散列函數(shù)與數(shù)字簽名.ppt

上傳人:za****8 文檔編號:14431622 上傳時間:2020-07-20 格式:PPT 頁數(shù):48 大?。?45.56KB
收藏 版權(quán)申訴 舉報 下載
散列函數(shù)與數(shù)字簽名.ppt_第1頁
第1頁 / 共48頁
散列函數(shù)與數(shù)字簽名.ppt_第2頁
第2頁 / 共48頁
散列函數(shù)與數(shù)字簽名.ppt_第3頁
第3頁 / 共48頁

下載文檔到電腦,查找使用更方便

9.9 積分

下載資源

還剩頁未讀,繼續(xù)閱讀

資源描述:

《散列函數(shù)與數(shù)字簽名.ppt》由會員分享,可在線閱讀,更多相關(guān)《散列函數(shù)與數(shù)字簽名.ppt(48頁珍藏版)》請在裝配圖網(wǎng)上搜索。

1、信息安全概論,電子科技大學(xué)出版社 2007年8月,2020/7/20,1,2020/7/20,第五章 散列函數(shù)與數(shù)字簽名,5.1 概述 5.2 消息摘要 5.3 消息認(rèn)證 5.4 數(shù)字簽名 5.5 小結(jié),2,5.1 概述消息摘要,消息摘要(消息的數(shù)字指紋)是數(shù)字簽名體系中實現(xiàn)信息完整性保障的技術(shù)。 消息摘要的工作原理:將消息作為Hash函數(shù)的輸入數(shù)據(jù),生成定長的輸出數(shù)據(jù)(即消息摘要),并將其作為消息的附加信息。 Hash函數(shù)有兩個基本特性: 輸入數(shù)據(jù)的任何細(xì)微變化將導(dǎo)致輸出數(shù)據(jù)的巨大改變 難以進行逆運算 利用這兩個特性,消息接收方根據(jù)消息摘要能驗證收到的消息在傳輸過程中是否發(fā)生了改變,從而驗證

2、了消息的完整性和有效性。,2020/7/20,3,5.1 概述公開密鑰技術(shù),公開密鑰技術(shù)是數(shù)字簽名體系中進行身份認(rèn)證和保障不可抵賴性的主要技術(shù)。 在公鑰加密技術(shù)中,利用發(fā)送者A的私鑰加密的信息只有用發(fā)送者A的公鑰才能解密。 在A的私鑰沒有泄露的情況下,如果一個經(jīng)某私鑰加密的信息能被A的公鑰解密,那么就說明該私鑰屬于A,從而可以確定該信息是由A發(fā)出的。(A無法抵賴) 同理,別人也無法冒充A發(fā)送信息,因為他沒有A的私鑰。,2020/7/20,4,2020/7/20,5.1 概述數(shù)字簽名,信息完整性和不可抵賴性是信息安全的兩個基本要素。 數(shù)字簽名技術(shù)通過結(jié)合消息摘要技術(shù)和公開密鑰技術(shù),保證了不可靠網(wǎng)

3、絡(luò)中傳輸?shù)男畔⒌耐暾院涂狗裾J(rèn)性。 數(shù)字簽名的大致步驟 發(fā)送方利用Hash函數(shù)對待發(fā)消息M進行摘要處理,生成一個固定長度的消息摘要H(M)。 用自己的私鑰對該消息摘要(即一個hash值)進行加密,形成發(fā)送方的一個數(shù)字簽名。(這個數(shù)字簽名作為消息的附件隨消息一起發(fā)送到接收方。) 接收方利用數(shù)字簽名中的消息摘要對消息的完整性進行判斷,利用發(fā)送方的公鑰對發(fā)送方進行身份認(rèn)證和保證抗否認(rèn)性。,5,圖5.1 數(shù)字簽名過程,5.2 消息摘要,5.2.1 Hash函數(shù)的概念和原理 5.2.2 MD5算法 5.2.3 SHA-1算法 5.2.4 MD5和SHA-1算法的比較 5.2.5 HMAC算法,2020/

