网络信息安全 课程第四讲 消息验证与数字签名主讲 段云所 副教授北京大学计算机系通信威胁
1,泄露 把消息内容发布给任何人或没有合法密钥的进程
2,流量分析 发现团体之间信息流的结构模式 在一个面向连接的应用中 可以用来确定连接的频率和持续时间长度
3,伪造 从一个假冒信息源向网络中插入消息
4,内容修改 消息内容被插入 删除 变换 修改
5,顺序修改 插入 删除或重组消息序列
6,时间修改 消息延迟或重放
7,否认 接受者否认收到消息 发送者否认发送 消息
的
1 信息认证网络 个 面 一 面 用密
送的信息 被 一 面 进
¢ £伪造?改信息¥ 认? authentication
§?¢的重 currency1',放的网络中的?fi
信息 的 fl有重 用 认?的
–的有?
一 ·?信息的发送者?的? 冒?的?
”信源?…
·?信息的‰ fl 在 送或? 程中`被?改重放或延迟¥
′?者信?信源 认?ˉ? 认
信˙
信˙
密钥源
密和认?¨时 信息 的 个 面
“? 个 ¨?fl的 认
密fl? 密flˇ?—?认? 一个
认?
的模 £
2 认证函数可用来 认?的 分”
(1) 信息 密 (Message encryption)
用‰ 信息的密,信息的认?
(2) 信息认? MAC(Message Authentication Code)
信源消息的一个ˉ
(3) 列 (Hash Function)
一个?的,?任 长的信息a 一个 定长度的信息信息 密 认?
信息 密 分?fi 一fi?的?密钥
密 一fi?密钥的?密钥 密
的通信? 用oA”发信 用oB”接收
用oB接收到信息 通 密来 信息 否来?
A 信息 否 ‰ 的 有 ′?
信源信?
M
E
E
k
(M)
D
M
A B
k
k
D
k
(E
k
(M))
(a)? 密?有 密fl 可认?
KUb(B 的
钥)
M
E
E
KUb
(M)
D
M
A B
D
k
R
b
(b) 钥 密?有 密fl
M
E
E
kRa
(M)
D
M
A B
KRa KUa
(c) 钥 密 认?和
M
E
E
kRa
(M)
E
E
KUb
(E
kRa
(M))
A
KR
a
KU
b
D
E
kRa
(M)
D
M
B
KR
b KU
a
(d) 钥 密 密fl 可认?和
信息认? (MAC)
S”通信中的发 A发送的 有可 的信源 合
”?到 ′?的–的 发 A和收 B一个ˉ 法
§ 发 A 个法§ 信源S进 ˉ 信源 ˉ
,消息 M 有可 的消息 合 发 A通信时发送的 消息 用 单的例子说明?S={0,1},
M={00,01,10,11},定义四个 ¨的ˉ 法§e0,e1,e2,e3:
00 01 10 11
e0 0 1
e1 0 1
e2 0 1
e3 0 1
样 构 一个认? MAC 发 A和收 B在通信前先秘密约定 用的ˉ 法§ 例£ 若 定采用e0 §以发送消息00代 信源0 发送消息10代 信源1 我
消息00和10在e0之 合法的?消息01和11在e0之
合法 收?拒收?个消息信息的认?和 密 ¨的 个 面 一个认?
可?有 密 ˇ可没有 密
认?ˉ 的基本 法 在发送的消息中引入多余度 通 信˙ 送的可 序列 Y大?消息 X?
任何选定的ˉ?§(相应?某一特定密钥):发 从Y中选
用来代 消息的许用序列 即 字 收ˉ?
§唯一地确定 发 按§向他 来的消息 ′?者由? 知˙密钥 因? 伪造的假 字多 Y中的禁用序列 收?以很高的概率? 检测 来?被拒绝 认?
者的任务 构造好的认?
(Authentication
Code),接收者受骗概率极小化令x X” 发送的消息 k K”发 选定的密钥
y=A(x,k) Y 消息X的认? 字 A
k
={y=A(x,k)|x
X}”认? A
k
Y中的许用(合法)序列 接收者知
˙认?ˉ A(.,.)和密钥k,故从收到的y,唯一确定 消息x
′?者虽—知˙X,Y,y,A(.,.),知?体密 k,他的–的
想伪造 一个假 字y* y* Ak,以 接收者收到y*
可用密钥k 密 得到一个合法的消息x* 样 ′?者欺诈
消息认?
消息认? 预定的消息接收者 够检·收到的消息 否 实的 法 检·内容应包括
(1)?实报 的源和?
