计算机网络安全原理（第2版）课件 第3章 消息认证与身份认证.pptx

第三章消息认证与身份认证;问题;认证：概念(1/2);认证：概念(2/2);认证的类型;内容提纲;为什么要学习散列函数？;问题;问题;问题;;;;基本样本散列值的检测;基本样本散列值的检测;;;;Windows操作系统以及一些安全软件是如何防止系统中的重要文件、升级包被攻击者替换、篡改？;密钥是如何生成的？;;SSL/TLS协议：生成主密钥（参见第7章）;SSL/TLS协议：密钥参数生成（参见第7章）;实际应用中，很多加密密钥产生算法与散列函数有关

某智能门锁对称会话密钥产生方法：使用time函数得到当前的系统时间，然后对系统时间加上其它一些参数进行MD5计算得到;比特币的原理是什么？;;;问题;散列函数（hashfunction）是现代密码学的重要组成部分

h=H(M)：h称为散列值、散列码、报文摘要（MessageDigest）或消息摘要，对于特定的散列函数H，h的长度是固定的

;王小云院士在在2020中关村论坛上做“密码技术与区块链”主题演讲中提到：：哈希函数支撑三大安全性;散列函数;两个重要特性

唯一性：两个不同的输入产生不同的输出，如果输入不同但输出相同，则产生了“碰撞（collision）”

雪崩效应（avalancheeffect）：消息中的一个微小变化，甚至只是改变一个比特位，都可能会在输出中产生一个明显的变化;散列函数H的安全性需求;另一种安全属性的表述;密码学Hash函数应用;;报文摘要（MessageDigest,MD）算法是由Rivest从20世纪80年代末所开发的系列散列算法的总称，历称MD2、MD3、MD4和必威体育精装版的MD5;MD5;MD5的输入为512位分组，输出是4个32位字的级联（128位散列值），过程如下：

首先，消息被拆成若干个512位的分组，其中最后512位分组是“消息尾+填充字节(100…0)+64位消息长度”，以确保对于不同长度的消息，该分组不相同。4个32位寄存器字初始化为A=0B=0x89abcdef，C=0xfedcba98，D=0它们将始终参与运算并形成最终的散列结果;关于A，B，C，D初始化值;MD5的输入为512位分组，输出是4个32位字的级联（128位散列值），过程如下：

接着，各个512位消息分组以16个32位字的形式进入算法的主循环，512位消息分组的个数决定了循环的次数。主循环有4轮，每轮分别用到的非线性函数如下：;MD5的输入为512位分组，输出是4个32位字的级联（128位散列值），过程如下：

这4轮变换是对进入主循环的512位消息分组的16个32位字分别进行如下操作：将A、B、C、D的副本a、b、c、d中的3个经F、G、H、I运算后的结果与第4个相加，再加上32位字和一个32位字的加法常数，并将所得之值循环左移若干位，最后将所得结果加上a、b、c、d之一，并回送至ABCD，完成一次循环;;MD5的输入为512位分组，输出是4个32位字的级联（128位散列值），过程如下：

当所有512位分组都运算完毕后，ABCD的级联将被输出为MD5散列的结果;MD5;2004年国际密码学会议(Crypto’2004)上，王小云教授做了破译MD5、HAVAL-128、MD4和RIPEMD算法的报告，提出了密码哈希函数的碰撞攻击理论，即模差分比特分析法。王教授的相关研究成果提高了破解包括MD5、SHA-1在内的5个国际通用的哈希函数算法的概率，给出了系列消息认证码MD5-MAC等的子密钥恢复攻击和HMAC-MD5的区分攻击方法。;SHA（SecureHashAlgorithm）算法是使用最广泛的Hash函数，由美国国家标准与技术研究院（NIST）和美国国家安全局（NSA）设计，包括5个算法，分别是SHA-1、SHA-224、SHA-256、SHA-384和SHA-512，后四个算法有时并称为SHA-2。

SHA-1在许多安全协议中广为使用，如TLS和SSL、PGP、SSH、S/MIME和IPsec等;SHA算法建立在MD4算法之上，其基本框架与MD4类似。

SHA-1算法产生160bit的散列值，因此它有5个参与运算的32位寄存器字，消息分组和填充方式与MD5相同，主循环也同样是4轮，但每轮进行20次操作，非线性运算、移位和加法运算也与MD5类似，但非线性函数、加法常数和循环左移操作的设计有一些区别。;SHA-2与SHA-1类似，都使用了同样的迭代结构和同样的模算法运算与二元逻辑操作。;/;SHA-1的安全性

2005年2月，王小云等人发表了对SHA-1的攻击，只需少于269的计算复杂度，就能找到一组碰撞，而此前的利用生日攻击法找到碰撞需要280的计算复杂度;NIST在2007年公开征集新一代N