网络工程-4_数字签名与认证技术.pptxVIP

12023/10/4第4章 数字签名与认证技术 2学习重点：2023/10/4难点： ◇ 认证模型及协议 ◇ 静态口令认证技术◇ 动态口令认证技术 ◇ 消息认证技术◇ 实体认证技术 　 ◇ 数字证书 　◇ 认证模型及协议 ◇ 动态口令认证技术◇ 数字证书 34.1 散列函数散列函数：特性：一致性随机性唯一性单向性 4hash函数的要求H能用于任意大小的分组H能产生定长的输出对任何给定的x，H(x)要相对易于计算，使得硬件和软件实现成为实际可能对任何给定的码h，寻找x使得H(x)=h在计算上是不可行的，即单向性对任何给定的分组x，寻找不等于x的y，使得H(x)=H(y)在计算上是不可行的，即弱抗冲突性寻找对任何的(x,y)对使得H(x)=H(y)在计算上是不可行的，即强抗冲突性 5使用密钥的Hash函数认证和保密认证认证和数字签名 6认证保密和数字签名认证认证保密和数字签名 7散列函数的用法对称密钥加密[报文＋消息摘要]提供保密、鉴别对称密钥加密[消息摘要]提供鉴别Ek[M||H(M)]M||Ek[H(M)]发方私钥加密[消息摘要]提供鉴别、数字签名对称密钥加密[发方私钥加密消息摘要的结果]提供鉴别、数字签名、保密M||Eka[H(M)]Ek[M||Eka[H(M)]]共享密值提供鉴别共享密值、对称加密提供鉴别、数字签名、保密M||H(M||S)Ek[M||H(M)||S] 8MD5来历MD5的全称是message-digest algorithm 5(信息-摘要算法)，在90年代初由MIT laboratory for computer science和RSA data security inc的Ronald l. Rivest开发出来，经MD2、MD3和MD4发展而来。/rfc/rfc1321.txt，是一份最权威的文档，由Ronald l. Rivest在1992年8月向IETF提交。 9用途MD5的作用是对一段信息(message)生成信息摘要(message-digest)，该摘要对该信息具有唯一性,可以作为数字签名。用于验证文件的有效性(是否有丢失或损坏的数据),对用户密码的加密，在哈希函数中计算散列值。特点输入一个任意长度的字节串，生成一个128位的整数。由于算法的某些不可逆特征，在加密应用上有较好的安全性。并且，MD5算法的使用不需要支付任何版权费用。 10说明唯一性和不可逆性都不是绝对的，从理论上分析是一种多对一的关系，但两个不同的信息产生相同摘要的概率很小。 不可逆是指从输出反推输入所需的运算量和计算时间太大，使用穷搜字典的方法又需要太多的存储空间。 11消息认证的局限性用于保护通信双方免受第三方攻击无法防止通信双方的相互攻击 信宿方伪造报文 信源方否认已发送的报文引入数字签名，是笔迹签名的模拟 12加SALT 的HASH用户注册时用户输入【账号】和【密码】（以及其他用户信息）；系统为用户生成【Salt值】；系统将【Salt值】和【用户密码】连接到一起；对连接后的值进行散列，得到【Hash值】；将【Hash值1】和【Salt值】分别放到数据库中。用户登录时用户输入【账号】和【密码】；系统通过用户名找到与之对应的【Hash值1】和【Salt值】；系统将【Salt值】和【用户输入的密码】连接到一起；对连接后的值进行散列，得到【Hash值2】（注意是即时运算出来的值）；比较【Hash值1】和【Hash值2】是否相等，相等则表示密码正确，否则表示密码错误。 散列（哈希）函数 MD4、MD5、HAVAL-128 和 RIPEMD 中的碰撞 王小云、冯登国、来学嘉等工作的意义1. 还不是破译，而是碰撞，类似生日攻击的一种方法（但概率大得多），与真正的破译是有区别的，当然能够快速找到碰撞，实际上也能达到破译的效果，但想伪造仍然是很难的；2.意味黑客可能在数小时之内用标准个人电脑产生出杂凑冲撞，但要编写特定的后门程序，再覆以相同的杂凑冲撞，则可能更费时。 3.于1994年替代SHA-0成为联邦信息处理标准的SHA-1的减弱条件的变种算法能够被破解；但完整的SHA-1并没有被破解，也没有找到SHA-1的碰撞。4.研究结果说明SHA-1的安全性暂时没有问题，但随着技术的发展，技术与标准局计划在2010年之前逐步淘汰SHA-1，换用其他更长更安全的算法（如SHA-224、SHA-256、SHA-384和SHA-512）来替代。 美国Hash函数标准SHA-1的破译　　2005年2月14日，王小云、于红波和尹依群等人完成了SHA-1的破译。在SHA-1的破译工作中，王小云等人采用MD5的破译技术，成功解决了SHA-1差分分析中的一种不可能差分问题，这是SHA类算法（SHA-1