《e第五周 摘要函数与验证码(第11、12章)》由会员分享,可在线阅读,更多相关《e第五周 摘要函数与验证码(第11、12章)(77页珍藏版)》请在金锄头文库上搜索。
1、华南理工大学经贸学院 本科课程 电子商务安全与保密 第 5章摘要函数与验证码(第 11、 12章) Hash函数 Hash函数 用途 消息认证 消息认证确保收到的数据确实和发送时一样,即消息没有被 修改 插入 删除 重放 当 Hash函数用于消息认证时, Hash函数的值通常称为消息摘要 密码学 Hash函数用于消息认证 密码学 Hash函数用于签名 Hash函数的其他用途 给明文增加结构特征以保护密文 从口令衍生密钥 挑战 -应答认证协议中 用来产生随机数 Hash函数 h=H(x)的安全性要求 函数参数 输入:可以任意长度 输出:必须固定长度 n比特,一般 n=128、 160bits 函
2、数特性 效率:给定 x,计算 H(x) h是容易的 单向性质:给定 h,要找 x使 H(x) h是困难的 弱抗碰撞特性: 对于给定的 y,找 x,使 H(x) H(y)是困难的 强抗碰撞特性(生日攻击): 找 x和 y,使 H(x) H(y)是困难的 伪随机性:输出满足伪随机测试标准 Hash安全特性之间的关系 抗原像攻击 抗弱碰撞攻击 抗强碰撞攻击 Hash函数设计考虑 奇偶校验 异或 XOR(或者累加) 只能检出奇数个比特错误 CRC 常用在帧校验 仍有很高的比率不能检出传输比特错误 * 不能满足单向性和抗冲突 复杂的密码学用散列函数 MD2/MD5 SHA/SHA1 找碰撞:生日攻击 最
3、多尝试 2n 1个报文,必有至少一对碰撞 问:平均尝试多少个报文,可以以 1/2的概率找到一对碰撞? 2n/2 类比问题(生日问题) 最多找 365+1个人,则必有至少两个人生日相同 问:平均找多少个人,能以 1/2的概率找到两人生日相同? 23 如果采用 64-bit的 Hash码,以一半概率找到碰撞的代价的数量级是 232 有 237种变体的信 安全 Hash的一般结构 如果压缩函数具有抗碰撞性,那么迭代 Hash函数也具有抗碰撞性。显然反之不然。 SHA-512 输入 2128, 输出 512位,以 1024位分组处理 寄存器初始值 a = 6A09E667F3BCC908 b = BB
4、67AE8584CAA73B c = 3C6EF372FE94F82B d = A54FF53A5F1D36F1 e = 510E527FADE682D1 f = 9B05688C2B3E6C1F g = 1F83D9ABFB41BD6B h = 5BE0CD19137E2179 基于分组密码的散列函数的缺点 不利于随机化 因为加密是可逆的, 分组密码存在规则性 分组密码通常很慢 分组密码分组长度小于散列值长度 通常 64位或 128位 vs. 128/160/256/384/512 认证 Authentication 认证和加密不同。 消息认证是验证消息完整性的一种机制,能发现对消息的篡改或
5、假冒。 使用对称算法可产生消息鉴别码 MAC 使用公钥算法可对消息进行签名 身份认证是鉴别通信对方的身份是否属实。 Hash函数是一个单向的消息摘要函数,在产生 MAC、签名中有重要用途。 对网络通信的攻击 窃听 流量分析 伪装(假冒) 篡改内容 修改顺序 修改时间(包括重放) 发送方抵赖(拒绝承认曾发出过某消息) 接收方抵赖 认证函数 对称加密 公钥加密 消息认证码( MAC) 散列函数( Hash) 消息加密的基本使用 对称加密能否提供认证 由于密钥没有第三方知道,所以接收方应该可以确信消息的来源真实性。 这并不绝对,因为存在一种可能性,是对密文的篡改。 CBC模式中某个比特被窜改导致其后
6、续部分解密失败 rc4加密中,对密文部分比特的窜改导致对应明文部分解密错误 rc4加密中,随意伪造的密文有可能恰好解密为有效的明文 结论:加密并不能完全抵抗篡改或假冒 对密文的保护:内部错误控制和外部错误控制 结构复杂会增强认证能力 公钥加密 A使用 B的公钥加密消息,这不能提供认证。 A可以先使用自己的私钥加密消息(即签名),再用 B的公钥加密,这样可以提供认证。 亦需要给明文消息添加结构特征 消息认证码 MAC (假定双方共享密钥) 发送方利用密钥从明文产生一个固定长度的短数据块 (MAC),和消息一起传输。 接收方考察是否一致,以判断 MAC和 /或消息是否被改动过。 消息认证码的基本用
7、途 避免使用加密方法产生 MAC码 生成 MAC没有必要整个报文被加密 速度、进出口障碍 不需要能恢复原文 MAC的计算过程只需体现明文的特征唯一 Key是必要的 从报文产生特征的数学方法: HASH函数 先计算特征,再把特征加密的思想 把散列函数和 Key结合得 MAC HMAC = HashKey(Message) 关于加密和认证分离 加密本身不能实现真实性认证功能 认证和加密的分离带来灵活性 只要认证而不需保密 如公文,软件完整性鉴别 (防病毒 )、网络管理广播报文 (如 SNMP)等 不能加密的场合(如法规限制) 存档期间的保护(而不仅是传输期间) 消息认证码 MAC MAC函数 计算
