信息安全——消息认证与数字签名

消息认证和数字签名是为防止以下情况:

(1)伪造:从假冒信源向网络插入消息。

(2)内容修改:消息内容被插入、删除、变换等。

(3)顺序修改:重组消息序列。

(4)时间修改:消息延迟或重放。

(5)否认:否认收到消息或否认发送过消息。

一 消息认证

目的:保证信息的完整性——验证信息的发送者是不是伪冒的(信源识别);验证信息在传送或存储过程中未被篡改,重放或延迟等。

方法:使用鉴别函数——证实收到的消息来自可信的源点且未被篡改。

鉴别函数分类:(1)信息加密;(2)散列函数;(3)消息认证码;

1.1 信息加密

1.1.1 对称密码体制下的信息加密

秘钥k仅A,B双方相互知道——保密。

仅来自A,传输中若被修改将无意义——一定程度的鉴别。

发送人和接收人均可伪造——不提供签名。

1.1.2 非对称密码体制下的信息加密

公钥加密,私钥解密——可保密,不提供鉴别

私钥加密,公钥解密——提供鉴别和签名,不可保密

1.2 散列函数

a.输入x,h=H(x),其中H为哈希函数,h为x的哈希值(消息摘要,指纹,密码检验和,消息完整性校验)

b.消息摘要:简要描述了一份较长的信息或文件,对特定文件而言,信息摘要是唯一的,它可以被公开,但不会透露相应文件的任何内容

c.hash函数基本要求:

信息安全——消息认证与数字签名_第1张图片

d.对hash函数的两种穷举攻击(攻击目的是找到不同的数据块,使之hash后产生同样的消息摘要,伪造消息):

(1)原像攻击和第二原像攻击

攻击者对给定的hash值h,试图找H(y)=h的y,穷举攻击的方法是随机选择y,计算其hash值直到碰撞出现。

(2)碰撞攻击

寻找两个随机的消息x和y,满足H(x)=H(y)。

——hash值必须足够长。

e.用法:

(1)鉴别

共享秘钥加密H(M)

(2)保密+鉴别

共享秘钥加密M和H(M)

(3)鉴别+数字签名

A的私钥加密H(M),公钥解密H(M)

(4)保密+鉴别+数字签名

A的私钥加密H(M),共享秘钥加密M和加密的H(M);共享秘钥解密M和加密的H(M),A的公钥解密H(M)

————————————————————————————————————————————————

(5)鉴别

附加M和一共享消息S的hash值:H(M+S)

(6)鉴别+保密

共享秘钥对M+H(M+S)加密

方法(5)不含加密处理实现鉴别——加密软件很慢,硬件开销很大,加密算法可能受专利保护或出口限制。

1.3 常用Hash函数

1.3.1 MD5

输入:任意长度的消息。

输出:128bit消息摘要。

处理:将消息划分为512bit数据块。

步骤:

(1)添加填充位(一个1和若干个0),使得数据位长度满足length=448 mod 512,若数据长度正好是模512448,增加512个填充bit

(2)添加长度,添加64位表示的原始消息长度。448+64=512。

(3)初始化MD缓冲区(128位),用于保存中间和最终Hash函数的结果。

(4)四轮数据处理

1.3.2 SHA-1

输入:消息长度<2的64次方。

输出:160bit消息摘要。

处理:按512位分组进行处理。

总结:160位hash值,抵抗生日攻击;没有发现存在两个不同的块产生相同的hash;

速度慢于MD5,安全性优于MD5

1.3.3 SHA-2

Hash值长度224,256,384,512,一般使用SHA-256

在需要非常安全的系统中应用。

1.3.4 欧洲RIPE项目

基础:MD5

消息长度<2的64次方

分组处理长度:512bit

摘要长度:160bit

速度略慢与SHA-1,安全性优于MD5,对密码分析的抵抗力好于SHA-1

1.4 字典攻击

收集好密码可能包含的字符串,从中查密码并验证之。

避免策略——salt:

 key=md5(password,salt),salt不小于64bit,——>一个password可能对应多个key。

1.5 消息认证码

使用一个秘钥将数据块生成一个固定大小的小数据块,并加入到消息中,称MAC或密码校验和,MAC=CK(M)

输入:固定大小的秘钥+任意大小的输入。

输出:MAC值——固定大小的数据块

1.6 Hash与Mac的区别——是否需要秘钥

(1)Mac需要对全部数据进行加密

(2)Mac速度慢

(3)Hash是一种直接产生鉴别码的方法

1.7 HMac——hash函数可用来构造Mac

1.7.1 设计目标

1.7.2 应用举例

HMAC-MD5

HMAC-SHA-1

HMAC-SHA-256

1.7.3 CBC-MAC

把分组密码转变成Mac函数,只保留最后一个消息块的密文作为MAC,其余全部丢弃。

优点:速度快,便于硬件实现。

缺点:很难正确使用,不建议使用。

二 数字签名

目的:防止通信双方的抵赖行为

原理:利用已公开的验证算法生成数字签名,并将签名连接到被签消息上,数字签名可复制。

条件:

(1)依赖性:依赖于被签名的报文。

(2)唯一性:对签名者来说是唯一的。

(3)可验证:在算法上可验证。

(4)抗伪造:伪造在计算上不可行, 

(5)可用性:产生、失败、证实简单,备份可实现。

2.1 数字签名分类

2.1.1直接数字签名

原理:使用发送方的私钥加密散列码或整个消息,公钥解密。

弱点:有效性依赖于发方私钥安全性,万一A的私钥被盗或者A假装私钥被盗。。。

2.1.2 需仲裁的数字签名

流程:发方A对消息签名后,将附有签名的消息发给仲裁者C(所有通信方都能充分信任的机构),C对其验证后连同一个通过验证的证明发送给B。

对称秘钥加密方式-1:仲裁可查看明文,Y需要通过A验证X的签名。

对称秘钥加密方式-2:仲裁只能验证消息的密文,而不能读取其内容,可联手作弊。

公钥方式:总裁看不见消息的内容,只能进行外层解密,可防止联手作弊。

2.2 RSA数字签名体制

见散列函数用法(3),如下图:

信息安全——消息认证与数字签名_第2张图片

2.3 数字签名标准DSS

DSS只能用于数字签名,使用SHA作为散列函数 。

2.4 其他签名

盲签名:签名者不知道文件具体内容——电子货币,电子选举。

群签名:签名可由一个群的人产生——投标。

电子签章:数字签章。

你可能感兴趣的:(信息安全)