ch52数字签名与认证散列算法ppt课件

1、 第第5 5章章 数字签名与认证数字签名与认证 -1- 第八讲第八讲 思索题思索题 1 P141 (7)平安的散列函数有哪些特征平安的散列函数有哪些特征? 第八讲教学要求：第八讲教学要求： 1掌握单向散列函数概念；掌握单向散列函数概念； 2了解了解MD5算法程；算法程； 3了解了解SHA 平安散列算法；平安散列算法； 第第5 5章章 数字签名与认证数字签名与认证 -2- 3.2单向散列函数 单向散列函数，也称hash函数，它可以提供判别电子信息完好性的根据，是防止信息被篡改的一种有效方法。单向散列函数在数据加密、数据签名和软件维护等领域中有着广泛的运用。3.2.1 单向散列函数特点 hash函

2、数的作用是当向hash函数输入一恣意长度的的信息M时，hash函数将输出一固定长度为m的散列值h。即： h = hM 第第5 5章章 数字签名与认证数字签名与认证 -3-思索题1:平安的hash函数的特点是： 1hash函数能从恣意长度的M中产生固定长度的散列值h。 2知M时，利用hM很容易计算出h。 3知h时，要想从hM中计算出M是很困难的。 4知M时，要找出另一信息M，使hM=hM是很困难的。 最常用的hash算法有MD5、SHA算法等。 第第5 5章章 数字签名与认证数字签名与认证 -4-MD5MD5Message-Digest Algorithm 5是由Ronald L. Rivest

3、RSA算法中的“R这90年代初开发出来的，经MD2、MD3和MD4开展而来。它比MD4复杂，但设计思想类似，同样生成一个128位的信息散列值。其中，MD2是为8位机器做过设计优化的，而MD4和MD5却是面向32位的计算机。2004年8月，在美国召开的国际密码学会议Crypto2004上，王小云教授给出破解MD5、HAVAL-128、 MD4和RIPEMD算法的报告。给出了一个非常高效的寻觅碰撞的方法，可以在数个小时内找到MD5的碰撞。 第第5 5章章 数字签名与认证数字签名与认证 -5-MD5算法步骤算法步骤1填充音讯：恣意长度的音讯首先需求进展填充处置，使得填充后的音讯总长度与448模512

4、同余即填充后的音讯长度448 mod 512。填充的方法是在音讯后面添加一位“1，后续都是“0。2添加原始音讯长度：在填充后的音讯后面再添加一个64位的二进制整数表示填充前原始音讯的长度。这时经过处置后的音讯长度正好是512位的倍数。3初始值IV的初始化：MD5中有四个32位缓冲区，用A, B, C, D表示，用来存储散列计算的中间结果和最终结果，缓冲区中的值被称为链接变量。首先将其分别初始化为为：A=0 x01234567，B=0 x89abcdef，C=0 xfedcba98，D=0 x76543210。 第第5 5章章 数字签名与认证数字签名与认证 -6-3.2.2 MD5算法算法4以以

5、512位的分组为单位对音讯进展循环散列计位的分组为单位对音讯进展循环散列计算：经过处置的音讯，以算：经过处置的音讯，以512位为单位，分成位为单位，分成N个个分组，用分组，用M0，M1，.，MN-1。MD5对每个分组对每个分组进展散列处置。每一轮的处置睬对进展散列处置。每一轮的处置睬对A，B，C，D进展更新。进展更新。5输出散列值：一切的输出散列值：一切的N个分组音讯都处置完个分组音讯都处置完后，最后一轮得到的四个缓冲区的值即为整个音后，最后一轮得到的四个缓冲区的值即为整个音讯的散列值。讯的散列值。 第第5 5章章 数字签名与认证数字签名与认证 -7-音讯100.00LM0M11MiMN-1-

6、512位512位512位512位HMD5512128IVHMD5512128HMD5512128HMD5512128CV1CViCVN-1128位的散列值L位原始音讯长度(64位填充位N512位MD5算法步骤算法步骤-续续 第第5 5章章 数字签名与认证数字签名与认证 -8- 最后的输出就是A、B、C、D的级联，即A作为低位，D作为高位，共128位输出。 MD5被广泛用于加密和解密技术中，可以用来维护密码、生成软件注册码等。MD5典型运用:在很多操作系统中,用户的密码是以MD5值的方式保管的. 第第5 5章章 数字签名与认证数字签名与认证 -9-3.2.3 SHA算法SHA-1散列算法过程如下

