信息安全認(rèn)證課件 第五章消息認(rèn)證

第五章消息認(rèn)證與簽名2消息認(rèn)證的概念消息認(rèn)證（MessageAuthentication）Message：消息、報(bào)文。Authentication：鑒別、認(rèn)證。鑒別：消息的接收者對(duì)消息進(jìn)行的驗(yàn)證。真實(shí)性：消息確實(shí)來(lái)自于其真正的發(fā)送者，而非假冒；完整性：消息的內(nèi)容沒(méi)有被篡改。2023/6/83消息認(rèn)證的必要性消息認(rèn)證用于抗擊主動(dòng)攻擊驗(yàn)證接收消息的真實(shí)性和完整性真實(shí)性的確是由所聲稱的實(shí)體發(fā)過(guò)來(lái)的完整性未被篡改、插入和刪除驗(yàn)證消息的順序性和時(shí)間性（未重排、重放和延遲）4消息認(rèn)證與保密的關(guān)系是構(gòu)成信息系統(tǒng)安全的兩個(gè)方面，但屬于兩個(gè)不同屬性上的問(wèn)題：消息認(rèn)證不能自動(dòng)提供保密性；保密性也不能自然提供消息認(rèn)證功能。5消息認(rèn)證系統(tǒng)模型6消息認(rèn)證函數(shù)的分類基于報(bào)文加密方式的鑒別：以整個(gè)報(bào)文的密文作為鑒別符。消息認(rèn)證碼（MAC）方式。散列函數(shù)方式：采用一個(gè)公共散列函數(shù)，將任意長(zhǎng)度的報(bào)文映射為一個(gè)定長(zhǎng)的散列值，并以散列值作為鑒別符。7基于報(bào)文加密方式的鑒別（1）對(duì)稱密鑰加密方式：加密的同時(shí)提供保密和鑒別。2023/6/88CBC-MAC基于CBC模式的DES算法，初始向量取為零。D1DES加密O1K第1次D2DES加密O2K第2次+D2DES加密ONK第N次+ON-19對(duì)稱密鑰加密方式問(wèn)題：B如何判斷收到的密文X的合法性？如果消息M是具有某種語(yǔ)法特征的文本，或者M(jìn)本身具有一定的結(jié)構(gòu)：B可通過(guò)分析Y的語(yǔ)法或結(jié)構(gòu)特征。如果消息M是完全隨機(jī)的二進(jìn)制比特序列：B無(wú)法判斷是否正確恢復(fù)密文。解決辦法：強(qiáng)制明文使其具有某種結(jié)構(gòu)。這種結(jié)構(gòu)易于識(shí)別、不能被復(fù)制，同明文相關(guān)，并且不依賴于加密。10基于報(bào)文加密方式的鑒別（2）附加消息認(rèn)證結(jié)構(gòu)

11附加消息認(rèn)證結(jié)構(gòu)源點(diǎn)A對(duì)消息明文M首先利用校驗(yàn)函數(shù)F計(jì)算出消息的校驗(yàn)碼C=F(M)；校驗(yàn)碼C=F(M)被附加到原始消息明文上，生成新的明文[M‖C]；利用密鑰K對(duì)明文[M‖C]進(jìn)行加密，得到密文X=EK[M‖C]；將密文X發(fā)送給接收端B

12附加消息認(rèn)證結(jié)構(gòu)

終點(diǎn)B接收密文X；用密鑰K解密得到明文Y=DK(X)，其中Y被視為附加校驗(yàn)碼的消息，即Y=[M′‖C′]；利用校驗(yàn)函數(shù)F計(jì)算明文Y中消息部分的校驗(yàn)碼F(M′)。若校驗(yàn)碼相匹配，即F(M′)=C′，則可確認(rèn)報(bào)文是可信的，M′就是原始消息M，并且可以確認(rèn)該報(bào)文就是來(lái)自A的，因?yàn)槿魏坞S機(jī)的比特序列是不可能具有這種期望的數(shù)學(xué)關(guān)系的。13消息認(rèn)證碼MAC消息認(rèn)證碼或消息鑒別碼（messageauthenticationcode,MAC）：核心是一個(gè)類似于加密的算法CK()。

