第六章消息认证和杂凑算法.ppt

第六章消息认证和杂凑算法20156信息安全理论与应用第六章消息认证和杂凑算法主讲教师:梁向前研究方向:密码学与信息安全Email:liangxq87@-3(ak算法)*,包括:被动攻击(获取消息的内容、业务流分析)抗击被动攻击的方法是加密,伪装主动攻击(假冒、重放、消息的篡改、业务拒绝(中断)…)消息认证则是用来抗击主动攻击的方式之一*消息认证的作用和含义:消息认证用以验证接收消息的如下属性:真实性(的确是由它所声称的实体发来的:消息源认证)完整性(未被篡改、插入、删除)消息的顺序性和时间性(未重排、重放、延迟)业务的不可否认性(即防止通信双方中的某一方对所传输消息的否认)实现消息的不可否认性可通过数字签字,数字签字也是一种认证技术,它也可用于抗击主动攻击*消息认证机制和数字签字机制需要有产生认证符的基本功能这一基本功能又作为认证协议的一个组成部分认证符是用于认证消息的数值,经过压缩函数计算而得认证符的产生有两大类消息认证码:MAC(MessageAuthenticationCode)杂凑函数(也称散列函数,hashfunction)消息认证码MAC指消息被一密钥控制的公开函数作用后产生的、用作认证符的、固定长度的数值,也称为密码校验和此时需要通信双方A和B共享一密钥k*设A欲发送给B的消息是M,A首先计算MAC=CK(M),其中CK(·)是密钥控制的公开函数,然后向B发送M‖MAC,B收到后做与A相同的计算,求得一新MAC,并与收到的MAC做比较,如图1(a)所示消息的完整性和消息源认证图(b)的方式最常用*如果仅收发双方知道K,且B计算得到的MAC与接收到的MAC一致,则该系统就实现了以下功能:①消息完整性:接收方相信发送方发来的消息未被篡改,因为攻击者不知道密钥,所以不能够在篡改消息后相应地篡改MAC,而如果仅篡改消息,则接收方计算的新MAC将与收到的MAC不同②消息源认证:接收方相信发送方不是冒充的,这是因为除收发双方外再无其他人知道密钥,因此其他人不可能对自己发送的消息计算出正确的MACMAC函数与加密算法的不同之处为MAC函数不必是可逆的,因此与加密算法相比更不易被攻破MAC与加密算法不同*图1(a)中,由于消息本身在发送过程中是明文形式,所以这一过程只提供认证性而未提供保密性为提供保密性可在MAC函数以后(如图1(b))或以前(如图1(c))进行一次加密,而且加密密钥也需被收发双方共享在图1(b)中,M与MAC链接后再被整体加密在图1(c)中,M先被加密再与MAC链接后发送通常希望直接对明文进行认证,因此图1(b)所示的使用方式更为常用*注意:加密密钥和认证密钥必须不同(如果有两处需要密钥的话)加密密钥与认证密钥不同则对保密性的破译不会给认证性的破译带来效益,有效密钥长度为二者之和如果二者相同,则对保密性的破译,同时也对认证性的破译也有一定效益,这时有效密钥长度至多为一个密钥的长度。也可以把认证和保密算法看成是单一密钥控制下的一个算法因此加密密钥与认证密钥相同则实际上降低了总的安全性。比如认证后使用同一个密钥加密,则如果攻击者通过对密文的破译而找到加密密钥,则认证秘钥也同时被破译了,从而也失去了认证性对加密密钥的破译比对消息认证码的破译要容易的多*(单钥或公钥算法)加密消息时,其安全性一般取决于密钥的长度如果加密算法没有弱点,则敌手只能使用穷搜索攻击,直到得到有意义的明文对于消息认证码MAC,其产生函数一般都为多到一映射如果产生n比特长的MAC,则函数的取值范围即为2n个可能的MAC函数输入可能的消息个数N>>2n,而且如果函数所用的密钥为k比特,则可能的密钥个数为2k。如果系统不考虑保密性,即敌手能获取明文消息和相应的MAC,那么在这种情况下要考虑敌手使用穷搜索攻击来获取产生MAC的函数所使用的密钥*