0密码学基础.ppt

消息重放：最坏情况下可能导致敌人暴露会话密钥，或成功地冒充 其他人；至少也可以干扰系统的正常运行，处理不好将导致系统瘫 痪。 常见的消息重放 攻击形式有： 1、简单重放：攻击者简单复制一条消息，以后在重新发送它； 2、可被日志记录的复制品：攻击者可以在一个合法有效的时间 窗内重放一个带时间戳的消息； 3、不能被检测到的复制品：这种情况可能出现，原因是原始信 息已经被拦截，无法到达目的地，而只有重放的信息到达目 的地。 4、反向重放，不做修改。向消息发送者重放。当采用传统对称 加密方式时，这种攻击是可能的。因为消息发送者不能简单 地识别发送的消息和收到的消息在内容上的区别。 对付重放攻击的一种方法是在认证交换中使用一个序数来给每一 个消息报文编号。仅当收到的消息序数顺序合法时才接受之。但 这种方法的困难是要求双方必须保持上次消息的序号。 两种更为一般的方法是： 1、时间戳：A接受一个新消息仅当该消息包含一个时间戳，该时间戳 在A看来，是足够接近A所知道的当前时间；这种方法要求不同参 与者之间的时钟需要同步。 2、盘问/应答方式。（Challenge/Response）A期望从B获得一个新消息 ，首先发给B一个临时值(challenge)，并要求后续从B收到的消息（ response）包含正确的这个临时值。 时间戳方法似乎不能用于面向连接的应用，因为该技术固有的困难。 (1) 某些协议需要在各种处理器时钟中维持同步。该协议必须既要容 错以对付网络出错，又要安全以对付重放攻击。 (2) 由于某一方的时钟机制故障可能导致临时失去同步，这将增大攻 击成功的机会。 (3) 由于变化的和不可预见的网络延迟的本性，不能期望分布式时钟 保持精确的同步。因此，任何基于时间戳的过程必须采用时间窗 的方式来处理：一方面时间窗应足够大以包容网络延迟，另一方 面时间窗应足够小以最大限度地减小遭受攻击的机会。 步骤5：输出结果。所有L个512位数据块处理完毕后，最后的结果 就是128位消息摘要。 CV0 = IV CVq+1 = SUM32(CVq,RFI[Yq,RFH[Yq,RFG[Yq,RFF[Yq,CVq]]]]) MD = CVL 其中：IV = ABCD的初始值（见步骤3） Yq = 消息的第q个512位数据块 L = 消息中数据块数； CVq = 链接变量，用于第q个数据块的处理 RFx = 使用基本逻辑函数x的一轮功能函数。 MD = 最终消息摘要结果 SUM32=分别按32位字计算的模232加法结果。 MD5 Compression Function 每一轮包含对缓冲区ABCD的16步操作所组成的一个序列。 a?b + (( a + g(b,c,d) + X[k] +T[i])s) 其中， a,b,c,d = 缓冲区的四个字，以一个给定的次序排列； g = 基本逻辑函数F,G,H,I之一； s = 对32位字循环左移s位 X[k] = M[q?16 + k] = 在第q个512位数据块中的第k个32位字 T[i] = 表T中的第i个32位字； + = 模 232的加； A B C D A B C D + + + CLSs + g X[k] T[i] Function g g(b,c,d) 1 F(b,c,d) (b?c)?(b?d) 2 G(b,c,d) (b?d)?(c?d) 3 H(b,c,d) b?c?d 4 I(b,c,d) c?(b?d) ?2i = (1+5i) mod 16 ?3i = (5+3i) mod 16 ?2i = 7i mod 16 MD4 (1990年10月作为RFC1320发表) by Ron Rivest at MIT 安全性： 速度：32位体系结构下计算速度快。 简明与紧凑： 得益于little-endian architecture(Intel 80xxx, Pentium line) MD4用3轮，每轮16 步；MD5用4轮，每轮16步。 MD4中第一轮没有常量加；MD5中64步每一步用了一个不同的常量 T[i]； MD5用了四个基本逻辑函数，每轮一个；MD4用了三个。 MD5每轮加上前一步的结果；MD4没有。 SHA-1 算法逻辑 输入：最大