第八講-報文鑒別

1、網(wǎng)絡(luò)通信的攻擊威脅n泄露：把報文內(nèi)容發(fā)布給任何人或沒有合法密鑰的進程n流量分析：發(fā)現(xiàn)通信雙方之間報文流的通信模式,可以用來確定連接的頻率、持續(xù)時間長度；還可以發(fā)現(xiàn)報文數(shù)量和長度等網(wǎng)絡(luò)通信的攻擊威脅n偽裝:以假的源點身份將報文插入網(wǎng)絡(luò)中n內(nèi)容篡改:報文內(nèi)容被插入,刪除,變換,修改n序號篡改:對通信雙方報文序號的任何修改，包括插入、刪除或重排序n時間篡改:報文延遲或重放n抵賴:接受者否認(rèn)收到某報文；發(fā)送者否認(rèn)發(fā)送過某報文報文鑒別信源識別：驗證報文的發(fā)送者是真實的，而不是冒充的驗證報文的完整性,在傳送或存儲過程中未被篡改，重放或延遲等n數(shù)字簽名的目的報文鑒別n鑒別的結(jié)構(gòu)底層必須有某種函數(shù)產(chǎn)生一個鑒別

2、標(biāo)識:用于認(rèn)證一個報文的值高層認(rèn)證協(xié)議以底層函數(shù)為原語,使接收者完成報文的鑒別報文鑒別的三種方式n消息加密:以整個報文的密文作為鑒別標(biāo)識對稱加密公鑰加密n報文鑒別碼(MAC):以一個公共函數(shù)和一個密鑰產(chǎn)生一個固定長度的值作為認(rèn)證鑒別標(biāo)識n散列函數(shù)(HASH):一個公共函數(shù),將任意長度的報文映射到一個固定長度的散列值，作為鑒別標(biāo)識對稱加密保密和認(rèn)證AB:():()kkABkA E MBB D MM與 共享密鑰，查看是否為有意義的明文對稱加密保密和認(rèn)證n提供保密-僅A和B共享密鑰n提供一定程度的鑒別A是用此密鑰發(fā)送密文的唯一來源B需要某些手段確定解密結(jié)果是合法明文：校驗碼n 不提供簽名發(fā)送人和接收

3、人均可偽造報文ABbKUb 提供保密 僅B有KR 能解密 不提供鑒別 任何一方均可以使用加密報文而假稱它是發(fā)自A的公鑰加密保密公鑰加密鑒別和簽名ABn提供鑒別和簽名公鑰加密保密、鑒別和簽名ABnKRa提供認(rèn)證和簽名僅A有KRa可進行加密任何一方均能使用KUa驗證簽名nKUb提供保密性報文鑒別碼接收者可以確信消息M未被改變接收者可以確信消息來自所聲稱的發(fā)送者若報文中包含序號(如HDLC,X.25, TCP),則接收者可以保證報文的正常順序,因為攻擊者無法成功更改序列號報文鑒別ABMAC=CK(M),K為A和B共享密鑰,M為明文A-B: M|CK(M)n提供鑒別：僅A和B共享密鑰ABMAC=CK1

4、(M)A-B: EK2M|CK1(M)n提供鑒別：僅A和B共享密鑰K1n提供保密：僅A和B共享密鑰K2報文鑒別與保密：鑒別與密文連接ABMAC=CK1(EK2(M)A-B: EK2M|CK1(EK2(M)n提供鑒別：僅A和B共享密鑰K1n提供保密：僅A和B共享密鑰K2報文鑒別 VS 常規(guī)加密散列函數(shù)()hH M散列函數(shù)的要求nH能用于任意大小分組,能產(chǎn)生定長輸出n對任何給定的x,H(x)要相對易于計算,使得硬件和軟件實現(xiàn)成為可能n單向性:對任何給定的碼h,尋找x使得H(x)= h在計算上是不可行的散列函數(shù)的要求n映射分布均勻性和差分分布均勻性n輸入中每一比特信息,應(yīng)盡量均勻的反映到輸出的每一比

