密码学消息鉴别

信息安全

完整性
1.数据完整性:数据未被篡改或损坏。数据是不可否认的,发送方和接收方不能抵赖处理了数据。
2.系统完整性:系统未被非授权使用。
真实性
确认实体是它声明的,适用于用户、进程等等的合法的信息(是否真的需要)。

对于数据来说,是不存在认证和合法性校验的,所以数据的完整性只包括是否被篡改和损坏,是否被处理过。而需要将认证和合法性单独抽离出来作为一个抽象的方面。

通信系统典型攻击

数据机密性方面:窃听,业务流分析
消息鉴别方面:消息篡改(内容,顺序,时间),冒充
数字签名方面:接受者或发送者否认收到或者发送过消息。

消息鉴别

证实收到的消息来自可信的源并且未被篡改的过程。

目的:
1.验证发送者是真正的,不是冒充的,源识别。
2.验证信息的完整性,在传送过程中未被篡改。

鉴别系统

鉴别系统模型:
密码学消息鉴别_第1张图片
即发送方使用编码器,接收方使用译码器,攻击者可以截获信道中的鉴别文本。密钥通过安全信道发送给双方。

安全的鉴别系统需要满足:
1.接收方可以验证消息的完整性,合法性和真实性。(数据完整性以及真实性)
2.消息不能被抵赖。(数据完整性)
3.除了合法的发送者,其他人不能发送消息。(系统完整性)

鉴别编码器和译码器可以抽象成鉴别函数。函数要产生一个鉴别标识,和鉴别协议,让接受者可以完整消息鉴别。

鉴别函数分类

产生鉴别符的函数基本分成三类:
1.消息加密函数:用完整消息密文作为对信息的鉴别
2.散列函数:以一个变长的报文作为输入,输出固定长度的散列码(也叫报文摘要),是公开的函数。
3.消息鉴别码MAC:公开函数+密钥产生一个固定长度的值作为鉴别标识。

消息加密函数

对称密码的加密提供保密和鉴别(只有双方持有这对密钥)
非对称密码的加密分3种情况:
A用B公钥加密,B用B私钥解密:提供保密性,无法提供鉴别
A用A私钥加密,B用A公钥解密:由于任何人都可以用A的公钥解密,因此不提供保密性。提供鉴别和签名。
A用A的私钥加密,再用B的公钥加密,B先用B的私钥解密,再用A的公钥解密:B的公钥提供保密性、A的私钥提供鉴别和签名。

密码学散列函数

输入任意长度报文,产出固定长度的消息摘要。同时提供了错误检测的能力。也称为数字指纹。

散列函数常见用法:
密码学消息鉴别_第2张图片
密码学消息鉴别_第3张图片
密码学消息鉴别_第4张图片
密码学消息鉴别_第5张图片

总的来说,明文被加密了就提供了保密性,散列函数提供了消息鉴别,如果利用私钥加密来提供数字签名。需要注意,消息鉴别只是提供数据完整性的保证,更多的保证要看具体的算法。而数字签名真的只是一个签名的功能,说明是公钥对应的私钥用户提供了签名。为什么对称密码没有签名功能,首先这个签名就至少有2个人可以签,因此签名一定是一个非对称下的概念。

RSA数字签名算法

公钥KU{e,n},私钥KR{d,p,q}
将消息划分成块,使得每块P 签名P时,计算 y = s i g ( P ) = p d ( m o d n ) y=sig(P)=p^d(modn) y=sig(P)=pd(modn)
验证签名时,计算 P ′ = y e ( m o d n ) = P P'=y^e(modn)=P P=ye(modn)=P
就和RSA加密算法差不多

弱点:
1.任何人可以对A的签名解密,已知明文攻击是容易的
2.如果有一组 ( x 1 , y 1 ) , ( x 2 , y 2 ) , 伪 造 ( x 1 x 2 , y ) (x_1,y_1),(x_2,y_2),伪造(x_1x_2,y) (x1,y1),(x2,y2)(x1x2,y)是容易的, y = y 1 y 2 y=y_1y_2 y=y1y2

解决办法:
引入散列函数并签名摘要。
验证时先用公钥解密散列函数起到签名验证,再计算明文的散列函数以鉴别。
用hash签名可以提高签名速度,不用泄露签名的信息(解密签名只能看见散列函数,不暴露明文),签名变换和加密变换分开,提供不同层次的抽象。

散列函数特性

需要保证散列函数不降低鉴别方案的安全性(因为散列函数相当于将信息降到了256维)。

如果攻击者有一个签名(x,y),其中y是x的散列值并签名后的值。如果攻击者找得到x’使得h(x)=h(x’),则(x’,y)也是一个合法的签名。
弱无碰撞:散列函数h是弱无碰撞的,是指给定消息x,计算上几乎找不到 x ′ ≠ x 且 h ( x ) = h ( x ′ ) x'\neq x且h(x)=h(x') x=xh(x)=h(x),也称抗第二原像攻击(抗弱碰撞攻击)

如果攻击者找到了一对明文x,x’,使得h(x)=h(x’),则攻击者让A对x签名,这个签名同样对x’合法。
强无碰撞:称散列函数是强无碰撞的,是指无法在计算上找到一对x和x’使得h(x)=h(x’),也称抗强碰撞攻击
强无碰撞是为了对抗生日攻击方法的防御方法。生日攻击表明对于n的取值空间,大约取 n \sqrt n n 个的随机变量就可以有一对随机变量碰撞在一起。
密码学消息鉴别_第6张图片

单向的:称散列函数是是单向的,是指计算h的逆 h − 1 h^{-1} h1在计算上不可行,也称抗原像攻击

hash函数通用结构

密码学消息鉴别_第7张图片
即迭代计算hash值

散列算法

MD5,SHA-1,RIPEMD-160,SHA-2,SHA-3,SM3

MD5
密码学消息鉴别_第8张图片
即明文分块迭代处理,密文反馈机制

密码学消息鉴别_第9张图片

消息鉴别码MAC

利用明文和密钥生成一个固定大小的数据块,称为MAC或者消息校验和。有点类似带密钥的hash算法。

作用:
1.接受者确保信息未被改变
2.确信信息来自发送者
3.如果消息中包含顺序码,接受者可以保证消息的正常顺序。
因此MAC和散列函数类似提供了一个鉴别的功能。

分组密码CMAC算法

CBC-MAC
密码学消息鉴别_第10张图片
可以看到和分组对称密码中的CBC算法类似,因为MAC也是一个对称密码

类似的CFB-MAC
密码学消息鉴别_第11张图片

基于hash的HMAC算法

HMAC和hash算法是解耦的,这样可以使用任意的hash算法。

算法:
密码学消息鉴别_第12张图片
即HMAC生成消息H(K xor opad, H(K xor ipad, text)),即提供一个密钥K进去,异或来对齐密钥长度,先对明文做一次hash,再对密文做一次hash。

你可能感兴趣的:(密码学,密码学,安全)