4、7/20,6,2020/7/20,5.2 消息摘要概述,在通信過程中,信息的完整性是信息安全保證的重要指標(biāo)。 信息完整性是指信息在存儲和傳輸過程中不被非法篡改、破壞、增刪,能真實無誤地到達目的地的特性。 消息摘要是保證信息完整性的基本技術(shù)之一,Hash函數(shù)則是消息摘要技術(shù)的核心內(nèi)容。 目前最典型的兩個Hash算法:MD5算法和SHA-1算法。,7,2020/7/20,5.2.1 Hash函數(shù)的概念,Hash函數(shù)的定義 把可變長度的輸入數(shù)據(jù)轉(zhuǎn)換成固定長度的輸出數(shù)據(jù)的一種函數(shù)。這個定長的輸出數(shù)據(jù)稱為輸入數(shù)據(jù)的消息摘要,也稱為散列值、哈希值或數(shù)字指紋。 Hash函數(shù)具有單向性 指從輸入數(shù)據(jù)很容易計算

5、其Hash值,但通過Hash值想找到其對應(yīng)的輸入數(shù)據(jù)是很困難的。 也就是說,要找到一個輸入數(shù)據(jù)使其Hash值等于一個特定值是很困難的。 一個好的Hash函數(shù)也是無碰撞的 即很難產(chǎn)生兩個輸入數(shù)據(jù),使它們的Hash值相同。,8,5.2.1 Hash函數(shù)的性質(zhì),一個典型的Hash函數(shù)應(yīng)具有下列特性: 單向性:已知Hash函數(shù)的輸出c=hash(m) ,要求它的輸入m是困難的。 快速性:已知輸入m,計算hash(m)是容易的。 抗碰撞性:已知hash(m1)=c1,構(gòu)造m2使hash(m2)=c1是困難的。 雪崩性:c=hash(m),c的每一比特都與m的每一比特有關(guān),具有高度敏感性。 輸入數(shù)據(jù)沒有長

6、度限制:對輸入任何長度的數(shù)據(jù)能夠生成該輸入消息固定長度的輸出。,2020/7/20,9,5.2.1 Hash函數(shù)的例子,一個最簡單的Hash函數(shù)的例子 將輸入數(shù)據(jù)M分成n個等長的分組Mi(1in),然后對每個分組按位進行異或運算,得到的結(jié)果便為其消息摘要。,2020/7/20,10,圖5.2 簡單的Hash函數(shù)示例,2020/7/20,5.2.1 Hash函數(shù)的攻擊方法,Hash函數(shù)的安全性取決于其抗各種攻擊的能力。 攻擊者的目標(biāo)通常是找到兩個不同消息映射為同一值。一般假定攻擊者知道Hash算法。 攻擊Hash函數(shù)有兩種基本方法,都屬于選擇明文攻擊。 窮舉攻擊法(Exhaustive Atta

7、ck) 生日攻擊(Birthday Attack) 窮舉攻擊法 給定H=h(M),其中H為初值,攻擊者在所有可能的M中尋求有利于攻擊者的M,使h(M)=h(M),由于限定了目標(biāo)h(M)來尋找M,這種攻擊又稱為目標(biāo)攻擊法。,11,2020/7/20,5.2.1 Hash函數(shù)的生日攻擊法,生日攻擊法可用于攻擊任何Hash算法,它只依賴于消息摘要的長度,即Hash值的長度。 生日攻擊基于生日悖論。 在一個教室中,找一個與某人生日相同的概率不小于0.5時,所需學(xué)生為183人。 在一個教室中,至少有兩個學(xué)生的生日在同一天的概率不小于0.5的學(xué)生人數(shù)僅為23人。 對于n比特Hash值的生日攻擊,當(dāng)進行2n

