密码学 - 第5章散列函数与消息认证

发表于2024-07-20|更新于2026-05-04|密码学

|浏览量:

第5章：单向散列函数和消息认证

单向散列函数基础

Hash函数的定义

Hash函数h是一个公开函数，用于将任意长的消息m映射为较短的、固定长度的一个值h(m)，称为消息摘要或哈希值。

Hash函数的性质

输入任意长：函数的输入可以是任意长的消息。
输出固定长：函数的输出是固定长度的摘要。
计算简便：对任意给定的x，计算$h(x)$比较容易。
单向性：对任意给定的Hash值z，找到满足$h(x)=z$的$x$在计算上是不可行的。
抗弱碰撞性：已知x，找到另一个$y(y≠x)$使得$h(y)=h(x)$在计算上是不可行的。
抗强碰撞性：找到任意两个不同的输入$x, y$，使$h(y)=h(x)$在计算上是不可行的。

碰撞性

碰撞是指对于两个不同的消息x和y，如果它们的Hash值相同，则发生了碰撞。Hash函数必须具有碰撞抵抗性，确保找到碰撞在计算上是不可行的。

Hash与加密的对比

加密是双向的，需要使用密钥进行加密和解密。Hash是单向的，没有解Hash的过程。

迭代型Hash函数的一般结构

Merkle基于压缩函数f提出了一个Hash函数的一般结构。输入m被分为L个分组，每个分组的长度为b比特。如果最后一个分组长度不够，需对其填充。最终输出的链接变量CVL就是Hash值。

MD5算法

MD5算法描述

前身是MD4算法，由Ron Rivest于1990年提出。MD5算法采用迭代型哈希函数的一般结构，输入任意长的消息，分组长度为512比特，输出128比特的消息摘要。

处理过程

填充消息：对消息填充，使其比特长度模512下为448，填充方式为第1位为1，其后各位皆为0。
填充长度：用64比特表示消息填充前的长度，以little-endian方式附在后面。
初始化MD缓冲区：使用128比特长的缓冲区，包含4个32比特长的寄存器(A, B, C, D)。
以512比特的分组为单位处理消息：每一分组都经一压缩函数处理。每一分组分为4轮处理，每轮16步迭代运算。
输出：所有分组处理完后，最后一个HMD5的输出即为消息摘要。

SHA-1算法

SHA-1算法描述

安全哈希算法(Secure Hash Algorithm, SHA)由美国NIST设计，1993年作为联邦信息处理标准公布，1995年发布修订版FIPS PUB 180-1，通常称为SHA-1。

处理过程

填充消息：与MD5的步骤①完全相同。
附加消息长度：用64比特表示填充前消息的长度，并将其附在后面。
初始化缓冲区：使用160比特长的缓冲区，包含5个32比特长的寄存器(A, B, C, D, E)。
以分组为单位处理消息：每一分组都经一压缩函数处理。压缩函数由4轮处理过程构成，每轮20步迭代。
输出：所有分组处理完后，最后一个分组的输出即为160比特的消息摘要。

SHA-1与MD5的比较

SHA-1算法基于MD4，结构与MD4类似，但安全性更高，输出长度为160比特，而MD5为128比特。SHA-1在实际应用中比MD5更为广泛。

文章作者: moyuan

文章链接: https://moyuan10086.github.io/2024/07/20/%E5%AF%86%E7%A0%81%E5%AD%A6-%E7%AC%AC5%E7%AB%A0-%E6%95%A3%E5%88%97%E5%87%BD%E6%95%B0%E4%B8%8E%E6%B6%88%E6%81%AF%E8%AE%A4%E8%AF%81/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Moyuan"s website！

相关推荐

密码学 - 数字签名公式整理

数字签名的公式分类整理RSA 数字签名算法 RSA 签名方案密钥生成: 选择两个大素数 $ p $ 和 $ q $ 计算 $ n = pq $ 计算 $ \phi(n) = (p-1)(q-1) $ 选择一个整数 $ e $（满足 $ 1 < e < \phi(n) $ 且 $ \gcd(e, \phi(n)) = 1 $）计算私钥 $ d $（满足 $ ed \equiv 1 \pmod{\phi(n)} $）公钥为 $ (e, n) $，私钥为 $ (d, n) $ 签名: 对消息 $ m $ 进行哈希得到消息摘要 $ H(m) $ 计算签名 $ s = H(m)^d \mod n $ 验证: 对签名 $ s $ 进行验证计算 $ H(m) $ 的哈希值： $ v = s^e \mod n $ 若 $ v \equiv H(m) \mod n $，则验证通过离散对数（基于离散对数问题的签名算法） ElGamal签名方案密钥生成: 选定大素数 $ p $ 和生成元 $ g $ 选择私钥 $ x $（随机数），计算公钥 $ y ...

