ch52数字签名与认证散列算法

第,5,章,数字签名与认证,-,*,-,第八讲 思考题,1 P141 (7),安全的散列函数有哪些特征,?,第八讲教学要求：,（,1,）掌握单向散列函数概念；,（,2,）了解,MD5,算法程；,（,3,）了解,SHA,安全散列算法；,3.2,单向散列函数,单向散列函数，也称,hash,函数，它可以提供判断电子信息完整性的依据，是防止信息被篡改的一种有效方法。单向散列函数在数据加密、数据签名和软件保护等领域中有着广泛的应用。,3.2.1,单向散列函数特点,hash,函数的作用是当向,hash,函数输入一任意长度的的信息,M,时，,hash,函数将输出一固定长度为,m,的散列值,h,。,即：,h =h,（,M,）,思考题,1:,安全的,hash,函数的特点,是：,1,hash,函数能从任意长度的,M,中产生固定长度的散列值,h,。,2,已知,M,时，利用,h,（,M,）,很容易计算出,h,。,3,已知,h,时，要想从,h,（,M,）,中计算出,M,是很困难的。,4,已知,M,时，要找出另一信息,M,，使,h,（,M,）,=h,（,M,）,是很困难的。,最常用的,hash,算法有,MD5,、,SHA,算法等。,MD5,MD5,（,Message-DigestAlgorithm5,）是由,RonaldL.,Rivest,（,RSA,算法中的“,R”,）这,90,年代初开发出来的，经,MD2,、,MD3,和,MD4,发展而来。它比,MD4,复杂，但设计思想类似，同样生成一个,128,位的信息散列值。其中，,MD2,是为,8,位机器做过设计优化的，而,MD4,和,MD5,却是面向,32,位的计算机。,2004,年,8,月，在美国召开的国际密码学会议（,Crypto2004,）上，王小云教授给出破解,MD5,、,HAVAL-128,、,MD4,和,RIPEMD,算法的报告。给出了一个非常高效的寻找碰撞的方法，可以在数个小时内找到,MD5,的碰撞。,MD5,算法步骤,1,）,填充消息,：任意长度的消息首先需要进行填充处理，使得填充后的消息总长度与,448,模,512,同余（即填充后的消息长度,448 mod 512,）。填充的方法是在消息后面添加一位“,1”,，后续都是“,0”,。,2,）,添加原始消息长度,：在填充后的消息后面再添加一个,64,位的二进制整数表示填充前原始消息的长度。这时经过处理后的消息长度正好是,512,位的倍数。,3,）,初始值（,IV,）的初始化,：,MD5,中有四个,32,位缓冲区，用（,A,B,C,D,）表示，用来存储散列计算的中间结果和最终结果，缓冲区中的值被称为链接变量。首先将其分别初始化为为：,A=0 x01234567,，,B=0 x89abcdef,，,C=0 xfedcba98,，,D=0 x76543210,。,3.2.2 MD5,算法,4,）,以,512,位的分组为单位对消息进行循环散列计算,：经过处理的消息，以,512,位为单位，分成,N,个分组，用,M,0,，,M,1,，,.,，,M,N,-1,。,MD5,对每个分组进行散列处理。每一轮的处理会对（,A,，,B,，,C,，,D,）进行更新。,5,）,输出散列值,：所有的,N,个分组消息都处理完后，最后一轮得到的四个缓冲区的值即为整个消息的散列值。,消息,100,.,00,L,M,0,M,1,1,Mi,M,N-1,-,512,位,512,位,512,位,512,位,H,MD,5,512,128,IV,H,MD,5,512,128,H,MD,5,512,128,H,MD,5,512,128,CV,1,CV,i,CV,N,-,1,128,位的,散列值,L,位,原始消息长,度,(,64,位,）,填充位,N,512,位,MD5,算法步骤,-,续,最后的输出就是,A,、,B,、,C,、,D,的级联，即,A,作为低位，,D,作为高位，共,128,位输出。,MD5,被广泛用于加密和解密技术中，可以用来保护密码、生成软件注册码等。