消息认证与数字签名54页PPT

消息认证码 (MAC)
• 由某一算法产生一个固定长度的短数据块 明文消息和密钥作为输入
– 类似于加密，但不可逆
• 将其作为签名附加在消息后 • 接收方对消息进行相同的计算，校验结果 是否与MAC匹配 • 保证消息未被修改并来自于发送方
明文 M
M
M CK( M,K)
MAC)
MAC
CK( M,K)
密钥K
除生日攻击法外，对一些类型的Hash函数还有一些特殊 的攻击方法，例如，中间相遇攻击法、修正分组攻击法和差 分分析法等。值得一提的是，山东大学王小云教授等人于 2004年8月在美国加州召开的国际密码大会(Crypto’2004) 上所做的Hash函数研究报告中指出，他们已成功破译了 MD4、MD5、HAVAL128、RIPEMD128等Hash算法。 最近国际密码学家Lenstra利用王小云等人提供的MD5碰撞， 伪造了符合X.509标准的数字证书，这就说明了MD5算法的 破译已经不仅仅是理论破译结果，而是可以导致实际的攻击， MD5算法的撤出迫在眉睫。他们的研究成果得到了国际密码 学界专家的高度评价，他们找到的碰撞基本上宣布了MD5算 法的终结，这一成就或许是近年来密码学界最具实质性的研 究进展。
– 接收方知道一定是发送方产生的消息 – 因为只有发送方和接收方使用密钥 – 知道内容不能被篡改 – 如果消息有适当的结构、冗余或校验和用于检测 改变
明文 M
M 加密 解密
M
F
F(M)
F(M)
检错码 F(M) 密钥K Ek[M//F(M)] 密钥K
比较
消息加密
• 如果采用公钥加密:
– 加密不能保证发送方 – 因为任何一方都可能知道接收方公钥 – 但如果
(3) 处理512 bit消息块Yq，进入主循环。 主循环的次数正好是消息中512 bit的块的数目L。先从 Y0开始，以上一循环的输出作为下一循环的输入，直到处理 完YL-1为止。 主循环有4轮，每轮20次操作(MD5算法有4轮，每轮16 次操作)。每次操作对A、B、 C、 D和E中的3个做一次非线 性函数运算，然后进行与MD5算法中类似的移位运算和加运

通常有三种方法验证主体身份。
1）是只有该主体了解的秘密，如口令、密钥；
2）是主体携带的物品，如智能卡和令牌卡；
3）是只有该主体具有的独一无二的特征或能 力，如指纹、声音、视网膜图或签字等。 单独用一种方法进行认证不充分
第5讲 认证
身份认证系统架构包含三项主要组成元件：
认证服务器(Authentication Server)
第5讲 认证
认证信息截取/重放(Record/Replay) 有的系统会将认证信息进 行简单加密后进行传输，如果攻击者无法用第一种方式推算 出密码，可以使用截取/重放方式。攻击者仍可以采用离线方 式对口令密文实施字典攻击；
对付重放的方法有：
1在认证交换中使用一个序数来给每一个消息报文编号 ，仅当 收到的消息序号合法时才接受之；
第5讲 认证
4）主体特征认证
目前已有的设备包括：视网膜扫描仪、声音验 证设备、手型识别器等。安全性高。
例如：系统中存储了他的指纹，他接入网络时， 就必须在连接到网络的电子指纹机上提供他的 指纹（这就防止他以假的指纹或其它电子信息 欺骗系统），只有指纹相符才允许他访问系统。 更普通的是通过视网膜膜血管分布图来识别， 原理与指纹识别相同，声波纹识别也是商业系 统采用的一种识别方式。
否认 伪造 篡改 冒充
数字签名实现方式
Hash签名
通过一个单向函数（Hash）对要传送的报文进行处理， 用以认证报文来源。
公钥签名技术
用户使用自己的私钥对原始数据的哈希摘要进行加密， 接受者使用公钥进行解密，与摘要进行匹配以确定消 息的来源。
对称加密算法进行数字签名
Hash函数 单密钥 实现简单性能好 安全性低
4.不要暴露账户是否存在的信息 例：打入一个用户名后，不论账户是否存

