【密码学复习】第六讲 HASH函数和MAC（二）

SHA-256消息填充

首先将比特“1”添加到消息的末尾，再添加k个零，这里k是方程l+1+k≡448 mod 512的最小的非负解. 然后再添加一个64比特长的块，其值等于消息M的长度l 的二进制表示.使得填充后的消息的长度为512比特的倍数

 

SHA-256迭代

 

 

 

 

 

 

最后一轮迭代输出的链接变量值，即为散列值，长度为256比特.

 

Hash函数的构造-2

 

 

 

 

 

 

 

 

 

ι step

消息鉴别码的定义及安全目标

 

 

攻击目的

Ø密钥恢复攻击: 攻击者找到合法用户的的密钥k.

Ø伪造攻击: 攻击者在未知密钥k的情况下，伪造一个未经过认证的(m,t)对.

选择性伪造: 如果攻击者能够对由他选择的消息m* 进行伪造(m*,t*) ，那么这种伪造攻击称为选择性伪造攻击.

存在性伪造: 如果攻击者只能够对一个不由他控制的消息进行伪造，那么这种伪造攻击称为存在性伪造攻击.

攻击种类

被动攻击：已知消息攻击：攻击者通过窃听等手段，获取一些消息和用同一个密钥认证这些消息所得的认证码.

主动攻击：攻击者通过选取一些消息，发送给oracle（MAC设备）得到相应的认证码.

非自适应选择消息攻击: 敌手在使用Mac设备之前，必须已经选定要测试的消息；

自适应选择消息攻击：敌手可以根据Mac设备的输出，自行选择下一次要测试的消息

消息鉴别码的构造