(2)报 内容 否曾受到偶—的或有 的?改
(3)报 的序号和时间栏总之 消息认? 接收者?…
消息的源 内容的 伪 时间fl和 定的信?
fi认?只在相应通信的? 之间进? 允许
者进 上述认? 认? 一定 实时的可用消息认? MAC 消息 认?
利用 f和密钥k 发送的明 x或密
y变换 r bit的消息认? f(k,x)(或f(k,y))?
”认?符附 在x(或y)之 发 x//As(或
y//As) 中“//”符号 字的链接 接收者收到发送的消息序列 按发 ¨样的
法 接收的?(或 密 )进?算 应得到相应的r bit?
fi实用的MAC算法
(一)十进制移位 MAC算法
Sievi?1980年向ISO 一项消息认?法的建议[Davies¥1984] fi认?法?”十进制移位 算法(Decimal Shift and Add Algorithm) 记
”DSA,特…适用?金融支付中的 值消息交换业务消息按十位十进制 字分段 十位时在 以0 面 例说明 令
x
1
=1583492637 认?的?一组消息 令
b
1
=5236179902和b
2
=4893524771”认?用的密钥
DSA算法 以b
1
和b
2
x
1
进 算先算x
1
+b
1
,x
1
+b
2
(mod 10
10
),b
2
的?一位 值4
x
1
+b
2
移4位 记 R(4)(x
1
+b
1
) (x
1
+b
1
)相 得
R(4)(x
1
+b
1
)+(x
1
+b
1
)≡P
1
(mod 10
10
)
地 在b1的?一位 值5 制 算结,
R(5)(x
1
+b
2
)+(x
1
+b
2
)=Q
1
(mod 10
10
)
b
1
=5236179902 b
2
=4893224771
一 + x
1
=1583492637 + x
1
=1583492637
b1+x1=6819672539 b2+x1=6477017408
+R(4)(b1+x1)=2539681976 +R(5)(b2+x1)=1740864770
P1=9359354506 Q1=8217882178
+ x2=5283586900 + x2=5283586900
P1+x2=4642941406 Q1+x2=3501469078
+R(8)(P1+x2)=4294140646 +R(9)(Q1+x2)=7835014690
P2=8937082052 Q2=1336483768
…,….
P10=7869031447 Q10=3408472104
十 P10+Q10=1277403551 (mod 10
10
)
403551
+ 1277
认?符404828 (mod 10
10
)
组消息x
2
=528358586900分… P1和Q1相
结 分…以P1和Q1的?一位 制 移位 进 相
得到P2和Q2? 进 十 得P10和Q10
算P10+Q10 (mod 10
10
),?结 的 6位 前4位 在
(mod 1010) 相 得6位认?符
(?)采用DES的认?算法有?fi基?DES的认?算法 一fi按CFB模式 一fi
按CBC模式 在CBC模式 消息按64bit分组
时以0 送入DES 密 密 只
密结 的r位,认?符
As (24bit
or 32bit)
(64bit)
x1,..xn
64 特
DES 选 r位
+
y1,y2,…,yn(64bit 组)
y
n
利用CBC模式 DES的认?法
r的大小可由通信? 约定?¢信建议采用
24bit[£FTSC-1026],? 金融 采用32bit [ABA,1986]
64bit
DES
选 k位选 r位
As
+
y
i
x
i
利用CFB模式 DES
k
列 (Hash Function)
若 相¥长的?通 认?§currency1' £一个合法
有,字?长?—按160 特分? 一?一? 用相¨的密钥fifl地 一个? —? 样–?
'法 引入可?的密 列 (Hash function),
任 长度的消息?变量 结?·?定长度的消息
[£ 用 字DSS 消息,160 特] —
消息 字 来说 列 h 样 用的消息 x 任 长消息 Z=h(x) 160bits
y=sig
k
(Z) 320 bits ( 一个消息 )
·?,(x,y),中y= sigk(h(x)) 用?的 列 h
重构 Z'=h(x) — 检·Verk(Z,y),来?Z?=Z'
(一)?”的 列
用以认?的 列 否?…认? ‰的 fl 个
分析的 的 由‰ 消息变 消息 有可 现伪造
(a)伪造 式一 Oscar以一个有? (x,y) y=
sig
k
(h(x)) `先他?算Z=h(x) ′?到一个x'=x? h(x')=h(x)
若他 到 一ˉ §(x',y)ˇ?”有?,一ˉ?
h?有?”特fl
定义1(…?”)
