讲解4-第五六章hcy.ppt

韩 彩 芸 * 5-1 什么是散列函数？对散列函数的要求和安全性要求分别是什么？ 答：密码学中的散列函数又称为哈希函数，他是一种单向密码体制，是一个从明文到密文的不可逆映射，只有加密过程，不能解密，可将任意长度的输入信息压缩为某一固定长度的消息摘要，也称为散列码 散列函数的基本要求： (1) h(m)算法公开，不需要密钥 (2) 具有数据压缩功能，可将任意长度的输入数据转变称为一个固定长度的输出 (3) 对任意给定的m，h(m) 易于计算 安全性要求： (1)具有单向性 (2)具有弱碰撞性 (3)具有强抗碰撞性 * 1，消息鉴别是一个过程，用以验证接受消息的真实性和完整性，同时还用于验证消息的顺序性和时间性，除此之外，在考虑信息安全时还需要考虑业务的不可否认性，也称为抗抵赖性，即防止通信双方中的某一方对所传信息的否认或抵赖。 2，使用消息鉴别来防止攻击者对系统进行主动攻击，如伪造，篡改消息等 3，实现方法：基于加密技术的消息鉴别和基于散列函数的消息鉴别 答：1 保证数据的完整性 2 单向数据加密 3 数字签名 5-5 什么是消息鉴别？为什么要进行消息鉴别？消息鉴别的实现方法有哪些？ 5-4 散列函数的主要应用有哪些？ * 1)如果Y=DESK(X)，有Y’=DESK’(X’)， 证明，上述散列函数中，可对消息d进行修改却保持散列值不变。 5.6有许多的散列函数是由CBC模式的分组加密技术构造的，其中的密钥为消息分组。例如，将消息分成M1，M2，M3…Mn，H0=初值，迭代关系为 * 证明：1）由题意知 故，构造消息M1’，M2 ，M3 ， … ，MN，同时初值取为原来初值的补，则可说明不同的明文，对应相同的散列值 * 2)若迭代式改为上式，证明也可进行如此攻击 故，构造消息M1’，M2 ，M3 ， … ，MN，同时初值取为原来初值的补，则可说明不同的明文，对应相同的散列值 * 用户A计算公钥：y=adA mod p=27 mod 11=7 用户A计算消息M的签名：由于gcd(7,10)=1，所以7在模10下的乘法逆元一定存在，根据选择的签名随机数k=7并利用Euclid算法有： k-1 mod (p-1)=7-1 mod 10=3； r=ak mod p=27 mod 11=7； s=(H(M)-dAr)k-1 mod(p-1)=3 用户A将(r,s)=(7,3)作为自己对消息M的数字签名，与消息M一起传送给接收方 6-3设素数p=11，a=2是Z11上的本原元，用户A选择dA=7作为自己的私钥，消息M的散列码H(M)=10，系统选择随机数K=7，计算A用ElGamal数据字签名算法对消息M的签名以及用户B对签名的验证 * 接收方对签名进行验证，只需计算： yr * rs(mod p)=(77*73)mod11=1 aH(M)(mod p)=1 由于两者相等，所以（7,3）是消息M的有效签名 * （1）消息M1 M2都已知，且r , s1, s2也是已知的 ①-②有： 因为gcd(s1-s2，p-1)=1，因此(s1-s2)-1 mod(p-1)存在 两边同乘(s1-s2)-1 k ，从而有 (2)求出K，可利用 求解出： 习题6-4 * 6-5 DSA签名算法中，k泄露的安全分析。 因为 所以已知k，可得r，通过r，k，可得到私钥 整个数字签名算法将被攻破。 * １．计算g： ２．计算用户的公钥： 4．计算消息M的数字签名： 因此(r，s)=(14，18)作为消息的数字签名 ５.验证。 习题6-6 3．gcd（21，23）=1 ，所以21在模23下的乘法逆元一定存在，K-1modq=21-1mod23=11 * *