9认证机制
20032003-3-31 上海交通大学计算机系 上海交通大学密码与信息安全实验室 4
认证的分类
双方相互信任的认证（如企业内部人员之间）
对称认证（symmetric authentication） 针对第三方的攻击，例如查验文件是否被人修 改过
信息加密即保证真实？
对称认证：保护消息的真实性
消息的内容不希望他人知晓
9数据加密
主动攻击（active attacks）
假冒消息 窜改消息 截留消息 修改数据 ……
20032003-3-31 上海交通大学计算机系 上海交通大学密码与信息安全实验室 3
真实性（authenticity)
消息内容的完整性 消息内容的真实性 消息来源的真实性 实体身份的真实性
消息和原创者信息捆绑，一个密钥参与到该过程 提供一个单独的完整性信道
D为消息的冗余，对于自然语言D=0.74；t=64
7
20032003-3-31 上海交通大学计算机系 上海交通大学密码与信息安全实验室
8
类 似 于 对 称 密 码 ， the secrecy of large data quantities is based on the secrecy and authenticity of a short key.
20032003-3-31 上海交通大学计算机系 上海交通大学密码与信息安全实验室 15
定义和记号
源状态（source state）: 要交换的源信息 消息（message）: 要发送给接收者的信息 编码规则（encoding rule）: 源状态空间和消息空 间之间的映射 认证码（authentication code）: {源状态，消息， 编码规则}三元组集合 p=|{P}|, c=|{C}|, k=|{K}|。参与者为三方：
20032003-3-31 上海交通大学计算机系 上海交通大学密码与信息安全实验室
Simmons的无条件安全认证
1970年代早期，美国Sandia National Laboratories 研究美苏“削减核武器条约”的核查问题
Shannon, Communication theory of secrecy systems, Bell System Technical J., Vol.28, 1949 Gilbert, MacWilliams, Sloane: Code which detect deception, Bell System Technical J., Vol.53, No.3,1974 Simmons: A survey of information authentication, Contemporary Cryptography, IEEE Press, 1991 Stinson: Combinatorial characterizations of authentication codes, Proc. Crypt’91, LNCS 576, 1992 Kabatianskii et al. On the cardinality of systematic A-codes via error correcting codes，IEEE Trans IT-42, No.2, 1996
20032003-3-31 上海交通大学计算机系 上海交通大学密码与信息安全实验室 6
几个反例
例 1. 流密码：主动攻击 者可以通过置乱相应密文， 改变明文的任意比特 例 2. ECB模式分组密码：主动攻击者可以记录一 些密文块信息，用来替代其它块。如果块之间不 相关，完全不可能检测到攻击；除非明文之间有 关联（利用冗余性质）。 例 3. CBC模式分组密码：如果改变1比特密文导致 t比特明文混乱，则新明文作为有意义而被接受的 概率为 2−tD
20032003-3-31 上海交通大学计算机系 上海交通大学密码与信息安全实验室 19
『接收端需要恢复明文不确定性的信息』－ 『通过信道传输的信息』＝『被用来认证明文』
完善真实：当 P d = k ，到达认证信道 容量。 完善认证系统的构造： P 为有限射影平面， L0是固定直线，则认证系统A为
20032003-3-31 上海交通大学计算机系 上海交通大学密码与信息安全实验室 12
认证的三种密码学方法
三种方法可以看成一样的，不同于
敌手能力的假设、攻击成功的定义、安全性的 意义
信息论方法
考虑无条件安全
与攻击者的计算能力无关 H(key) >= H(plaintext) 无条件保密、无条件真实只是理论上的可能性 攻击者总是可能以非零概率欺骗成功，我们只能寄希 望于这个概率尽可能小
源状态L0上的点 密钥为L0以外的点 密钥k和源状态s对应的 信息是直线C=ks
20032003-3-31 上海交通大学计算机系 上海交通大学密码与信息安全实验室 20
1
Example 1. Let X={0, 1}, Y={00, 01, 10, 00}, K={0,1}，yi=(xi||ki) .
