消息认证和散列函数方案.ppt

* * * * * * * * * * * * * * * * * * * * * 数字签名流程： (1)采用散列算法对原始报文进行运算，得到个固定长度的数字串，称为报文摘要(Message Digest) 唯一性：不同的报文所得到的报文摘要各异，但对相同的报文它的报文摘要却是惟一的。 不可更改性：在数学上保证，只要改动报文中任何一位，重新计算出的报文摘要值就会与原先的值不相符。 * * (2) 发送方用目己的私有密钥对摘要进行加密来形成数字签名。 (3) 这个数字签名将作为报文的附件和报文一起发送给接收方。 (4) 接收方首先对接收到的原始报文用同样的算法计算出新的报文摘要，再用发送方的公开密钥对报文附件的数字签名进行解密，比较两个报文摘要，如果值相同，接收方就能确认该数字签名是发送方的，否则就认为收到的报文是伪造的或者中途被篡改。 * * Hash函数的基本用途（c） M H || H Compare M E EkRa(H(M)) KRa私钥 D KUa 数字签名 * * 数字签名 传统签名的基本特点: 能与被签的文件在物理上不可分割 签名者不能否认自己的签名 签名不能被伪造 容易被验证 数字签名是传统签名的数字化,基本要求: 能与所签文件“绑定” 签名者不能否认自己的签名 签名不能被伪造 容易被验证 * * * * * M是已知的 * * * * * * md5碰撞历史上认为需要上亿年才能碰到一次，但现在看来8小时就能人工找到碰撞。这无疑是对安全的严重威胁，但对密码方面尚无直接威胁，没有原文说的那么简单。比如你知道了论坛用户数据库中口令md5/linux密码文件中md5你当前是无法还原出一个密码文本的。王论文里写了：信息x 计算其md5为 y，现在在已知x（这点非常重要）情况下可以很快计算出一个z(z内容基本是随机的） 其md5也是y。即知道x，可以快速找到一个z，使得md5(x) == md5(z) == y导致无法直接威胁当前安全体系的原因有两个：1. 只知道md5值y，而不知道原信息x情况下无法找到一个信息让其md5值为y，也就是说你知道了md5情况下也找不出密码。2. 知道x情况下可快速找到z使得两者md5值相等，但无法控制z的内容，z几乎就是随机字符。也就是说你知道了x内容，想串改x内容为有意义的z，还想x和z的md5值相同，这是不可能的。 little?endian和big?endian是表示计算机字节顺序的两种格式,所谓的字节顺序指的是长度跨越多个字节的数据的存放形式. ????????假设从地址0始的一个字中保存有数据0x1234abcd,那么在两种不同的内存顺序的机器上从字节的角度去看的话分别表示为: ???????1)little?endian:在内存中的存放顺序是00xcd,00xab,00x34,00x12 ???????2)big??endian:在内存中的存放顺序是00x12,00x34,00xab,00xcd ???????需要特别说明的是,以上假设机器是每个内存单元以8位即一个字节为单位的. ???????简单的说,ittle?endian把低字节存放在内存的低位；而big?endian将低字节存放在内存的高位. * * * * * * * * 一种单向散列函数不使用密钥，它只是一个简单的公式，把任何长度的一个报文转化为一个叫做报文摘要的固定长度的简单字符串。 * * * * * * * * 上节课回顾 * * 6、什么是“互质数”（或“互素数”）？ 答：公约数只有1的两个数，叫做互质数 上节课回顾 * * 7、什么是模指数运算？ 上节课回顾 * * 7、什么是模运算？ 答：模运算是整数运算，有一个整数m，以n为模做模运算，即m mod n，结果只要余数。 上节课回顾 * * 8、目前被破解的最长RSA密钥是多少个二进制位？ 上节课回顾 * * 8、目前被破解的最长RSA密钥是多少个二进制位？ 答：768位 上节课回顾 * * 9、 目前被研究得最广泛的公钥算法是哪个算法？ 上节课回顾 * * 9、 目前被研究得最广泛的公钥算法是哪个算法？ 答：RSA 上节课回顾 * * 10、RSA比DES慢约多少倍？ 上节课回顾 * * 10、RSA比DES慢约多少倍？ 答：1000倍 上节课回顾 * * 11、公钥密码用于认证（数字签名、身份识别等）和密钥管理；对称密钥用在哪里？ 上节课回顾 * * 11、公钥密码用于认证（数字签名、身份识别等）和密钥管理；对称密钥用在哪里