列 h?” …?”的 ˙ 给定消息x X 在?算上¨? 到? x的x' X h(x)=h(x')
(b)伪造 式? Oscar`先?到 个消息x=x',? h(x)=h(x'),—
Oscar把x 给Bob? 他 x的 h(x) 从?得到y,currency1(x',y)
一个有?的伪造定义2(”)
列 h被?””的,˙在?算上¨
可?到相?的x x' 得h(x)=h(x')
”?—ˇ…?”
(c)伪造 式 在某fi ‰中可伪造一个— 消息 Z的
若h的 h
-1
的 可算
h
-1
(Z)=x,? x=h(Z) §(x,y)( 中y=sig
k
(h(x)))”合法
定义3(单向的)
列 h”单向的 ˙?算h的 h
-1
在
算上 可
(?)·?¢
任?23人 从中总 选 人?有相¨· 的概率
,1/2
假?h:X→ Z 一个 列 X和Z 有 的?
|X|>=2|Z| 记|X|=m和|Z|=n £ 有n个?”— £
何?到“?
—的 法 选 k个— 的 ¨ x1,x2,…,xk
X?算Zi=h(xi) 1<=i<=k
— 确定一个?” 否 发·(例£ 通 分 Zi的值)
个 程?— k个 进入n个 子 — 检 一
否有一 子包ˇ 个 ( k个 应?k个— 值
xi?n个 子 应?Z中n个
用上述模 来?算一个?”的概率 个
k和nm
预先 一个假?
任 z Z,|h
-1
(Z)| m/n( 个假? 合 的 若 任 z
Z的 个 分布 a §?1个?”的概率? ) 由
假?可 xi的 h(xi)=Zi(i=1,2,…,k)ˇ可,Z中的— (
k个— ˇ可有相¨的) 一个重 的
若?算 k个— z1,z2,..,zk Z ¨(?”时)
应 —?”的概率
有序z1,z2,…,zk中的zi的选 可?一个选 z1 —
的 z2≠z1的概率”1-1/n;z3 ¨?z1和z2的概率”1-2/n,¥¥
因”的概率”(— k个 进入n个 子,没有 子被 进 个以上的 的概率)
k-1
(1-1/n)(1-2/n)…(1-(k-1)/n)= (?-i/n) 1-e
(-(k(k-1)/(2n))
i=1
若?E=1- e
(-(k(k-1)/(2n))
,可 k的n,E的 有
e
(-(k(k-1)/(2n))
=1-E,(-(k(k-1)/(2n)) ln(1-E),
k
2
-k 2nln(1-E)
-1
若o -k项 有k (n(ln(1/(1-E))×2)
0.5
若 E=0.5,我k 1.17 n
0.5
n
0.5
说明 在 合X中 n
0.5
个— 列的结?·
一个?”的概率”50%!
·?¢ £ X”一 人的 合 Y
一个 年的365? 合 h(x) x的· (x X)
在上述?式中 n=365,得k 22.3 即— 的23人中
有一个重 · 的概率,50%
·?¢给 消息 的 一个40bit的消息?
的 因”k 1.17? 2
40
)
0.5
,ˇ 2
20
(大约100?) 即在
100?个— 列值中到一个?”的概率”1/2 通 建议消息 的,128bits
MD4散列算法 或称信息摘要算法)
Rivest(RSA `度 MIT 1990年
MD4 1991年? MD5 1992年 SHA 布
1992年1 31 的 记 上?1993年5 11 采纳, 列 算起来 快 都源?¨
一思想, 长的消息 适用的
” 讲清Rivest的想法 还 从MD4讲起
MD4 给定一个消息 特串x 用£ 算法来构造M
d=447-(|x|(mod 512))
l |x|(mod 2
64
)的?进制,|l|=64
M=X||1||O
d
||l
在M的构造中 在x 面附上一个1 — 上 够多的0 得长度变 模512 =2
9
448用余的
上64bit的l,x的长度的?进制? 若必
的话 用模2
64
约 £ 512|1M
M 阵列形式
M=M[0]M[1]…M[N-1]
中 一个M[i] 一个长度”32bit的串?N≡0 mod/6
我 一个M[i]”一个字
面从着 构造x的128bit的消息 算法描述£
1 给A B C D?一步? 化
A=67452301 16进制
B=efcdab89 16进制
C=98badcfe 16进制
D=10325476 16进制
2 i=0到N/16-1
3 j=0到15 X[j]=M[16i+j] 次 M的16个字
4 AA=A BB=B CC=C DD=D
5 1
6 2
7 3
8 A=A+AA B=B+BB C=C+CC D=D+DD 消息,
A||B||C||D……128bits!!
