密码Hash函数的分析与设计王小云精要.ppt

碰撞攻击的进一步研究 * 荷兰Cramer团队 丹麦Knudsen团队 奥地利IAIK团队 法国巴黎高师团队 * 碰撞攻击的进一步研究 Wang，Ecrypt workshop 宣布，2005 基于MD4的密钥前缀、密钥后缀和密钥封装三类MAC Contini,Yin, Asiacrypt 2006 HMAC/NMAC-MD4/SHA-0的部分密钥恢复攻击 Fouque, Leurent, Nguyen, Crypto 2007 HMAC/NMAC-MD4的完整密钥恢复攻击 相关密钥条件下NMAC-MD5的完整密钥恢复攻击 Wang, Ohta, Kunihiro, Eurocrypt 2008 相关密钥下NMAC-MD5的外部密钥恢复攻击等 HMAC：NIST标准，ISO标准， RFC 2104 HMAC-MD5用于Ipsec和TLS协议 MAC算法的新型碰撞攻击，Eurocrypt 2009, Crypto 2009, FSE 2009 MD5-MAC、 ALPHA-MAC、PELICAN三个算法子密钥恢复攻击 HMAC/MD5的区分攻击 完成人：王小云、于红波等 * 碰撞攻击的进一步研究 MD5-MAC：Preneel设计，ISO标准 ALPHA/PELICAN：AES设计者Daemen与Rijmen设计 P P’ IV IV’ 伪碰撞 碰撞 报告提纲 * Hash函数与密码学 Hash函数的碰撞攻击 国内外Hash函数新算法的设计 Hash函数碰撞攻击引发的安全问题 基于MD5随机碰撞的证书伪造 X.509数字证书是国际电信联盟(ITU-T)制定的PKI(公钥密码基础设施)标准 X.509定义了(但不仅限于)公钥证书、证书吊销清单、属性证书和证书路径验证算法等证书标准 * X.509数字证书结构 基于MD5随机碰撞的证书伪造 2005年Lenstra, Wang等给出同一个用户拥有不同公钥证书的伪造 2008年Sotirov, Stevens等在CCC大会上演示了通过MD5碰撞伪造的证书可以被浏览器当作是有效的、可信的证书 * 基于MD5随机碰撞的证书伪造 美国计算机应急小组（US-CERT）：发表了题为“MD5 vulnerable to collision attacks”，指出现有主要计算机系统均不可避免 密码专家认为该攻击适合于任何计算机系统 * 基于MD5随机碰撞的证书伪造 * CA 1 0 1 0 1 0 0 1 0 1 1 0 1 1 0 0 0 1 0 1 0 1 0 0 1 0 1 1 0 1 1 0 0 0 证书1 证书2 使用证书1 获取CA签名 使用证书2 建立可通过浏览器认证的网站 基于MD5随机碰撞的实际攻击 Stefan Lucks和Magnus给出相同签名的PS格式文件 源文件 目标文件（碰撞） * 火焰病毒(Worm.Win32.Flame) * 火焰病毒中的关键密码技术 * 微软终端服务器 许可服务证书签名的代码 (MD5) 伪造证书 签名的病毒代码 (MD5) Block1 Block2 Block3 Block4 报告提纲 * Hash函数碰撞攻击引发的安全问题 Hash函数与密码学 Hash函数的碰撞攻击 国内外Hash函数新算法的设计 国内通用密码Hash算法的设计 2002-2005期间：国家通用杂凑函数算法设计 国家密码基金支持 多家科研单位参入设计 SM3 密码杂凑函数算法被采纳 国内密码行业标准 2010年密码科技进步一等奖（省部级） 广泛应用于政府、金融等社会和经济领域 设计者：王小云，李峥，王永传，于红波，谢永泉，张超，罗鹏，吕述望 * 国际密码Hash函数SHA-3设计 新算法设计背景：MD5、SHA-1破解 密码专家的担忧与建议 Science\ Notice of AMS评论 Hash函数碰撞攻击理论的认可 * Science的评论 * “学术界将不得不非常认真的考虑这一问题”，麻省理工大学的密码学家Ron Rivest说，“显然，我们不得不替换掉SHA-1” “The research community is going to have to think very hard about this,” says Massachusetts Institute of Technology cryptographer Ron Rivest. “We clearly have to replace SHA-1.” Notice of AMS(美国数学