20032003-3-31 上海交通大学计算机系 上海交通大学密码与信息安全实验室 17
带有秘密的认证码 不带秘密的认证码
明文可以容易从密文中导出，对应码称之为 Cartestian 码/系统码 此时密文为明文P与认证子MAC的串联 认证子的数目记为ρ
Bounds on Authentication Codes:若Eve随 机选择密文假冒攻击，则成功概率为
Pi ≥
20032003-3-31 上海交通大学计算机系
p c 上海交通大学密码与信息安全实验室
18
完善认证性
对于Cartesian码Pi > 1/ ρ 对于代替攻击，其组合界Ps >= (p-1)/(c-1) 认证信道容量定理： Ps >= 2－I(C; K) Gilbert-MacWilliams-Sloane界：Pd ≥ 1 k ， 这意味着：安全的水平(-log2Pd)至多为密钥 比特的一半
研究生课程
第三讲：消息认证
认证系统模型 对称认证 Hash函数 攻击方法 数字签名
计算机安全学
Cryptography and Computer Security
陈克非 Kfchen@mail. sjtu. .edu. Kfchen@mail.sjtu
20032003-3-31 上海交通大学计算机系 上海交通大学密码与信息安全实验室
双方相互不信任的认证（如商业伙伴之பைடு நூலகம்）
非对称认证（asymmetric authentication） 针对来自对方的攻击，例如查验对方的文件是 否真实
20032003-3-31 上海交通大学计算机系 上海交通大学密码与信息安全实验室 5
事实上，保证真实性不仅要求加密算法安全，还 取决使用密码的模式 。
Example 2. Let X={0, 1}, Y={00, 01, 10, 00}, K={00, 01, 10, 11}, yi=(xi ||f(xi,ki)).
信息的真实依赖密钥的保密与真 m m + hash result, the information is compressed to a quantity of fixed length.
第二种方式，信息的真实性基于 MDC的真实性
例, 针对所有重要文件计算MDC， 文件将发往异地的 朋友，其中MDCs通过电话。电话信道的真实通过语音 识别保障。
信息论方法 复杂度理论方法 基于系统/实际的方法
一般会认为，像Vernam一次一密一样，无条件安 全体制对于 “真实 ”而言不实际；但人们已经在过 去的几年中设计出在密钥使用、计算量方面都很 有效的unconditionally secure authentication体制
13 20032003-3-31 上海交通大学计算机系 上海交通大学密码与信息安全实验室 14
增加冗余并不充分保证提高抗攻击的等级
可能有重放攻击
为保证数据源，密钥应该伴随始终，在压缩过程、 保护hash和信息时发挥作用。 Message Authentication Code (MAC), Manipulation Detection Code (MDC)
20032003-3-31 上海交通大学计算机系 上海交通大学密码与信息安全实验室 9
保护信息来源 （ISO 7498-2 data origin authentication） 保护信息没有被修改（ISO 7498-2 the integrity of the information）
直到1970年代末人们相信：
如果解密后得到符合语义的消息，即可断定消息来源 的真实 因为这意味密文经过真实密钥加密而来，而掌握密钥 的人是可靠的
20032003-3-31 上海交通大学计算机系 上海交通大学密码与信息安全实验室
D=0,没有冗余度意味无法验证消息的真伪； 即使有冗余度，要求验证冗余的存在；若智能的 攻击者，冗余只提供一点保护。因当他知道一些 明文/密文对，接合（splicing）攻击很难防止；若 chosen-text攻击，如何加密方式都不能提供保护 要保护“完整性”，必须要有特殊的冗余
Alice, sender Bob, receiver Eve, active eavesdropper
20032003-3-31 上海交通大学计算机系 上海交通大学密码与信息安全实验室 16
假 冒 攻 击 ( impersonation attack)：Eve 假 冒 Alice的名义向Bob发假消息 代替攻击(substitution attack) ： Eve观察对 有密文往来时，有不同的每位取代它 欺骗攻击(deception attack) ：Eve在两种攻 击中随意选择一种 在 Kerckhoffs 假 设 下 ， 成 功 概 率 为 Pd = max(Pi, Ps)