7、： 1SHA-1对输入明文的预处置过程和MD5一样，但SHA输出为160位，并分别存储于五个32位变量中，这五个变量初始值为： A0 x67452301 B0 xefedab89 C0 x98badefe D0 x10325476 E0 xc3d2elf0 和MD5算法一样，SHA-1一次处置512位信息，主循环的次数就是信息中512位分组的数目。 第第5 5章章 数字签名与认证数字签名与认证 -10-3.2.4 SHA-1与与MD5比较比较1 平安性 SHA-1摘要比MD5摘要长32比特,强行攻击及伪造签名更难2 速度 SHA-1比MD5的运转步骤多16个,占用的缓存多了32位,所以速度慢2

8、5%3简单性 总体上SHA-1对每一步的操作描画比MD5简单 第第5 5章章 数字签名与认证数字签名与认证 -11-数字签名数字签名数字签名也是一种认证机制，它是公钥密码学开展过程中的一个重要组成部分，是公钥密码算法的典型运用。数字签名的运用过程是，数据源发送方运用本人的私钥对数据校验和或其他与数据内容有关的信息进展处置，完成对数据的合法“签名，数据接纳方那么利用发送方的公钥来验证收到的音讯上的“数字签名，以确认签名的合法性。 第第5 5章章 数字签名与认证数字签名与认证 -12-数字签名数字签名数字签名需求满足以下条件：签名的结果必需是与被签名的音讯相关的二进制位串；签名必需运用发送方某些独

9、有的信息发送者的私钥，以防伪造和否认；产生数字签名比较容易；识别和验证签名比较容易；给定数字签名和被签名的音讯，伪造数字签名在计算上是不可行的。保管数字签名的拷贝，并由第三方进展仲裁是可行的。 第第5 5章章 数字签名与认证数字签名与认证 -13-数字签名数字签名(1) 音讯发送方式与散列函数对音讯进展计算，得到音讯的散列值。(2) 发送方运用本人的私钥对音讯散列值进展计算，得到一个较短的数字签名串。(3) 这个数字签名将和音讯一同发送给接纳方。(4) 接纳方首先从接纳到的音讯中用同样的散列函数计算出一个音讯摘要，然后运用这个音讯摘要、发送者的公钥以及收到的数字签名，进展数字签名合法性的验证。

10、 第第5 5章章 数字签名与认证数字签名与认证 -14-盲签名盲签名是Chaum在1982年初次提出的，并利用盲签名技术提出了第一个电子现金方案。盲签名由于具有盲性这一特点，可以有效的维护所签名的音讯的详细内容，所以在电子商务等领域有着广泛的运用。盲签名允许音讯发送者先将音讯盲化，而后让签名者对盲化的音讯进展签名，最后音讯拥有者对签名除去盲因子，得到签名者关于原音讯的签名。 第第5 5章章 数字签名与认证数字签名与认证 -15-盲签名的性质它除了满足普通的数字签名条件外，还必需满足下面的两条性质：1. 签名者不知道其所签名的音讯的详细内容。2. 签名音讯不可追踪，即当签名音讯被公布后，签名者无

11、法知道这是他哪次的签署的。 第第5 5章章 数字签名与认证数字签名与认证 -16-盲签名的步骤A期望获得对音讯m的签名，B对音讯m的盲签名的实现描画如下：盲化：A对于音讯进展处置，运用盲因子合成新的音讯M并发生给B；签名：B对音讯M签名后，将签名 ( M, sign(M) ) 前往给给A；去盲：A去掉盲因子，从对M的签名中得到B对m的签名。 第第5 5章章 数字签名与认证数字签名与认证 -17-好的盲签名的性质不可伪造性：除了签名者本人外，任何人都不能以他的名义生成有效的不可伪造性：除了签名者本人外，任何人都不能以他的名义生成有效的盲签名。盲签名。不可抵赖性：签名者一旦签署了某个音讯，他无法否

12、认本人对音讯的签不可抵赖性：签名者一旦签署了某个音讯，他无法否认本人对音讯的签名。名。盲性：签名者虽然对某个音讯进展了签名，但他不能够得到音讯的详细盲性：签名者虽然对某个音讯进展了签名，但他不能够得到音讯的详细内容。内容。不可跟踪性：一旦音讯的签名公开后，签名者不能确定本人何时签署的不可跟踪性：一旦音讯的签名公开后，签名者不能确定本人何时签署的这条音讯。这条音讯。 第第5 5章章 数字签名与认证数字签名与认证 -18-盲签名机制 当用户从银行提款时，他先为硬币随机生成一个很大的编码，然后利用盲签名机制，银行可用代表不同面值的密钥对这枚硬币签名，从而标定硬币的币值。由于编码很大大于200位数字，反复的概率可以忽略不计，再加上盲签名让银行无法知道硬币编号，从而不能将其记录下来。 为了防止电子现金的复制，Chaum引入一种盲记录机制，第一次运用电子硬币时无法进展跟踪，而假设反复运用，就有足够多的信息能查出运用者的帐户信息，从而采取相应的处分措施。 对电子硬币的检验同普