8、明文 M在密钥 K的作用下的特征码 M | MAC(M, K) 验证时,判断明文 M和 MAC码是否一致 关于 MAC的讨论 MAC不需要可逆 为了方便, MAC码通常较短 实现 MAC函数不排斥使用对称加密算法 实现 MAC函数希望使用比加密更高效的方法 为防范重放攻击,加注时间、报文序号 对称 MAC不能提供签名特性 因为产生 MAC的密钥为两方所有 HMAC 基于加密算法的 MAC码算法( CMAC) DES-CBC( FIPS-113) 基于散列函数的 MAC码算法( HMAC) 把 HASH值和一个 Key结合起来 既能用当前的 HASH函数,又易升级为新的 HASH函数,并能保持和
9、散列函数一样安全性 简单,并易进行密码学分析 HMAC(K,M) = H(K+ opad)|H(K+ ipad)|M HMAC标准 RFC 2104 HMAC: Keyed-Hashing for Message Authentication 在 IPSec和其他网络协议 (如 SSL)中得以应用。 FIPS 198 The Keyed-Hash Message Authentication Code (HMAC) HMAC的安全性 建立在嵌入 Hash函数基础上的所有 MAC,其安全性在某种程度上都依赖于该 Hash函数的强度。对于 HMAC,可以给出HMAC的强度与所嵌入 Hash函数强度
10、之间的关系。 根据伪造者在给定时间内伪造成功和用相同密钥产生给定数量的消息 -MAC对的概率,可以用于描述 MAC的安全性。Bellare等人( 1996年)已经证明,如果攻击者已知若干(时间、消息 -MAC)对,则成功攻击 HMAC的概率等价于对所嵌入 Hash函数的下列攻击之一: (1)即使对于攻击者而言, IV是随机的、秘密的和未知的,攻击者也能计算压缩函数的输出。 (2) 即使 IV是随机的和秘密的,攻击者也能找到 Hash函数的碰撞。 在目前的计算水平下,使用 MD5和 SHA-1等作为 HMAC算法所嵌入的 Hash函数, HMAC的安全性是可以保证的。 区块链与比特币 区块链获奖
11、项目举例 块密码的工作模式 密码学中,块密码的工作模式允许使用同一个块密码密钥对多于一块的数据进行加密,并通过初始化向量的方法保证其安全性。 初始化向量,用于随机化加密一块数据,因此相同的明文,相同的密钥可以产生不同的密文。对应于比特币电子系统,同一用户使用同样的密码和交易也可以产生不用的加密的交易记录。 大连商品交易所 明文 初始化向量 密钥 加密 密文 明文 密钥 加密 密文 明文 密钥 加密 密文 区块链简介 区块链技术是构建比特币 区块链网络 不交易信息加密传输的基础技术 。它基亍密码学原理而丌基亍信用,使得任何达成一致的 双斱直接支付 ,仍而丌需要第三斱中介的参不。 互联网上的贸易,
12、几乎都需要借劣可资信赖的 第三斱信用机构 来处理电子支付信息。这类系统仌然内生性地叐制亍“基亍信用的模式”。 背景 区块链是一个 分布式账本 ,一种通过 去中心化 、 去信任 的斱式集体维护一个可靠数据库的技术斱案。 定义 从数据的角度来看 区块链是一种几乎丌可能被更改的分布式数据库。这里的“分布式”丌仅体现为数据的 分布式存储 ,也体现为数据的 分布式记彔 (即由系统参不者共同维护)。 从技术的角度来看 区块链幵丌是一种单一的技术,而是 多种技术整合 的结果 。 这些技术以新的结构组合 在一起,形成了一种新的数据记彔、存储和表达的斱式。 国际权威杂志经济学人、哈佛商业周刊、福布斯杂志等相继报
13、道 区块链技术将影响世界 。 创业公司 R3联合 全球 42家顶级 银行成立区块链联盟, 包括 摩根大通、美国银行、汇丰银行、花旗银行、富国银行、三菱 UFJ金融集团、巳克莱银行、高盛、德意志银行等。 动态 2.特征及分类 特征 去中心 , 去信任 区块链由众多节点共同组成一个端到端的网络 , 丌存在中心化的设备和管理机构 。 节点之间数据交换通过数字签名技术进行验证 , 无需互相信任 , 只要按照系统既定的规则进行 , 节点之间丌能也无法欺骗其它节点 。 开放 , 共识 任何人都可以参不到区块链网络 , 每一台设备都能作为一个节点 , 每个节点都允许获得一份完整的数据库拷贝 。 节点间基亍一
14、套共识机制 , 通过竞争计算共同维护整个区块链 。 任一节点失效 , 其余节点仌能正常工作 。 2.特征及分类 特征 不可篡改 , 可追溯 单个甚至多个节点对数据库的修改无法影响其他节点的数据库 , 除非能控制整个网络中赸过 51%的节点同时修改 , 这几乎丌可能収生 。 区块链中的每一笔交易都通过密码学斱法不相邻两个区块串联 , 因此可以追溯到任何一笔交易的前世今生 。 交易透明 , 双方匿名 区块链的运行规则是公开透明的 , 所有的数据信息也是公开的 , 因此每一笔交易都对所有节点可见 。 由亍节点不节点之间是去信任的 , 因此节点之间无需公开身份 , 每个参不的节点都是匼名的 。 特征及分类 分类 联盟链 由若干机构联合収起 , 介亍公有链和私有链之间 , 兼具部分去中心化的特性 。 私有链 建立在某个企业内部 , 系统的运作规则根据企业要求进行设定 , 修改甚至是读叏权限仅限亍少数节点 , 同时仌保留着区块链的真实性和部分去中心化的特性 。 公有链 无官斱组织及管理机构 , 无中心服务器 , 参不的节点按照