MAC算法的要求
条件：
➢ 攻击者知道MAC函数但不知道密钥K
要求：
➢ 已知M和CK(M)，要想构造M使得CK(M)=CK(M)在 计算上不可行 (计算上无碰撞)
➢ CK(M)均匀分布：随机选择M和M, Pr[CK(M) = CK(M)]=2-|MAC|
➢ f是M的一个变换(例如对某些位取反),那么, Pr[CK(M)= CK(f(M))]=2-|MAC|
对于任何选定的编码规则，则(相应于某一特定密钥) ：发方从Y中选出用来代表消息的许用序列，即码字
收方根据编码规则唯一地确定出发方按此规则向他传 来的消息。
窜扰者由于不知道密钥，因而所伪造的假码字多是Y 中的禁用序列，收方将以很高的概率将其检测出来， 而被拒绝认证
系统设计者的任务是构造好的认证码 (Authentication Code),使接收者受骗概率极小化
y得*∈到A一k个, 以合使法接的收消者息收x*到，y*这后样，窜可扰用者密欺钥诈k解成密功 。 窜扰者虽然知道X,Y,y,A(.,.),但不知具体密码k
关于MAC算法
MAC不等于数字签名
➢ 因为通讯双方共享同一个密钥
MAC有固定的长度
MAC结构的重要性，例如，密钥足够长+加密 算法足够好安全
通信双方是用户A为发信方，用户B为接收方， 用户B接收到信息后，通过解密来判决信息是 否来自A、 信息是否是完整的、有无窜扰。
常规加密
公钥加密
私钥加密
公私钥加密
公(私d)公钥私加钥密加密:机:机密密性性，，可可认认证和证签和名签名
消息认证码(MAC)
简介： 设S为通信中的发方A发送的所有可能的信源集
保密和认证同时是信息系统安全的两个方面，但它们 是两个不同属性的问题。认证不能自动提供保密性， 而保密性也不能自然提供认证功能（能同时实现吗）

内容修改：对消息内容的修改，包括插入、删除、转 换和修改。
顺序修改：对通信双方消息顺序的修改，包括插入、 删除和重新排序。
计时修改：对消息的延迟和重放。在面向连接的应用 中，攻击者可能延迟或重放以前某合法会话中的消息 序列，也可能会延迟或重放是消息序列中的某一条消 息。
2020/4/21
2
认证的目的
9
对MAC的攻击
•第一轮
·给定M1, MAC1＝CK(M1) ·对所有2k个密钥判断MACi＝CKi(M1)
·匹配数2(k-n) 。
•第二轮
·给定M2, MAC2＝CK(M2) ·对循环1中找到的2(k-n)个密钥判断MACi＝CKi (M2)
·匹配数2(k-2n) 。
❖ 攻击者可以按此方法不断对密钥进行测试，直到 将匹配数缩写到足够小的范围。平均来讲，若
23
Yuval的生日攻击（续）
❖ (3) 攻击者在上述两个消息集合中找出可以产生相同 散列值的一对消息。根据“生日悖论”理论，能找 到这样一对消息的概率是非常大的。如果找不到这 样的消息，攻击者再产生一条有效的消息和伪造的 消息，并增加每组中的明文数目，直至成功为止。
❖ (4) 攻击者用第一组中找到的明文提供给签名方要求 签名，这样，这个签名就可以被用来伪造第二组中 找到的明文的数字签名。这样，即使攻击者不知道 签名私钥也能伪造签名。
ON-1
ON
2020/4/21
13
Hash函数
❖ Hash函数(也称散列函数或杂凑函数)是将 任意长的输入消息作为输入生成一个固定 长的输出串的函数，即h=H(M)。这个输 出串h称为该消息的散列值（或消息摘要， 或杂凑值）。
2020/4/21
14
安全的Hash函数的要求

