课件05.ppt
《课件05.ppt》由会员分享,可在线阅读,更多相关《课件05.ppt(43页珍藏版)》请在冰豆网上搜索。
Donot,foronerepulse,giveupthepurposethatyouresolvedtoeffect.(WilliamShakespeare,Britishdramatist)不要只因一次失败,就放弃你原来决不要只因一次失败,就放弃你原来决心想达到的目的。
心想达到的目的。
(英国剧作家英国剧作家莎士比亚莎士比亚.W.)第五第五章章消息认证消息认证与数字签名与数字签名5.15.1消息认证消息认证5.25.2散列函数散列函数5.35.3数字签名体制数字签名体制5.45.4数字信封数字信封5.55.5数字证书数字证书F对称密码和非对称密码解决的是对称密码和非对称密码解决的是保密性保密性F消息认证和数字签名解决的是信息的消息认证和数字签名解决的是信息的完完整性、抗否认性整性、抗否认性F保密和认证同时是信息系统安全的两个保密和认证同时是信息系统安全的两个方面。
但它们是两个不同属性的问题,方面。
但它们是两个不同属性的问题,认证不能自动提供保密性,而保密性也认证不能自动提供保密性,而保密性也不能自然提供认证功能。
不能自然提供认证功能。
一般来说,产生认证符的方法有三种:
一般来说,产生认证符的方法有三种:
(1)信息加密函数信息加密函数(Messageencryption)用完整信息的密文作为对信息的认证。
用完整信息的密文作为对信息的认证。
(2)信息认证码信息认证码MAC(MessageAuthenticationCode)是对信源消息的一个编码函数,即是对信源消息的一个编码函数,即消息摘要函数消息摘要函数。
(3)散列函数散列函数(HashFunction)是一个公开的函数它将任意长的信息映射成一是一个公开的函数它将任意长的信息映射成一个固定长度的信息。
个固定长度的信息。
5.1信息认证信息认证信息加密函数作认证下图的通信双方是:
用户下图的通信双方是:
用户AA为发信为发信方,用户方,用户BB为接收方。
为接收方。
用户用户BB接收到信息后通过解密来接收到信息后通过解密来判决信息是否来自判决信息是否来自AA信息,是否是信息,是否是完整的有无窜扰。
完整的有无窜扰。
注意:
只用私钥加密不能提供保密性信息认证码(MAC)消息认证是使预定的消息接收者,能够检消息认证是使预定的消息接收者,能够检验收到的消息是否真实的方法。
检验内容应包验收到的消息是否真实的方法。
检验内容应包括:
括:
(1)
(1)证实报文的源和宿证实报文的源和宿消息认证使接收者能识别消息的源和意定消息认证使接收者能识别消息的源和意定的信宿的信宿
(2)
(2)内容的真伪内容的真伪报文内容是否曾受到偶然的或有意的篡改报文内容是否曾受到偶然的或有意的篡改(3)(3)时间性时间性报文的序号和时间栏报文的序号和时间栏消息认证码(消息认证码(MACMAC)()(或称密码校验和)是在密钥或称密码校验和)是在密钥的控制下将任意长的消息映射到一个短的定长数据分的控制下将任意长的消息映射到一个短的定长数据分组,并将它附加在消息后。
组,并将它附加在消息后。
设设MM是变长的消息,是变长的消息,KK是仅由收发双方共享的密钥,是仅由收发双方共享的密钥,则则MM的的MACMAC由如下的函数由如下的函数CC生成生成MAC=CMAC=CKK(MM)MACMAC函数与加密函数的主要区别在于:
函数与加密函数的主要区别在于:
MACMAC函数不函数不需要可逆,而加密函数必须是可逆的。
需要可逆,而加密函数必须是可逆的。
发方发方:
(M/CM/CKK(MM)(M/MACM/MAC)收方收方:
MAC:
MAC=C=CKK(MM)认证与加密相结合认证与加密相结合问题:
对称密码体制的加密可以提供认证,为什么还问题:
对称密码体制的加密可以提供认证,为什么还要使用独立的消息认证要使用独立的消息认证1.一些应用要求将相同的消息对许多终端进行广播,仅使用一个终端负责消息的认证。
