[数学]第8章 消息认证、哈希函数.ppt

消息认证机制和数字签名机制都需要有产生认证符的基本功能，这一基本功能又作为认证协议的一个部分。 认证符是用于认证消息的数值，它的产生方法分为消息认证码(MAC, Message Authentication Code)和哈希函数(Hash function)两大类。 8.1消息认证码 消息认证码(MAC)是指消息被一密钥控制的公开函数作 用后产生的固定长度的数值。该数值作为认证符。也称为密码校验和。 用户A和用户B，共享密钥K； 发送方A对于消息M，计算MAC=CK(M)，其中CK(·)是密钥控制的公开函数，然后向B发送M || MAC ； 接收方B收到M || MAC后，做与A同样的计算，求得一个新的MAC，并与收到的MAC作比较，如图8.1(a)所示： 图8.1 MAC的基本使用方式 8.1消息认证码 8.1消息认证码 若仅收发双方知道K，且B计算得到的MAC与接收到的MAC一致，则该系统实现了以下功能： 接收者可以确信消息M未被篡改； 接收者可以确信消息来自所声称的发送者，即发送方不是冒充的； 如果消息中含有序列号，则可以保证正确的消息顺序。 注：MAC函数与加密算法类似，不同之处是MAC不必是可逆的，因此与加密算法相比更不容易被攻破。 8.1消息认证码 上述过程中，由于消息本身在发送过程中是明文形式，所以这一过程只提供认证性而未提供必威体育官网网址性。 为提供必威体育官网网址性可在MAC函数以后(如图8.1(b))或以前(如图8.1(c))进行一次加密，而且加密密钥也需被收发双方共享。 在图8.1(b)中，M与MAC链接后再被整体加密，在图8.1(c)中，M先被加密再与MAC链接后发送。 通常希望直接对明文进行认证，因此图8.1(b)所示的使用方式更为常用。 8.1消息认证码 考虑到MAC所存在的攻击类型，它应满足以下要求，其中假定敌手知道函数C，但不知道密钥K： ① 如果敌手得到M和CK(M)，则构造一满足CK(M′)=CK(M)的新消息M′在计算上是不可行的。 ② CK(M)在以下意义下是均匀分布的： 随机选取两个消息M、M′，Pr[CK(M)=CK(M′)]=2-n，其中n为MAC的长。 ③ 若M′是M的某个变换，即M′=f(M)，例如f为插入一个或多个比特，那么Pr[CK(M)=CK(M′)]= 2-n。 8.1消息认证码 第1个要求是说敌手不需要找出密钥K而伪造一个与截获的MAC相匹配的新消息在计算上是不可行的。 第2个要求是说敌手如果截获一个MAC，则伪造一个相匹配的消息的概率为最小。 最后一个要求是说函数C不应在消息的某个部分或某些比特弱于其他部分或其他比特，否则敌手获得M和MAC后就有可能修改M中弱的部分，从而伪造出一个与原MAC相匹配的新消息。 数据认证算法 数据认证算法是最为广泛使用的消息认证码中的一个，已作为FIPS Publication（FIPS PUB 113）并被ANSI作为X9.17标准。 算法基于CBC模式的DES算法，其初始向量取为零向量。需被认证的数据（消息、记录、文件或程序）被分为64比特长的分组D1，D2，…，DN，其中最后一个分组不够64比特的话，可在其右边填充一些0，然后按以下过程计算数据认证码（见图8.2）： 数据认证算法 数据认证算法 其中E为DES加密算法，K为密钥。 数据认证码取为ON或者ON 的最左M个比特，其中16≤M≤64。 8.2 哈希函数 哈希函数H是一公开函数，用于将任意长的消息M映射为较短的、固定长度的一个值H(M)，作为认证符，称函数值H(M)为哈希值、杂凑值、杂凑码或消息摘要。杂凑码是消息中所有比特的函数，因此提供了一种错误检测能力，即改变消息中任何一个比特或几个比特都会使杂凑码发生改变。 可将MAC看成是带密钥的哈希函数。MAC主要用于保证消息的完整性。 哈希函数常用于数字签名。 图8.3 表示哈希函数用来提供消息认证的基本使用方式，共有以下6种： ① 消息与哈希值链接后用单钥加密算法加密。由于所用密钥仅为收发双方A、B共享，因此可保证消息的确来自A并且未被篡改。同时还由于消息和哈希值都被加密，这种方式还提供了必威体育官网网址性，见图8.3(a)。(提供认证性和必威体育官网网址性) ② 用单钥加密算法仅对哈希值加密。这种方式用于不要求必威体育官网网址性的情况下，可减少处理负担。注意这种方式和图8.1(a)的MAC结果完全一样，即将EK[H(M)]看作一个函数，函数的输入为消息M和密钥K，输出为固定长度，见图8.3(b)。(提供认证性) ③ 用公钥加密算法和发送方的秘密钥仅加密哈希值。和②一样，这种方式提供认证性，又由于只有发送方能产生加密的哈希值，因此这种方式还对发送方发送的消息提供了数字签字，事实上这种方式就是