信息安全概论教学课件ppt作者张雪锋第3章信息认证技术.ppt
《信息安全概论教学课件ppt作者张雪锋第3章信息认证技术.ppt》由会员分享,可在线阅读,更多相关《信息安全概论教学课件ppt作者张雪锋第3章信息认证技术.ppt(119页珍藏版)》请在冰豆网上搜索。
第三章信息认证技术,第三章信息认证技术,3.1Hash函数和消息完整性3.2数字签名技术3.3身份识别技术3.4认证的具体实现3.5公钥基础设施,认证的目的,认证的目的有两个方面:
一是验证信息的发送者是合法的,而不是冒充的,即实体认证,包括信源、信宿的认证和识别;二是验证消息的完整性,验证数据在传输和存储过程中是否被篡改、重放或延迟等。
3.1Hash函数和消息完整性,本节提示:
3.1.1基本概念3.1.2常见的Hash函数3.1.3消息认证码,基本概念,Hash函数也称为杂凑函数或散列函数,输入为一可变长度x,返回一固定长度串,该串被称为输入x的Hash值(消息摘要)还有形象的说法是数字指纹。
因为Hash函数是多对一的函数,所以一定将某些不同的输入变化成相同的输出。
要求给定一个Hash值,求其逆难,计算Hash值容易也称Hash函数为单向Hash函数。
Hash函数一般满足以下几个基本需求:
(1)输入x为任意长度;
(2)输出数据长度固定;(3)容易计算,给定任何x,容易计算出x的Hash值H(x);(4)单向函数:
即给出一个Hash值,很难反向计算出原始输入;(5)唯一性:
即难以找到两个不同的输入会得到相同的Hash输出值(在计算上是不可行的)。
基本概念,Hash函数的其他性质,Hash值的长度由算法的类型决定,与输入的消息大小无关,一般为128或者160位。
常用的单向Hash算法有MDS、SHA-l等。
Hash函数的一个主要功能就是为了实现数据完整性的安全需要。
Hash函数可以按照其是否有密钥控制分为两类:
一类有密钥控制,为密码Hash函数;用于消息认证码MAC一类无密钥控制,为一般Hash函数。
关于Hash函数的安全性设计的理论主要有两点:
一个是函数的单向性,二是函数影射的随机性。
攻击Hash函数的典型方法,生日攻击的基本观点来自于生日问题:
在一个教室里最少有多少学生时,可使得在这个教室里至少有两个学生的生日在同一天的概率不小于50%?
这个问题的答案是23。
这种攻击不涉及Hash算法的结构,可用于攻击任何Hash算法。
目前为止,能抗击生日攻击的Hash值至少要达到128bit。
中途相遇攻击这是一种选择明文/密文的攻击,主要是针对迭代和级连的分组密码体制设计的Hash算法。
除生日攻击法、中间相遇攻击外,对一些类型的Hash函数还有一些特殊的攻击方法,例如,修正分组攻击和差分分析法等。
山东大学王小云教授等于2004年8月在美国加州召开的国际密码大会(Crypto2004)上所做的Hash函数研究报告中指出,她们已成功破译了MD4、MD5、HAVAL-128、RIPEMD-128等Hash算法。
2006年,王小云宣布了攻破SHA-1的消息。
她的研究成果表明了从理论上讲电子签名可以伪造,必须及时添加限制条件,或者重新选用更为安全的密码标准,以保证电子商务的安全。
攻击Hash函数的典型方法,完整性检验一般方法,消息完整性检验的一般机制如图所示。
存储、传输文件,需同时存储或发送该文件的数字指纹;验证时,对得到的文件重新产生其数字指纹;再与原数字指纹对比,如一致,文件是完整。
否则,不完整。
消息认证码,消息认证具有两层含义:
一是检验消息的来源是真实的,即对消息的发送者的身份进行认证;二是检验消息是完整的,即验证消息在传送或存储过程中未被篡改、删除或插入等。
当需要进行消息认证时,仅有消息作为输入是不够的,需要加入密钥k,这就是消息认证的原理。
能否认证,关键在于信息发送者或信息提供者是否拥有密钥k。
消息认证码(MAC,MessagesAuthenticationCodes),是与密钥相关的的单向Hash函数,也称为消息鉴别码或是消息校验和。
MAC与单向Hash函数一样,但是还包括一个密钥。
