哈希函数H能用于任意大小的分组，产生定长 的输出；对任何给定的x，H(x)要相对易于计 算，使得硬件和软件实现成为实际可能；单向 性；弱抗冲突性；即强抗冲突性。
可编辑ppt
3
哈希函数必须具有的特性
单向性：给定M和H，求h＝H(M)容易，但反过 来给定h，寻找一个M’使H(M’)=h在计算上是不 可行的；
可编辑ppt
Y
24
需要仲裁的数字签名
（1）对称加密，仲裁能看到消息 解决纠纷： B：向Y发送EKYB[IDA|| M || EKAY[IDA|| H(M)]] Y：用KYB恢复IDA，M，和签名EKAY[IDA|| H(M)]，然后
2004年8月美国加州召开的国际密码学会议，王 小云做了破译MD5等算法的报告，产生了很大的 影响。
MD5设计者说到：“这些结果无疑给人非常深刻 的印象，她应当得到我最热烈的祝贺，虽然我不 希望看到MD5这样倒下，但人必须尊重真理”
可编辑ppt
12
哈希函数 数字签名 消息鉴别 身份认证 身份认证实例－Kerberos 数据保护工具
可编辑ppt
13
数字签名的引入
如何应对以下的攻击方式
发送方不承认自己发送过某一报文 接收方自己伪造一份报文，并声称它来自发送方 某个用户冒充另一个用户接收或发送报文 接收方对收到的消息进行修改
数字签名可以解决以上争端源自可编辑ppt14数字签名概念
数字签名就是利用一套规则对数据进行计算的 结果，用此结果能确认签名者的身份和数据的 完整性
第5章 数字签名与认证技术
可编辑ppt
1
目录
哈希函数 数字签名 消息鉴别 身份认证 身份认证实例－Kerberos 数据保护工具
可编辑ppt
2
哈希函数概念
哈希函数，也称为单向散列函数、杂凑函数或 消息摘要算法。它通过把一个单向数学函数应 用于数据，将任意长度的一块数据转换为一个 定长的、不可逆转的数据。
输出散列值。所有L个512比特的分组处理完成 后，第L阶段输出的结果便是消息M的信息摘 要。
可编辑ppt
9
MD5算法结构图
可编辑ppt
10
MD5的单步操作
可编辑ppt
11
MD5的安全性
2004年，山东大学王小云教授证明了从理论上可 以破解MD5-即找到MD5的碰撞，两个不同的文 件可以产生相同的摘要。
思考： A还能否认他的签名吗？
仲裁者在这一类签名模式中扮演敏感和关键的角 色。所有的通信方必须充分信任仲裁机构。
可编辑ppt
22
需要仲裁的数字签名
仲裁者是除通信双方之外，值得信任的公正的第三方； “公正”意味着仲裁者对参与通信的任何一方没有偏
向。 “值得信任”表示所有人都认为仲裁者所说的都是真
（美国DSS对数字签名的解释）
可编辑ppt
15
数字签名应满足三个基本条件
签名者不能否认自己的签名； 接收者能够验证签名，而其他任何人都不能
伪造签名； 当签名的真伪发生争执时，存在一个仲裁机
构或第三方能够解决争执。
可编辑ppt
16
数字签名根据签名方式可以分为
直接数字签名(direct digital signature) 仲裁数字签名(arbitrated digital signature)。
实的，所做的都是正确的。
举例： 律师、银行、公证人（现实生活） 在计算机网络中，由可信机构的某台计算机充当。
可编辑ppt
23
需要仲裁的数字签名
（1）对称加密，仲裁能看到消息
M‖EKAY [IDA‖H（M）] A
EKYB [IDA‖M‖EKAY[IDA‖H（M）]‖T] B
IDA：发送方A的标识符 签名：EKAY [IDA‖H（M）] KAY: A和Y共享的对称密钥
可编辑ppt
17
直接数字签名
（1）采用公开密钥的数字签名
A 发方
M
M
E
B 收方 M
D
KRA
DKRA（M）
KUA
使用发方的私钥对消息M进行数字签名
（此时并没有对消息进行加密，因为任何人都可以获得公钥对消息M进行查看）
可编辑ppt
18
直接数字签名
（2）具有保密功能的公钥数字签名
A 发方
EKUB[DKRA(M)]
注：MD5 was developed by Ron Rivest (“R” of the RSA) at MIT in 1990’s
可编辑ppt
7
MD5算法结构图
可编辑ppt
8
在MD5算法中的处理步骤包括以下过程：
首先，需要对消息进行填充。
其次，将MD缓冲初始化。
当设置好这四个链接变量后，就开始进入算法 的四轮循环运算，循环的次数是信息中512位 信息分组的数目。
抗弱碰撞：给定M，要寻找另一信息 M′，满足 H(M′)＝H(M)在计算上不可行；
抗强碰撞：要寻找不同的信息M 和M′，满足 H(M′)＝H(M)在计算上不可行。
（概率论：生日攻击）
可编辑ppt
4
生日悖论
生日问题：一个教室中，最少应有多少学生，才
使至少有两人具有相同生日的概率不小于1/2？ 概率结果与人的直觉是相违背的.实际上只需23人,
即任找23人，从中总能选出两人具有相同生日的概率至 少为1/2。
【分析】：生日的取值范围：[1-365] 不同输入的个数：23
可编辑ppt
5
哈希函数的一般结构图
IV：初始值，
CV：链接值，
Yi：第i个输入数据块，
f：压缩算法，
n：散列码长度，
b：输入块的长度。
可编辑ppt
6
MD5算法
➢ 输入：任意长度的消息 ➢ 输出：128bit消息摘要 ➢ 处理：以512bit分组为处理单位
➢直接数字签名方案：仅涉及通信双方。 ➢ 签名方案的有效性依赖于发送方的私密密钥的安全性； ➢发送方要抵赖发送某一消息时，可能会声称其私有密钥 丢失或被窃，且他人伪造了他的签名。
可编辑ppt
21
需要仲裁的数字签名
引入仲裁者来解决直接签名方案的问题。
通常的做法是：所有从发送方A到接收方B的签名 消息首先送到仲裁者Y，Y将消息及其签名进行一 系列测试，以检查其来源和内容，然后将消息加上 日期并与已被仲裁者验证通过的指示一起发给B。
M
M
E
E
D
D
B 收方 M
KRA
签名
KUB
加密
KRB
解密
KUA
验证签名
具有保密性的公钥数字签名
可编辑ppt
19
直接数字签名
（3）采用消息摘要的数字签名
A 发方
B 收方
M
M
||
KRA
HE
EKRA[H(M)]
H KUA D
比较
使用消息摘要的数字签名
（不需要对整个消息进行签名，速度更快）
可编辑ppt
20
直接数字签名的问题