8、/2次的選擇明文攻擊下成功的概率將超過0.63 。,12,2020/7/20,5.2.1 Hash函數(shù)的生日攻擊法,生日攻擊對Hash函數(shù)提出了一個必要的安全條件,即消息摘要必須足夠的長。 一個40比特長的消息摘要是很不安全的,因為僅僅用220 (大約一百萬)次隨機Hash可至少以1/2的概率找到一個碰撞。 為了抵抗生日攻擊,通常建議消息摘要的長度至少應(yīng)選取為128比特,此時生日攻擊需要約264次Hash。 統(tǒng)計結(jié)果表明:當(dāng)hash值的長度為128比特時,則任意兩個報文M1和M2具有相同hash值的概率接近于零。 安全Hash標(biāo)準(zhǔn)的輸出長度選為160比特。,13,2020/7/20,Hash函

9、數(shù)的單向性和抗碰撞性使Hash函數(shù)適用于加密與認(rèn)證機制。 UNIX系統(tǒng)一直使用Hash函數(shù)進行口令認(rèn)證,系統(tǒng)并不直接存儲用戶的登錄口令明文,而是存儲其Hash值。 用戶登錄時,系統(tǒng)對其輸入的口令進行Hash值計算,如果結(jié)果與系統(tǒng)中存儲的Hash值匹配,則允許該用戶登錄系統(tǒng)。 這種機制還實現(xiàn)了對用戶口令的保密,因為即使攻擊者進入系統(tǒng)竊取了用戶口令的Hash值,他也無法通過其計算出用戶口令。 Hash函數(shù)的雪崩性則使其適用于數(shù)據(jù)完整性的保障機制中。,14,5.2.1 Hash函數(shù)的應(yīng)用,5.2.1 Hash函數(shù)的分類,Hash函數(shù)按其是否有密鑰控制分為兩大類 一類有密鑰控制稱為密碼Hash函數(shù)。密

10、碼Hash函數(shù)的Hash值不但與輸入數(shù)據(jù)有關(guān),還與密鑰有關(guān),因此具有認(rèn)證功能。 一類沒有密鑰控制稱為一般Hash函數(shù),一般Hash函數(shù)的Hash值只與輸入數(shù)據(jù)有關(guān),因此不具備認(rèn)證功能,只用于檢測輸入數(shù)據(jù)的完整性,一般與公鑰加密技術(shù)結(jié)合使用。典型的Hash算法有MD5和SHA等。,2020/7/20,15,2020/7/20,5.2.2 MD5算法簡介,MD5(Message-Digest Algorithm 5)在90年代初由MIT的計算機科學(xué)實驗室和RSA Data Security Inc發(fā)明,經(jīng)MD2、MD3和MD4發(fā)展而來。 MD5將任意長度的輸入消息變換成一個128bit的大整數(shù),并

11、且它是一個不可逆的變換算法。 MD5的典型應(yīng)用是對一段信息(Message)產(chǎn)生信息摘要(Message-Digest),以防止被篡改。 MD5還廣泛用于加密技術(shù)上。比如在UNIX系統(tǒng)中用戶的密碼就是經(jīng)MD5(或其它類似的算法)加密后存儲在文件系統(tǒng)中。,16,2020/7/20,5.2.2 MD5算法的工作原理,17,圖5.3 MD5算法處理過程,5.2.2 MD5算法的具體過程,(1)信息填充 對輸入信息進行填充,使信息長度為512比特(分組長度)的整數(shù)倍。 (2)初始化鏈接變量(Chaining Variable) 4個32位整型參數(shù)A, B, C, D (3)循環(huán)處理 以A, B, C,