MAC=CK(M)。
消息认证码(MessageAuthenticationCode,MAC)通常表示为MAC=CK(M)M是可变长的消息,K是收发双方共享的密钥,函数值CK(M)是定长的认证码,也称为密码校验和。
MAC就是带密钥的消息摘要函数,其实就是一种带密钥的数字指纹,它与不带密钥的数字指纹是有本质区别的。
将单向Hash函数变成MAC的一个简单的办法是用对称算法加密Hash值。
相反将MAC变成单向Hash函数则只需将密钥公开。
消息认证码,消息认证码的实现,1.消息认证认证码被附加到消息后以M|MAC方式一并发送,收方通过重新计算MAC以实现对M的认证。
如图所示。
假定收、发双方共享密钥k,如果收到的MAC与计算得出的MAC一致,那么可以得出如下结论:
完整性验证:
接收方确信消息M未被篡改。
消息源验证:
接收方确信消息来自所声称的发送者,因为没有其他人知道这个共享密钥,其他人也就不可能为消息M附加合适的MAC。
消息认证码,2.消息认证与保密在
(1)中,消息以明文方式传送,这一过程只提供认证而不具备保密性。
如图所示提供一种即加密又认证的方式,发送方发送Ek2M|Ck1(M)。
该方式除具备
(1)的功能外,还具有保密性。
消息认证码,3.密文认证改变
(2)中加密的位置,得到另外一种消息保密与认证方式。
先对消息进行加密,然后再对密文计算MAC,传送Ek2(M)|Ck1(Ek2(M)给接收方。
接收方先对收到的密文进行认证,认证成功后,再解密。
消息认证码,3.2数字签名技术,数字签名在信息安全,包括身份认证、数据完整性、不可否认性以及匿名性等方面有重要应用,特别是在大型网络安全通信中的密钥分配、认证及电子商务系统中具有重要作用。
数字签名是实现认证的重要工具。
提供数据来源的真实性、数据内容的完整性、签名者的不可否认性以及匿名性等信息安全相关的服务和保障。
用于网络通信的安全以及各种用途的电子交易系统(如电子商务、电子政务、电子出版、网络学习、远程医疗等)中。
数字签名技术,数字签名的基本原理,概念:
数字签名是对以数字形式存储的消息进行某种处理,产生一种类似于传统手书签名功效的信息处理过程。
它通常将某个算法作用于需要签名的消息,生成一种带有操作者身份信息的编码。
示例:
Alice和Bob进行通信,并使用消息认证码提供数据完整性保护:
情况一:
Alice向Bob发送消息并附加了用双方共享密钥生成的消息认证码,但随后Alice否认曾经发送了这条消息;情况二:
Bob有能力伪造一个消息及认证码并声称此消息来自Alice。
分析:
如果通信的过程没有第三方参与的话,这样的局面是难以仲裁的。
因此,安全的通信仅有消息完整性认证是不够的,还需要有能够防止通信双方相互作弊的安全机制。
数字签名,至少满足的三个基本要求:
1)签名者任何时候都无法否认自己曾经签发的数字签名;2)收信者能够验证和确认收到的数字签名,但任何人都无法伪造别人的数字签名;3)当各方对数字签名的真伪产生争议时,通过仲裁机构(可信的第三方)进行裁决。
数字签名与手写签名的差异,1)手写签名与被签文件物理上是一个整体,不可分离;2)手书签名通过物理比对来判断真伪,需要一定的技艺甚至需要专门人员,机构来执行;3)手书签名会因人而异,复制品易于原件分开。
1)数字签名与被签名的消息是可以相互分离的比特串;2)数字签名通过一个严密的公开的算法来验证签名的真伪;3)数字签名的拷贝与其原件完全相同的二进制比特串,无法区分,需防止签名重复使用。
总结,签名者必须向验证者提供足够多的非保密信息,以便验证者能够确认签名者的数字签名;签名者不能泄露任何用于产生数字签名的机密信息,以防止他人伪造他的数字签名。
因此,签名算法必须能够提供签名者用于签名的机密信息与验证者用于验证签名的公开信息。
数字签名体制,组成部分:
签名算法验证算法,用于对消息产生数字签名,通常受一个签名密钥的控制签名算法或者签名密钥是保密的,有签名者掌握。
用于对消息的数字签名进行验证,通常受一个验证密钥的控制,验证算法和验证密钥应该公开。
