消息认证和杂凑算法.ppt

第六章消息认证和杂凑算法?消息认证码?杂凑函数? MD5 杂凑算法?安全杂凑算法? HMAC 的安全性消息鉴别码 MAC 使用一个密钥生成一个固定大小的小数据块,并加入到消息中,称 MAC ,或密码校验和( cryptographic checksum ) 1、接收者可以确信消息 M未被改变。 2、接收者可以确信消息来自所声称的发送者; 3、如果消息中包含顺序码(如 HDLC,,TCP ), 则接收者可以保证消息的正常顺序; MAC 函数类似于加密函数,但不需要可逆性。因此在数学上比加密算法被攻击的弱点要少。 MAC 的基本用法(a) 消息鉴别 Provides authentication ---- only A and B share K MAC 的基本用法(b) 消息鉴别与保密,鉴别与明文连接 Provides authentication -- only A and B share K1 Provides confidentiality -- only A and B share K2 MAC 的基本用法(c) 消息鉴别与保密,鉴别与密文连接 Provides authentication -- Using K1 Provides confidentiality -- Using K2 通过加密得到信息真实性: 问题?保密性与真实性是两个不同的概念?根本上,信息加密提供的是保密性而非真实性?加密代价大(公钥算法代价更大) ?鉴别函数与保密函数的分离能提供功能上的灵活性?某些信息只需要真实性,不需要保密性–广播的信息难以使用加密(信息量大) –网络管理信息等只需要真实性–政府/权威部门的公告 MAC 函数的特性与实现? MAC 函数为多对一映射包含所有可能的 MAC 和所有可能的密钥 n-bit MAC :有2 n个可能的 MAC ; k-bit 密钥: 有2 k个可能的密钥; N个可能的消息:有 N>>2 n ?攻击者如何用强力攻击方法攻击 MAC ? 假设:用户 A和B通信时没有增加保密性实现,攻击者可以看到明文, k > n (k 为密钥长度位数, n为 MAC 长度位数)给定: M 1和 MAC 1, MAC 1 = C K1 (M 1) 密码分析员可以计算 MAC i = C Ki (M 1 ) 对所有可能的 Ki ,至少有一个 Ki 保证产生 MAC i = MAC 1 注意:总共会产生 2 k个 MAC 结果,但只有 2 n < 2 k个不同的 MAC 值,因此,有若干个 key 将产生相同的 MAC ,而攻击者无法确定哪一个是正确的 key 。?平均来说, 2 k / 2 n = 2 (k-n) 个 key 将产生匹配的 MAC , 所以,攻击者需要循环多次攻击,以确定 K: ?第一轮:给定 M 1和 MAC 1 = C K (M 1),对所有 2 k个 key , 计算? MAC i = C Ki (M 1 ) ,匹配的数量?2 (k-n) ?第二轮:给定 M 2和 MAC 2 = C K (M 2),对所有 2 (k-n) 个 key ,计算? MAC i = C Ki (M 1 ) ,匹配的数量?2 (k-2n)