第5章-消息认证与杂凑算法.ppt

现代密码理论-- HMAC算法现代密码理论--UESTC抗击被动攻击:加密抗击主动攻击:消息认证消息认证是一个过程,用以验证接收消息的真实性和完整性,同时还用于验证消息的顺序性和时间性。现代密码理论--UESTC消息认证机制需要产生认证符。认证符:用于认证消息的数值。认证符的产生方法:消息认证码MAC(message authentication code)和杂凑函数(hash function)两大类。现代密码理论--UESTC消息认证码:指消息被一密钥控制的公开函数作用后产生的、用作认证符的、固定长度的数值, 或称为密码校验和。此时需要通信双方A和B共享一密钥K。 消息认证码的定义及使用方式)(MCMK现代密码理论--UESTC如果仅收发双方知道K,且B计算得到的MAC与接收到的MAC一致,则这一就实现了以下功能:①接收方相信发送方发来的消息未被篡改。②接收方相信发送方不是冒充的。现代密码理论--UESTCMAC函数与加密算法类似,不同之处为MAC函数不必是可逆的,因此与加密算法相比更不易被攻破。上述过程中,由于消息本身在发送过程中是明文形式,所以这一过程只提供认证性而未提供保密性。 MAC的基本使用方式现代密码理论--UESTC现代密码理论-- 产生MAC的函数应满足的要求(1) 消息认证码的穷搜索攻击的代价比使用相同长度密钥的加密算法的穷搜索攻击还要大。攻击者可假冒发假消息给接收方。(2)有些攻击法却不需要寻找产生MAC所使用的密钥。( ) ,KM C M MAC K?已知找。先说明两点,然后给出MAC函数应满足的要求。)(MCMK??现代密码理论--UESTC第1轮已知M1、MAC1,其中MAC1=CK(M1)。对所有2k个可能的密钥计算MACi=CKi(M1),得2k-n个可能的密钥。第2轮已知M2、MAC2,其中MAC2=CK(M2)。对上一轮得到的2k-n个可能的密钥计算MACi=CKi(M2),得2k-2×n个可能的密钥。如此下去,如果k=αn,则上述攻击方式平均需要α轮。例如,密钥长为80比特,MAC长为32比特,则第1轮将产生大约248个可能密钥,第2轮将产生216个可能的密钥,第3轮即可找出正确的密钥。攻击MAC(找K):现代密码理论--UESTC例如:设M=(X1∥X2∥…∥Xm)是由64比特长的分组Xi(i=1,…,m)链接得到的,其消息认证码由以下方式得到:其中表示异或运算,加密算法是电码本模式的DES。因此,密钥长为56比特,MAC长为64比特,如果敌手得到M∥CK(M),那么敌手使用穷搜索攻击寻找K将需做256次加密。然而敌手还可用以下方式攻击系统:??1 2( )( ) ( )mK KM X X XC M E M? ????? ???1 1 1 11 2 11 2 1, , , ,( )m mm mm mm mX X Y YY Y Y Y MX YM Y Y Y Y? ????? ????????? ???伪造一新消息:且M′的MAC与原消息M的MAC相同。