,MD5,典型应用,:,在很多操作系统中,用户的密码是以,MD5,值的方式保存的,.,3.2.3 SHA,算法,SHA-1,散列算法过程如下：,1,SHA-1,对输入明文的预处理过程和,MD5,相同，但,SHA,输出为,160,位，并分别存储于五个,32,位变量中，这五个变量初始值为：,A,0 x67452301,B,0 xefedab89,C,0 x98badefe,D,0 x10325476,E,0 xc3d2elf0,和,MD5,算法一样，,SHA-1,一次处理,512,位信息，主循环的次数就是信息中,512,位分组的数目。,3.2.4 SHA-1,与,MD5,比较,1,安全性,SHA-1,摘要比,MD5,摘要长,32,比特,强行攻击及伪造签名更难,2,速度,SHA-1,比,MD5,的运行步骤多,16,个,占用的缓存多了,32,位,所以速度慢,25%,3,简单性,总体上,SHA-1,对每一步的操作描述比,MD5,简单,数字签名,数字签名也是一种认证机制，它是公钥密码学发展过程中的一个重要组成部分，是公钥密码算法的典型应用。,数字签名的应用过程是，数据源发送方使用自己的私钥对数据校验和或其他与数据内容有关的信息进行处理，完成对数据的合法“签名”，数据接收方则利用发送方的公钥来验证收到的消息上的“数字签名”，以确认签名的合法性。,数字签名,数字签名需要满足以下条件：,签名的结果必须是与被签名的消息相关的二进制位串；,签名必须使用发送方某些独有的信息（发送者的私钥），以防伪造和否认；,产生数字签名比较容易；,识别和验证签名比较容易；,给定数字签名和被签名的消息，伪造数字签名在计算上是不可行的。,保存数字签名的拷贝，并由第三方进行仲裁是可行的。,数字签名,(1),消息发送方式与散列函数对消息进行计算，得到消息的散列值。,(2),发送方使用自己的私钥对消息散列值进行计算，得到一个较短的数字签名串。,(3),这个数字签名将和消息一起发送给接收方。,(4),接收方首先从接收到的消息中用同样的散列函数计算出一个消息摘要，然后使用这个消息摘要、发送者的公钥以及收到的数字签名，进行数字签名合法性的验证。,盲签名,盲签名是,Chaum,在,1982,年首次提出的，并利用盲签名技术提出了第一个电子现金方案。盲签名因为具有盲性这一特点，可以有效的保护所签名的消息的具体内容，所以在电子商务等领域有着广泛的应用。,盲签名允许消息发送者先将消息盲化，而后让签名者对盲化的消息进行签名，最后消息拥有者对签名除去盲因子，得到签名者关于原消息的签名。,盲签名的性质,它除了满足一般的数字签名条件外，还必须满足下面的两条性质：,1.,签名者不知道其所签名的消息的具体内容。,2.,签名消息不可追踪，即当签名消息被公布后，签名者无法知道这是他哪次的签署的。,盲签名的步骤,A,期望获得对消息,m,的签名，,B,对消息,m,的盲签名的实现描述如下：,盲化：,A,对于消息进行处理，使用盲因子合成新的消息,M,并发生给,B,；,签名：,B,对消息,M,签名后，将签名,(,M,sign,(,M,),返回给给,A,；,去盲：,A,去掉盲因子，从对,M,的签名中得到,B,对,m,的签名。,好的盲签名的性质,不可伪造性,：除了签名者本人外，任何人都不能以他的名义生成有效的盲签名。,不可抵赖性,：签名者一旦签署了某个消息，他无法否认自己对消息的签名。,盲性,：签名者虽然对某个消息进行了签名，但他不可能得到消息的具体内容。,不可跟踪性,：一旦消息的签名公开后，签名者不能确定自己何时签署的这条消息。,盲签名机制,当用户从银行提款时，他先为硬币随机生成一个很大的编码，然后利用盲签名机制，银行可用代表不同面值的密钥对这枚硬币签名，从而标定硬币的币值。由于编码很大（大于,200,位数字），重复的概率可以忽略不计，再加上盲签名让银行无法知道硬币编号，从而不能将其记录下来。为了防止电子现金的复制，,Chaum,引入一种盲记录机制，第一次使用电子硬币时无法进行跟踪，而如果重复使用，就有足够多的信息能查出使用者的帐户信息，从而采取相应的处罚措施。对电子硬币的检验同普通的签名检验一样，商家收到用户支付的电子硬币时，可以检验该硬币的真实性，之后再将其发给银行去核实其唯一性。当一个消费者想从金融机构提取一笔电子现金时，金融机构产生电子货币的数据，包含随机的货币序号，同时任取一个随机数，也称盲因子，对电子现金进行盲变换。金融机构将这些数据送给消费者，消费者去掉盲因子后，就可以使用经过金融机构验证有效的电子货币。但金融机构以后并不能得到这笔钱被如何使用的记录。,