代表消息空间,它是某个字母表中所有串的集合;代表签名空间,它是所有可能的数字签名构成的集合;代表密钥空间,它是所有可能的签名密钥和验证密钥对构成的集合。
数字签名体制,数字签名的特性,两大方面:
功能特性安全特性,指为了使数字签名能够实现需要的的功能要求而应具备的一些特性。
确保提供的的功能是安全的,能够满足安全需求,实现预期的安全保障。
功能特性,1)依赖性2)独特性3)可验证性4)不可伪造性5)可用性,一个数字签名与被签消息是紧密相关,不可分割的,离开被签消息,签名不再具有任何效用。
数字签名必须是根据签名者拥有的独特消息来产生的,包含了能够代表签名者特有身份的关键信息。
通过验证算法能够准切地验证一个数字签名的真伪。
伪造一个签名者的数字签名不仅在计算上不可行,而且希望通过重用或者拼接的方法伪造签名也是行不通的。
数字签名的生成,验证和识别的处理过程相对简单,能够在普通的设备上快速完成,甚至可以在线处理,签名的结果可以存储和备份。
安全特性,1)单向性2)无碰撞性3)无关性优点:
从根本上消除了成功伪造数字签名的可能性。
对于给定的数字签名算法,签名者使用自己的签名密钥sk对消息m进行数字签名是计算上容易的,但给定一个消息m和它的一个数字签名s,希望推导出签名者的签名密钥sk是计算上不可行的。
对于两个不同消息,在相同的签名密钥下的数字签名相等的概率是可以忽略的。
对于两个不同的消息,从某个签名者对其中一个消息的签名推导出对另一个消息的签名是不可能的。
基于公钥密码的数字签名体制,基于公钥密码的加密和签名体制,注意:
先签名,后加密的顺序不能颠倒,简单数字签名,数字签名的实现方法,数字签名的分类,直接数字签名体制可仲裁的数字签名体制,分类比较,常用的数字签名体制,用非对称加密算法实现的数字签名技术最常用的是RSA和DSS签名,下面分别做简单介绍:
1.RSA签名2.DSS签名,RSA数字签名,RSA签名体制是Diffie和Hellman提出数字签名思想后的第一个数字签名体制,它是由Rivest、Shamir和Adleman三人共同完成的。
该签名体制来源于RSA公钥密码体制的思想,将RSA公钥体制按照数字签名的方式运用。
RSA数字签名体制的消息空间和签名空间都是Zn,分别对应于RSA公钥密码体制的明文空间和密文空间。
RSA数字签名,RSA数字签名,RSA数字签名的安全问题,对RSA数字签名算法进行选择密文攻击可以实现三个目的,即:
消息破译骗取仲裁签名骗取用户签名,消息破译,消息破译,骗取仲裁签名,攻击者骗取仲裁签名,骗取用户签名,主要思想,当攻击者希望某合法用户对一个消息m进行签名但该签名者可能不愿意为其签名时:
将m分解成两个(多个)更能迷惑合法用户的消息m1和m2,且满足m=m1m2;让合法用户对m1和m2分别签名;攻击者最终获得该合法用户对消息m的签名。
历史背景数字签名标准DSS(DigitalSignatureStandard)是由美国国家标准技术协会NIST于1991年8月公布,并于1994年12月1日正式生效的一项美国联邦信息处理标准。
数字签名标准DSS,实质是ElGamal签名体制但它运行在较大有限域的一个小的素数阶子群上,并且在这个有限域上,离散对数问题是困难的。
数字签名标准DSS,实现方法在对消息进行数字签名之前,DSS先使用安全的Hash算法SHA-1对消息进行Hash处理,然后再对所得的消息摘要签名。
数字签名标准DSS,DSS数字签名算法,DSS数字签名标准使用的算法称为数字签名算法DSA(DigitalSignatureAlgorithm),它是在ElGamal和Schnorr两个方案基础上设计出来的。
DSA的系统参数,这里的使用的是安全的Hash算法SHA-1,DSA的系统参数,签名时,DSA数字签名算法,验证时,DSA数字签名算法,这是因为,如果是消息的有效签名,那么,DSA数字签名算法,DSA数字签名算法基本框图,例,DSA数字签名算法,签名时,假如该签名者要对一个消息摘要为SHA-1(m)=132
升级会员 