2025/4/151/312011年東南大學信息安全基礎課程

2025/4/152上次課內容第11章消息認證和散列函數11.1對認證的要求11.2消息加密11.3消息認證碼11.4散列函數2025/4/153認證函數可用來產生認證符的函數分為三類：

(1)消息加密函數(MessageEncryption)

用完整信息的密文作為對信息的認證。

(2)消息認證碼MAC(MessageAuthenticationCode) MAC是消息和密鑰的函數，產生一個固定長度的值作為認證標識

(3)散列函數(HashFunction)

是一個公開的函數，它將任意長的信息映射成一個固定長度的信息。2025/4/154生日攻擊問題：假定使用64位的散列碼，是否安全?如果采用傳輸加密的散列碼和不加密的報文M，對手需要找到M′，使得H(M′)=H(M)，以便使用替代報文來欺騙接收者。平均來講，攻擊者找到這樣的消息大約需要進行263次嘗試。建立在生日悖論基礎上的攻擊。2025/4/155/31生日悖論生日問題：一個教室中，最少應有多少學生，才使至少有兩人具有相同生日的概率大于1/2？實際上只需23人。2025/4/156/31生日攻擊的基本原理給定一個散列函數H(x)，有2m個可能的輸出，如果有k個隨機輸入,k必須為多大才能使至少存在一個重復出現？對長度為m位的散列函數H(x)，共有2m個可能的散列碼，H作用于k個隨機輸入得到集合X，H作用于另外k個隨機輸入得到集合Y，k等于多少時，這兩個集合中至少有一個匹配？2025/4/157/31生日攻擊的方法1.發送方對消息進行“簽名”，即用私鑰對m位的hash碼加密并將加密后的hash碼附于消息之后。2.攻擊者產生該消息的2m/2種變式，且每一種變式表達相同的意義。攻擊者再偽造一條信息并產生該消息的2m/2種變式。3.比較上述兩個集合，找出產生相同hash碼的一對消息。根據生日悖論，這樣的概率大于0.5。如果找不到，再產生一條偽造的消息直至成功為止。4.攻擊者將發送方的簽名附于偽造消息的變式后并發給接收方。如果使用64位的hash碼，所需代價的數量僅為232。2025/4/158本次課內容第12章散列算法和MAC算法12.1散列算法12.2MAC算法12.3對于認證協議的攻擊2025/4/159/31安全Hash函數的一般結構計算過程：1、CV0=IV=初始n位值2、CVi=f(CVi-1，Yi-1)，1≤i≤

L3、H（M）=CVL2025/4/1510/31SecureHashAlgorithm算法1992年NIST制定了SHA(128位)1993年SHA成為標準（FIPSPUB180）1994年修改產生SHA-1(160位)1995年SHA-1成為新的標準,作為SHA-1(FIPSPUB180-1)2002年發布修訂版SHA-256,SHA-384,SHA-5122025/4/1511/31SHA-512的處理流程2025/4/1512/31安全Hash函數的一般結構2025/4/1513/31對單個1024比特

分組的處理2025/4/1514/31消息調度(MessageSchedule)2025/4/1515/31Whirlpool散列函數Whirlpool：第一個被發現的具有螺旋結構的星系。2025/4/1516/31Whirlpool散列函數的結構2025/4/1517/31Whirlpool散列函數的特點采用通用的安全散列函數結構壓縮函數為分組密碼Whirlpool。一種類似于AES的分組密碼，由V.Rijmen

和P.S.L.M.Barreto

共同提出。2025/4/1518/31Whirlpool分組密碼2025/4/1519/31AES-128加解密過程2025/4/1520/31Whirlpool分組密碼和AES的比較2025/4/1521/31本次課內容第12章散列算法和MAC算法12.1散列算法12.2MAC算法12.3對于認證協議的攻擊12.2HMAC現實中需要基于散列函數設計的MACHASH函數的運行速度更快散列函數的代碼可以廣泛的獲取。最原始的想法是：KeyedHash=Hash(Key|Message)最終發展成現有的HMAC結構HMAC設計目標不必修改而直接使用現有的散列函數容易替代應保持散列函數的原有性能對密鑰的使用和處理要簡單其安全強度依賴于使用散列函數的強度2025/4/1524/31HMAC算法結構HMAC=H[IV,So||H(IV,Si||M)]2025/4/1525/31CMACC1=E(K,M1)C2=E(K,[M2⊕C1])C3=E(K,[M3⊕C2])·

·

·

Cn=E(K,[Mn⊕Cn-1⊕K1])T=MSBTlen(Cn)T=消息認證碼Tlen=T的比特長度MSBs(X)=比特串X的最左邊的s位2025/4/1527/31本次課內容第12章散列算法和MAC算法12.1散列算法12.2MAC算法12.3對于認證協議的攻擊2025/4/1528認證協議雙方認證(mutualauthentication)

最常用的協議，該協議使得通信各方互相認證鑒別各自的身份，然后交換會話密鑰。單向認證(one-wayauthentication)