CK()在密鑰的作用下，以報(bào)文內(nèi)容作為輸入，其輸出值是一個(gè)較短的定長(zhǎng)數(shù)據(jù)分組，也就是MAC，即：MAC＝CK（M）MAC被附加在報(bào)文中傳輸，用于消息的合法性鑒別。14采用消息認(rèn)證碼的鑒別方式15消息認(rèn)證碼的功能如果B端通過(guò)比較發(fā)現(xiàn)MAC匹配，則可確信報(bào)文M沒(méi)有被篡改過(guò)（完整性）若攻擊者更改報(bào)文內(nèi)容而末更改MAC，則接收者計(jì)算出的MAC將不同于接收到的MAC；由于攻擊者不知道密鑰K，故他不可能計(jì)算出一個(gè)與更改后報(bào)文相對(duì)應(yīng)MAC值。接收者B也能夠確信報(bào)文M是來(lái)自發(fā)送者A的（真實(shí)性）只有A了解密鑰K，也只有A能夠計(jì)算出報(bào)文M所對(duì)應(yīng)的正確的MAC值。16MAC函數(shù)與

加密函數(shù)比較兩者類似，都需要密鑰。MAC函數(shù)可以是一個(gè)單向函數(shù)，而加密函數(shù)必須是可逆的。MAC算法不能提供信息的保密性；基于MAC的消息鑒別方式其鑒別的過(guò)程是獨(dú)立于加密和解密過(guò)程。

與基于加密的鑒別方式是不同的；鑒別函數(shù)與保密函數(shù)的分離能提供結(jié)構(gòu)上的靈活性。MAC方式更適合不需要加密保護(hù)的數(shù)據(jù)的鑒別。在某些應(yīng)用中，鑒別報(bào)文的真實(shí)性比報(bào)文的保密性更重要。17散列函數(shù)hashfunction：哈希函數(shù)、摘要函數(shù)。輸入：任意長(zhǎng)度的消息報(bào)文M。輸出：一個(gè)固定長(zhǎng)度的散列碼值H(M)。是報(bào)文中所有比特的函數(shù)值。單向函數(shù)。18基于散列函數(shù)的消息認(rèn)證19僅對(duì)散列碼進(jìn)行加密的鑒別方案散列函數(shù)的特點(diǎn)適用范圍Hash能用于任何大小的數(shù)據(jù)分組;Hash產(chǎn)生定長(zhǎng)輸出.散列函數(shù)性質(zhì)單向性:對(duì)任意給定的碼h,尋求x使得H(x)=h在計(jì)算上是不可行的;

弱抗碰撞性:任意給定分組x,尋求不等于x的y,使得H(y)=H(x)在計(jì)算上不可行;

強(qiáng)抗碰撞性:尋求對(duì)任何的(x,y)對(duì),使得H(x)=H(y)在計(jì)算上不可行.2023/6/8212023/6/822迭代型散列函數(shù)的一般結(jié)構(gòu)fffY0Y1YL-1bbbnnnnnIV=CV0CV1CVL-1CVL明文M被分為L(zhǎng)個(gè)分組Y0,Y1,…,YL-1b:明文分組長(zhǎng)度n:輸出hash長(zhǎng)度CV：各級(jí)輸出，最后一個(gè)輸出值是hash值無(wú)碰撞壓縮函數(shù)f是設(shè)計(jì)的關(guān)鍵2023/6/823SHA算法SecureHashAlgorithm2023/6/824算法簡(jiǎn)介美國(guó)NIST設(shè)計(jì)1993年成為聯(lián)邦信息處理標(biāo)準(zhǔn)(FIPSPUB180)基于MD4算法，與之非常類似。輸入為小于264比特長(zhǎng)的任意消息分組512bit長(zhǎng)輸出160bit2023/6/825算法描述消息填充：與MD5完全相同附加消息長(zhǎng)度：64bit長(zhǎng)度緩沖區(qū)初始化A＝67452301B＝EFCDAB89C＝98BADCFBD＝10325476E＝C3D2E1F0SHA-1算法描述步驟1：添加填充位(一個(gè)1和若干個(gè)0)。在消息的最后添加適當(dāng)?shù)奶畛湮皇沟脭?shù)據(jù)位的長(zhǎng)度滿足length≡448mod512。步驟2：添加長(zhǎng)度。一個(gè)64位塊，表示原始消息長(zhǎng)度，64位無(wú)符號(hào)整數(shù)。步驟3：初始化MD緩沖區(qū)。一個(gè)160位MD緩沖區(qū)用以保存中間和最終散列函數(shù)的結(jié)果。它可以表示為5個(gè)32位的寄存器(A,B,C,D,E)。A＝67452301B＝EFCDAB89C＝98BADCFBD＝10325476E＝C3D2E1F0步驟4：以512位數(shù)據(jù)塊為單位處理消息。四輪，每輪20步。四個(gè)基本邏輯函數(shù)：f1,f2,f3,f4步驟5：輸出。全部L個(gè)512位數(shù)據(jù)塊處理完畢后，輸出160位消息摘要。CV0=IVCVq+1=SUM32(CVq,ABCDEq)MD=CVL壓縮函數(shù)輸入：最大長(zhǎng)度為264位的消息；輸出：160位消息摘要；處理：輸入以512位數(shù)據(jù)塊為單位處理；A,B,C,D,E(E+ft(B,C,D)+CLS5(A)+Wt+Kt),A,CLS30(B),C,D)HMAC(帶密鑰的HASH函數(shù)）

