第3章-第1讲伪随机数发生器与单向散列函数.ppt

资源描述

《第3章-第1讲伪随机数发生器与单向散列函数.ppt》由会员分享，可在线阅读，更多相关《第3章-第1讲伪随机数发生器与单向散列函数.ppt（30页珍藏版）》请在三一文库上搜索。

1、第三章安全业务及其实现方法第一讲伪随机数发生器与单向散列函数矗炔铣紫缅奏坦素扮睹端斜皆晚林石缆纽挣瘟医油泳机铣送击肋甘曳虏厨第 3 章 - 第 1 讲伪随机数发生器与单向散列函数第 3 章 - 第 1 讲伪随机数发生器与单向散列函数第一部分伪随机序列发生器随机数在网络安全算法中的应用（1）鉴别方案：序列号，临时密钥（2）会话密钥的产生：种子密钥的生成，会话密钥的生成（3）公钥密钥的产生密码算法上对随机数的要求？（4）用于生成序列密码（流密码）的密钥流

2、没锈忧暮鄙掘驳侗姥裂贾溶查咀兄悉尹仰运寺秒厦猫衰笛踪考氧什全冰绿第 3 章 - 第 1 讲伪随机数发生器与单向散列函数第 3 章 - 第 1 讲伪随机数发生器与单向散列函数一、基本概念渠尧馈竣丹纹旭肿溜哑疤寞俗速爱疽您石梭掩劈行纯忧撂止婪努勉筋缄座第 3 章 - 第 1 讲伪随机数发生器与单向散列函数第 3 章 - 第 1 讲伪随机数发生器与单向散列

3、函数懊贸捅他毗蝉泪置翅挠沤椽道乘件捆逼机拽铺萎酶嫡痈洒柞朋题耗睬撤捎第 3 章 - 第 1 讲伪随机数发生器与单向散列函数第 3 章 - 第 1 讲伪随机数发生器与单向散列函数（1）它是满足伪随机性，这表明它通过了我们所能找到的所有随机性统计检验。（2）它是不可预测的。即使给出产生序列的算法或硬件和所有以前产生的比特流的全部知识，也不可能通过计算来预测下一个随机比特应是什么。（3）它不能可靠地重复产生。如果你用完全同样的输入对序列产生器操作两次（至少与人

4、所能做到的最精确的一样），你将得到两个不相关的随机序列。密码学上安全的伪随机数生成器必须满足下面（1）（2）条件如果一个随机序列产生器具有下面的第三条性质，它就是真正随机的：矢玉缝又椎窑散甭袒墩东垂猎她拧荤钻疡粒杠瞧喊肯绿数丹壬性帝凛歹饼第 3 章 - 第 1 讲伪随机数发生器与单向散列函数第 3 章 - 第 1 讲伪随机数发生器与单向散列函数二、伪随机数生成器 1、线性反馈移位寄存器一个反馈移位寄存器（FSR）由两个部分组成：移位寄存器和反馈函数（feed

5、 back function）。移位寄存器是一个位序列，其长度用位表示，每次需要一个位，移位寄存器中所有的位右移一个位，新的最左端的位根据寄存器中的其它位计算得到，输出位一般是寄存器的最低有效位。移位寄存器的周期是指输出序列从开始到重复的长度斋差恫脏灿族寅峪炒皆庸翟凹晚侵尼竞购凛煌菜支楼吮拖器莆瘁中畜陋承第 3 章 - 第 1 讲伪随机数发生器与单向散列函数第 3 章 - 第 1 讲伪随机数发生器与单向散列函数最简单的反馈移位寄存器是线性反馈移位寄存器（ LFS

6、R），反馈函数是寄存器中某些位的异或运算，即是上的一个多项式，为了能达到最大周期（m序列）应该是上的一个本原多项式 1、线性反馈移位寄存器例子：3级线性反馈移位寄存器第0时刻 0 0 1 产生序列为：1001110和一个全零序列优点：随机统计特性好，速度快缺点：线性复杂度低，容易受攻击使用：作为其它生成器的驱动，即生成种子密钥奔孔挖纳择蒙户锄日勃渍呆队鉴讶包舅卑诗镰篆颁班旷莉乎饼乃沸啦贾任第 3 章 - 第 1 讲伪随机数发生器与单向散列函数第 3 章 - 第 1 讲伪随机数

7、发生器与单向散列函数 2、基于密码算法的随机数产生器 ANSIX9.17伪随机数产生器 EDE EDE EDE K1K2 Vi+1 Vi Ri DTi 第i阶段开始的种子第i阶段的日期每个阶段使用的DES密钥下一阶段的种子 1iKiKi iKiKi DTEDEREDEV DTEDEVEDER = = + 输出的随机数诧悸疼尸钻抿屏虎宏岸映椅阵研毖逾耕捆傍拱胖锰劣打讹纵厄彬猪鲤袭餐第 3 章 - 第 1 讲伪随机数发生器与单向散列函数第 3 章 - 第 1 讲伪随机数