3.1. 消息鉴别
完整性是安全的基本要求之一。篡改消息是对通 信系统的主动攻击常见形式。
被篡改的消息是不完整的；信道的偶发干扰和故障也 破坏消息完整性。
接收者能检查所收到的消息是否完整； 进一步接收者能识别所收到的信息是否源于所声称的
主体。即消息来源的真实性
保障消息完整性和真实性的手段： 消息鉴别技术
1. 泄密
保密 2.
通信业务量分析
消息 3. 鉴别
4.
数字 5.
签名
伪造： 攻击者假冒发方身份，向网络插入一条消 息；或假冒接收方发送一个消息确认。
篡改：内容篡改 序号篡改 时间篡改
行为抵赖
一是作为领导干部一定要树立正确的 权力观 和科学 的发展 观，权 力必须 为职工 群众谋 利益， 绝不能 为个人 或少数 人谋取 私利
基于消息加密方式 以整个消息的密文作为鉴别符
基于消息鉴别码（MAC）3.1.2 发送方利用公开函数+密钥产生一个固定长度的 值作为鉴别标识，并与消息一同发送
基于散列函数 3.1.3 采用hash函数将任意长度的消息映射为一个定长 的散列值，以此散列值为鉴别码。MAC方式的一 种特例
最近几年消息鉴别符的热点转向 Hash函数导 出MAC的方法
一是作为领导干部一定要树立正确的 权力观 和科学 的发展 观，权 力必须 为职工 群众谋 利益， 绝不能 为个人 或少数 人谋取 私利
第3章 消息鉴别与数字签名
经典密码学->现代公开的计算机环境
保密有效系统地保障电子数据的机密性、完整性 和真实性
公开的计算机网络环境中，传输中的数据可能 遭受到威胁（5种）：
3.1.2 -1 消息鉴别码原理
消息和MAC一起发给接收方。接收方对收到的 消息利用相同的密钥K计算，得出新的MAC。 如果接收到的MAC与计算得出的MAC相等：

签名者不能否认自己的签名 签名不能被伪造 容易被自动验证
数字签名应具有的性质
必须能够验证作者及其签名的日期时间； 必须能够认证签名时刻的内容； 签名必须能够由第三方验证，以解决争议； 因此，数字签名功能包含了鉴别的功能

数字签名的设计要求


签名必须是依赖于被签名信息的一个位串模式； 签名必须使用某些对发送者是唯一的信息，以防止双方的 伪造与否认； 必须相对容易生成该数字签名； 必须相对容易识别和验证该数字签名； 伪造该数字签名在计算复杂性意义上具有不可行性，既包 括对一个已有的数字签名构造新的消息，也包括对一个给 定消息伪造一个数字签名； 在存储器中保存一个数字签名副本是现实可行的。
Hash函数的分类
根据是否使用密钥 带秘密密钥的Hash函数:消息的散列值由只 有通信双方知道的秘密密钥K来控制。此时， 散列值称作MAC。 不带秘密密钥的Hash函数：消息的散列值 的产生无需使用密钥。此时，散列值称作 MDC。

Hash与MAC的区别
MAC需要对全部数据进行加密 MAC速度慢 Hash是一种直接产生鉴别码的方法
HASH 函数h = H(M)



满足： 1、H可以作用于一个任意长度的数据块； 2、H产生一个固定长度的输出； 3、对任意给定的x ,H(x) 计算相对容易，无论是软件还是硬件实现。 4、对任意给定码h，找到x满足H(x)=h具有计算不可行性；（单向性） 5、对任意给定的数据块x，找到满足H(y)=H(x)的y≠x具有计算不可行 性。 6、找到任意数据对(x,y)，满足H(x) = H(y)是计算不可行的。 前三条要求具有实用性，第4条是单向性质，即给定消息可以产生一 个散列码，而给定散列码不可能产生对应的消息。第5条性质是保证 一个给定的消息的散列码不能找到与之相同的另外的消息。即防止伪 造。第6条是对已知的生日攻击方法的防御能力。

生日攻击实例

A准备两份合同M和M′，一份B会同意，一份会 取走他的财产而被拒绝 A对M和M′各做32处微小变化(保持原意),分别产 生2^32个64位hash值 根据前面的结论,超过0.5的概率能找到一个M和一 个M′,它们的hash值相同 A提交M,经B审阅后产生64位hash值并对该值签名, 返回给A A用M′替换M
消息认证与数字签名
计算机科学系 邹瑞源
问题提出

密码学被应用到哪些方面?
信息认证
消息认证的含义 数据起源认证 验证信息在传送过程中的正确性 消息认证的检验内容 报文的源,内容真伪,时间有效性等 验证数据完整性的方法 检错码和纠错码 消息认证模式