5、特上, 輸出的每一比特,都是輸入中盡可能多比特的信息一起作用的結(jié)果n抗沖突性:在統(tǒng)計上無法產(chǎn)生2個散列值相同的預(yù)映射。n弱抗沖突性:給定任意分組x,尋找不等于x的y,使得H(x)=H(y)在計算上是不可行的n強抗沖突性:尋找任何的(x,y),使得H(x)= H(y)在計算上是不可行的A-B: EKM|H(M)n提供鑒別：加密保護H(M)n提供保密：僅A和B共享密鑰KA-B: M|EkH(M)n提供鑒別：加密保護H(M)A-B: M|EKRaH(M)n提供鑒別：加密保護H(M)n提供簽名：僅A能生成EKRaH(M)A-B: EKM|EKRaH(M)n提供鑒別：加密保護H(M)n提供保密：僅A和B

6、共享密鑰KA-B: M|H(M|S)n提供鑒別:僅A和B共享秘密值S,且S不在信道中傳輸n減少了兩次加/解密過程A-B: EKM|H(M|S)n提供鑒別：僅A和B共享秘密值Sn提供保密：僅A和B共享密鑰Kn減少了兩次加/解密過程n報文鑒別碼需要對全部數(shù)據(jù)進行加密n報文鑒別碼速度慢n散列函數(shù)是一種直接產(chǎn)生鑒別碼的方法nMerkle于1989年提出迭代散列函數(shù)模型n具體做法:把原始消息M分成一些固定長度b比特的塊Yi,(Y0,Y1, YL-1,)最后一塊填充為b比特,并包含報文M的長度值設(shè)定初始值CV0壓縮函數(shù)f,CVi=f(CVi-1,Yi-1)最后一個CVi為hash值,H(M,CV0)=CV

7、LMD5描述nRon Rivest于1990年提出MD4n1992年, Ron Rivest 完成MD5 (RFC 1321) n在最近數(shù)年,MD5是最主要的hash算法n現(xiàn)行美國標(biāo)準(zhǔn)SHA-1以MD5的前身MD4為基礎(chǔ)MD5描述：n輸入：任意長度的報文n輸入分組長度：512bit n輸出：128bit報文MD5設(shè)計目標(biāo)MD5示意圖n消息分組與填充附加填充比特,對報文進行填充使報文長度(比特數(shù))與448模512同余，即填充后長度為512的整數(shù)倍減去64附加長度值,將64bit表示的初始報文M的位長度(低字節(jié)序)附加在填充后報文尾部。將消息M分組為Y0, Y1, YL-1,其中每個分組為512位

8、最后一個分組YL-1,前448位為消息M的尾部加上填充值,填充值最高位為1,其余位為0（低字節(jié)序)MD5描述step 2n緩沖區(qū)初始化nMD5使用緩沖區(qū)存放處理過程的中間結(jié)果和最后的消息摘要n緩沖區(qū)MD為128bitnMD可表示為4個32bit的寄存器(A,B,C,D),每個寄存器均以小字節(jié)序存放數(shù)據(jù)n壓縮：由壓縮函數(shù)HMD5對每個消息分組Yi進行4輪循環(huán)的壓縮處理。),(150iiMDiYCVHCVIVCVn輸出LCVMD HMD5壓縮算法nHMD5壓縮算法輸入：當(dāng)前處理的512位分組Yi128位緩沖區(qū)MD中4個32位寄存器A,B,C,D的當(dāng)前值常量表T中的常數(shù):T1.16,T17.32,

9、T33.48,T49.64HMD5壓縮算法n常量表T1.64中各元素Ti為32位整數(shù),取值為：為弧度值iiabsINTTi),(sin(2(32n常量表T:隨機化32位整型量,消除輸入數(shù)據(jù)的規(guī)律性 Function g(b,c,d)F(b,c,d) (b&c)|(b&d)G(b,c,d) (b&d)|(c&d)H(b,c,d) bcdI(b,c,d) c(b|d)基本MD5操作(單步)HMD5壓縮算法BB+(A+g(B,C,D)+XK+Ti)s)A,B,C,D: 緩存中的4個字g: 基本邏輯函數(shù)F,G,H,I中的一個s: 32bit參數(shù)循環(huán)左移s個比特Xk: =