8、发生器与单向散列函数 3、基于大数因子分解的发生器BBS产生器密码强度最强，基于大整数分解困难性选择p,q,满足p=q=3 mod 4, n=pq。选随机数s，s和n 互素 X0s2 mod n For i=1 to do Xi=Xi-12 mod n; Bi=Xi mod 2 Bi为产生的随机数序列针寿斩翱岂司唐睬吸敬懦帕栽吵呐科芒妮酉征堰到峰抵巍岔像甄航四奠邪第 3 章 - 第 1 讲伪随机数发生器与单向散列函数第 3 章 - 第 1 讲伪随机数发生器与单

9、向散列函数 (1)该发生器有一特殊性质，为了得到第i位不用去迭代前面的i-1位（2）对左右都是不可预测的。速度比较慢。注意：不使用于序列密码加密，适用于对安全性要求高的应用程序，例如密钥产生。优点：缺点：使用的更多低位，可以使用位加速方法：研诧兵枷带打瞧酉肚柠冬漳兆桩斯讶叛蚁窃蚁崎溪虞译洒濒曹藉柒铀寨叙第 3 章 - 第 1 讲伪随机数发生器与单向散列函数第 3 章 - 第 1 讲伪随机数发生器与单向散列函数第二部分单向散列函数单向

10、散列函数：Hash Function，哈希函数、杂凑函数将任意长度的消息M映射成一个固定长度散列值h的函数：h=H(M)，其中，h的长度为m。用途：消息认证、数字签名。世癌抗胡学毖细叠忱良钱手带逛阎加季摊藏属梗薪嚎慈臂便牟倚耸痔霸垂第 3 章 - 第 1 讲伪随机数发生器与单向散列函数第 3 章 - 第 1 讲伪随机数发生器与单向散列函数散列函数要具有单向性，则必须满足如下特性：（1）有效性给定M，很容易计算h，便于软硬件实现。（2）单向性给定h，根据

11、H(M)=h反推M很难。（3）弱抗碰撞性（弱攻击性）给定M，找到另一M满足H(M)=H(M)很难。在某些应用中，单向散列函数还需要满足抗碰撞(Collision) 的条件：要找到两个随机的消息M和M，使H(M)=H(M)满足很难。（抗强抗攻击性）挝肺毗障嗽敝铰茧许顺炮杯脸蜜炔意栽脐弟鹰擞丙稻犊挡纱吟坍娄崩慕蚁第 3 章 - 第 1 讲伪随机数发生器与单向散列函数第 3 章 - 第 1 讲伪随机数发生器与单向散列函数还要求：能用于任何大小的消息；能产生定长输出

12、；实现：单向散列函数是建立在压缩函数之上的：肆孰幸什哲摹千赚悲檬呸妖亚建窃牌视浑擅嫩乃环冷颇馋悸猩栅尼峙纷饶第 3 章 - 第 1 讲伪随机数发生器与单向散列函数第 3 章 - 第 1 讲伪随机数发生器与单向散列函数 MD表示消息摘要(Message Digest),单向散列函数输入：给定一任意长度的消息输出：长为m的散列值。压缩函数的输入：消息分组和前一分组的输出(对第一个函数需初始化向量IV)；输出：到该点的所有分组的散列，即分组Mi的散列为 hi

13、=f (Mi, hi1) 循环：该散列值和下一轮的消息分组一起作为压缩函数下一轮的输入，最后一分组的散列就是整个消息的散列。 (一) MD5 算法唱渐洗眠神冤矩片淫班贡欠歉蝴垃六姻稻啃邱凛帖鸟束答鸥气调浓略昭貉第 3 章 - 第 1 讲伪随机数发生器与单向散列函数第 3 章 - 第 1 讲伪随机数发生器与单向散列函数 1、算法 MD5对输入的任意长度消息产生128位散列值： MD5算法五个步骤： 1)附加填充位 2)附加长度 3)初始化MD缓冲区 4)按512位的分

14、组处理 5)输出咙固赂土警官论玩抢颜潜诀蔚辖菠睁砍挠瘸皿床尤艘脉句仲蒜展染朔律痪第 3 章 - 第 1 讲伪随机数发生器与单向散列函数第 3 章 - 第 1 讲伪随机数发生器与单向散列函数 1) 附加填充位填充消息，使其长度为一个比512的倍数小于64位的数。幻灯片 25 填充方法：在消息后面填充一位1，然后填充所需数量的0。填充位的位数从1512。 2) 附加长度将原消息长度的64位表示附加在填充后的消息后面。当原消息长度大于264时，用消息长度mod 264填

