数字签名与身份认证技术：第三讲密码学基础 - 北京科技大学计算机与 .pdfVIP

北京科技大学 数字签名与身份认证技术 ：第三讲 数据完整性验证 朱岩 zhuyan@ustb.edu.cn 1204A 计算机与通信学院软件工程系 主要内容 • 完整性验证概述 • 基于加密算法的消息认证 • 基于Hash 的消息认证 • 基于MAC 的消息认证 • 数据完整性的盲验证 概述 • 消息认证（Message Authentication ）: • 验证消息没有被改变，即完整性认证 • 问题： • 消息认证与原始数据的关系？ • 不考虑数据必威体育官网网址性：与加密技术对比 • 不允许改动数据：脆弱水印与消息认证码（纠错码） • 纠错码尽管在错误检测中非常有用，并不能可靠地验证数据完整性，这是因为CRC 多项式是线性结构，可以非常容易 地故意改变数据而维持CRC 不变，安全性不足 验证块与数据块的关系 • 验证块与数据块的关系？ • 令数据块长度为L ，验证码长度为K • 假设从数据块到验证码的映射是随机的 L K • 当L=K ，验证重复率为：2 /2 =1 K+1 K • 当L=K+1 ，验证重复率为：2 /2 =2 • …… • 验证重复率为：2L-K为无穷大， • 表示了具有相同验证码的消息数目 L-K L= K • 碰撞概率：2 /2 1/2 • 对任意1个数据，碰撞概率与待验证数据长度无关，只与验证码长度相关 • 如何对于大数据的消息认证？ • 如K=128 比特 K • 这是平均情况的概率，最坏情况要≥ 1/2 消息认证的定义 • 消息认证的（功能与安全）定义：给定密钥k • 有效生成：计算H (M)=σ，传输(M, σ) k • 有效验证：存在算法Vk (M, σ)=1 ，要求成功概率为 • Pr[Vk (M, σ)= 1]=1 • 困难伪造： •发现M’ ,使得M’≠M,那么 •1/2K ≤ Pr[Vk (M’, σ)=1] ε 消息认证函数是单向函数 • 单向函数f()定义： • 计算容易：f(x)=y • 求逆困难：f -1(y)=x’ and f(x’)=y •Pr[f(f -1 (y))=y]ε • 通常定义“验证函数”和“认证块生成函数”为同一函数(实现方便) • Pr[V (M, σ)=1|H (M)=σ]=1 k k • V (M, σ)=1 = H (M)=σ k k • 发现M’≠M,那么Pr[H (M’) σ] ε k •Pr[H (H-1 (σ))=σ] ε k k 完整性验证的数学基础 • 单向函数 • Hash 函数 • 单向性， （强和弱）碰撞性 • 用于构造消息认证函数 • 单向置换 • 单向性，唯一性（无碰撞性） • 用于构造加密算法 消息认证分类 数据完整性验证 脆弱性水印 消息认证 无密钥消息认证 有密钥消息认证 （无攻击下使用） 基于Hash算法的 基于MAC算法的