释 说明
1 四个在?一步? 化 从? 次 陈列
M的16个字 在?2 步的 ‰ 一个 选代 接着
M的,一个”16个字 — 把“?贮在陈列X中?3
步 按着?4个的值?贮起来?4 步 —
‰ 列 一 由 用?X中的16个字中的
一个相? 算组 在 中的 算结?·的新的4个
的值?8 步中4个的值通 上
4 步中?贮的值来更新 个 法定义”? 法用模2
32
来约
2 在MD4中 ¨的,? 用的 算描述£
X和Y 入字 一个 算?·一个字
,
X^Y X和Y的逐 特,”
XVY X和Y的逐 特“或”
X⊕Y X和Y的逐 特“?或”
X的逐 特
X+Y 模2
32
的 法
X S X 移S位 O S 31
MD4的 1 2 3分… 用 f,g和h
“?的定义£? 个字,入
f(X,Y,Z)=(X Y)V Z
g(X,Y,Z)=(X Y)V(X Z)V(Y Z)
h(X,Y,Z)=X⊕Y⊕Z
的MD4 快的?实际上在Sun SPARC? 站上软实现可?速度1.4M bytes/S 一 面?体地谈论
MD4 样的 列 的 fl 困难的 因”,
基?一个 很好研究 的 £大 分 离
以 采用DES的情况一样 在一段时间内 得 该体制的 fl的信任
外 MD4的 本?”MD5?1991年 MD5
用 四 来代替MD4的? 算速度大约”MD4
30% 在SPARC? 站上大约”0.9Mbytes/S
面给 MD4中 1 2 3的‰ 描述
MD4中的?一
1 A= A+f B C D +X[0] 3
2 D= D+f A B C +X[1] 7
3 C= C+f D A B +X[2] 11
4 B= B+f C D A +X[3] 13
5 A= A+f B C D +X[4] 3
6 D= D+f A B C +X[5] 7
7 C= C+f D A B +X[6] 11
8 B= B+f C D A +X[7] 19
9 A= A+f B C D +X[8] 3
10 D= D+f A B C +X[9] 7
11 C= C+f D A B +X[10] 11
12 B= B+f C D A +X[11] 19
13 A= A+f B C D +X[12] 3
14 D= D+f A B C +X[13] 7
15 C= C+f D A B +X[14] 11
16 B= B+f C D A X[15] 19
MD4中的
1 A= A+g B C D +X[0]+5a827999 3
2 D= D+g A B C +X[4]+5a827999 5
3 C= C+g D A B +X[8]+5a827999 9
4 B= B+g C D A +X[12]+5a827999 13
5 A= A+g B C D +X[1]+5a827999 3
6 D= D+g A B C +X[5]+5a827999 5
7 C= C+g D A B + X[9]+5a827999 9
8 B= B+g C D A +X[13]+5a827999 13
9 A= A+g B C D +X[2]+5a827999 3
10 D= D+g A B C +X[6]+5a827999 5
11 C= C+g D A B +X[10]+5a827999 9
12 B= B+g C D A +X[14]+5a827999 13
13 A= A+g B C D +X[3]+5a827999 3
14 D= D+g A B C +X[7]+5a827999 5
15 C= C+g D A B +X[11]+5a827999 9
16 B= B+g C D A +X[15]+5a827999 13
MD4中的?
1 A= A+h B C D +X[0]+6ed9ebal 3
2 D= D+h A B C +X[8] +6ed9ebal 9
3 C= C+h D A B +X[4] +6ed9ebal 11
4 B= B+h C D A +X[12] +6ed9ebal 15
5 A= A+h B C D +X[2] +6ed9ebal 3
6 D= D+h A B C +X[10] +6ed9ebal 9
7 C= C+h D A B +X[6] +6ed9ebal 11
8 B= B+h C D A +X[14] +6ed9ebal 15
9 A= A+h B C D +X[1] +6ed9ebal 3
10 D= D+h A B C +X[9] +6ed9ebal 9
11 C= C+h D A B +X[5] +6ed9ebal 11
12 B= B+h C D A +X[13] +6ed9ebal 15
13 A= A+h B C D +X[3] +6ed9ebal 3
14 D= D+h A B C +X[11] +6ed9ebal 9
15 C= C+h D A B +X[7] +6ed9ebal 11
16 B= B+h C D A +X[15] +6ed9ebal 15
字 的
必须被 信息的一个位串模板
必须 用某 发送者 唯一的信息 以
的伪造 否认
必须相 容 · 该 字
必须相 容?…和·?该 字
伪造该 字 在?算 杂fl 义上?有 可 fl
既包括 一个 有的 字 构造新的消息 ˇ包括
一个给定消息伪造一个 字
在中?一个 字 副本 现实可 的
字
接 字
仲裁 字
接 字 DDS
(1) A→B,E
KRa
[M]
认?
