文档介绍:第6章消息认证和杂凑算法 消息认证码 杂凑函数 MD5 杂凑算法 安全杂凑算 HMAC 算法****题单击此处编辑母版标题样式?单击此处编辑母版副标题样式第1章曾介绍过信息安全所面临的基本攻击类型, 包括被动攻击(获取消息的内容、业务流分析)和主动攻击(假冒、重放、消息的篡改、业务拒绝)。抗击被动攻击的方法是前面已介绍过的加密,本章介绍的消息认证则是用来抗击主动攻击的。消息认证是一个过程,用以验证接收消息的真实性(的确是由它所声称的实体发来的)和完整性(未被篡改、插入、删除),同时还用于验证消息的顺序性和时间性(未重排、重放、延迟)。除此之外,在考虑信息安全时还需考虑业务的不可否认性,即防止通信双方中的某一方对所传输消息的否认。实现消息的不可否认性可通过数字签字,数字签字也是一种认证技术,它也可用于抗击主动攻击。消息认证机制和数字签字机制都需有产生认证符的基本功能,这一基本功能又作为认证协议的一个组成部分。认证符是用于认证消息的数值,它的产生方法又分为消息认证码 MAC ( message authentication code )和杂凑函数( hash function ) 两大类,下面分别介绍。消息认证码是指消息被一密钥控制的公开函数作用后产生的、用作认证符的、固定长度的数值,也称为密码校验和。此时需要通信双方 A和B共享一密钥K。设A欲发送给 B的消息是 M,A首先计算 MAC=C K (M) ,其中 C K(·)是密钥控制的公开函数, 然后向 B发送 M∥ MAC ,B收到后做与 A相同的计算,求得一新 MAC ,并与收到的 MAC 做比较,( a)所示。 消息认证码 消息认证码的定义及使用方式如果仅收发双方知道 K,且B计算得到的 MAC 与接收到的 MAC 一致,则这一系统就实现了以下功能: ①接收方相信发送方发来的消息未被篡改,这是因为攻击者不知道密钥,所以不能够在篡改消息后相应地篡改 MAC ,而如果仅篡改消息,则接收方计算的新 MAC 将与收到的 MAC 不同。②接收方相信发送方不是冒充的,这是因为除收发双方外再无其他人知道密钥,因此其他人不可能对自己发送的消息计算出正确的 MAC 。 AC 函数与加密算法类似,不同之处为 MAC 函数不必是可逆的,因此与加密算法相比更不易被攻破。上述过程中,由于消息本身在发送过程中是明文形式,所以这一过程只提供认证性而未提供保密性。为提供保密性可在 MAC 函数以后(如图 ( b)) 或以前(如图 ( c)) 进行一次加密,而且加密密钥也需被收发双方共享。在图 ( b)中, M与 MAC 链接后再被整体加密,在图 ( c)中, M先被加密再与 MAC 链接后发送。通常希望直接对明文进行认证,( b)所示的使用方式更为常用。 MAC 的基本使用方式使用加密算法(单钥算法或公钥算法)加密消息时,其安全性一般取决于密钥的长度。如果加密算法没有弱点,则敌手只能使用穷搜索攻击以测试所有可能的密钥。如果密钥长为 k比特,则穷搜索攻击平均将进行 2 k-1个测试。特别地,对惟密文攻击来说,敌手如果知道密文 C,则将对所有可能的密钥值 Ki 执行解密运算 Pi= DKi(C ),直到得到有意义的明文。 产生 MAC 的函数应满足的要求对 MAC 来说,由于产生 MAC 的函数一般都为多到一映射,如果产生 n比特长的 MAC ,则函数的取值范围即为 2 n个可能的 MAC ,函数输入的可能的消息个数 N>>2n ,而且如果函数所用的密钥为 k比特, 则可能的密钥个数为 2 k。如果系统不考虑保密性, 即敌手能获取明文消息和相应的 MAC ,那么在这种情况下要考虑敌手使用穷搜索攻击来获取产生 MAC 的函数所使用的密钥。