒別碼加密與鑒別分離，使得結構靈活。例如：應用層鑒別，底層加密；減少工作量，驗證鑒別碼較容易；監控計算機程序，防止程序被修改，但裝載時不要對程序解密。報文鑒別碼MACMAC，也稱為密碼檢驗和，由如下形式的函數C生成: MAC=Ck(M)其中M是變長的報文K是僅由收發雙方共享的密鑰Ck{M)是定長的鑒別符。當報文確信或已知是正確時，終點每次將MAC附加到報文中。接收者通過重新計算MAC來對報文進行鑒別。5.2.2散列函數(HashFunction)

散列函數的定義散列函數：M:變長報文H(M):定長的散列碼(報文摘要）主要用于為文件、報文或其它分組數據產生指紋散列函數的說明H(M):輸入為任意長度的消息M;輸出為一個固定長度的散列值，稱為消息摘要(MessageDigest）H(M)是消息M的所有位的函數并提供錯誤檢測能力：消息中的任何一位或多位的變化都將導致該散列值的變化H(M)又稱為：哈希函數、數字指紋（Digitalfingerprint)、壓縮（Compression)函數、數據鑒別碼（Dataauthenticationcode）等HashvsMACMAC需要對全部數據進行加密MAC速度慢Hash是一種直接產生鑒別碼的方法散列函數方法(a)提供了保密和鑒別。MH||EDMHEk[M||H(M)]kkH(M)比較散列函數方法(b)散列與加密結果合并為一個整體函數實際上就是一個MAC。E[H(M)]是變長報文M和密鑰K的函數值，且它生成一個定長的輸出，對不知道該密鑰的對手來說是安全的。提供鑒別MHE||MHDEk[H(M)]KKEK(H(M)]比較散列函數方法(c)提供鑒別、抵賴。MHE||MHDEKRa(H(M)]KRaKUaEKRa(H(M)]比較散列函數方法(d)同時提供保密性、鑒別和抵賴。MHE||EDMHDEk[M||EKRa(H(M)]kkKRaKUaEKRa(H(M)]比較散列函數方法(e)通信各方共享一個公共的秘密值s。對報文鑒別。M||H||H[(M||s)]s比較||Hs散列函數方法(f)通過包含報文和散列碼的整體進行加密就能對上一種方法(e)增加保密功能M||H||Ek(H[(M||s)])s比較||HsEkH[(M||s)]Dk散列函數的目標散列函數的目的是為文件、報文或其他的分組數據產生“指紋”。要用于報文鑒別，散列函數H必須具有如下性質：H能用于任何大小的數據分組。H產生定長輸出。對任何給定的x，H(x)要相對易于計算，使得硬件和軟件實現成為實際可行。對任何給定的碼H(x)，從H(x)計算x，在計算上是不可行的。這就是所謂的單向性質。對任何給定的分組x，尋找不等于x的y，使得H(y)=H(x)在計算上是不可行的。

尋找對任何的(x,y)對使得H(x)=H(y)在計算上是不可行的。5.2.3散列算法

5.2.3.1MD5MD5描述Merkle于1989年提出hashfunction模型RonRivest于1990年提出MD41992年,RonRivest

完成MD5(RFC1321)在最近數年之前,MD5是最主要的hash算法現行美國標準SHA-1以MD5的前身MD4為基礎MD5描述

輸入：任意長度的報文輸入分組長度：512bit

輸出：128bit報文5.2.3.1.1設計目標安全性直接安全性速度簡單性和緊湊性有利的Little-Endian結構MD5描述－step1

附加填充比特對報文進行填充，使其比特數與448模512同余，即填充長度為512的整數倍減去64填充方法：填充比特串的最高位為1，其余各位均為0MD5描述－step2

附加長度值|M2|為512的倍數:Y0,Y1,…,YL-1MD5描述－step3初始化MD緩存MD為128bit，用于存放散列函數的中間及最終結果MD可表示為4個32bit的寄存器(A,B,C,D)，初始化如下：MD5描述－step4以512個比特（16個字）分組處理消息主循環包含共64步操作，分別使用4個非線性函數。每一次循環可以表示為7步。64步操作形式：ab+((a+g(b,c,c)+X[k]+T[i]<<<s)MD5報文摘要算法(Rivest，RFC1321)Y1512Y0512Yq512YL-1512······HMD5HMD5HMD5HMD5報文L*512-64-填充長度填充1-512長度64IVCVqCV1CVL-1128位摘要MD5:RFC1321MD4:RFC1320MD2:RFC1319HMD5CVq128BACDG,T[17,18,…,32],X[ρ2(k)]16個步驟BACDF,T[1,2,…,16],X[k]16個步驟BACD32BACDH,T[33,34,…,48],X[ρ3(k)]16個步驟I,T[49,50,…,64],X[ρ4(k)]16個步驟Yq512++++CVq+11284輪，每輪16步驟ABCDABCD+++CLSs+X[k]T[i]gX[k]是分組的第k個32比特,k=1,2,…,16T[i]=232abs(sin(i))的整數部分b=b+((a+g(b,c,d)+X[i]+T[i])<<<s)MD5的安全性Berson表明，對單循環MD5，使用不用的密碼分析可能在合理的時間內找出能夠產生相同摘要的兩個報文，這個結果被證明對四個循環中的任意一個循環也成立，但作者沒有能夠提出如何攻擊包含全部4個循環MD5的攻擊Boer和Bosselaers顯示了即使緩存ABCD不同，MD5對單個512bit分組的執行將得到相同的輸出(偽沖突）Dobbertin的攻擊技術：使MD5的壓縮函數產生沖突，即尋找MD5被認為是易受攻擊的，逐漸被SHA-1和RIPEMD-160替代5.2.3.2安全散列算法SHA-1安全散列算法(SHA)由美國國家標準和技術協會(NIST)提出，作為聯邦信息處理標準(FIPSPUB180)在1993年公布。1995年發布了一個修訂版FIPSPUB180-1通常稱為SHA-1SHA也是基于MD4的。最大報文長度264-1，散列碼長度160bit。結構與MD5類似，抗攻擊能力比MD5強；HMAC（密碼散列算法RFC2104）Keyed-HashingforMessageAuthenticationCode在最近幾年，研究的熱點轉向由密碼散列碼導出MAC。這樣的目的在于：密碼散列函數如MD5和SHA-1的軟件執行速度比對稱分組密碼如DES的快。很容易獲得密碼散列函數的庫代碼。美國或其他國家對密碼散列函數沒有出口限制，而對稱分組密碼，即便用作MAC也是限制的。HMAC的主要設計目標：無需修改地使用現有的散列函數(比如MD5或SHA-1)。特別是，散列函數的軟件實現執行很快，且程序代碼碼是公開的和容易獲得的。當出現或獲得更快的或更安全的散列函數時，對算法中嵌入的散列函數要能輕易地進行替換。保持散列函數的原有性能不會導致算法性能的降低。使用和處理密鑰的方式很簡單。HMACHMAC算法RFC2104SiY0Y1……YL-1散列函數bbitsbbitsbbitsK+ipad⊕K+opad⊕S0H(Si||M)散列函數HMACk(M)nbitsIVnbitsIV填充到bbitsHMAC算法對密鑰K的左端填充一些0生成一個bbits的串K+。ipad:b/8個00110110，opad:01011010。將K