无线网络安全技术2011-10消息认证和散列函数.ppt

* * 提问公钥加密可实现的功能。 * * 复习密码算法的工作模式。 * * 例如：80位密钥，32位的MAC。 第一次穷举攻击会得到大约248个可能的密钥。 第二次穷举攻击会得到大约216个可能的密钥。 第三次穷举攻击会得到唯一一个密钥，即发送方所使用的密钥。 * */29 2011年东南大学信息安全基础课程 通信安全理论与技术 秦中元 东南大学信息科学与工程学院 信息安全研究中心 zyqin@seu.edu.cn * */29 上次课内容 第10章 密钥管理和其他公钥密码体制 10.1 密钥管理 10.2 Diffie-Hellman密钥交换 10.3 椭圆曲线算术 10.4 椭圆曲线密码学 * */29 公钥证书 通信双方使用证书来交换密钥，而不是通过公钥管理员。 证书包含用户编号和公钥，由证书管理员产生。 CA=E[PRauth，T，IDa，PUa] * */29 公钥和私钥的产生 * */29 密钥的产生 * */29 本次课内容 第11章 消息认证和散列函数 11.1 对认证的要求 11.2 消息加密 11.3 消息认证码 11.4 散列函数 * */29 11.1 认证要求 网络通信环境下的攻击类型： 泄露(Disclosure) 传输分析(Traffic analysis) 伪装(Masquerade) 内容篡改(Content modification) 顺序修改(Sequence modification) 计时修改(Timing modification) 发送方否认(Source repudiation) 接收方否认(Destination repudiation) 机密性 消息认证 数字签名 * */29 消息认证—— 验证收到的消息确实来自声明的发送方且未被修改 消息认证也可以验证消息的顺序和时间 数字签名—— 一种认证技术，包含了防止发送方否认的方法 11.1 认证要求 数据完整性 不可否认性 * */29 11.2 认证函数 消息认证或数字证书可以看作有两层： 下层: 需要某种函数用于产生一个认证码，这个码用于认证消息。 产生认证码的函数实现问题 上层：将下层函数作为原语用于认证协议中。 认证协议的设计问题 认证函数类型： 消息加密 密文作为认证码 消息认证码 (MAC) 函数输入为消息和密钥，生成值为一定长的值 散列函数 将一个消息映射为一个定长的摘要值 * */29 11.2.1 对称加密 如果明文具有一定的语法结构，接收方可以判断解密后明文的合法性，从而确认消息来自发送方而且中间未受到篡改。 如果明文为二进制文件，则难以判断解密后的消息是正确的明文。 * */29 内部和外部错误控制 发送端：在加密前对每个消息附加错误检测码F，附加在M后面，对M和F一起进行加密。 接收端：解密收到的信息，重新计算F，并与收到的F进行比较。 * */29 11.2.2 公钥加密 必威体育官网网址性 认证和签名 * */29 公钥加密 既能实现必威体育官网网址性，又能完成认证和签名。 一次通信中要进行四次复杂的公钥算法。 * */29 Message Authentication Code (MAC)：利用共享密钥生成一固定长度的字段 (记为MAC) MAC = C (K,M) K：共享密钥 M: 输入消息 C：MAC函数 MAC：消息认证码 11.2.2 消息认证码 可以确认： 消息不被修改 消息来源于宣称的发送方 消息的发送顺序未被改变（要求消息中包含序列号） 与加密函数的区别： MAC不需要解密，即MAC函数无需可逆性 MAC函数为多对一的映射关系 * */29 基于DES的消息认证码 数据认证算法(FIPS PUB 113)使用CBC (Cipher Block Chaining)方式，初始向量为0。它是使用最广泛的MAC算法之一。 将数据按64位分组，D1, D2, … , DN，必要时最后一个数据块用0向右填充。运用DES加密算法E，密钥为K。 数据鉴别码(DAC)的计算如下： O1 = EK(D1) O2 = EK(D2⊕O1) O3 = EK(D3⊕O2) … ON =EK(DN⊕ON-1) * */29 基于DES的消息认证码 * */29 消息认证码的讨论 必威体育官网网址性与真实性是两个不同的概念 从根本上说,信息加密提供的是必威体育官网网址性而非真实性 加密代价大(公钥算法代价更大) 某些信息只需要真实性,不需要必威体育官网网址性 – 广播的信息难以使用加密(信息量大) – 网络管理信息等只需要真实性 – 政府/权威部门的公告 * */29 针对MAC的穷举攻击 令k为密钥长度，n为MAC长度 假定不提供必威体育官网网址(图11.4(a)) 若kn 穷举攻击会产生2(k-n) 个待选密钥 给定 M1 和 MAC1,