第6,7章Hash函数学案.pptVIP

第2类生日攻击 * 计算机科学与技术学院 * Hash函数现状 * 计算机科学与技术学院 * SHA-224 SHA-256 SHA-384 SHA-512 (NIST, ’02/04) SHA-0 (NIST, ’93) MD4  (Rivest ?‘90) Ext. MD4 (Rivest ?‘90) RIPEMD (RIPE, ‘92) MD5 (Rivest ?‘92) RIPEMD-128 RIPEMD-160 RIPEMD-256 RIPEMD-320 (Dobbertin, Bosselaers, Preneel ‘96) SHA-1 (NIST, ’95) HAVAL (Zheng, Pieprzyk, Seberry ?‘93) Chabaud/Joux ?’98 Joux? 2004 Biham/Chen? 2004 Wang/Feng/ Lai/Yu? 2004 MD5的安全性 MD5算法中，输出的每一位都是输入的每一位的函数，逻辑函数F、G、H、I的复杂迭代使得输出对输入的依赖非常小 但Berson证明，对单轮的MD5算法，利用差分分析，可以在合理时间内找出碰撞的两条消息 MD5算法抗密码分析的能力较弱，生日攻击所需代价是试验264个消息 2004年8月17日，在美国加州圣巴巴拉召开的美密会（Crypto2004）上，中国的王小云、冯登国、来学嘉、于红波4位学者宣布，只需1小时就可找出MD5的碰撞（利用差分分析） * 计算机科学与技术学院 * * * 计算机科学与技术学院 我们该怎么办？ 王小云的研究成果作为密码学领域的重大发现宣告了固若金汤的世界通行密码标准MD5大厦轰然倒塌，引发了密码学界的轩然大波 会议总结报告写道：“我们该怎么办？MD5被重创了，它即将从应用中淘汰。SHA-1仍然活着，但也见到了它的末日。现在就得开始更换SHA-1了”（Where does this leave us? MD5 is fatally wounded; its use will be phased out. SHA-1 is still alive but the vultures are circling. A gradual transition away from SHA-1 will now start.） * 计算机科学与技术学院 * 世界震惊:王小云破解全球两大密码算法 2005年2月7日，NIST发表申明，SHA-1没有被攻破，并并没有足够的理由怀疑它会很快被攻破，开发人员在2010年前应该转向更为安全的SHA-256和SHA-512算法 而仅仅一周之后，王小云就宣布了破译SHA-1的消息。因为SHA-1在美国等国家有更加广泛的应用，密码被破的消息一出，在国际社会的反响可谓石破天惊 2005年王小云在Crypto‘05会议上发表Finding Collisions in the Full SHA-1, 宣布了一种攻击方法，用269次操作找到两个独立的消息具有相同散列值 换句话说，王小云的研究成果表明从理论上电子签名可以伪造 NIST随即宣布废弃SHA-1的意图，到2010年转用其他版本的SHA * 计算机科学与技术学院 * 2 消息认证码 消息认证是一个过程，用以验证接收消息的真实性（的确是由它所声称的实体发来的）和完整性（未被篡改、插入、删除），同时还用于验证消息的顺序性和时间性（未被重排、重放、延迟等） 大体来说，实现消息认证的手段可以分为两类： 基于加密技术的消息认证 基于散列函数的消息认证 * 计算机科学与技术学院 * 基于加密技术的消息认证 * 计算机科学与技术学院 * 基于散列函数的消息认证 消息认证码(MAC，Message Authentication Code)或报文认证码，是用于提供数据源认证和数据完整性的密码校验值 * 计算机科学与技术学院 * * 计算机科学与技术学院 * MAC—“带密钥的hash函数” MAC是一对多的函数 * 计算机科学与技术学院 * 消息认证码的构造方法 消息认证码的构造主要有两种： 基于分组密码 基于带密钥的Hash函数-HMAC * 计算机科学与技术学院 * 基于分组密码—CBC-MAC CBC-MAC是最为广泛使用的消息认证算法之一，同时也是ANSI标准（X9.17） CBC-MAC实际上就相当于对消息使用CBC模式进行加密，取密文的最后一块作为认证码 当取DES作为加密的分组密码时，称为基于DES的CBC-MAC * 计算机科学与技术学院 * * 计算机科学与技术学院 * * 计算机科学与技术学院 * 基于散列函数的消息认证 — HMAC算法 * 计算机科学与技术