12、 D作為輸入?yún)?shù),對填充后信息的每個分組進行四輪循環(huán)處理,每輪循環(huán)對分組進行16次操作。,2020/7/20,18,2020/7/20,5.2.2 MD5算法信息填充,信息填充 在信息的后面填充一個1和若干個0,直到信息長度擴展至512n+448比特為止。 然后在其后附加一個64比特的數(shù)據(jù),此數(shù)據(jù)表示填充前信息的長度。此時信息的比特長度恰好是512的整數(shù)倍。 填充后將消息被劃分成若干個512位的分組,每一分組又被劃分為16個32位子分組。這些分組即為算法后續(xù)循環(huán)處理的輸入信息。,19,5.2.2 MD5算法初始化鏈接變量,初始化鏈接變量 MD5算法中有A、B、C、D四個變量,最初存放的4個3

13、2位整數(shù)被稱作鏈接變量,鏈接變量初始化為如下值: A=0 x01234567 B=0 x89abcdef C=0 xfedcba98 D=0 x76543210 當(dāng)設(shè)置好這四個鏈接變量后,就開始進入算法的循環(huán)處理。,2020/7/20,20,5.2.2 MD5算法循環(huán)處理,循環(huán)處理 消息的每一個分組均經(jīng)過4輪循環(huán)處理,處理前將緩沖區(qū)A、B、C、D的內(nèi)容作為輸入?yún)?shù),處理后的結(jié)果再加入到A、B、C、D中去。,2020/7/20,21,5.2.2 MD5算法循環(huán)處理,每輪循環(huán)處理 每輪循環(huán)對一個分組進行16次操作。每次操作對a, b, c和d中的其中三個作一次非線性函數(shù)運算,然后將所得結(jié)果加上第四

14、個變量、分組的一個子分組和一個常數(shù)。再將所得結(jié)果循環(huán)左移,并加上a, b, c或d中之一。最后用該結(jié)果取代a, b, c或d中之一。,2020/7/20,22,2020/7/20,5.2.3 SHA-1算法,安全哈希算法SHA ( Secure hash Algorithm) 由美國國家標(biāo)準(zhǔn)技術(shù)局NIST ( National Institute of Standards Technology)在MD4的基礎(chǔ)上開發(fā)出來的。 SHA于1993作為聯(lián)邦消息處理標(biāo)準(zhǔn)(FIPS PUB 180)公布。在1995年出版了改進版本FIPS PUB 181,叫做SHA-1。 SHA-1算法允許的最大輸入報文

15、的長度不超過264位,輸出160比特的報文摘要。 SHA算法同樣以512位分組為單位進行處理。,23,5.2.3 SHA-1算法的具體過程,1.信息填充 填充方法與MD5算法相同。 2.初始化消息摘要(MD)緩存器 使用由5個32位寄存器組成的160位緩存來存放中間結(jié)果和最終散列值。 3.摘要處理 處理核心是一個4個循環(huán)的壓縮函數(shù)模塊,其中每個循環(huán)由20個處理步驟組成。,2020/7/20,24,2020/7/20,5.2.4 MD5算法和SHA-1算法的比較,MD5和SHA-1都屬于MD4的改進版本,它們之間的比較如下表所示。,25,5.2.5 HMAC算法,2020/7/20,26,HMA

16、C在SSL協(xié)議采用。 HMAC算法步驟: (1)密鑰變換:使密鑰k與消息塊l等長。 (2)異或:ipad=0 x363636 (3)消息級聯(lián) (4)計算消息摘要 (5)異或:opad=0 x5A5A5A (6)消息級聯(lián) (7)輸出最終結(jié)果,5.3 消息認(rèn)證,5.3.1 消息認(rèn)證概述 5.3.2 采用Hash函數(shù)的消息認(rèn)證 5.3.3 采用MAC的消息認(rèn)證,2020/7/20,27,2020/7/20,5.3.1 消息認(rèn)證概述,消息認(rèn)證的定義 使消息接收者能驗證收到的消息在傳輸過程中有沒有被篡改、偽造和假冒,消息的完整性和有效性是否被破壞的過程。 消息認(rèn)證的兩種模式 采用Hash函數(shù) 采用消息認(rèn)