15、充。（5123216）咐腹吵茨尹疗机垢误绽部贯汗战亩类幼仿汲携蓉豌挂综呈秘铭辊从纂喉臆第 3 章 - 第 1 讲伪随机数发生器与单向散列函数第 3 章 - 第 1 讲伪随机数发生器与单向散列函数 3) 初始化MD缓冲区初始化用于计算消息摘要的128位缓冲区，由四个 32位寄存器A、B、C、D表示： A: 01234567 B: 89abcdef C: fedcba98 D: 76543210 (按低位字节在前的顺序存放) 崎拟误赵搽臀且伶换抚皖幅

16、浇洪庚与太滴盎缘鸣赔歌甲彻讫庆渔浦舅缺晶第 3 章 - 第 1 讲伪随机数发生器与单向散列函数第 3 章 - 第 1 讲伪随机数发生器与单向散列函数 4) 按512位的分组处理输入消息 MD5的主循环，包括四轮，每个循环都以当前的正在处理的512比特分组Yq和128比特缓冲值ABCD为输入，然后更新缓冲内容。压缩函数御挝钧烃尽旗恍妥班所厉扶盖运蕴强翘泻组脯浦蓉龚搂央龙萌牲婉蝴补橱第 3 章 - 第 1 讲伪随机数发

17、生器与单向散列函数第 3 章 - 第 1 讲伪随机数发生器与单向散列函数四轮的操作类似，每轮16次： MD5的一次操作婪割趟遣抡狂假水逐痊拜寻酗沫聘布免服役九腹螟彪十番按生澡骏膀仗傻第 3 章 - 第 1 讲伪随机数发生器与单向散列函数第 3 章 - 第 1 讲伪随机数发生器与单向散列函数四轮操作的不同之处在于每轮使用的非线性函数不同，分别为(其输入/输出均为32位字)： F(X,Y,Z) = (XY) (X) Z)

18、G(X,Y,Z) = (XZ)(Y (Z) H(X,Y,Z) = XYZ I(X,Y,Z) = Y(X (Z) 其中，表示按位与；表示按位或；表示按位反；表示按位异或。茅聚泪焕枚早饿担赌质柜视先庆认骆珊六坤臀燕颓悲认轧陶牟舟溜瑶澄听第 3 章 - 第 1 讲伪随机数发生器与单向散列函数第 3 章 - 第 1 讲伪随机数发生器与单向散列函数 MD5对每512bit按照下列算法进行处理 (1) 把Yi分为16个32比特分组M0、M1、M15，其中，M0为最左边的 32b

19、it。 (2) Let AA =A，BB =B，CC =C，DD =D (3) for i =0 to 15 do (第一轮) Temp=B + (A + F(B,C,D) + Mj + Tj) sj ; A =D; B =temp; C =B; D = C; end for j =16 to 31 do （第二轮） Temp= B + (A + G(B,C,D) + M(1+(j-16)*5)%16 + Tj) sj ; A =D; B =temp; C =B; D = C; End 翅涧钠淤脾滥金媒坛砰郭觉樊挣势徘柱撞检旱吧饯果夸肛顽龋

20、券忌幽漫寨第 3 章 - 第 1 讲伪随机数发生器与单向散列函数第 3 章 - 第 1 讲伪随机数发生器与单向散列函数 for j =32 to 47 do （第三轮） Temp= B + (A + H(B,C,D) + M(5+(i-32)*3%16 + Tj) sj ; A =D; B =temp; C =B; D = C; end for j =48 to 63 do （第四轮） Temp= B + (A + I(B,C,D) + M(0+(i-48)*7%16 + Tj) sj ; A =D; B =temp; C =

21、B; D = C; end (4) Let A = A + AA，B = B + BB，C = C + CC，D = D + DD 5）输出在处理完Yn后，128位的消息摘要为A、B、C、D级联的结果。摸滥医左站戊瓤识蔚抬孰销金郁贼危貌贫脾阴软丫喉拧芜雀惑冕杆薄廓挨第 3 章 - 第 1 讲伪随机数发生器与单向散列函数第 3 章 - 第 1 讲伪随机数发生器与单向散列函数（二）安全散列函数(SHA) 1 算法 SHA是美国NIST和NSA共同设计的安全散列算法 (Se

22、cure Hash Algorithm)，用于数字签名标准DSS(Digital Signature Standard)。修改版SHA1于1995年作为美国联邦信息处理标准公告发布。 SHA1的输入：度小于264位的消息输出： 160位的消息摘要。媳呆鲁拳赏戎捶密歇盂硝顾活淖告柯骤神变变恐预瞧牟匠二签肤者擒刷增第 3 章 - 第 1 讲伪随机数发生器与单向散列函数第 3 章 - 第 1 讲伪随机数发生器与单向散列函数图SHA1算法掣让容仟脖沟撞阴

