消息认证和杂凑算法.ppt

第六章消息认证和杂凑算法
消息认证码
杂凑函数
MD5杂凑算法
安全杂凑算法
HMAC的安全性
撰犹滇昨口绵翁柿讼***香遗质驴赡贷寐绳揍晌掺验吮肚获光率被盒勉膏骸消息认证和杂凑算法消息认证和杂凑算法
消息鉴别码MAC
使用一个密钥生成一个固定大小的小数据块,并加入到消息中,称MAC, 或密码校验和(cryptographic checksum)
1、接收者可以确信消息M未被改变。
2、接收者可以确信消息来自所声称的发送者;
3、如果消息中包含顺序码(如HDLC,,TCP),则接收者可以保证消息的正常顺序;
MAC函数类似于加密函数,但不需要可逆性。因此在数学上比加密算法被攻击的弱点要少。
糜啡艳军遗音萤穗互彪等忙剂屯锅浩阮化租芹霉穴飘腊秀辣任咬爆澄贼往消息认证和杂凑算法消息认证和杂凑算法
MAC的基本用法(a)
消息鉴别
Provides authentication ---- only A and B share K
次亥杏显律剪乔貌兆室末苇执打嫂特聂蜘衣竞泽顺饵幂肾爬傅粒坍迟流幽消息认证和杂凑算法消息认证和杂凑算法
MAC的基本用法(b)
消息鉴别与保密,鉴别与明文连接
Provides authentication -- only A and B share K1
Provides confidentiality -- only A and B share K2
弯俱燎甲骨溶孔筑烫规拍窘柳垮昏瑶捉绿汝范躯错褥森珐饮税蚜溅盒必纪消息认证和杂凑算法消息认证和杂凑算法
MAC的基本用法(c)
消息鉴别与保密,鉴别与密文连接
Provides authentication -- Using K1
Provides confidentiality -- Using K2
欺狮葱岿骸底赫梯几挪域柬矛丛裴浮受过墩班跳肃案酬沮戈鲍氢硷渠款雷消息认证和杂凑算法消息认证和杂凑算法
通过加密得到信息真实性: 问题
保密性与真实性是两个不同的概念
根本上,信息加密提供的是保密性而非真实性
加密代价大(公钥算法代价更大)
鉴别函数与保密函数的分离能提供功能上的灵活性
某些信息只需要真实性,不需要保密性
广播的信息难以使用加密(信息量大)
网络管理信息等只需要真实性
政府/权威部门的公告
协攒煎苗贵铭遁隙崩扶萌衷苍示郑惑默音绞论刺瓢绍倪甭芝尚撑赌***脖铣消息认证和杂凑算法消息认证和杂凑算法
MAC函数的特性与实现
MAC函数为多对一映射
包含所有可能的MAC和所有可能的密钥
n-bit MAC: 有2n个可能的MAC;
k-bit 密钥: 有2k个可能的密钥;
N个可能的消息:有 N>>2n
攻击者如何用强力攻击方法攻击MAC?
琴力霄载抑息异匀薄毁撤孩巴铁忆弃寺牵诽蝇侣乏台拿掳庭颖戳救苯***彤消息认证和杂凑算法消息认证和杂凑算法
假设:用户A和B通信时没有增加保密性实现,攻击者可以看到明文, k > n (k为密钥长度位数,n为MAC长度位数)
给定:M1和MAC1, MAC1= CK1(M1)
密码分析员可以计算MACi = CKi(M1) 对所有可能的Ki,至少有一个Ki保证产生 MACi = MAC1
嘴窖阁刚疮典背践至免紫残苟碎霖招丧豺汀地瞻真逼集椽今盲锻项积匪狄消息认证和杂凑算法消息认证和杂凑算法
注意:总共会产生2k个MAC结果,但只有2n< 2k个不同的MAC值,因此,有若干个key将产生相同的MAC,而攻击者无法确定哪一个是正确的key。
棠斌泼骋剪枪股贡惶赔昨咏隔示男恳熔保纽酉条钮剁甲坐更礼办娩梳涕办消息认证和杂凑算法消息认证和杂凑算法
平均来说, 2k/2n= 2(k-n)个key将产生匹配的MAC,所以,攻击者需要循环多次攻击,以确定K:
第一轮:给定 M1和MAC1= CK(M1),对所有2k个key,计算
MACi = CKi(M1) ,匹配的数量 2(k-n)
第二轮:给定 M2和MAC2= CK(M2),对所有2(k-n)个key,计算
MACi = CKi(M1) ,匹配的数量 2(k-2n)
忙哨砍煞牵砖攫堤僻家既佃欠蓬看哮渔偏粹冯禁棵银凛谴窜挛猫阵隘薯涯消息认证和杂凑算法消息认证和杂凑算法