密码学基础3.ppt
《密码学基础3.ppt》由会员分享,可在线阅读,更多相关《密码学基础3.ppt(95页珍藏版)》请在三一文库上搜索。
1、密码学基础(3),胡建斌 北京大学网络与信息安全研究室 E-mail: http:/ 录 消息鉴别与散列函数 散列算法 数字签名,消息鉴别与散列函数 Message Authentication and Has Functions,网络通信的攻击威胁,泄露:把消息内容发布给任何人或没有合法密钥的进程 流量分析:发现通信双方之间信息流的结构模式,可以用来确定连接的频率、持续时间长度;还可以发现报文数量和长度等 伪装:从一个假冒信息源向网络中插入消息 内容篡改:消息内容被插入、删除、变换、修改 顺序修改:插入、删除或重组消息序列 时间修改:消息延迟或重放 否认:接受者否认收到消息;发送者否认发送
2、过消息,鉴别和认证,鉴别:authentication 真伪性 (1) A process used to verify the integrity of transmitted data, especially a message 用来验证发送的数据,特别是一个信息的完整性的过程 (2) The act of establishing the identity of users when they start to use the system 在用户开始使用系统时对其身份进行的确认 认证:Certification 资格审查 In computer security, the techni
3、cal evaluation made as part of and in support of the accreditation process, that established the extent to which a particular computer system or network design and implementation meet prespecified security requirements 计算安全学用语,指为了鉴定一个计算机系统或网络的设计和它提供的手段在多大程度上能满足预定的安全要求而进行的技术评估,鉴别的结构,任何消息认证或数字签名机制可以看到
4、两个层次: 底层必须有某种函数产生一个认证标识:一个用于认证一个报文的值 高层认证协议以底层函数为原语,使接收者完成报文的鉴别,鉴别的目的,信源识别:验证信息的发送者是真正的,而不是冒充的 验证信息的完整性,在传送或存储过程中未被篡改,重放或延迟等,鉴别模型,鉴别系统的组成,鉴别编码器和鉴别译码器可抽象为鉴别函数 一个安全的鉴别系统,需满足 (1)指定的接收者能够检验和证实消息的合法性、真实性和完整性 (2)消息的发送者和接收者不能抵赖 (3)除了合法的消息发送者,其它人不能伪造合法的消息,鉴别函数分类,消息加密:整个消息的密文作为认证标识 消息鉴别码(MAC):公开函数+密钥产生一个固定长度
5、的值作为认证标识 散列函数:一个公开函数将任意长度的消息映射到一个固定长度的哈希值,作为认证标识,鉴别函数分类,消息加密:整个消息的密文作为认证标识 消息鉴别码(MAC):公开函数+密钥产生一个固定长度的值作为认证标识 散列函数:一个公开函数将任意长度的消息映射到一个固定长度的哈希值,作为认证标识,消息加密,对称加密保密和鉴别,A,B,对称加密保密和鉴别,明文M的自动确定,M定义为有意义的明文序列,便于自动识别 强制定义明文的某种结构,这种结构是易于识别但又不能复制且无需借助加密的 可以在加密前对每个报文附加检错码,即所谓的帧检验序列号或检验和FCS 内部差错控制和外部差错控制,差错控制,公钥
6、加密保密性,A,B,公钥加密鉴别和签名,A,B,公钥加密保密、鉴别和签名,A,B,消息鉴别码 MAC,消息鉴别码,使用一个密钥生成一个固定大小的小数据块,并加入到消息中,称MAC, 或密码校验和(cryptographic checksum) 1、接收者可以确信消息M未被改变 2、接收者可以确信消息来自所声称的发送者 3、如果消息中包含顺序码(如HDLC,X.25,TCP),则接收者可以保证消息的正常顺序 MAC函数类似于加密函数,但不需要可逆性。因此在数学上比加密算法被攻击的弱点要少,消息鉴别,A,B,消息鉴别与保密,鉴别与明文连接,A,B,消息鉴别与保密,鉴别与密文连接,A,B,消息鉴别
7、VS 常规加密,保密性与真实性是两个不同的概念 根本上,信息加密提供的是保密性而非真实性 加密代价大(公钥算法代价更大) 鉴别函数与保密函数的分离能提供功能上的灵活性 某些信息只需要真实性,不需要保密性 广播的信息难以使用加密(信息量大) 网络管理信息等只需要真实性 政府/权威部门的公告,散列函数 Hash Function,散列函数,H(M): 输入为任意长度的消息M; 输出为一个固定长度的散列值,称为消息摘要(MessageDigest) H(M)是消息M的所有位的函数并提供错误检测能力:消息中的任何一位或多位的变化都将导致该散列值的变化 H(M)又称为:哈希函数、数字指纹(Digital
8、 finger print)、压缩(Compression)函数、数据鉴别码(Dataauthentication code)等,散列函数基本用法(1),散列函数基本用法(2),散列函数基本用法(3),散列函数基本用法(4),散列函数基本用法(5),散列函数基本用法(6),消息鉴别码 MAC,M,K,MAC,函数域:任意长度的报文 值域:所有可能的MAC和所有可能的密钥 MAC一般为多对一函数,函数域:任意长度的报文 值域:所有可能的MAC和所有可能的密钥 假设 假设攻击者使用强行攻击,且已经获得报文的明文和相应的MAC,即,对MAC的强行攻击,假设 假设攻击者已经获得报文的明文和相应的MAC
9、,即 假设,对MAC的强行攻击,对MAC的强行攻击,对MAC的强行攻击,如果 kn,则第一轮就可以产生一个唯一对应。仍然可以有多于一个key产生这一配对,这时攻击者只需对一个新的(message, MAC)进行相同的测试 由此可见,强力攻击企图发现authentication key不小于甚至大于对同样长度的解密key的攻击,对MAC的其它攻击,设M = (X1 | X2 | | Xm) 是一个由64位Xi数据块连接而成 定义 (M) = X1X2.Xm CK(M) = EK(M) 其中 为异或操作;E为 ECB工作模式的DES算法 则 Key length = 56 bit MAC leng
10、th = 64 bit 强力攻击需要至少256次加密来决定K,对MAC的其它攻击,设 M = ( Y1 | Y2 | | Ym-1 | Ym) 其中 Y1, Y2, , Ym-1是替换 X1, X2,Xm-1的任意值,而 Ym = Y1Y2 , , Ym-1 (M) 则 CK(M) = EK(M) = EKY1Y2 , , Ym-1 Ym = EKY1Y2 , , Ym-1 (Y1Y2 , , Ym-1 (M) = EK(M) 这时消息M 和 MAC= CK(M) = EK(M)是一对可被接收者认证的消息 用此方法,任何长度为64(m-1)位的消息可以被插入任意的欺骗性信息,MAC应具备的性质
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 密码学 基础
链接地址:https://www.31doc.com/p-2627489.html