现代密码学第6讲：单向函数和散列函数1.pptVIP

HASH函数和MAC（一） 上讲内容回顾 流密码（序列密码）的思想起源 流密码的分类 基于移位寄存器的流密码算法 RC4算法 ESTREAM推荐算法介绍 本章主要内容 单向函数 Hash函数的定义及发展现状 hash函数的用途 MD5算法 SHA-256算法 SHA-512和SHA-384算法 消息鉴别码简介 CBC-MAC算法 HMAC算法 定义. 函数 若满足下列两个条件，则称之为强单向函数： 1 计算 是容易的，即 是多项式时间可计算的； 2 计算 函数的逆 是困难的， 即对每一多项式时间概率算法 ，每一多项式 和充分大的 有 单向函数 Hash函数定义 消息是任意有限长度，哈希值是固定长度. Hash的概念起源于1956年，Dumey用它来解决symbol table question(符号表问题)。使得数据表的插入、删除、查询操作可以在平均常数时间完成。 Hash函数的定义 单向性（抗原像）：对干任意给定的消息，计算其哈希值容易. 但是，对于给定的哈希值h，要找到M使得H(M)＝h在计算上是不可行的. 弱抗碰撞（抗二次原像）：对于给定的消息M1，要发现另一个消息M2，满足H( M1 )＝H(M2)在计算上是不可行的. 强抗碰撞：找任意一对不同的消息M1，M2 ，使H(M1)＝H(M2 )在计算上是不可行的. 随机性. Hash函数的定义 Hash函数的定义 Hash函数的分类 改动检测码MDC (Manipulation Detection Code) 不带密钥的哈希函数 主要用于消息完整性 消息认证码 MAC (Message Authentication Code) 带密钥的哈希函数 主要用于消息源认证和消息完整性 Hash函数的用途 消息完整性检测 Hash链用于口令认证 数字签名（速度快；防止消息伪造） 消息完整性和消息源认证（MAC） 。。。。。。 Hash函数的用途 消息完整性检测 “网站卫士”是一个网络安全软件产品。它的主要功能是通过网络扫描网站的网页，监测网页是否被修改，当发现网页被修改后，系统能够自动报警和恢复。 初始化过程 （1）对监视网站的文件备份到监控主机上。 （2）对每个备份的文件生成一个结构：文件位置、文件的哈希值。 监控过程 监控主机对监控网站进行轮回扫描，对扫描的文件进行如下操作： （1）计算文件的哈希值，并与备份的文件哈希值进行比较，如果相同，转（4）步。 （2）如果不同，上载备份文件替换网站现有文件，转（4）步。 （3）如果备份文件不存在，则删除网站上这个文件，转（4）步。 （4）监控程序扫描下一文件。 Hash函数的用途 Hash函数的用途 不带密钥的哈希函数的发展 不带密钥的哈希函数的发展 散列算法MD族是在90年代初由mit laboratory for computer science和RSA data security inc的Ron?Rivest设计的，MD代表消息摘要（message-digest ）. md2、md4和md5都产生一个128位的信息摘要. MD21989年开发出md2算法. 在这个算法中，首先对信息进行数据补位，使信息的字节长度是16的倍数. 然后，以一个16位的检验和追加到信息末尾。并且根据这个新产生的信息计算出散列值。后来，rogier和chauvaud发现如果忽略了检验和将产生md2碰撞. MD4 1990年开发出md4算法. Den boer和bosselaers以及其他人很快的发现了攻击md4版本中第一步和第三步的漏洞. dobbertin向大家演示了如何利用一部普通的个人电脑在几分钟内找到md4完整版本中的碰撞. MD51991年，rivest开发出技术上更为趋近成熟的md5算法. den boer和bosselaers曾发现md5算法中的伪碰撞（pseudo-collisions），但除此之外就没有其他被发现的分析结果了. RIPEMD-128/160/320 RIPEMD由欧洲财团开发和设计. 不带密钥的哈希函数的发展 SHA系列算法是NIST 根据Rivest 设计的MD4和MD5开发的算法. 国家安全当局发布SHA作为美国政府标准. SHA表示安全散列算法. SHA-0 SHA-0正式地称作SHA，这个版本在发行后不久被指出存在弱点. SHA-1 SHA-1是NIST于1994年发布的，它与MD4和MD5散列