密码学与网路安全第11章讯息认证和杂凑函数.ppt

密碼學與網路安全第11章 訊息認證和雜湊函數 訊息認證 訊息認證是一道程序 能驗證所收到的訊息的來源是來自訊息所聲稱的來源，也能驗證訊息沒有遭到更改 訊息認證也能驗證訊息的順序和時間 任何訊息認證和數位簽章的技術都有兩個層次的函數 下層必須是產生認證子（用來認證訊息的數值）的某種函數 下層函數是當作上層認證協定的基礎，能驗證訊息的正確性 能產生認證子的三種函數類型： 訊息加密 訊息認證碼（MAC） 雜湊函數 認證的需求 洩漏 流量分析 偽裝 更改內容 更改順序 更改時間 來源端否認 目地端否認 訊息加密 訊息加密本身可以提供基本的認證 如果使用對稱式加密： 從來源A以A、B共用的秘密金鑰K加密訊息M並傳給目的B 如果沒有其他人知道金鑰K，這項機制就具備機密性，因為無人可還原訊息的明文 B能宣稱這個訊息是由A產生，因為A是唯一擁有K的人，所以是B以外唯一能以K解密密文的人 傳統加密除了提供機密性，也具備了認證 訊息加密 如果使用公開金鑰加密： 只以公開金鑰加密法就只能提供機密性，沒有認證能力 為了提供認證能力，A以自己的秘密金鑰加密訊息，而B以A的公開金鑰解密 以等同於對稱式加密的理由提供了認證能力，也就是此訊息一定來自A 明文必須具有某種特定的內部結構，讓接收者能分辨何者是有效的明文、何者是沒用的隨機位元 這個方法並不提供機密性，任何持有A的公開金鑰的人都能解密這份密文 訊息認證碼（MAC） 另一種認證技巧，是以秘密金鑰產生固定大小的資料區塊 也就是加到訊息之後的密碼總和檢查碼或MAC 這種技巧假設通訊的兩端A、B共用一把秘密金鑰K 當A有訊息要傳給B，A會函數計算MAC 方法是將訊息和金鑰當作參數代入函數MAC= C(K, M) M = 輸入的訊息C= MAC函數K = 共用的金鑰MAC= 訊息認證碼 訊息加上MAC會一起送給接收端 對方收到訊息就以相同的秘密金鑰執行相同的運算而得到新的MAC 接收端比對所收到的MAC和計算的MAC 訊息認證碼（MAC） 訊息認證碼（MAC） 如果假設只有接收端和傳送端知道這把秘密金鑰，而且收到的MAC和計算的MAC也相同，那麼： 確定接收端收到的訊息沒被更動 接收端確定訊息是來自合法的傳送端 如果訊息包含序號，接收端也能確定適當的順序 訊息認證碼（MAC） MAC函數類似加密 差別在於MAC演算法不能反向運算 不能像解密有反向運算 MAC函數通常是多對一的函數 這種函數的定義域是任何長度的訊息 值域是所有可能的MAC以及所有可能的金鑰 如果使用n位元的MAC 會有2n種可能的MAC 有N種可能訊息（N 2n） 若是k位元金鑰，會有2k種可能的金鑰 訊息認證碼（MAC） 使用訊息認證碼的情況 許多的應用程式會廣播相同的訊息給許多接收者，例如告知使用者目前網路無法使用，或者是軍事單位的警告訊號 某一端的負載太大，而無法負荷所有的訊息解密。所以就選擇性地執行認證，並隨機檢查訊息 電腦程式的明文認證是相當吸引人的服務，這種程式每次執行而不必解密，會耗費CPU資源。然而，如果將MAC加到程式後面，就能隨時檢查 資料認證演算法 雜湊函數 以下型式的函數H會產生雜湊值h： h = H(M) M是可變長度的訊息 H(M)是固定長度的雜湊值 只要訊息正確，就會在來源端將雜湊值加在訊息之後 接收端會重新計算雜湊值來認證訊息 雜湊函數本身並非秘密，所以就需要某些保護雜湊值的方法 雜湊函數與數位簽章 雜湊函數的條件 H可以處理任何大小的資料區塊 H會產生固定長度的輸出 給定任何的x就很容易能算出H(x)，而且硬體或軟體都能實作 給定任何值h也無法計算出能讓H(x) = h的x 這種性質稱為單向性 給定任何的區塊x，也無法計算出能讓H(y) = H(x)的y ≦ x 這種性質稱為弱碰撞抵抗力 無法計算能讓H(x) = H(y)的(x, y) 這種性質稱為強碰撞抵抗力 簡單的雜湊函數 所有的雜湊函數運算都利用下列的通則 將輸入（訊息、檔案等）視為n位元序列區塊 反覆的方式一次處理輸入的一個區塊 最終得到n位元的雜湊函數 最簡單的雜湊函數，是逐一對每個區塊的所有位元進行XOR運算 生日攻擊法 有些人可能認為使用64位元雜湊碼已經夠安全 然而卻還有另一種以生日迷思為基礎的攻擊法： 來源A準備在訊息之後附加適當的m位元雜湊碼作為「簽署」訊息的方式，並且以A的秘密金鑰加密此雜湊碼 攻擊者針對此訊息產生2m/2 種不同的變化，但每種訊息的本質意義都相同 比較兩組訊息以找出找出一對產生相同雜湊碼的訊息 攻擊者拿有效的變化給A簽署，再將這個簽章附在欺騙訊息之後送出去；攻擊者縱使不知道加密金鑰，也保證能成功偽造訊息 要產生數種意義相同的變化並不難。例如攻擊者可以先在整份文件的字詞之間插入許多的「空格－空格