17、證碼MAC(Message Authentication Code) 區(qū)別:是否需要密鑰的參與,28,2020/7/20,5.3.2 采用Hash函數(shù)的消息認(rèn)證,消息認(rèn)證方式一:明文,29,特點?,5.3.2 采用Hash函數(shù)的消息認(rèn)證,消息認(rèn)證方式二:加密消息,2020/7/20,30,特點?,5.3.2 采用Hash函數(shù)的消息認(rèn)證,消息認(rèn)證方式三:加密全部,2020/7/20,31,特點?,5.3.3 采用MAC的消息認(rèn)證,消息認(rèn)證碼MAC的概念 消息認(rèn)證碼MAC是由可變長度的消息M和收發(fā)雙方共享的密鑰K產(chǎn)生的定長函數(shù)值MAC=f(K, M) 。 舉例:基于DES的消息認(rèn)證碼 DES算法可

18、用于生成消息認(rèn)證碼,可使用密文的后若干位作為消息認(rèn)證碼。 MAC函數(shù)類似于加密。它與加密的區(qū)別是MAC函數(shù)不可逆。由于認(rèn)證函數(shù)的這個數(shù)學(xué)性質(zhì)使得它比加密函數(shù)更不容易破解。,2020/7/20,32,5.3.3 采用MAC的消息認(rèn)證,消息認(rèn)證方式一:明文,2020/7/20,33,5.3.3 采用MAC的消息認(rèn)證,消息認(rèn)證方式二:加密消息,2020/7/20,34,5.3.3 采用MAC的消息認(rèn)證,消息認(rèn)證方式三:加密全部,2020/7/20,35,5.4 數(shù)字簽名,5.4.1 基本概念 5.4.2 RSA簽名算法 5.4.3 DSA簽名算法 5.4.4 多重數(shù)字簽名 5.4.5 不可抵賴數(shù)字簽

19、名 5.4.6 數(shù)字盲簽名,2020/7/20,36,2020/7/20,5.4.1 基本概念,數(shù)字簽名的定義 首先,數(shù)字簽名不是將手寫的簽名經(jīng)過掃描儀掃描后輸入電腦。 電子簽名法:數(shù)據(jù)電文中以電子形式所含(所附)、用于識別簽名人身份、并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)。 數(shù)字簽名是一串?dāng)?shù)據(jù),該數(shù)據(jù)僅能由簽名人生成,并且該數(shù)據(jù)能夠表明簽名人的身份。 數(shù)字簽名的作用 確認(rèn)信息發(fā)送者,提供身份認(rèn)證和不可抵賴性。 與傳統(tǒng)文件中的手寫簽名具有同等法律效力。,37,5.4.1 基本概念,數(shù)字簽名無法用消息認(rèn)證碼代替 假設(shè)Alice和Bob正通過網(wǎng)絡(luò)完成一筆交易,那么可能出現(xiàn)兩種欺騙: (1)Bob偽造一個消

20、息并使用與Alice共享的密鑰K產(chǎn)生該消息的認(rèn)證碼,然后聲稱該消息來自于A。但實際上Alice并未發(fā)送任何消息。 (2)既然Bob有可能偽造Alice發(fā)來的消息,那么Alice就可以對自己發(fā)過的消息予以否認(rèn)。 這兩種欺騙在實際應(yīng)用中都有可能發(fā)生。雙方爭執(zhí)不下而對簿公堂,但如果沒有更有效的機制避免這種爭端,法庭根本無法作出仲裁。,2020/7/20,38,5.4.1 基本概念,數(shù)字簽名必須具有以下特點 發(fā)送方必然產(chǎn)生自己獨有的信息來簽名以防止偽造和否認(rèn)。 這種簽名很容易產(chǎn)生。 對于接收方,應(yīng)該很容易驗證簽名的真?zhèn)巍?對于給定的x,找出y(yx)使得簽名Sig(y) = Sig(x)在計算上是不可

