【考研—密码学】消息认证与杂凑函数

Part 1. 消息认证

一、定义

目的

加密的目的是为了让消息内容不被其他人知道。
认证的目的：为了保证消息内容完整性、消息内容真实性、消息来源的真实性、实体身份的真实性。因而需要认证。

真实性的反例

1. 双钥的反例
   B公开公钥，A希望给B发送信息，因而可用公钥加密，且只有B可以知道消息内容。
   但是，任何人都可以假冒A，用B的公钥对消息m加密。
2. 单钥的反例
   根据五种分组密码工作模式，攻击者可以更改某一片段，或者将某两个片段的内容进行前后置换来达到更改内容信息的效果。

二、 分类

对称认证

双方互相信任(企业内部)
如：检查文件是否被更改过。

非对称认证

双方互相不信任(商业伙伴)
如：查验对方的文件是否真实

三、消息认证码（MAC) 与篡改检测码（MDC）

消息认证码：通过共享密钥进行。

M= 输入消息
Hash() 生成消息认证码的哈希函数
K=共享密钥
MAC=消息认证码
则 MAC= Hash ( K , m )，
即通过 杂凑函数，基于信息内容 和 共享密钥，生成MAC码。
校验： 将 明文 m 和 MAC (m) 一起发送给对方。
作用 同时实现了加密和认证 两个效果。

篡改检测码：不需要共享密钥

M= 输入消息
Hash() 生成消息认证码的哈希函数
MDC = 篡改检测码
MDC = hash(m)
即通过 杂凑函数，仅基于信息内容，生成MDC码。
校验： 检测方需要与发送方进行其他方式的信息互通，以告知正确的MDC码是什么，检测方接受信息后，比较MDC码是否正确。
作用 实现了认证 效果。

四、消息认证函数

1. 利用分组密码

利用AES等强分组密码，按CBC工作模式进行加密，生成MAC。

2. 利用Hash函数

利用共享密钥+明文 共同Hash
分为 加密 明文+Hash ， 和 加密Hash 不加密明文，两种模式

3. 利用数字签名

私钥签名，公钥加密。

五、MAC安全性【待填】

（应该就是生日悖论的问题）

生日悖论
任找23人，从中选取两人具有相同生日的成功概率至少为 0.5 。
⇒ 模数较小（域空间较小）时，碰撞可能性较大。（强碰撞下，杂凑函数的防御性很大程度降低（ 2^n/2 复杂度下 可以成功碰撞 ）。

六、HMAC

大概意思是讲：
做个算法（代码) 框架，用来使用任意的杂凑函数。
在这个算法框架中，留一个位置用于嵌入任意杂凑函数，这样只需更换杂凑函数即可。
需要保证的事情是：这个框架的杂凑强度等价于 内嵌的杂凑函数的强度。

性质： HMAC的安全性取决于向前的杂凑函数的安全性。

七、认证加密CCM/GCM

CCM： CBC-CTR-MAC

基于CBC密文分组链接模式和CTR计数器模式实现的MAC算法。随便链个博客

CCM是Cipher Block Chaining Message Authentication Code (CBC-MAC)和Counter模式（CTR）的组合。可以同时实现认证信息和对数据加密。

GCM：CTR-GMAC

基于CTR计数器模式和GMAC原理实现的MAC算法。其中GMAC是一种长得很像CBC模式的MAC。随便链个博客

---

Part 2. 杂凑函数（Hash Function）

一、Definition

（即哈希，但与算法上的哈希有细节区分。）
是将任意长度的数字串M映射成一个较短的定长输出数字串H的函数，该函数用 hash()表示。
注：Hash映射一般都是多对1的，所以难以求逆。
称 H = h( M ) 为 M的杂凑值。
两个效果：压缩、纠错。压缩：源自于定长输出；纠错：源自于杂凑函数灵敏度。

二、基于安全性对杂凑函数的定义

1. 单向杂凑函数

如果杂凑函数h()为单向函数，则称为单向杂凑函数。

2. 杂凑函数的强弱

弱杂凑函数

如果 给定 M，并已知H = h(M)，在此前提下，难以找到 M’ 使得 h(M’) = H，则称h为弱单向杂凑函数。

强杂凑函数

如果任意输入 M1 ≠ M2， 都无法使得 h(M1) = h(M2) ，则称h为强单向杂凑函数。

补充说明（个人理解）：
上述对于强弱的定义源自于课本原文，本人认为该定义的原文措辞逻辑不够完整，可能造成误解，所以作出下列补充：
下记录
A条件： “如果 给定M，并已知H = h(M)，难以找到 M’ 使得 h(M’) = H ”
B条件： “如果任意输入 M1 ≠ M2， 都无法使得 h(M1) = h(M2) ”

理解1： 条件A 和 条件B 都是在描述，不会发生哈希冲突的程度。
理解2： B是一个比A更苛刻的条件，即 A ∈ B。 也就是说，满足B的哈希函数，一定也满足A；但满足A的哈希函数不一定满足B。

重新理解： 弱杂凑即指：满足A 但不满足B，所以是弱。强杂凑指：满足B（也满足A）。
武汉大学密码学公开课对这部分的描述 ： “扛弱碰撞杂凑函数” && “扛强碰撞杂凑函数”

3. 根据安全性对杂凑函数的要求：单向性、低碰撞性。

三、常用杂凑函数

1> MD5 系列杂凑函数 [已破]

输入： 512bit / 组
输出： 每轮128b
轮运算： 四轮运算，每轮16步迭代，每轮所使用的逻辑函数不同。

2> SHA-1、SHA-3系列杂凑函数 (美)

SHA系列

Step 1. 将输入信息M，进行分组，分为 L * b 组。[ 对残缺组进行附加和填充 ]
Step 2. 类似于CBC 模式，对 每组信息进行 h[i] = hash( h[i-1] , m[i] )。 [ 与 CBC不同的是，过程中产生的 C[i] 可以直接丢弃，因为只需要最后的压缩值 ]
核心： 类似于 CBC 分组链接模式
h[i] = hash ( h[i-1] , m[i] )， 取 h[L] 为最终 Hash值。

SHA-1: “压缩函数”

输入： 512位/组，162位链值；
输出： 160位链值；
轮运算： 四轮运算，每轮20次迭代，每轮运算使用的逻辑函数和加法不同。
缺点：逻辑函数都是线性函数。

SHA-3： “海绵结构”

吸水： 将明文M分组，每一组与上一组进行按位异或，然后作等长置换
挤压：逆置换 + 按位异或

3> SM3 中国商用杂凑函数

压缩函数， 类似SHA-1
输入： 512位/组，162位链值；
输出： 256 bit

四、杂凑函数应用的基本方式

加密+认证：先哈希，再一同加密并发送

发送：将 Hash(m) 与 m 一同加密，为 ( C(hash), C(m) )
接受：解密 得 ( hash , m’ ) ，比较 Hash(m’) == hash?: True, False

仅提供认证：哈希并加密，信息不加密。

应用：密码保护、完整性校验、数字签名、云盘秒传。