只有A?有KRa进 密;
中 法被?改
需 某 格式信息/冗余度
任何? 可以用KUa ·?
(1’) A→B,E
KUb
[E
KRa
(M)]
密(KUb) 认? (KRa)
接 字 DDS
(2) A→B,M||E
KRa
[H(M)]
认?及 字
-- H(M) 受到密 算法的
--只有A 够· E
KRa
[H(M)]
(2’) A→B,E
K
[M||E
KRa
[H(M)]]
密fl 认?和 字
接 字 的缺ˉ
·?模式发送 的 密密钥
a71发送 抵?发送某一消息时 可 会声? 私有密钥丢失或被窃 从?他人伪造 他的
a71通 需 采用 私有密钥 fl相?的 政管 制
段来制 或 削… fi情况 威胁在某fi程度上 —?在
a71改进的 式例£可以?被 的信息包ˇ一个时间戳 期 时间 暴露的密钥报告给一个授权中心
X的某 私有密钥确实在时间T被窃 敌 可以伪造X
的 及早?或¥?时间T的时间戳仲裁 字
a71引入仲裁者
–通 的 法 有从发送 X到接收 Y的 消息`
先送到仲裁者A A?消息及 进 一 列测试以检 来源和内容 —?消息 上 期 被仲裁者·?通 的˙ 一起发给Y
a71仲裁者在 一 模式中扮演敏感和?
键的角色
– 有的参 者必须极大地相信 一仲裁 制
trusted system
仲裁 字 currency1'
(a) 单密钥 密 式 仲裁者可以?£消息
(1) X→A M||E
K
xa
[ID
x
|| H(M)]
(2) A→Y E
K
ay
[ID
x
|| M || E
K
xa
[ID
x
|| H(M)] || T]
X A之间共享密钥K
xa
Y A之间共享密钥K
ay
X?备消息M?算 列 H(M) 用X的符ID
x
和 列值构
消息及 K
xa
密 发送给A
A 密 用H(M)·?消息M —?ID
x
M 和时间戳一起 K
ay
密 发送给Y
Y 密A发来的信息 可?M和?起来
纠纷
Y 向A发送E
K
ay
[ID
x
|| M || E
K
xa
[ID
x
|| H(M)]]
A 用
K
ay
恢 ID
x
M 和 E
K
xa
[ID
x
|| H(M)] — 用K
xa
密 ·? 列
在 fi模式 Y 接·?X的 Y认”A的消息 认?
只因”“来?A 因 都需 高度相信A:
X必须信任A没有暴露K
xa
没有· 错误的
E
K
xa
[ID
x
|| H(M)]
Y必须信任A ¥ 列值?确? 确实 X?·的情况
才发送的E
K
ay
[ID
x
|| M || E
K
xa
[ID
x
|| H(M)] || T]
都必须信任A 争议?的只 A遵 上述? §X相信没有人可以伪造 Y相信X
否认
上述情况还隐ˇ着A可以?到X给Y的 有信息 因? 有的窃听者ˇ?到
(b) 单密钥 密 式 仲裁者 可以?£消息
(1) X→A IDx || EKxy[M]||EKxa[IDx|| H(EKxy[M])]
(2) A→Y EKay[IDx||EKxy[M] || EKxa[IDx|| H(EKxy[M])] || T]
在 fi情况 X Y之间共享密钥Kxy
X符IDx,密 EKxy[M] 以及 IDx和密 消息的
列 用Kxa 密 形 发送给A
A 密 用 列 ·?消息 时A只 ·?消息的密
读 内容 — A?来?X的 有信息 上时间戳
用Kay 密 发送给Y
(a)和(b)共¨?在一个共fl
A和发送 可以否认 的信息
A和接收 可以伪造发送 的
(c)?密钥 密 式 仲裁者 可以?£消息
(1) X→A ID
x
|| E
KR
x
[ID
x
|| E
KU
y
(E
KR
x
[M])]
(2) A→Y E
KR
a
[ID
x
|| E
KU
y
[E
KR
x
[M]] || T]
X 消息M?重 密 `先用X的私有密钥KRx — 用Y的?
