哈希函数和数字签名概述1221211412Word文件下载.docx
《哈希函数和数字签名概述1221211412Word文件下载.docx》由会员分享,可在线阅读,更多相关《哈希函数和数字签名概述1221211412Word文件下载.docx(9页珍藏版)》请在冰豆网上搜索。
任意给定分组x,寻求不等于x的y,
使得H(y)二H(x)在计算上不可行;
强抗碰撞性:
寻求对任何的(x,y)对,使得
H(x)二H(y)在计算上不可行.
•H能够应用到任意长度的数据上。
•H能够生成大小固定的输出。
•对干任意给定的x,H(x)的计算相对简单。
•对于给定的散列值h,要发现满足H(x)二h的x在计算上是不可行的。
•对于给定的消息x,要发现另一个消息y满足H(y)=H(x)在计算上是不可行的。
•主要的Hash算法:
MD5、SHA-1等
用户A发送数据和哈希值给用户B
Yo
b
安全Hash函数的一般结构
Yi
f
■A
n
/■
CVl
IV_J2
Yl-1
CVl-1
IV=初始值cv=链接值
Yi=第i个输入数据块f=压缩算法n=散列码的长度b二输入块的长度
IV=initialn-bitvalue
CVi二f(CV“・Ym)(1<
i<
L)H(M)=CVL
MD5算法
MD5(RFC1321)developedbyRonRivest("
R"
oftheRSA)atMITin90=
MD:
MessageDigest,消息摘要
•输入:
任意长度的消息•:
•输出:
128位消息摘要•:
•处理:
以512位输入数据块为单位
SHA-1算法
♦:
・SHA(SecureHashAlgorithm,安全哈希算法)由美国国家标准技术硏究所NIST开发,作为联邦信息处理标准于1993年发表(FIPSPUB180)z1995年修订,作为SHA-1(FIPSPUB180-1),SHA-1基于MD4设计。
最大长度为264位的消息;
〔60位消息摘要;
•处理:
输入以512位数据块为单位处理.
比较SHA1/MD5
♦散列值长度
・MD5128bitsSHA1160bits
♦安全性
SHA1看来好些,但是SHA1的设计原则没有公开
•速度
SHA1慢些(opensslspeedmd5/sha1)
type
16bytes64bytes256bytes1024bytes8192bytes
md5
sha1
5425.31k19457.48k55891.45k
5104.58k16008.41k37925.33k
104857.60k143211.40k
57421.81k68241.68k
消息鉴别码
•在网络通信中,有一些针对消息内容的攻击方法・伪造消息
窜改消息内容
改变消息顺序
-消息重放或者延迟
•消息认证:
对收到的消息进行验证,证明确实是来自声称的发送方,并且没有被修改过。
如果在消息中加入时间及顺序信息,则可以完成对时间和顺序的认证
消息认证的三种方式
❖Messageencryption:
用整个消息的密文作为认证标识
接收方必须能够识别错误
❖Hashfunction:
—个公开函数将任意长度的消息
映射到一个
定长度的散列值,作为认证标识
❖MAC:
一个公开函数,加上一个密钥产生一个
定长度的值作为认证标识
MAC:
MessageAuthentic甜qm.Code
•使用一个双方共享的秘密密钥生成一个固定大小
的小数据块,并加入到消息中,称MAC,或密码
校验禾n(cryptographicchecksum)
•用户A和用户B,共享密钥K,对于消息MAC=Ck(M)
•如果接收方计算的MAC与收到的MAC匹配,贝U
接收者可以确信消息M未被改变
接收者可以确信消息来自所声称的发送者
如果消息中含有序列号,则可以保证正确的消息顺序
•MAC函数类似于加密函数,但不需要可逆性。
因此在数学上比加密算法被攻击的弱点要少
•为了鉴别而加密整个报文不够方便对称加密整个报文是个浪费
・即使同时为了保密,也有另外的办法和体制
用非对称加密速度太慢,每秒仅百来笔
・后来引入了签名体制
•鉴别和加密的分离带来灵活性确实有时只要鉴别而不用(或不能)加密
■如法律文书、公开信、声明、公告、公证、鉴定等■如软件鉴别/防病毒、网络管理报文等
EK2阿
HMAC
I『—■■■■□□
•把HASH值和一个Key结合起来
■不需要可逆
♦目标
既能使用当前的HASH函数,又可容易升级为新的HASH函数,并能保持散列函数的安全性简单”并易进行密码学分析
•发送者否认发送过消息,声称是别人伪造。
•:
•接收者伪造消息,声称其由某发送者发送。
•解决办法
-不可否认性
数字签名
•传统签名的基本特点:
能与被签的文件在物理上不可分割
■签名者不能否认自己的签名
■签名不能被伪造
■容易被验证
•数字签名是传统签名的数字化,基本要求:
■能与所签文件〃绑定”
签名者不能否认自己的签名
签名不能被伪造
容易被验证
数字签名——抗抵赖性
用户A
哈希算法
用尸B
A
户公
如果哈希值匹配,说明该数据由该私钥签名。
•依赖性:
数字签名必须依赖要签名消息的比特模式
(不可分离性)
•唯一性:
签名者使用唯一的”消息”生成数字签名
Z以防伪造和否认(独特性)
•可验证性:
数字签名必须是在算法上可验证的。
•抗伪造:
伪造一个数字签名在计算上不可行(不可模仿性)
•可用性:
数字签名的生成和验证必须相对简单.
两种数字签名方案
RSA的数字签名
♦初始化:
m:
签名的消息
签名者的私钥:
d;
公钥:
(ezn)♦签名:
计算m的哈希值H(m).签名值s=(H(m))dmodn
♦验证:
计算H[二s*modn判断二H(m)是否成立。
数字签名算法(DSA)
1991年,NIST提出了数字签名算法(DSA),并把它用作数字签名标准(DSS),招致大量的反对,理由如下:
DSA不能用于加密或密钥分配
DSA是由NSA研制的,可能有后门
DSA的选择过程不公开,提供的分析时间不充分
DSA比RSA慢(10-40倍)
密钥长度太小(512位)
DSA可能侵犯其他专利
RSA是事实上的标准
三种算法的比较
1.加密/解密
2.数字签名(身份鉴别)
3.密钥交换
算法
加/解密
密钥交换
RSA/ECC
是
Dieffie-
Hellman
否
DSS/DSA
•密码学在信息安全中的占有举足轻重的地位
■掌握明文、密文、密钥等密码学基础概念
重点掌握DES、IDEA和AES等对称密码算法
重点掌握RSA和ECC等非对称密码算法
熟悉MD5和SHA-1等哈希算法
谢谢,请提问题!
升级会员 