10、Mq*16+k,第q個長度為512bit報文分組中的第k個32bit字Ti:矩陣T中的第i個32bit字+：模232加法HMD5壓縮算法16mod7)(16mod)35()(16mod)51()(432iiiiiiSecure Hash Algorithm簡介SHA-1算法SHA-1算法)01230(0123)103254760(76543210)980(98)890(89)674523010(01234567FEDxCFEDCExDBADCFExFEDCBACxEFCDABABCDEFBxAn步驟4：對每個消息分組Yi進行4輪循環(huán)的壓縮處理,每輪處理結(jié)構(gòu)相同,但使用的位邏輯函數(shù)不同,每輪處理

11、由20次迭代組成每一步運算步驟常量從消息塊導(dǎo)出),),30(,),), 5 (),(),(DCBCLSAKWACLSDCBfEEDCBAii每一步運算步驟-位邏輯函數(shù) C DH(B,C,D)= (B&C)|(B&D)|(C&D)I(B,C,D)= B C DSHA-1算法結(jié)論nSHA-1使用big-endiann速度慢于MD5n安全性優(yōu)于MD5RIPEMD-160n歐洲RIPE項目的結(jié)果nRIPEMD為128位n更新后成為RIPEMD-160n基礎(chǔ)是MD5n算法n輸入：任意長度的消息n輸出：長度為160位的消息摘要n處理：以512位數(shù)據(jù)塊為單位nHash函數(shù)把變長信息映

12、射到定長信息nHash函數(shù)不具備可逆性nHash函數(shù)速度較快nHash函數(shù)與對稱密鑰加密算法有某種相似性n對Hash函數(shù)的密碼分析比對稱密鑰密碼更困難nHash函數(shù)可用于消息摘要nHash函數(shù)可用于數(shù)字簽名n用于保護通信雙方免受第三方攻擊n無法防止通信雙方的相互攻擊n信宿方偽造報文n信源方否認(rèn)已發(fā)送的報文n引入數(shù)字簽名，是筆跡簽名的模擬數(shù)字簽名n傳統(tǒng)簽名的基本特點:n與被簽的文件在物理上不可分割n簽名者不能否認(rèn)自己的簽名n簽名不能被偽造n容易被驗證n數(shù)字簽名是傳統(tǒng)簽名的數(shù)字化,基本要求:n能與所簽文件“綁定”n簽名者不能否認(rèn)自己的簽名n簽名不能被偽造n容易被驗證數(shù)字簽名n數(shù)字簽名的性質(zhì)數(shù)字簽名

13、的性質(zhì)n必須能夠驗證作者及其簽名的日期時間n必須能夠認(rèn)證簽名時刻的內(nèi)容n簽名必須能夠由第三方驗證，以解決爭議n數(shù)字簽名需要滿足的條件n收方條件：接收者能夠核實和確認(rèn)發(fā)送者對消息的簽名,但不能偽造對消息者的簽名n發(fā)方條件：發(fā)送者事后不能否認(rèn)和抵賴對消息的簽名n公證條件：公證方能確認(rèn)收方的信息，做出仲裁，但不能偽造這一過程。n簽名必須是依賴于被簽名信息的一個位串模板n簽名必須使用某些對發(fā)送者是唯一的信息，以防止雙方的偽造與否認(rèn)n必須相對容易生成該數(shù)字簽名n必須相對容易識別和驗證該數(shù)字簽名n偽造該數(shù)字簽名在計算復(fù)雜性意義上具有不可行性，既包括對一個已有的數(shù)字簽名構(gòu)造新的消息，也包括對一個給定消息偽造一個數(shù)字簽名n在存儲器中保存一個數(shù)字簽名副本是現(xiàn)實可行的n系統(tǒng)初始化過程：產(chǎn)生數(shù)字簽名方案中用到的一切參數(shù)，包括公開和秘密參數(shù)n簽名產(chǎn)生過程：用戶利用給定的算法對消息m產(chǎn)生簽名sig(m),簽名過程可以公開也可以不公開n簽名驗證過程：驗證者利用公開驗證方法及簽名公鑰對給定消息的簽名進行驗證，得出簽名的有效性判斷直接數(shù)字簽名直接數(shù)字簽名n驗證模式依賴于發(fā)送方的保密密鑰n發(fā)送方要抵賴發(fā)送某一消息時，可能會聲稱其私有密鑰丟失或被竊，從而他人偽造了他的簽名n改進