消息认证

消息认证技术 （1）消息加密函数(Message encryption)
返回
需仲裁的签名
X

A
Y
使用对称密码算法，明文传输 密文传输？ XA: M || EkXA[ IDx || H(M) ] AY: EkAY[ IDx || M || EkXA[ IDx || H(M) ] ||T] 说明：kXA ，kAY 分为X和A、A和Y的共享密钥
T:时戳（不是旧消息的重放） Idx：x的标识符 H(M):M的摘要 方法缺陷：若A不公正，与X共谋否认签名，或与Y串 通伪造签名
数字签名
消息认证与数字签名的区别: 前者能验证消息来源及完整性，防范第三 者；后者在收发双方产生利害冲突时，解 决纠纷。 应用 数字水印

摘要签名

过程
H2
消息M 消息M 消息M
比较
Dk2
H
Ek1
S
S
H1
把签名过程从对原文件转移到一很短的hash值上，可以提高效率

23
CAPTCHA

抵抗在线字典攻击 防止恶意注册
24
基于对称密码的认证

ISO/IEC9798-2协议（同时建立会话密钥） 1路单向认证(时间戳)
AB: {TA, B}KAB

2路双向认证(时间戳)
AB: {TA, B}KAB BA: {TB, A}KAB
25
基于对称密码的认证
1、基于口令的认证（续）

为了增强基于口令认证的安全，可以采用以下改 进方案。


（ 1 ）认证过程有一定的时延，增大穷举尝试的难度。 （ 2 ）不可预测的口令。修改口令登记程序以便促使 用户使用更加生僻的口令。这样就进一步削弱了字典 攻击。 （ 3 ）对无效用户名的回答应该与对有效用户名的回 答相同。

A rA R Z p t A g rA
B
A,{t A}
{tB } ,{nB }KAB Z AB t B rA nA R {1, 2..., 2 L } {nA , nB }K AB
Verify nA
rB R Z p Z AB t ArB tB g rB nB R {1, 2..., 2 L }
x1=f(R)
x2=f(x1)
…
xn+1=f(xn)
计算机存储xn+117
1、基于口令的认证（续）

设计基于口令的协议应满足的要求

口令不能过长 离线字典攻击无效 在线字典攻击无效 共享的秘密ZAB 导出的会话密钥KAB

记号

18
1、基于口令的认证（续）
基于DH的EKE . 安全参数 L. 共享的信息: 口令
33

第6章 消息认证与数字签名
9
消息认证中常见的攻击和对策
• 篡改攻击：修改、删除、添加或替换 真实的消息。
– 为避免这种攻击可采用消息认证码MAC 或Hash函数等技术。
第6章 消息认证与数字签名
10
数字签名必要性
• 消息认证能够通信双方对接收到的信息来源及完 整性进行验证，防止第三方的攻击，然而却不能防 止通信双方中的一方对另一方的欺诈。 • 这种欺诈有多种形式，例如通信双方（发送方A、 接收方B）利用双方共享的密钥对称加密进行消息 认证时，B可以伪造一个消息并声称是由A发出的， 由于A和B共享密钥，可以通过消息认证。
22
（3）公钥加密提供保密、认证和数字签名
ePU (ePR (m)) A→B：
b a
A
B
m
e
PRa
ePRa (m)
e
PUb
ePUb (ePRa (m))
d
PRb
ePRa (m)
d
PUa
m
• 提供保密：只有接收方B拥有私钥PRb，才能正确解密得 到明文。 • 提供认证：只有A拥有私钥PRa，只能发自A。 • 提供数字签名：只有A拥有私钥PRa，任何人包括B都不能 伪造密文，发送方不可否认发送消息。 第6章 消息认证与数字签名
32
认证协议
• 认证协议就是使通信双方证实对方身 份或消息来源的通信协议。
• 认证协议根据应用需要主要分为双向 认证和单向认证两种。
第6章 消息认证与数字签名
33
双向认证
• 双向认证协议可以使通信双方A和B确认对 方的身份并交换会话密钥。A和B交换会话 密钥的核心问题是保密性和实时性。 • 为了防止会话密钥的泄露和伪造，会话密 钥在交换时应以密文的形式传送，因此通 信双方应事先准备好共享密钥或公钥。