密钥KUy 形 一个 的 密的消息 —?该信息以及
X的符一起用KRx IDx 一起发送给A fi内部
重 密的消息 A以及 除Y以外的,人都 的
A 检 X的?/私有密钥 否仍—有? §认?消息
包ˇIDx?重 密的消息和时间戳构 的消息用KRa
发送给Y
本模式 上述 个模式?有以 好
1 在通信之前? 之间 须共享任何信息 从?
2 即 KRx 暴露 只 KRa `暴露 会有错误?定 期的消息被发送
3 从X发送给Y的消息的内容 A和任何 他人 密的
2 数字签名标准DSS
布?1994年5 19 的?记 上?1994年12 1
采纳”DSS DSS”EIGamal ‰的改进
DSS p”512bit的 q”160 特的?q|p-1,
α∈F
p
*,
α”模p的q次单位? 消息 合P=F
p
*
合
A=Fq×Fq,定义K={ p,α,a,β)| β= α
a
(mod p)},值p,q,α和β
的 a 密的
x∈P,K=( p,q,α,a,β)和一个 秘密 — k
(1<=k<=q-1),定义
Sig
K
(x,k)=(γ,δ),
中 γ=α
k
(modp) modq),δ=(x+ αγ)k
-1
(modq)
x∈F
p
*
和γ,δ∈F
q
来说,按 述?算来·? 的 伪
1
*
.DSS的 用 及到Smart 的 用,? 的 DSS以一个 的 法修改 EIGamal ‰ 得 160bits消息?·
一个320bit的?算 用 512 特的模p.
2
*
,? 在 个 算法中 £?算 一个值,程序? 拒绝·一个新的— 值?算新的 实上 的发·概率大约”2
-160
.
)(mod
)(mod
1
2
1
1
qe
qxe
γδ=
δ=
()γ=βα?=δγ )(mod)(mod),,(
21
qpxV
ee
erK
))(mod(mod
)(mod,
)(
)(mod21
1
11
pq
p
kax
qaxee
γ≡α≡α≡
α≡βα
γ+δ
γδ+δ
实上
)(mod0 p≠δ
)(mod0 p≡δ
)(mod0 p≡δ
3
*
,DSS 一个?· ·? 快得多的 ‰ ·?
–?
4
*
,Smart 的应用 Smart 有有 的
算 进 通信 人?′一fi Smart 小量
算的 ‰ 该 ‰必须‰ ·? 部分
用DSS 的例子假? q=101 p=78*9+1=7879 3”F
7879
的一个本
以 α=3
78
mod7879)=170”模p的q次单位?
假?a=75 currency1β=α
a
(mod7879)=4567.现在,假?Bob想
一个消息x=1234?他选 — 值k=50 可算得
k
-1
(mod101)=99,算,
γ=(170
50
(mod7879)(mod101) =2518(mod101)=94
δ=(1234+75*94)99(mod101)=97
,1234 94 97
·?
δ
-1
=97
-1
mod101)=25,
e
1
=1234*25(mod101)=45,e2=94*25(mod101)=27
(170
45
*4567
27
(mod7879))(mod101)=2518(mod101)=94
因? 该 有?的
业试述 采用RSA DES及MD5算法 信息的
密fl ‰ fl和 否认fl的
1,泄露 把消息内容发布给任何人或没有合法密钥的进程
2,流量分析 发现团体之间信息流的结构模式 在一个面向连接的应用中 可以用来确定连接的频率和持续时间长度
3,伪造 从一个假冒信息源向网络中插入消息
4,内容修改 消息内容被插入 删除 变换 修改
5,顺序修改 插入 删除或重组消息序列
6,时间修改 消息延迟或重放
7,否认 接受者否认收到消息 发送者否认发送 消息
的
1 信息认证网络 个 面 一 面 用密
送的信息 被 一 面 进
¢ £伪造?改信息¥ 认? authentication
§?¢的重 currency1',放的网络中的?fi
信息 的 fl有重 用 认?的
–的有?
一 ·?信息的发送者?的? 冒?的?
”信源?…
·?信息的‰ fl 在 送或? 程中`被?改重放或延迟¥
′?者信?信源 认?ˉ? 认
信˙
信˙
密钥源
密和认?¨时 信息 的 个 面
“? 个 ¨?fl的 认
密fl? 密flˇ?—?认? 一个
认?
的模 £
2 认证函数可用来 认?的 分”
(1) 信息 密 (Message encryption)
用‰ 信息的密,信息的认?
(2) 信息认? MAC(Message Authentication Code)
信源消息的一个ˉ
(3) 列 (Hash Function)
一个?的,?任 长的信息a 一个 定长度的信息信息 密 认?
