第6章-消息认证和杂凑算法试题.ppt

Secure Hash Algorithm简介 1992年NIST制定了SHA(128位) 1993年SHA成为标准（FIPS PUB 180） 1994年修改产生SHA-1(160位) 1995年SHA-1成为新的标准,作为SHA-1(FIPS PUB 180-1) SHA-1要求输入消息长度264 输入按512位的分组进行处理的 SHA-1的摘要长度为160位 基础是MD4 SHA-1: padding 与MD5相同 Step 1: Padding M ? M1 |M1| ? 448 mod 512 |M1| |M| ? 如果|M| ? 448 mod 512,则|M1| = |M|+512 Padding内容: 100…0 Step 2: Append 64-bit length M1 ? M2 |M| 264 高字节在前 (big-endian) |M2|为512的倍数: Y0,Y1,…,YL-1 SHA-1: compress Step 3: Initialize MD buffer (big-endian) A = 67 45 23 01 (0 B = EF CD AB 89 (0xEFCDAB89) C = 98 BA DC FE (0x98BADCFE) D = 10 32 54 76 (0 E = C3 D2 E1 F0 (0xC3D2E1F0) Step 4: Compression CV0=IV CVi=HSHA-1(CVi-1,Yi) Step 5: Output MD = CVL SHA-1 step 4: 示意图 SHA-1 step 4: overview Step 4: CV0=IV, CVi=HSHA-1(CVi-1,Yi) (A0,B0,C0,D0,E0)?(A,B,C,D,E), t ? 0 Round(A,B,C,D,E,K[t],W[t]) 0 ? t 80 (A,B,C,D,E)?(A+A0,B+B0,C+C0,D+D0,E+E0) 整个Round包含80次循环,每次处理一个32-bit W[t] = Yi[t] 0 ? t 16 W[t] =(W[t-16]?W[t-14]?W[t-8]?W[t-3])1 16 ? t 80 每组(16个)W[t]可由前一组W[t]直接计算 SHA-1: compression function Four rounds: 0 ? t 80 E ? E+f(t,B,C,D)+(A5)+W[t]+K[t] B ? B30 (A,B,C,D,E)?(A,B,C,D,E)32 f(t,B,C,D) = (BC)|(BD) 0 ? t 20 K[t] = 230 ? sqrt(2) f(t,B,C,D) = B ? C ? D 20 ? t 40 K[t] = 230 ? sqrt(3) f(t,B,C,D) = (BC)|(BD)|(CD) 30 ? t 60 K[t] = 230 ? sqrt(5) f(t,B,C,D) = B ? C ? D 60 ? t 80 K[t] = 230 ? sqrt(10) SHA-1 压缩函数 A,B,C,D,E ? (E + f(t,B,C,D)+S5(A) +Wt + Kt),A,S30(B),C,D 其中， A,B,C,D,E = 缓冲区的5个字； t = 步数，0= t = 79； f(t,B,C,D) = 步t的基本逻辑函数； Sk = 循环左移k位给定的32位字； Wt = 一个从当前512数据块导出的32位字； Kt = 一个用于加法的常量，四个不同的值，如前所述 + = 加模232。 A B C D A B C D + + + + ft T[i] E E S5 Wt Kt S30 SHA-1总结 SHA-1使用big-endian 抵抗生日攻击: 160位hash值 没有发现两个不同的512-bit块,它们在SHA-1计算下产生相同的“hash” 速度慢于MD5 安全性优于MD5 比较： MD5 SHA-1 RIPEMD-160 摘要长度 128位 160位 160位 基本处理单位 512位 512位 512位 步数 64(4 of 16) 80(4 of 20) 160(5 paired of 16) 最大消息长度 无