2025/3/111/292021年東南大學信息平安根底課程

通信平安理論與技術秦中元東南大學信息科學與工程學院信息平安研究中心2025/3/112/29上次課內容第10章密鑰管理和其他公鑰密碼體制10.1密鑰管理10.2Diffie-Hellman密鑰交換10.3橢圓曲線算術10.4橢圓曲線密碼學2025/3/113/29公鑰證書通信雙方使用證書來交換密鑰，而不是通過公鑰管理員。證書包含用戶編號和公鑰，由證書管理員產生。CA=E[PRauth，T，IDa，PUa]2025/3/114/29公鑰和私鑰的產生2025/3/115/29密鑰的產生2025/3/116/29本次課內容第11章消息認證和散列函數11.1對認證的要求11.2消息加密11.3消息認證碼11.4散列函數2025/3/117/2911.1認證要求網絡通信環境下的攻擊類型：泄露(Disclosure)傳輸分析(Trafficanalysis)偽裝(Masquerade)內容篡改(Contentmodification)順序修改(Sequencemodification)計時修改(Timingmodification)發送方否認(Sourcerepudiation)接收方否認(Destinationrepudiation)機密性消息認證數字簽名2025/3/118/29消息認證——驗證收到的消息確實來自聲明的發送方且未被修改消息認證也可以驗證消息的順序和時間數字簽名——一種認證技術，包含了防止發送方否認的方法11.1認證要求數據完整性不可否認性2025/3/119/2911.2認證函數消息認證或數字證書可以看作有兩層：下層:

需要某種函數用于產生一個認證碼，這個碼用于認證消息。產生認證碼的函數實現問題上層：將下層函數作為原語用于認證協議中。認證協議的設計問題認證函數類型：消息加密密文作為認證碼消息認證碼(MAC)函數輸入為消息和密鑰，生成值為一定長的值散列函數將一個消息映射為一個定長的摘要值2025/3/1110/2911.2.1對稱加密如果明文具有一定的語法結構，接收方可以判斷解密后明文的合法性，從而確認消息來自發送方而且中間未受到篡改。如果明文為二進制文件，那么難以判斷解密后的消息是正確的明文。2025/3/1111/29內部和外部錯誤控制發送端：在加密前對每個消息附加錯誤檢測碼F，附加在M后面，對M和F一起進行加密。接收端：解密收到的信息，重新計算F，并與收到的F進行比較。2025/3/1112/2911.2.2公鑰加密保密性認證和簽名2025/3/1113/29公鑰加密既能實現保密性，又能完成認證和簽名。一次通信中要進行四次復雜的公鑰算法。2025/3/1114/29MessageAuthenticationCode(MAC)：利用共享密鑰生成一固定長度的字段(記為MAC)MAC=C

(K,M)K：共享密鑰M:輸入消息C：MAC函數MAC：消息認證碼11.2.2消息認證碼可以確認：消息不被修改消息來源于宣稱的發送方消息的發送順序未被改變〔要求消息中包含序列號〕與加密函數的區別：MAC不需要解密，即MAC函數無需可逆性MAC函數為多對一的映射關系2025/3/1115/29基于DES的消息認證碼數據認證算法(FIPSPUB113)使用CBC(CipherBlockChaining)方式，初始向量為0。它是使用最廣泛的MAC算法之一。將數據按64位分組，D1,D2,…,DN，必要時最后一個數據塊用0向右填充。運用DES加密算法E，密鑰為K。數據鑒別碼(DAC)的計算如下：