收發雙方不需要同時在線聯系，例如電子郵件。相互認證對抗重放攻擊的兩種方法時間戳:要求通信各方的時鐘應保持同步。挑戰/應答:A->B:nonce（挑戰）B->A:E[K,M||nonce](應答）2025/4/1531/31具有共享秘密密鑰的認證—挑戰質詢2025/4/1532/31挑戰質詢的簡化版本2025/4/1533/31針對挑戰質詢的反射攻擊2025/4/1534/31針對挑戰質詢的反射攻擊2025/4/1535本次課內容第13章散列算法和認證協議13.1數字簽名13.2數字簽名標準DSS2025/4/1536為什么需要數字簽名？手寫簽名紙版文件手寫簽名同一頁紙數字簽名數字文件數字小文件如何綁定如何實現數字簽名數學支持－簽名函數被簽署的是文件(大文件)簽名生成另外一個文件(小文件)簽名過程一定有簽署人的身份和某種秘密(別人不知的)參與簡單易行計算和存儲手寫簽名的數字化改造簽名函數報文報文簽名身份和秘密2025/4/1539數字簽名體制簽名算法(SignatureAlgorithm)Sig(M)=S簽名算法或簽名密鑰K是秘密的，只有發方掌握驗證算法(VerificationAlgorithm)Ver(S)={0，1}={真，偽}驗證算法公開，便于他人進行驗證簽名體制的安全性在于，從M和其簽名S難以推出簽名密鑰K或偽造一個M’使M’和S可被證實為真。2025/4/1540數字簽名的分類直接數字簽名(directdigitalsignature)只涉及通信雙方仲裁數字簽名(arbitrateddigitalsignature)引入仲裁者，通信雙方都非常信任仲裁者。2025/4/1541直接數字簽名方法1用發送方的私鑰對整條消息進行加密來產生簽名.(1)A→B:EKRa[M]

提供了鑒別與簽名只有A具有KRa進行加密;傳輸中沒有被篡改；任何第三方可以用KUa驗證簽名(1’)A→B:EKUb[EKRa(M)]

提供了保密(KUb)、鑒別與簽名(KRa)2025/4/1542直接數字簽名方法2用發送方的私鑰對消息的hash碼進行加密(2)A→B:M||EKRa[H(M)]

提供數字簽名H(M)受到密碼算法的保護,例如MD5或SHA-1;只有A能夠生成EKRa[H(M)](2’)A→B:EK[M||EKRa[H(M)]]

提供保密性、數字簽名。2025/4/1543直接數字簽名的缺點驗證模式依賴于發送方的保密密鑰；發送方要抵賴發送某一消息時，可能會聲稱其私有密鑰丟失或被竊，從而他人偽造了他的簽名。通常需要采用與私有密鑰安全性相關的行政管理控制手段來制止或至少是削弱這種情況，但威脅在某種程度上依然存在。改進的方式例如可以要求被簽名的信息包含一個時間戳（日期與時間），并要求將已暴露的密鑰報告給一個授權中心。X的某些私有密鑰確實在時間T被竊取，敵方可以偽造X的簽名及早于或等于時間T的時間戳。2025/4/1544仲裁數字簽名引入仲裁者。通常的做法是所有從發送方X到接收方Y的簽名消息首先送到仲裁者A，A將消息及其簽名進行一系列測試，以檢查其來源和內容，然后將消息加上日期并與已被仲裁者驗證通過的指示一起發給Y。仲裁者在這一類簽名模式中扮演敏感和關鍵的角色。所有的參與者必須極大地相信這一仲裁機制工作正常。（trustedsystem）2025/4/1545仲裁數字簽名模式1X與A之間共享密鑰Kxa，Y與A之間共享密鑰Kay；(1)X→A：M||EKxa[IDx||H(M)](2)A→Y：EKay[IDx||M||EKxa[IDx||H(M)]||T]X：準備消息M，計算其散列碼H(M)，用X的標識符IDx和散列值構成簽名，并將消息及簽名經Kxa加密后發送給A；A：解密簽名，用H(M)驗證消息M，然后將IDx，M，簽名，和時間戳一起經Kay加密后發送給Y；Y：解密A發來的信息，并可將M和簽名保存起來。Y不能直接讀取簽名，但可以將消息和簽名發給A進行驗證。特點：傳統加密方式，仲裁者和任何消息的接收者都可以看見消息明文2025/4/1546仲裁數字簽名模式2在這種情況下，X與Y之間共享密鑰Kxy，(1)X→A：IDx||

EKxy[M]||EKxa[IDx||H(EKxy[M])](2)A→Y：EKay[IDx||EKxy[M]||EKxa[IDx||

H(EKxy[M])]||T]X：將標識符IDx,密文EKxy[M]，以及對IDx和密文消息的散列碼用Kxa加密后形成簽名發送給A。A：解密簽名，用散列碼驗證消息，這時A只能驗證消息的密文而不能讀取其內容。然后A將來自X的所有信息加上時間戳并用Kay加密后發送給Y。特點：傳統加密方式，仲裁者不可以看見消息明文。(1)和(2)共同存在一個共性問題：A和發送方聯手可以否認簽名的信息；A和接收方聯手可以偽造發送方的簽名；數字簽名的應用2025/4/1548本次課內容第13章散列算法和認證協議13.1數字簽名13.2數字簽名標準DSS2025/4/1549數字簽名標準DSS2025/4/1550RSA簽名與DSS簽名的比較2025/4/1551DSS簽名函數輸入：明文的hash函數為簽名而產生的隨機數k