Hash函數(shù)不使用密鑰，不能直接用于MACHMAC要求可不經(jīng)修改使用現(xiàn)有hash函數(shù)其中鑲嵌的hash函數(shù)可易于替換為更快和更安全的hash函數(shù)保持鑲嵌的hash函數(shù)的最初性能，不因適用于HAMC而使其性能降低以簡(jiǎn)單方式使用和處理密鑰在對(duì)鑲嵌的hash函數(shù)合理假設(shè)的基礎(chǔ)上，易于分析HMAC用于認(rèn)證時(shí)的密碼強(qiáng)度K+：是K右邊填充若干0成為指定b比特長(zhǎng)

opad：特殊填充常數(shù)00110110(十六進(jìn)制數(shù)36)重復(fù)b/8次ipad：特殊填充常數(shù)01011100(十六進(jìn)制數(shù)5C)重復(fù)b/8次例如：K是160位，b是512位，則K前面填加44個(gè)0字節(jié)(0x00)HMACK=Hash[(K+XORopad)||Hash[(K+XORipad)||M)]]HMAC的安全性取決于hash函數(shù)的安全性證明了算法強(qiáng)度和嵌入的hash函數(shù)強(qiáng)度的確切關(guān)系，即證明了對(duì)HMAC攻擊等價(jià)于對(duì)內(nèi)嵌hash函數(shù)的下述兩種攻擊攻擊者能夠計(jì)算壓縮函數(shù)的一個(gè)輸出，即使IV是秘密的和隨機(jī)的攻擊者能夠找出hash函數(shù)的碰撞，即使IV是隨機(jī)的和秘密的。2023/6/838Ch5-消息認(rèn)證與數(shù)字簽名數(shù)字簽名數(shù)字簽名也是一種認(rèn)證機(jī)制，它是公鑰密碼學(xué)發(fā)展過(guò)程中的一個(gè)重要組成部分，是公鑰密碼算法的典型應(yīng)用。2023/6/839Ch5-消息認(rèn)證與數(shù)字簽名數(shù)字簽名數(shù)字簽名需要滿足以下條件：簽名的結(jié)果必須是與被簽名的消息相關(guān)的二進(jìn)制位串；簽名必須使用發(fā)送方某些獨(dú)有的信息（發(fā)送者的私鑰），以防偽造和否認(rèn)；產(chǎn)生數(shù)字簽名比較容易；識(shí)別和驗(yàn)證簽名比較容易；給定數(shù)字簽名和被簽名的消息，偽造數(shù)字簽名在計(jì)算上是不可行的。保存數(shù)字簽名的拷貝，并由第三方進(jìn)行仲裁是可行的。2023/6/840Ch5-消息認(rèn)證與數(shù)字簽名數(shù)字簽名的典型使用(1)消息發(fā)送方式與散列函數(shù)對(duì)消息進(jìn)行計(jì)算，得到消息的散列值。(2)發(fā)送方使用自己的私鑰對(duì)消息散列值進(jìn)行計(jì)算，得到一個(gè)較短的數(shù)字簽名串。(3)這個(gè)數(shù)字簽名將和消息一起發(fā)送給接收方。(4)接收方首先從接收到的消息中用同樣的散列函數(shù)計(jì)算出一個(gè)消息摘要，然后使用這個(gè)消息摘要、發(fā)送者的公鑰以及收到的數(shù)字簽名，進(jìn)行數(shù)字簽名合法性的驗(yàn)證。公鑰簽名方案

利用私鑰生成簽名

利用公鑰驗(yàn)證簽名

只有私鑰的擁有者才能生成簽名

所以能夠用于證明誰(shuí)生成的消息

任何知道公鑰的人可以驗(yàn)證消息

（他們要確認(rèn)公鑰擁有者的身份，這是公鑰的密鑰分配問(wèn)題）使用消息的hash值RSA簽名算法

RSA加密解密是可交換的?可以用于數(shù)字簽名方案?給定RSA方案{(e,N),(d,p,q)}?要簽名消息M：計(jì)算:h=H(M)?簽名S=hd(modN)

將(M,S)信息發(fā)給接收方。RSA簽名的驗(yàn)證要驗(yàn)證簽名,計(jì)算:h=H(M)?Se(modN)=h’e.d(modN)=h’(modN)

h’=h?如果完全一樣，則簽名驗(yàn)證成功否則簽名驗(yàn)證不成功。數(shù)字簽名標(biāo)準(zhǔn)（DSS)