密码学题目 - 椭圆曲线ElGamal密码体制

在椭圆曲线上的ElGamal密码体制中，设椭圆曲线为E_{11}(1, 6)，生成元p=(2, 7)，接收者的私钥x=4。（1）求接收者的公钥Q。（2）发送者欲发送消息Pm=(7, 9)，选择随机数k=2，求密文c。（3）给出接收者从密文c恢复消息Pm的过程。在椭圆曲线上的ElGamal密码体制中，求解和解密的过程如下：已知条件椭圆曲线 E_{11}(1, 6) 生成元 p = (2, 7) 接收者的私钥 x = 4 （1）求接收者的公钥 Q接收者的公钥 Q 通过计算 Q = x \cdot p 获得，即将生成元 p 乘以私钥 x。首先，回顾一下椭圆曲线上的点加法运算。对于两个点 P = (x_1, y_1) 和 Q = (x_2, y_2) 在模 n 的椭圆曲线上，点加法的公式为：当 P \neq Q 时： \lambda = \frac{y_2 - y_1}{x_2 - x_1} \mod n x_3 = \lambda^2 - x_1 - x_2 \mod n y_3 = \lambda(x_1 - x_3) - y_1 \mod n 当 P = Q 时（点倍加...

密码学 - DES五种工作模式

DES 的五种主要工作模式DES（数据加密标准）是一种对称加密算法，它可以在多种工作模式下使用。不同的工作模式提供了不同的安全特性和操作方式。以下是 DES 的五种主要工作模式： 1.电子密码本模式（ECB，Electronic Codebook）工作原理：明文被分割成固定大小的块（通常是64位），每个块独立地加密或解密。相同的明文块总是被加密成相同的密文块。优点：实现简单，适合加密小数据量或无关数据。缺点：不提供数据的混淆和扩散效果。相同的明文块总是被加密成相同的密文块，容易被攻击者利用模式分析攻击。示例：适用于随机数据或少量数据的加密。 2. 密文分组链接模式（CBC，Cipher Block Chaining）工作原理：第一个明文块与初始向量（IV）进行异或，然后加密。每个后续明文块在加密前与前一个密文块进行异或。优点：提供了混淆和扩散效果。相同的明文块不会加密成相同的密文块。缺点：需要初始向量（IV）。加密和解密不能并行处理。示例：广泛用于各种安全通信协议中，如 SSL/TLS。 3. 密文反馈模式（C...

密码学题目 - ElGamal签名方案

在ElGamal签名方案中，设P=19，g=2，私钥x=9，则公钥y=2^9 mod 19=18。若消息m的Hash值为152，试给出选取随机数k=5时的签名和验证过程。ElGamal签名方案重新生成给定参数 P = 19 g = 2 私钥 x = 9 公钥 y = g^x \mod P = 2^9 \mod 19 = 18 消息的 Hash 值 h(m) = 152 随机数 k = 5 签名过程计算 r r = g^k \mod P代入已知值： r = 2^5 \mod 19计算 2^5 = 32，然后取模： r = 32 \mod 19 = 13 计算 s s = k^{-1} (h(m) - xr) \mod (P-1)这里，k^{-1} 是 k 的模逆元，满足 k \times k^{-1} \equiv 1 \mod (P-1)。计算 k^{-1} \mod 18（因为 P-1 = 18）： k = 5 \Rightarrow 5 \times k^{-1} \equiv 1 \pmod{18}用扩展欧几里得算法求解，得到 k^{-1} = 11，因为 ...

密码学 - 第6章数字签名

第6章：数字签名数字签名的基本概念背景在政治、军事、外交、商业以及日常事务中，签名用于认证、核准、生效。在电子世界里，需要数字签名来替代手写签名，实现对数字信息的签名。特性不可伪造性：只有签名者能生成合法签名。认证性：接收者可以确认签名来自签名者。不可重复使用性：一个消息的签名不能用于其他消息。不可修改性：签名后的消息不能被修改。不可否认性：签名者不能否认自己的签名。数字签名方案组成包含签名算法和验证算法。签名算法输入签名者的私钥和消息，输出消息的数字签名。验证算法输入签名者的公钥、消息和签名，输出真或伪。数字签名方案分类按用途：普通数字签名、盲签名、不可否认签名、群签名、代理签名等。按消息恢复功能：具有消息恢复功能和不具有消息恢复功能。按随机数使用：确定性数字签名和随机化数字签名。 RSA数字签名RSA算法描述密钥生成选择两个大素数 $ p $ 和 $ q $。计算 $ n = pq $ 和欧拉函数 $ \phi(n) = (p-1)(q-1) $。选择整数 $ e $，满足 $ 1 < e < \phi(n...

密码学 - 第2章序列密码

第2章：序列密码伪随机序列的发展伪随机数的算法与应用随机序列：被称为随机数，目前没有统一的数学定义，主要从统计学的角度阐述，应该是独立的、互不相关的、具有长周期、均匀分布、不可压缩等。真随机数：由某些物理过程产生，如热噪声、宇宙噪声、放射性衰变等，完全不可预测，在任何情况下不可能重复产生两个完全相同的随机数。伪随机数：由数学公式产生，若生成随机数的算法确定，随机数也确定。伪随机序列就是具有某种随机特性的确定序列，能通过一系列测试检验的伪随机数可作为真随机数使用。伪随机数在数据加密、密钥产生、密钥管理、数字签名等方面扮演核心角色。伪随机序列的定义与性质定义：如果一个序列可以随意产生和重复进行，且具有近似随机的统计特性，就称为伪随机序列。常用的伪随机序列有：m序列、Gold序列、Walsh序列、R-S序列等。周期达到最大值的序列称为m序列。性质：均衡特性：m序列在一个周期中1与0出现的次数基本相等，1的个数比0多1个。游程分布随机性：m序列在一个周期中长度为i的游程数占总游程数的1/2i，且在等长的游程中”0”、”1”游程各占半。移位相加特性：一个周期为T...