23、季埂婆务歧耘雌泵漱掷袭氢颧杖饮隅锈寄霄解描向统总第 3 章 - 第 1 讲伪随机数发生器与单向散列函数第 3 章 - 第 1 讲伪随机数发生器与单向散列函数 1) 填充消息将消息填充为512位的整数倍，填充方法和MD5完全相同。幻灯片 16 2) 初始化缓冲区 SHA要用到两个缓冲区，均有五个32位的寄存器。第一个缓冲区：A、B、C、D、E；第二个缓冲区：H0、H1、H2、H3、H4。运算过程中还用到一个标记为W0、W1、W79的80个32位字序列和一个单字的缓冲区TEMP。在

24、运算之前，初始化Hj： H0 = 0 x67452301 H1 = 0 xEFCDAB89 H2 = 0 x98BADCFE H3 = 0 x10325476 H4 = 0 xC3D2E1F0 凋啤挂幢驮肯铝鬃野巧侈擎晒眩俱秩彻箕眶暮黔啥鸟巩伪罢仍俏侯君拴眩第 3 章 - 第 1 讲伪随机数发生器与单向散列函数第 3 章 - 第 1 讲伪随机数发生器与单向散列函数 3) 按512位的分组处理输入消息 SHA运算主循环包括四轮，每轮20次操作。逻辑函数序列f0、f1、f79

25、，每个逻辑函数的输入为三个32位字，输出为一个32位字： ft (B,C,D) = (BC) (BD) (0t19) ft (B,C,D) = BCD (20t39) ft (B,C,D) = (BC) (BD) (CD) (40t59) ft (B,C,D) = BCD (60t79) 还用到常数字序列K0、K1、K79： Kt = 0 x5A827999 (0t19)， Kt = 0 x6ED9EBA1 (20t39) Kt = 0 x8F1BBCDC (40t59)，Kt = 0 xCA62C1D6 (60t79) 躯砍病更示样懊戈扳罕似杏孰驼乓俏假烧

26、楼宠榨越剔脉茸铸艳奖恶呕哼镰第 3 章 - 第 1 讲伪随机数发生器与单向散列函数第 3 章 - 第 1 讲伪随机数发生器与单向散列函数谤蹭障坠绳苏估棺祥洽绚篇柑丧峪陶朴嘉甥桃尼袖小夷椭梦慈坐菌耐淫俱第 3 章 - 第 1 讲伪随机数发生器与单向散列函数第 3 章 - 第 1 讲伪随机数发生器与单向散列函数画走扮猪钵卯柜淮呛祭碌廉趴瘁路首吉拎鞍近

27、冗昆震托式幼趣骇笋垛珊绢第 3 章 - 第 1 讲伪随机数发生器与单向散列函数第 3 章 - 第 1 讲伪随机数发生器与单向散列函数 SHA算法按如下步骤处理每个字块Mi： (1) 把Mi分为16个字W0、W1、W15，其中，W0为最左边的字。 (2) for t =16 to 79 do let Wt =(Wt3 Wt8 Wt14 Wt16)1 (3) Let A =H0，B =H1，C =H2，D =H3，E =H4 (4) for t =0 to 79 do TEMP = (A5)+ft (B, C, D

28、)+E +Wt +Kt ; E =D; D =C; C =(B30); B = A; A = TEMP; (5) Let H0 =H0 +A, H1 =H1 +B, H2 =H2 +C, H3 =H3 +D, H4 =H4 +E 4) 输出在处理完Mn后，160位的消息摘要为H0、H1、H2、H3、H4级联的结果。搪扇剔见刃罐醚癣碱助瀑兽禾磊烹没汝橇哎氟骸究泪溯把炙滔偏厅豆广令第 3 章 - 第 1 讲伪随机数发生器与单向散列函数第 3 章 - 第 1 讲伪随机数发生器与单向

29、散列函数 SHA1与MD5的比较 SHA1是在MD4的基础上开发的。表SHA-1与MD5的比较 SHA-1MD5 Hash值长度160bit128bit 分组处理长512bit512bit 步数80(420)64(416) 最大消息长264bit不限非线性函数3(第2、4轮相同)4 常数个数464 况循邻啡粤屉吓糕勤悲京趾崖桩稗搅假桑摆菠此驶纪航商矗钩戮照花丧拦第 3 章 - 第 1 讲伪随机数发生器与单向散列函数第 3 章 - 第 1 讲伪随机数发生器与单向散列函数

展开阅读全文