信息 密 分?fi 一fi?的?密钥
密 一fi?密钥的?密钥 密
的通信? 用oA”发信 用oB”接收
用oB接收到信息 通 密来 信息 否来?
A 信息 否 ‰ 的 有 ′?
信源信?
M
E
E
k
(M)
D
M
A B
k
k
D
k
(E
k
(M))
(a)? 密?有 密fl 可认?
KUb(B 的
钥)
M
E
E
KUb
(M)
D
M
A B
D
k
R
b
(b) 钥 密?有 密fl
M
E
E
kRa
(M)
D
M
A B
KRa KUa
(c) 钥 密 认?和
M
E
E
kRa
(M)
E
E
KUb
(E
kRa
(M))
A
KR
a
KU
b
D
E
kRa
(M)
D
M
B
KR
b KU
a
(d) 钥 密 密fl 可认?和
信息认? (MAC)
S”通信中的发 A发送的 有可 的信源 合
”?到 ′?的–的 发 A和收 B一个ˉ 法
§ 发 A 个法§ 信源S进 ˉ 信源 ˉ
,消息 M 有可 的消息 合 发 A通信时发送的 消息 用 单的例子说明?S={0,1},
M={00,01,10,11},定义四个 ¨的ˉ 法§e0,e1,e2,e3:
00 01 10 11
e0 0 1
e1 0 1
e2 0 1
e3 0 1
样 构 一个认? MAC 发 A和收 B在通信前先秘密约定 用的ˉ 法§ 例£ 若 定采用e0 §以发送消息00代 信源0 发送消息10代 信源1 我
消息00和10在e0之 合法的?消息01和11在e0之
合法 收?拒收?个消息信息的认?和 密 ¨的 个 面 一个认?
可?有 密 ˇ可没有 密
认?ˉ 的基本 法 在发送的消息中引入多余度 通 信˙ 送的可 序列 Y大?消息 X?
任何选定的ˉ?§(相应?某一特定密钥):发 从Y中选
用来代 消息的许用序列 即 字 收ˉ?
§唯一地确定 发 按§向他 来的消息 ′?者由? 知˙密钥 因? 伪造的假 字多 Y中的禁用序列 收?以很高的概率? 检测 来?被拒绝 认?
者的任务 构造好的认?
(Authentication
Code),接收者受骗概率极小化令x X” 发送的消息 k K”发 选定的密钥
y=A(x,k) Y 消息X的认? 字 A
k
={y=A(x,k)|x
X}”认? A
k
Y中的许用(合法)序列 接收者知
˙认?ˉ A(.,.)和密钥k,故从收到的y,唯一确定 消息x
′?者虽—知˙X,Y,y,A(.,.),知?体密 k,他的–的
想伪造 一个假 字y* y* Ak,以 接收者收到y*
可用密钥k 密 得到一个合法的消息x* 样 ′?者欺诈
消息认?
消息认? 预定的消息接收者 够检·收到的消息 否 实的 法 检·内容应包括
(1)?实报 的源和?
(2)报 内容 否曾受到偶—的或有 的?改
(3)报 的序号和时间栏总之 消息认? 接收者?…
消息的源 内容的 伪 时间fl和 定的信?
fi认?只在相应通信的? 之间进? 允许
者进 上述认? 认? 一定 实时的可用消息认? MAC 消息 认?
利用 f和密钥k 发送的明 x或密
y变换 r bit的消息认? f(k,x)(或f(k,y))?
”认?符附 在x(或y)之 发 x//As(或
y//As) 中“//”符号 字的链接 接收者收到发送的消息序列 按发 ¨样的
法 接收的?(或 密 )进?算 应得到相应的r bit?
fi实用的MAC算法
(一)十进制移位 MAC算法
Sievi?1980年向ISO 一项消息认?法的建议[Davies¥1984] fi认?法?”十进制移位 算法(Decimal Shift and Add Algorithm) 记
”DSA,特…适用?金融支付中的 值消息交换业务消息按十位十进制 字分段 十位时在 以0 面 例说明 令
x
1
=1583492637 认?的?一组消息 令
b
1
=5236179902和b
2
=4893524771”认?用的密钥
DSA算法 以b
1
和b
2
x
1
进 算先算x
1
+b
1
,x
1
+b
2
(mod 10
10
),b
2
的?一位 值4
x
1
+b
2
移4位 记 R(4)(x
1
+b
1
) (x
1
+b
1
)相 得
R(4)(x
1
+b
1
)+(x
1
+b
1
)≡P
1
(mod 10
10
)
地 在b1的?一位 值5 制 算结,
R(5)(x
1
+b
2
)+(x
1
+b
2
)=Q
1
(mod 10
10
)
b
1
=5236179902 b
2
=4893224771
一 + x
1
=1583492637 + x
1
=1583492637
b1+x1=6819672539 b2+x1=6477017408
+R(4)(b1+x1)=2539681976 +R(5)(b2+x1)=1740864770
P1=9359354506 Q1=8217882178
+ x2=5283586900 + x2=5283586900
P1+x2=4642941406 Q1+x2=3501469078
+R(8)(P1+x2)=4294140646 +R(9)(Q1+x2)=7835014690
P2=8937082052 Q2=1336483768
…,….