这种方法既经济又实用负责认证的终端有相应的密钥并执行认证操作如果认证不正确,其它终端将收到它发来的告警。
2.接收方有繁重的任务,无法负担大量的解密任务3.有一些应用只关心信息的完整性,而不需要保密性4.认证与保密的分离能够提供结构上的灵活性。
5.有些应用场合,期望在超过接收时间后,继续延长保护期限同时允许处理消息的内容,如果使用加密解密后保护就失效了,这样消息只能在传输过程中得到完整性保护但在目标系统中却办不到。
5.2散列函数散列函数(HashFunction)在信息安全技术中,经常需要验证消息的在信息安全技术中,经常需要验证消息的完整性,散列(完整性,散列(Hash)函数提供了这一服务,函数提供了这一服务,它对不同长度的输入消息,产生固定长度的输它对不同长度的输入消息,产生固定长度的输出。
这个固定长度的输出称为原输入消息的出。
这个固定长度的输出称为原输入消息的“散列散列”或或“消息摘要消息摘要”(Messagedigest)。
)。
h=H(M)传送过程中对散列值需要另外的加密保护,如传送过程中对散列值需要另外的加密保护,如果不加保护,很可能使其认证功能失效。
果不加保护,很可能使其认证功能失效。
安全的散列函数安全的散列函数H必须具有以下属性:
必须具有以下属性:
HH能够应用到大小不一的数据上。
能够应用到大小不一的数据上。
-不定长的输入不定长的输入HH能够生成大小固定的输出。
能够生成大小固定的输出。
-定长的输出定长的输出对干任意给定的对干任意给定的xx,HH(xx)的计算相对简单。
的计算相对简单。
对于任意给定的代码对于任意给定的代码hh,要发现满足要发现满足HH(xx)hh的的xx在在计算上是不可行的。
计算上是不可行的。
-单向性单向性对于任意给定的块对于任意给定的块xx,要发现满足要发现满足HH(yy)HH(xx)而而y=xy=x在计算上是不可行的。
在计算上是不可行的。
要发现满足要发现满足HH(XX)=HH(yy)的(的(XX,yy)对在计算上是对在计算上是不可行的。
不可行的。
散列算法简介散列算法简介MD2算法算法MD2MD2算法是算法是RivestRivest在在19891989年开发出来的,在处理过程中年开发出来的,在处理过程中首先对信息进行补位,使信息的长度是首先对信息进行补位,使信息的长度是1616的倍数,然后以一的倍数,然后以一个个1616位的校验和追加到信息的末尾,并根据这个新产生的信位的校验和追加到信息的末尾,并根据这个新产生的信息生成息生成128128位的散列值。
它针对位的散列值。
它针对88位的计算机进行过优化,但位的计算机进行过优化,但速度比后来的散列算法要慢。
速度比后来的散列算法要慢。
MD4算法算法19901990年又开发出年又开发出MD4MD4算法。
算法。
MD4MD4算法也需要信息的填充,算法也需要信息的填充,它要求信息在填充后加上它要求信息在填充后加上448448能够被能够被512512整除。
用整除。
用6464比特表示比特表示消息的长度,放在填充比特之后生成消息的长度,放在填充比特之后生成128128位的散列值。
位的散列值。
MD5算法算法MD5MD5(MessagCDigestAlgorithm-5MessagCDigestAlgorithm-5)算法是在算法是在19911991年年设计的,在设计的,在RFC1321RFC1321中描述中描述1616。
MD5MD5按按512512位数据块为单位位数据块为单位来处理输入,产生来处理输入,产生128128位的消息摘要。
位的消息摘要。
SHA/SHA-1算法算法SHA(SecureHashAlgorithm)算法由算法由NIST开发,并在开发,并在1993年作为联邦信息处理标准年作为联邦信息处理标准公布。
在公布。
在1995年公布了其改进版本年公布了其改进版本SHA-1。
SHA与与MD5的设计原理类似,但它产生的设计原理类似,但它产生160位位的消息摘要,具有比的消息摘要,具有比MD5更强的安全性更强的安全性一直主要被政府部门和私营业主用来处理敏感一直主要被政府部门和私营业主用来处理敏感的信息。
的信息。
疑问疑问?
