消息认证和杂凑算法 PPT课件.ppt

第六章消息认证和杂凑算法
消息认证码
杂凑函数
MD5杂凑算法
安全杂凑算法
HMAC的安全性
消息鉴别码MAC
使用一个密钥生成一个固定大小的小数据块,并加入到消息中,称MAC, 或密码校验和(cryptographic checksum)
1、接收者可以确信消息M未被改变。
2、接收者可以确信消息来自所声称的发送者;
3、如果消息中包含顺序码(如HDLC,,TCP),则接收者可以保证消息的正常顺序;
MAC函数类似于加密函数,但不需要可逆性。因此在数学上比加密算法被攻击的弱点要少。
MAC的基本用法(a)
消息鉴别
Provides authentication ---- only A and B share K
MAC的基本用法(b)
消息鉴别与保密,鉴别与明文连接
Provides authentication -- only A and B share K1
Provides confidentiality -- only A and B share K2
MAC的基本用法(c)
消息鉴别与保密,鉴别与密文连接
Provides authentication -- Using K1
Provides confidentiality -- Using K2
通过加密得到信息真实性: 问题
保密性与真实性是两个不同的概念
根本上,信息加密提供的是保密性而非真实性
加密代价大(公钥算法代价更大)
鉴别函数与保密函数的分离能提供功能上的灵活性
某些信息只需要真实性,不需要保密性
广播的信息难以使用加密(信息量大)
网络管理信息等只需要真实性
政府/权威部门的公告
MAC函数的特性与实现
MAC函数为多对一映射
包含所有可能的MAC和所有可能的密钥
n-bit MAC: 有2n个可能的MAC;
k-bit 密钥: 有2k个可能的密钥;
N个可能的消息:有 N>>2n
攻击者如何用强力攻击方法攻击MAC?
假设:用户A和B通信时没有增加保密性实现,攻击者可以看到明文, k > n (k为密钥长度位数,n为MAC长度位数)
给定:M1和MAC1, MAC1= CK1(M1)
密码分析员可以计算MACi = CKi(M1) 对所有可能的Ki,至少有一个Ki保证产生 MACi = MAC1
注意:总共会产生2k个MAC结果,但只有2n< 2k个不同的MAC值,因此,有若干个key将产生相同的MAC,而攻击者无法确定哪一个是正确的key。
平均来说, 2k/2n= 2(k-n)个key将产生匹配的MAC,所以,攻击者需要循环多次攻击,以确定K:
第一轮:给定 M1和MAC1= CK(M1),对所有2k个key,计算
MACi = CKi(M1) ,匹配的数量 2(k-n)
第二轮:给定 M2和MAC2= CK(M2),对所有2(k-n)个key,计算
MACi = CKi(M1) ,匹配的数量 2(k-2n)