21、行的。 找出任意兩個不同的輸入x、y,使得Sig(y) = Sig(x)在計算上是不可行的。,2020/7/20,39,2020/7/20,5.4.1 基本概念,數(shù)字簽名體制的組成 簽名生成算法:對消息m的簽名可記為Sig(m)=s。簽名密鑰是秘密的。 簽名驗證算法:對簽名s的驗證可記為Ver(s)=真,偽=0, 1。驗證密鑰應(yīng)當(dāng)公開。 常用的數(shù)字簽名體制 RSA簽名體制 DSA簽名體制 ElGamal簽名體制 Rabin簽名體制,40,2020/7/20,5.4.1 基本概念,數(shù)字簽名的分類 直接數(shù)字簽名:發(fā)送者直接把消息和簽名發(fā)送給接收者,接收者直接利用發(fā)送者公鑰驗證簽名。 基于仲裁的數(shù)字

22、簽名:發(fā)送者把消息和簽名經(jīng)由稱做仲裁者的可信第三方發(fā)送給接收者。接收者不能直接地驗證簽名,簽名的合法性是通過仲裁者來檢驗。,41,2020/7/20,5.4.1 基本概念,數(shù)字簽名與手寫簽名的區(qū)別 簽名綁定方式:手寫簽名與文件自然綁定;數(shù)字簽名中簽名和消息需要借助算法綁定。 簽名偽造難易程度:手寫簽名相對不安全,比較容易被偽造;數(shù)字簽名過程需用到簽名者的私鑰,簽名難以偽造。 簽名復(fù)制難易程度:手寫簽名難以拷貝,因為手寫簽名拷貝容易與原簽名區(qū)別開來;數(shù)字簽名容易被拷貝,因為有效數(shù)字簽名的拷貝同樣有效,這就需要在消息中包涵其它信息(時間戳)來阻止數(shù)字簽名的重復(fù)使用。,42,2020/7/20,5.

23、4.2 RSA簽名體制,43,簽名生成過程,簽名驗證過程,5.4.3 DSA簽名算法,,2020/7/20,44,5.4.4 多重數(shù)字簽名,應(yīng)用場景 需要兩個或多個人同時對一份文件進行簽名。,2020/7/20,45,5.4.5 不可抵賴數(shù)字簽名,應(yīng)用場景 在沒有簽名方的同意下,接收方不能把簽名給第三者看。 算法思想 (1)Alice向Bob出示一個簽名。 (2)Bob產(chǎn)生一個隨機數(shù)并送給Alice。 (3)Alice利用隨機數(shù)和其私鑰進行計算,并將計算結(jié)果發(fā)送給Bob。Alice只能計算該簽名是否有效。 (4)Bob確認(rèn)這個結(jié)果。,2020/7/20,46,5.4.6 數(shù)字盲簽名,應(yīng)用場景 希望Bob對文件簽名,但不希望他知道文件的(準(zhǔn)確)內(nèi)容。(采用“分割選擇技術(shù)”) 算法原理,2020/7/20,47,2020/7/20,作業(yè),P90:2,5,7,48,

展開閱讀全文
溫馨提示:
1: 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

相關(guān)資源

更多
正為您匹配相似的精品文檔
關(guān)于我們 - 網(wǎng)站聲明 - 網(wǎng)站地圖 - 資源地圖 - 友情鏈接 - 網(wǎng)站客服 - 聯(lián)系我們

copyright@ 2023-2025  zhuangpeitu.com 裝配圖網(wǎng)版權(quán)所有   聯(lián)系電話:18123376007

備案號:ICP2024067431-1 川公網(wǎng)安備51140202000466號


本站為文檔C2C交易模式,即用戶上傳的文檔直接被用戶下載,本站只是中間服務(wù)平臺,本站所有文檔下載所得的收益歸上傳人(含作者)所有。裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對上載內(nèi)容本身不做任何修改或編輯。若文檔所含內(nèi)容侵犯了您的版權(quán)或隱私,請立即通知裝配圖網(wǎng),我們立即給予刪除!