华盛顿时报随后发表的报道称,中国解码华盛顿时报随后发表的报道称,中国解码专家开发的新解码技术,能有效地攻陷专家开发的新解码技术,能有效地攻陷SHA1所构筑成的保安系统,进入美国政府重要的所构筑成的保安系统,进入美国政府重要的部门,如五角大楼及情报机关。
事实是否真是部门,如五角大楼及情报机关。
事实是否真是如此呢?
如此呢?
“这是不可能的!
这是不可能的!
”王小云教授回答时格外严肃,王小云教授回答时格外严肃,“我们的研究我们的研究成果显示出成果显示出MD5MD5、SHASHA11等一系列之前被认为是牢不可破的密码体等一系列之前被认为是牢不可破的密码体制的不安全性,动摇了许多基于这些制的不安全性,动摇了许多基于这些HASHHASH函数的密码体制的理论函数的密码体制的理论根基。
为密码学界提示出这些潜在的危机,是希望能借此呼唤出根基。
为密码学界提示出这些潜在的危机,是希望能借此呼唤出更安全的函数,使网络信息能更加安全更安全的函数,使网络信息能更加安全这才是科学研究的根这才是科学研究的根本意义。
本意义。
”王小云所带领的研究小组的发现没有引起大规模的骚动,但王小云所带领的研究小组的发现没有引起大规模的骚动,但它确实给世界信息安全学界敲响了警钟。
在她结果公布的它确实给世界信息安全学界敲响了警钟。
在她结果公布的77天前,天前,美国国家技术标准局的安全技术组负责人发表声明:
美国国家技术标准局的安全技术组负责人发表声明:
“SHA-1SHA-1没有没有被攻破,并且没有足够的理由怀疑它会很快被攻破。
被攻破,并且没有足够的理由怀疑它会很快被攻破。
”而而77天以后,天以后,美国不少公司已着手在内部系统中替换美国不少公司已着手在内部系统中替换SHASHA11,美国国家标准技美国国家标准技术局也表示术局也表示55年内将不再在新的应用中使用年内将不再在新的应用中使用SHASHA11,并计划在并计划在20102010年改用更加先进的年改用更加先进的SHASHA224224、SHASHA256256、SHASHA384384及及SHASHA512512的的密码系统。
密码系统。
SHASHA11这一在美国领尽十年风骚的计算机密码,不得这一在美国领尽十年风骚的计算机密码,不得不渐渐退出历史舞台。
不渐渐退出历史舞台。
5.3数字签名体制数字签名体制美国美国统一电子交易法统一电子交易法规定,规定,“电子签名电子签名”泛指泛指“与电子记录相联的或在逻辑与电子记录相联的或在逻辑上相联的电子声音、符合或程序,而该电子声音、符合或程序是某人为签署电子上相联的电子声音、符合或程序,而该电子声音、符合或程序是某人为签署电子记录的目的而签订或采用的记录的目的而签订或采用的”;联合国联合国电子商务示范法电子商务示范法中规定,电子签名是包含、附加在某一数据电文内,中规定,电子签名是包含、附加在某一数据电文内,或逻辑上与某一数据电文相联系的电子形式的数据,它能被用来证实与此数据电或逻辑上与某一数据电文相联系的电子形式的数据,它能被用来证实与此数据电文有关的签名人的身份,并表明该签名人认可该数据电文所载信息;文有关的签名人的身份,并表明该签名人认可该数据电文所载信息;欧盟的欧盟的电子签名指令电子签名指令规定,规定,“电子签名电子签名”泛指泛指“与其他电子记录相连的或在与其他电子记录相连的或在逻辑上相连并以此作为认证方法的电子形式数据。
逻辑上相连并以此作为认证方法的电子形式数据。
”从上述定义来看,凡是能在电子通讯中,起到证明当事人的身份、证明当事人对从上述定义来看,凡是能在电子通讯中,起到证明当事人的身份、证明当事人对文件内容的认可的电子技术手段,都可被称为电子签名。
文件内容的认可的电子技术手段,都可被称为电子签名。
所谓电子签名,是指数据电文中以电子形式所含、所附用于识别签名人身份并表所谓电子签名,是指数据电文中以电子形式所含、所附用于识别
升级会员 