无线网络安全技术-10消息认证和散列函数

2023/10/311/292021年东南大学信息平安根底课程

通信平安理论与技术秦中元东南大学信息科学与工程学院信息平安研究中心2023/10/312/29上次课内容第10章密钥管理和其他公钥密码体制10.1密钥管理10.2Diffie-Hellman密钥交换10.3椭圆曲线算术10.4椭圆曲线密码学2023/10/313/29公钥证书通信双方使用证书来交换密钥，而不是通过公钥管理员。证书包含用户编号和公钥，由证书管理员产生。CA=E[PRauth，T，IDa，PUa]2023/10/314/29公钥和私钥的产生2023/10/315/29密钥的产生2023/10/316/29本次课内容第11章消息认证和散列函数11.1对认证的要求11.2消息加密11.3消息认证码11.4散列函数2023/10/317/2911.1认证要求网络通信环境下的攻击类型：泄露(Disclosure)传输分析(Trafficanalysis)伪装(Masquerade)内容篡改(Contentmodification)顺序修改(Sequencemodification)计时修改(Timingmodification)发送方否认(Sourcerepudiation)接收方否认(Destinationrepudiation)机密性消息认证数字签名2023/10/318/29消息认证——验证收到的消息确实来自声明的发送方且未被修改消息认证也可以验证消息的顺序和时间数字签名——一种认证技术，包含了防止发送方否认的方法11.1认证要求数据完整性不可否认性2023/10/319/2911.2认证函数消息认证或数字证书可以看作有两层：下层:

需要某种函数用于产生一个认证码，这个码用于认证消息。产生认证码的函数实现问题上层：将下层函数作为原语用于认证协议中。认证协议的设计问题认证函数类型：消息加密密文作为认证码消息认证码(MAC)函数输入为消息和密钥，生成值为一定长的值散列函数将一个消息映射为一个定长的摘要值2023/10/3110/2911.2.1对称加密如果明文具有一定的语法结构，接收方可以判断解密后明文的合法性，从而确认消息来自发送方而且中间未受到篡改。如果明文为二进制文件，那么难以判断解密后的消息是正确的明文。2023/10/3111/29内部和外部错误控制发送端：在加密前对每个消息附加错误检测码F，附加在M后面，对M和F一起进行加密。接收端：解密收到的信息，重新计算F，并与收到的F进行比较。2023/10/3112/2911.2.2公钥加密保密性认证和签名2023/10/3113/29公钥加密既能实现保密性，又能完成认证和签名。一次通信中要进行四次复杂的公钥算法。2023/10/3114/29MessageAuthenticationCode(MAC)：利用共享密钥生成一固定长度的字段(记为MAC)MAC=C

(K,M)K：共享密钥M:输入消息C：MAC函数MAC：消息认证码11.2.2消息认证码可以确认：消息不被修改消息来源于宣称的发送方消息的发送顺序未被改变〔要求消息中包含序列号〕与加密函数的区别：MAC不需要解密，即MAC函数无需可逆性MAC函数为多对一的映射关系2023/10/3115/29基于DES的消息认证码数据认证算法(FIPSPUB113)使用CBC(CipherBlockChaining)方式，初始向量为0。它是使用最广泛的MAC算法之一。将数据按64位分组，D1,D2,…,DN，必要时最后一个数据块用0向右填充。运用DES加密算法E，密钥为K。数据鉴别码(DAC)的计算如下：

O1=EK(D1) O2=EK(D2⊕O1) O3=EK(D3⊕O2) … ON=EK(DN⊕ON-1)2023/10/3116/29基于DES的消息认证码2023/10/3117/29消息认证码的讨论保密性与真实性是两个不同的概念从根本上说,信息加密提供的是保密性而非真实性加密代价大(公钥算法代价更大)某些信息只需要真实性,不需要保密性–播送的信息难以使用加密(信息量大)–网络管理信息等只需要真实性–政府/权威部门的公告2023/10/3118/29针对MAC的穷举攻击令k为密钥长度，n为MAC长度假定不提供保密(图11.4(a))假设k>n穷举攻击会产生2(k-n)个待选密钥给定M1和MAC1,利用穷举攻击方法测试所有的Ki.至少存在一个密钥可以匹配平均来说，会有2k/2n=2(k-n)密钥匹配第2轮：使用新的M和MAC，将不确定数减小到2(k-2n)个第i轮：不确定数减小到2(k-in)个平均需要k/n轮假设kn,只需一次2023/10/3119/29不需要密钥的攻击考虑以下的MAC算法：M=(X1‖X2‖‥‥‖Xm)是由64位分组Xi连接而成。定义：Δ(M)=X1⊕X2⊕‥‥⊕XmCK(M)=EK(Δ(M))其中加密算法为电子密码本方式DES，那么密钥长为56位，MAC长为64位。确定K的穷举攻击需执行至少256次加密。2023/10/3120/29不需要密钥的攻击方法设M′=(Y1‖Y2‖‥‥‖Ym-1‖Ym)Ym=Y1⊕Y2⊕‥‥⊕Ym-1⊕Δ(M)消息M′和MAC=CK(M)=EK[Δ(M)]是一对可被接收者认证的消息。为什么？用此方法，任何长度为64×(m-1)位的消息可以作为欺骗性信息被插入！2023/10/3121/29对MAC函数的要求攻击者攻击目标：不再是获得秘钥K，而是寻找可生成相同认证码的消息。假定攻击者知道函数C，但不知道K。那么MAC函数应有如下特性：给定M和C(K,M)，那么构造消息M’满足C(K,M’)=C(K,M)在计算上不可行C(K,M)应是均匀分布，即对任意M和M’，有：Pr[Ck(M)=Ck(M’)]=2-n,n为MAC的长度假设M’为M的某个转换，即存在函数f使得M’=f(M)，有：Pr[Ck(M)=Ck(M’)]=2-n.2023/10/3122/29本次课内容第11章消息认证和散列函数11.1对认证的要求11.2消息加密11.3消息认证码11.4散列函数2023/10/3123/29散列函数形式：h=H(M)它以任意长度的消息做自变量，产生规定长度的消息摘要。性质1(弱无碰撞)，散列函数H称为是弱无碰撞的，是指对给定消息x，找到y，y≠x，且H(x)=H(y)在计算上是不可行的。性质2(强无碰撞)，散列函数H被称为是强无碰撞的,是指找到x，y，x≠y，且H(x)=H(y)在计算上是不可行的。性质3(单向的)称散列函数H为单向的，是指对于给定散列码h，找到满足H(x)=h的x在计算上不可行。2023/10/3124/29散列函数的用途2023/10/3125/29生日攻击问题：假定使用64位的散列码，是否平安?如果采用传输加密的散列码和不加密的报文M，对手需要找到M′，使得H(M′)=H(M)，以便使用替代报文来欺骗接收者。平均来讲，攻击者找到这样的消息大约需要进行263次尝试。建立在生日悖论根底上的攻击。2023/10/3126/29生日悖论生日问题：一个教室中，最少应有多少学生，才使至少有两人具有相同生日的概率大于1/2？实际上只需23人。2023/10/3127/29生日攻击的根本原理给定一个散列函数H(x)，有2m个可能的输出，如果有k个随机输入,k必须为多大才能使至少存在一个重复出现？对长度为m位的散列函数H(x)，共有2m个可能的散列码，H作用于k个随机输入得到集合X，H作用于另外k个随机输入得到集合Y，k等于多少时，这两个集合中至少有一个匹配？2023/10/3128/29生日攻击的方法1.发送方对消息进行“签名〞，即用私钥对m位的hash码加密并将加密后的hash码附