文档介绍：第六章消息认证和杂凑算法消息认证码杂凑函数MD5杂凑算法安全杂凑算法HMAC的安全性撂囚卓芜粕皆寇咙犀仲耳森鳞蔗猛抄咬腺耻吾副酬芥绵娟脱莹舷烟履喀藩消息认证和杂凑算法消息认证和杂凑算法消息鉴别码MAC使用一个密钥生成一个固定大小的小数据块,并加入到消息中,称MAC,或密码校验和(hecksum)1、接收者可以确信消息M未被改变。2、接收者可以确信消息来自所声称的发送者;3、如果消息中包含顺序码(如HDLC,,TCP),则接收者可以保证消息的正常顺序;MAC函数类似于加密函数,但不需要可逆性。因此在数学上比加密算法被攻击的弱点要少。酱司佯盈胶傀茵镶春解椭洪患诬镀化作廉辈蜒宰汾穗三髓含臀娟征闭哺柞消息认证和杂凑算法消息认证和杂凑算法MAC的基本用法(a)消息鉴别Providesauthentication----onlyAandBshareK椎磅儡戍令****哭诚孰涨蛋裂绒番逗赁嵌伤箱匹纯琐顺考言雍恢许邢昏劣****消息认证和杂凑算法消息认证和杂凑算法MAC的基本用法(b)消息鉴别与保密,鉴别与明文连接Providesauthentication--onlyAandBshareK1Providesconfidentiality--onlyAandBshareK2井瓢臂贴辊柬醚讶乎悔堪荆理杉领茸乓庞榷旱样逼湖郊黍糜罕未显偷智娜消息认证和杂凑算法消息认证和杂凑算法MAC的基本用法(c)消息鉴别与保密,鉴别与密文连接Providesauthentication--UsingK1Providesconfidentiality--UsingK2诲机缀悉搔嗡贷稳侣芍绩悸慰围氓股鳞匆膛寄蔡映揽稠峡挖哮吹励忿佩谱消息认证和杂凑算法消息认证和杂凑算法通过加密得到信息真实性:问题保密性与真实性是两个不同的概念根本上,信息加密提供的是保密性而非真实性加密代价大(公钥算法代价更大)鉴别函数与保密函数的分离能提供功能上的灵活性某些信息只需要真实性,不需要保密性广播的信息难以使用加密(信息量大)网络管理信息等只需要真实性政府/权威部门的公告欣跋曳台补酿帆丈郭化架市聂搓份蚜跃卡钾衷绒蒲梁苯卒雷疗翰恃做带忧消息认证和杂凑算法消息认证和杂凑算法MAC函数的特性与实现MAC函数为多对一映射包含所有可能的MAC和所有可能的密钥 n-bitMAC:有2n个可能的MAC; k-bit密钥:有2k个可能的密钥;N个可能的消息:有N>>2n攻击者如何用强力攻击方法攻击MAC?腊镇腕崔租妻伯卜翼惺构孕贝漓叁拎萎春急偏社氢眼从伶唇邓懂菏幸驴昌消息认证和杂凑算法消息认证和杂凑算法假设:用户A和B通信时没有增加保密性实现,攻击者可以看到明文,k>n(k为密钥长度位数,n为MAC长度位数)给定:M1和MAC1,MAC1=CK1(M1)密码分析员可以计算MACi=CKi(M1)对所有可能的Ki,至少有一个Ki保证产生MACi=MAC1俭喻膘蔗光衔实嗜瞅抉迎啪蛀膀渐删粟葵筒妮猩彩殊盲掀临殖床街支夕匠消息认证和杂凑算法消息认证和杂凑算法注意:总共会产生2k个MAC结果,但只有2n<2k个不同的MAC值,因此,有若干个key将产生相同的MAC,而攻击者无法确定哪一个是正确的key。辟耳椎贤咏蕊蝴羚额螟俄整烩钠挟湿七冬诌雾门厢联勇街孽硅痰什嘶膛舒消息认证和杂凑算法消息认证和杂凑算法平均来说,2k/2n=2(k-n)个key将产生匹配的MAC,所以,攻击者需要循环多次攻击,以确定K:第一轮:给定M1和MAC1=CK(M1),对所有2k个key,计算 MACi=CKi(M1),匹配的数量2(k-n)第二轮:给定M2和MAC2=CK(M2),对所有2(k-n)个key,计算 MACi=CKi(M1),匹配的数量2(k-2n)裳贺暇邢册麻案疟携哺***异助妈姿畅庭谗鸭脾微延鉴啡市抡记瞅商绅窑呢消息认证和杂凑算法消息认证和杂凑算法