中国科学技术大学：《现代密码学理论与实践》课程教学资源（PPT课件讲稿）第12章 消息认证和散列函数

。★车衣 SHA-1对MD5 105 ●穷举攻击更困难(160Vs128 bits for MD5) ·对已知攻击尚未发现漏洞(compared to MD4/5) ●j 速度比MD5稍慢(80VS64 steps) ● 都是设计简单而紧凑 。SHA-1与MD-5的比较 对强行攻击的安全性 对密码分析的安全性 ●速度 。简单性和紧凑性 。小数在前结构和大数在前结构 2022/10/9 现代密码学理论与实践-12 12/45

2022/10/9 现代密码学理论与实践-12 12/45 SHA-1 对 MD5 ⚫ 穷举攻击更困难 (160 vs 128 bits for MD5) ⚫ 对已知攻击尚未发现漏洞(compared to MD4/5) ⚫ 速度比MD5稍慢(80 vs 64 steps) ⚫ 都是设计简单而紧凑 ⚫ SHA-1与MD-5的比较 ⚫ 对强行攻击的安全性 ⚫ 对密码分析的安全性 ⚫ 速度 ⚫ 简单性和紧凑性 ⚫ 小数在前结构和大数在前结构

12.1.1SHA-512逻辑原理 ◆国海车术才 1950 算法的输入是最大长度小于2128位的消息，输出是512 位的消息摘要，输入消息以1024位的分组为单位处理 N×1024bits L bits ←128bits-+ Message 100.0 L 1024 bits- 1024 bits 1024 bits M1 M2 MN 1024 1024 1024 V- N= hash code +word-by-word addition mod 264 Figure 12.1 Message Digest Generation Using SHA-512 2022119 现八爸时子生比与头战~1∠ 13/45

2022/10/9 现代密码学理论与实践-12 13/45 12.1.1 SHA-512逻辑原理 ⚫ 算法的输入是最大长度小于2 128位的消息，输出是512 位的消息摘要，输入消息以1024位的分组为单位处理

SHA-512处理步聚 15 附加填充位，使消息长度模1024与896同余，填充位 数在1到1024之间，由1和后续的0组成 附加长度，在消息后附加128位的块，将其看作128 位无符号整数 初始化列缓冲区 a=6A09E667F3BCC908 e=510E527FADE682D1 b=BB67AE8584CAA73B f=9B05688C2B3E6C1F C=3C6EF372FE94F82B g=1F83D9ABFB41BD6B d=A54FF53AF1D336F1h=5BE0CD19137E2179 ● 以1024比特的分组(16个字)为单位处理消息，核心是 具有80轮运算的模块，每一轮都把512位缓冲区的值 abcdefg作为输入，并更新缓冲区的值 输出，所有N个1024比特分组都处理完后从第N阶段 输出的是512比特的消息摘要 道道道品 2022/10/9 现代密码学理论与实践-12 14/45

2022/10/9 现代密码学理论与实践-12 14/45 SHA-512处理步骤 ⚫ 附加填充位，使消息长度模1024与896同余，填充位 数在1到1024之间，由1和后续的0组成 ⚫ 附加长度，在消息后附加128位的块，将其看作128 位无符号整数 ⚫ 初始化散列缓冲区 a=6A09E667F3BCC908 e=510E527FADE682D1 b=BB67AE8584CAA73B f=9B05688C2B3E6C1F c=3C6EF372FE94F82B g=1F83D9ABFB41BD6B d=A54FF53AF1D336F1 h=5BE0CD19137E2179 ⚫ 以1024比特的分组(16个字)为单位处理消息，核心是 具有80轮运算的模块，每一轮都把512位缓冲区的值 abcdefg作为输入，并更新缓冲区的值 ⚫ 输出，所有N个1024比特分组都处理完后从第N阶段 输出的是512比特的消息摘要

Y H-1 message schedule 。SHA-512的运算 Wo Round 0 Ho=IV H=SUM64(Hi-1,abcdefgh MD=HN bc↓dLe↓f↓↓l Round t Kt 其中： V一缓冲区初值 abcdefgh一第i个消息分 a叫blc↓de↓f八↓ 组处理的输出 W79 Round 79 K19 N一消息里的分组数 SUM64一模264加 MD一最后的消息摘要 ++++++++ Hi 2022/10/9 现代 Figure 12.2 SHA-512 Processing of a Single 1024-Bit Block

2022/10/9 现代密码学理论与实践 -12 15/45 ⚫ SHA -512的运算 H 0=IV Hi=SUM64(Hi- 1 ,abcdefghi) MD=H N 其中： IV－缓冲区初值 abcdefghi－第i个消息分 组处理的输出 N－消息里的分组数 SUM64－模 2 64 加 MD－最后的消息摘要

SHA-512轮函数 国海奉K才 a b c d 8 h Maj Ch +W, ++k a b c d e 8 512 bits- Figure 12.3 Elementary SHA-512 Operation(single round 2022/10/9 现代密码学理论与实践-12 16/45

2022/10/9 现代密码学理论与实践-12 16/45 SHA-512轮函数