O1=EK(D1) O2=EK(D2⊕O1) O3=EK(D3⊕O2) … ON=EK(DN⊕ON-1)2025/3/1116/29基于DES的消息認證碼2025/3/1117/29消息認證碼的討論保密性與真實性是兩個不同的概念從根本上說,信息加密提供的是保密性而非真實性加密代價大(公鑰算法代價更大)某些信息只需要真實性,不需要保密性–播送的信息難以使用加密(信息量大)–網絡管理信息等只需要真實性–政府/權威部門的公告2025/3/1118/29針對MAC的窮舉攻擊令k為密鑰長度，n為MAC長度假定不提供保密(圖11.4(a))假設k>n窮舉攻擊會產生2(k-n)個待選密鑰給定M1和MAC1,利用窮舉攻擊方法測試所有的Ki.至少存在一個密鑰可以匹配平均來說，會有2k/2n=2(k-n)密鑰匹配第2輪：使用新的M和MAC，將不確定數減小到2(k-2n)個第i輪：不確定數減小到2(k-in)個平均需要k/n輪假設kn,只需一次2025/3/1119/29不需要密鑰的攻擊考慮以下的MAC算法：M=(X1‖X2‖‥‥‖Xm)是由64位分組Xi連接而成。定義：Δ(M)=X1⊕X2⊕‥‥⊕XmCK(M)=EK(Δ(M))其中加密算法為電子密碼本方式DES，那么密鑰長為56位，MAC長為64位。確定K的窮舉攻擊需執行至少256次加密。2025/3/1120/29不需要密鑰的攻擊方法設M′=(Y1‖Y2‖‥‥‖Ym-1‖Ym)Ym=Y1⊕Y2⊕‥‥⊕Ym-1⊕Δ(M)消息M′和MAC=CK(M)=EK[Δ(M)]是一對可被接收者認證的消息。為什么？用此方法，任何長度為64×(m-1)位的消息可以作為欺騙性信息被插入！2025/3/1121/29對MAC函數的要求攻擊者攻擊目標：不再是獲得秘鑰K，而是尋找可生成相同認證碼的消息。假定攻擊者知道函數C，但不知道K。那么MAC函數應有如下特性：給定M和C(K,M)，那么構造消息M’滿足C(K,M’)=C(K,M)在計算上不可行C(K,M)應是均勻分布，即對任意M和M’，有：Pr[Ck(M)=Ck(M’)]=2-n,n為MAC的長度假設M’為M的某個轉換，即存在函數f使得M’=f(M)，有：Pr[Ck(M)=Ck(M’)]=2-n.2025/3/1122/29本次課內容第11章消息認證和散列函數11.1對認證的要求11.2消息加密11.3消息認證碼11.4散列函數2025/3/1123/29散列函數形式：h=H(M)它以任意長度的消息做自變量，產生規定長度的消息摘要。性質1(弱無碰撞)，散列函數H稱為是弱無碰撞的，是指對給定消息x，找到y，y≠x，且H(x)=H(y)在計算上是不可行的。性質2(強無碰撞)，散列函數H被稱為是強無碰撞的,是指找到x，y，x≠y，且H(x)=H(y)在計算上是不可行的。性質3(單向的)稱散列函數H為單向的，是指對于給定散列碼h，找到滿足H(x)=h的x在計算上不可行。2025/3/1124/29散列函數的用途2025/3/1125/29生日攻擊問題：假定使用64位的散列碼，是否平安?如果采用傳輸加密的散列碼和不加密的報文M，對手需要找到M′，使得H(M′)=H(M)，以便使用替代報文來欺騙接收者。平均來講，攻擊者找到這樣的消息大約需要進行263次嘗試。建立在生日悖論根底上的攻擊。2025/3/1126/29生日悖論生日問題：一個教室中，最少應有多少學生，才使至少有兩人具有相同生日的概率大于1/2？實際上只需23人。2025/3/1127/29生日攻擊的根本原理給定一個散列函數H(x)，有2m個可能的輸出，如果有k個隨機輸入,k必須為多大才能使至少存在一個重復出現？對長度為m位的散列函數H(x)，共有2m個可能的散列碼，H作用于k個隨機輸入得到集合X，H作用于另外k個隨機輸入得到集合Y，k等于多少時，這兩個集合中至少有一個匹配？2025/3/1128/29生日攻擊的方法1.發送方對消息進行“簽名〞，即用私鑰對m位的hash碼加密并將加密后的hash碼附于