認證及數字簽名認證信息認證消息源認證消息的完整性認證安全系統的攻擊被動攻擊主動攻擊保密和認證同屬密碼技術應用

單向散列函數

單向散列函數，也稱hash函數，它可以提供判斷信息完整性的依據，是防止信息被篡改的一種有效方法。單向散列函數在數據加密、數據簽名和軟件保護等領域中有著廣泛的應用。單向散列函數特點

hash函數的作用是當向hash函數輸入一任意長度的的信息M時，hash函數將輸出一固定長度為m的散列值h。即：

h=h（M）

安全的hash函數的特點是：

1．hash函數能從任意長度的M中產生固定長度的散列值h。

2．已知M時，利用h（M）很容易計算出h。

3．已知M時，要想通過控制同一個h（M），計算出不同的h是很困難的。

4．已知h時，要想從h（M）中計算出M是很困難的。

5．已知M時，要找出另一信息M'，使h（M）=h（M'）是很困難的。

最常用的hash算法有MD5、SHA算法等。MD5算法

在對輸入的明文初始化之后，MD5是按每組512位為一組來處理輸入的信息，每一分組又被劃分為16個32位子分組，經過了一系列的處理后，算法的輸出由四個32位分組組成，把這四個32位分組串聯（級聯）后將生成一個128位散列值。SHA算法和MD5算法一樣，SHA-1一次處理512位信息生成一個160位散列值用于創建數字簽名的單向算法散列算法的典型應用用MD5校驗和實現文件完整性保護文件系統完整性保護身份認證網頁自動恢復系統消息摘要消息摘要的作用單向散列函數MD5算法SHA安全散列算法消息摘要的作用在網絡安全目標中，要求信息在生成、存儲或傳輸過程中保證不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失，因此需要一個較為安全的標準和算法，以保證數據的完整性。常見的消息摘要算法有：RonRivest設計的MD（StandardForMessageDigest，消息摘要標準）算法NIST設計的SHA（SecureHashAlgorithm，安全散列算法）單向散列函數

消息摘要算法采用單向散列（hash）函數從明文產生摘要密文。摘要密文又稱為哈希函數、數字指紋（DigitalFingerprint）、壓縮（Compression）函數、緊縮（Contraction）函數、數據認證碼DAC（Dataauthenticationcode）、篡改檢驗碼MDC（Manipulationdetectioncode）。散列函數的輸出值有固定的長度，該散列值是消息M的所有位的函數并提供錯誤檢測能力，消息中的任何一位或多位的變化都將導致該散列值的變化。從散列值不可能推導出消息M，也很難通過偽造消息M’來生成相同的散列值。消息認證認證碼被附加到消息后以M||MAC方式一并發送，收方通過重新計算MAC以實現對M的認證。如圖所示。假定收、發雙方共享密鑰k，如果收到的MAC與計算得出的MAC一致，那么可以得出如下結論：①接收方確信消息M未被篡改。此為完整性驗證。②接收方確信消息來自所聲稱的發送者，因為沒有其他人知道這個共享密鑰，其他人也就不可能為消息M附加合適的MAC。此為消息源驗證。單向散列函數的抗碰撞性 抗碰撞性的能力體現出單向散列函數對抗生日攻擊和偽造的能力。弱抗碰撞性（Weakcollisionresistance）：對于任意給定的M，找到滿足M≠N且H(M)=H(N)的N，在計算上是不可行的；

強抗碰撞性（Strongcollisionresistance）：找到任何滿足H（x）=H（y）的偶對（x，y）在計算上是不可行的。哈希函數分類根據是否使用密鑰帶秘密密鑰的Hash函數：消息的散列值由只有通信雙方知道的秘密密鑰K來控制，此時散列值稱作MAC(MessageAuthenticationCode)不帶秘密密鑰的Hash函數：消息的散列值的產生無需使用密鑰，此時散列值稱作MDC(MessageDetectionCode)哈希函數-生日攻擊如果采用傳輸加密的散列值和不加密的報文M，攻擊者需要找到N，使得H(N)=H(M)，以便使用替代報文來欺騙接收者。一種基于生日悖論的攻擊可能做到這一點，生日問題：一個教室中，最少應有多少個學生，才使至少有兩人具有相同生日的概率不小于1/2？ 概率結果與人的直覺是相違背的。實際上只需23人，即任找23人，從中總能選出兩人具有相同生日的概率至少為1/2生日攻擊實例A準備兩份合同M和N，一份B會同意，一份會取走他的財產而被拒絕A對M和N

各做32處微小變化（保持原意），分別產生232個64位hash值根據前面的結論，超過0.5的概率能找到一個M和一個N

，它們的hash值相同A提交M，經B審閱后產生64位hash值并對該值簽名，返回給AA用N

替換M結論：Hash必須足夠長（128，160，224，256，…）消息認證的局限性消息認證可以保護信息交換雙方不受第三方的攻擊，但是它不能處理通信雙方的相互攻擊信宿方可以偽造消息并稱消息發自信源方，信源方產生一條消息，并用和信源方共享的密鑰產生認證碼，并將認證碼附于消息之后信源方可以否認曾發送過某消息，因為信宿方可以偽造消息，所以無法證明信源方確實發送過該消息在收發雙方不能完全信任的情況下，引入數字簽名來解決上述問題數字簽名的作用相當于手寫簽名數字簽名概述

在網絡通信和電子商務中很容易發生如下問題。

1．否認，發送信息的一方不承認自己發送過某一信息。

2．偽造，接收方偽造一份文件，并聲稱它來自某發送方的。

3．冒充，網絡上的某個用戶冒充另一個用戶接收或發送信息。

4．篡改，信息在網絡傳輸過程中已被篡改，或接收方對收到的信息進行篡改。

用數字簽名（DigitalSignature）可以有效地解決這些問題。數字簽名就是主要用于對數字信息進行的簽名，以防止信息被偽造或篡改等。

數字簽名離不開公鑰密碼學，在公鑰密碼學中，密鑰由公開密鑰和私有密鑰組成。數字簽名包含兩個過程：使用私有密鑰進行加密（稱為簽名過程），接受方或驗證方用公開密鑰進行解密（稱為驗證過程）。RSA算法的簽名和驗證過程RSA算法的簽名和驗證過程數字簽名機制傳統簽名的基本特點:

能與被簽的文件在物理上不可分割 簽名者不能否認自己的簽名 簽名不能被偽造 容易被驗證數字簽名是傳統簽名的數字化，基本要求: 能與所簽文件“綁定” 簽名者不能否認自己的簽名 簽名不能被偽造 容易被自動驗證RSA一般應用過程乙方甲方明文乙方公鑰解密甲方私鑰解密甲方私鑰加密乙方公