DSS是數(shù)字簽名標(biāo)準(zhǔn)，NIST1994年發(fā)布DSA是數(shù)字簽名算法DSA安全性是基于離散對(duì)數(shù)?生成320bit簽名?被廣泛接收2023/6/845Ch5-消息認(rèn)證與數(shù)字簽名DSA密鑰生成DSA的系統(tǒng)參數(shù)選擇如下：p：512位的大素?cái)?shù)q：160位的素?cái)?shù)且q|p-1；g：滿足g=h(p-1)/qmodpH：為散列函數(shù)選取x：用戶的私鑰，0<x<qy：用戶的公鑰，y=gxmodpp、q、g為系統(tǒng)發(fā)布的公共參數(shù)，公鑰y公開；私鑰x保密。2023/6/846Ch5-消息認(rèn)證與數(shù)字簽名DSA簽名過(guò)程設(shè)要簽名的消息為M，0<M<p。簽名者隨機(jī)選擇一整數(shù)k，0<k<q，并計(jì)算：r=(gkmodp)modqs=[k-1(H(M)+xr)]modq(r,s)即為M的簽名。簽名者將M連同(r,s)一起存放，或發(fā)送給驗(yàn)證者。2023/6/847Ch5-消息認(rèn)證與數(shù)字簽名DSA驗(yàn)證過(guò)程驗(yàn)證者獲得M和(r,s)，需要驗(yàn)證(r,s)是否是M的簽名。首先檢查r和s是否屬于[0,q]，若不是，則(r,s)不是簽名值。否則，計(jì)算：w=s-1modqu1=(H(M)w)modqu2=r.wmodqv=((gu1yu2)modp)modq如果v=r，則所獲得的(r,s)是M的合法簽名。DSA實(shí)例在數(shù)字簽名標(biāo)準(zhǔn)DSS中，假設(shè)p=83，q=41，h=2。求：（1）參數(shù)g；（2）取私鑰x=57，求公鑰y；（3）設(shè)消息m=56，取隨機(jī)數(shù)k=25，求M的簽名；（4）對(duì)m=56的上述簽名進(jìn)行驗(yàn)證。（注：為了簡(jiǎn)化，用m代替SHA(m))。(1)g=h(p-1)/qmodp=22mod83=4(2)

私鑰x=57

公鑰y=gxmodp=457mod83

=77(3)DSA簽名過(guò)程

選隨機(jī)數(shù)

K=23,K-1=25MOD41(K.K-1=1*modq)r=(gkmodp)modq=(423mod83)mod41

=51mod41=10S=k-1(m+xr)modq=25(56+57*10)mod41=29DSA驗(yàn)證過(guò)程w=s-1modq=29-1mod41=21u1=(H(M)w)modq=(56*21)mod41=28u2=rwmodq=10*21mod41=5v=((gu1yu2)modp)modq

=(428*775mod83)mod41=10=r所以簽名驗(yàn)證成功。2023/6/851Ch5-消息認(rèn)證與數(shù)字簽名仲裁數(shù)字簽名

仲裁簽名中除了通信雙方外，還有一個(gè)仲裁方發(fā)送方A發(fā)送給B的每條簽名的消息都先發(fā)送給仲裁者T，T對(duì)消息及其簽名進(jìn)行檢查以驗(yàn)證消息源及其內(nèi)容，檢查無(wú)誤后給消息加上日期再發(fā)送給B，同時(shí)指明該消息已通過(guò)仲裁者的檢驗(yàn)。仲裁數(shù)字簽名實(shí)際上涉及到多余一步的處理，仲裁者的加入使得對(duì)于消息的驗(yàn)證具有了實(shí)時(shí)性。2023/6/8仲裁數(shù)字簽名Alice(A)Bob(B)Trent(T)M,Eat(IDa,H（M))Ebt(IDa,M,Eat(Ida,H(M)),T))Alice(A)Bob(B)Trent(T)Eab(M),Eat(IDa,Eab(H(M)))Ebt(IDa,Eab(M),Eat(Ida,Eab(H(M),T)Alice(A)Bob(B)Trent(T)Ida，Sa(Ida，Eb（Sa（M）））St（IDa，Eb（Sa（M）），T）對(duì)稱密碼＋明文傳送對(duì)稱密碼＋密文傳送公鑰密碼＋密文傳送2023/6/853Ch5-消息認(rèn)證與數(shù)字簽名仲裁數(shù)字簽名基于對(duì)稱密碼的方案(1)AT：M||EKAT[IDA||H(M)](2)TB：EKTB[IDA||M||EKAT[IDA||H(M)]||T]仲裁數(shù)字簽名基于公鑰密碼的方案(1)AT：IDA||EPRA[IDA||