P10=7869031447 Q10=3408472104
十 P10+Q10=1277403551 (mod 10
10
)
403551
+ 1277
认?符404828 (mod 10
10
)
组消息x
2
=528358586900分… P1和Q1相
结 分…以P1和Q1的?一位 制 移位 进 相
得到P2和Q2? 进 十 得P10和Q10
算P10+Q10 (mod 10
10
),?结 的 6位 前4位 在
(mod 1010) 相 得6位认?符
(?)采用DES的认?算法有?fi基?DES的认?算法 一fi按CFB模式 一fi
按CBC模式 在CBC模式 消息按64bit分组
时以0 送入DES 密 密 只
密结 的r位,认?符
As (24bit
or 32bit)
(64bit)
x1,..xn
64 特
DES 选 r位
+
y1,y2,…,yn(64bit 组)
y
n
利用CBC模式 DES的认?法
r的大小可由通信? 约定?¢信建议采用
24bit[£FTSC-1026],? 金融 采用32bit [ABA,1986]
64bit
DES
选 k位选 r位
As
+
y
i
x
i
利用CFB模式 DES
k
列 (Hash Function)
若 相¥长的?通 认?§currency1' £一个合法
有,字?长?—按160 特分? 一?一? 用相¨的密钥fifl地 一个? —? 样–?
'法 引入可?的密 列 (Hash function),
任 长度的消息?变量 结?·?定长度的消息
[£ 用 字DSS 消息,160 特] —
消息 字 来说 列 h 样 用的消息 x 任 长消息 Z=h(x) 160bits
y=sig
k
(Z) 320 bits ( 一个消息 )
·?,(x,y),中y= sigk(h(x)) 用?的 列 h
重构 Z'=h(x) — 检·Verk(Z,y),来?Z?=Z'
(一)?”的 列
用以认?的 列 否?…认? ‰的 fl 个
分析的 的 由‰ 消息变 消息 有可 现伪造
(a)伪造 式一 Oscar以一个有? (x,y) y=
sig
k
(h(x)) `先他?算Z=h(x) ′?到一个x'=x? h(x')=h(x)
若他 到 一ˉ §(x',y)ˇ?”有?,一ˉ?
h?有?”特fl
定义1(…?”)
列 h?” …?”的 ˙ 给定消息x X 在?算上¨? 到? x的x' X h(x)=h(x')
(b)伪造 式? Oscar`先?到 个消息x=x',? h(x)=h(x'),—
Oscar把x 给Bob? 他 x的 h(x) 从?得到y,currency1(x',y)
一个有?的伪造定义2(”)
列 h被?””的,˙在?算上¨
可?到相?的x x' 得h(x)=h(x')
”?—ˇ…?”
(c)伪造 式 在某fi ‰中可伪造一个— 消息 Z的
若h的 h
-1
的 可算
h
-1
(Z)=x,? x=h(Z) §(x,y)( 中y=sig
k
(h(x)))”合法
定义3(单向的)
列 h”单向的 ˙?算h的 h
-1
在
算上 可
(?)·?¢
任?23人 从中总 选 人?有相¨· 的概率
,1/2
假?h:X→ Z 一个 列 X和Z 有 的?
|X|>=2|Z| 记|X|=m和|Z|=n £ 有n个?”— £
何?到“?
—的 法 选 k个— 的 ¨ x1,x2,…,xk
X?算Zi=h(xi) 1<=i<=k
— 确定一个?” 否 发·(例£ 通 分 Zi的值)
个 程?— k个 进入n个 子 — 检 一
否有一 子包ˇ 个 ( k个 应?k个— 值
xi?n个 子 应?Z中n个
用上述模 来?算一个?”的概率 个
k和nm
预先 一个假?
任 z Z,|h
-1
(Z)| m/n( 个假? 合 的 若 任 z
Z的 个 分布 a §?1个?”的概率? ) 由
假?可 xi的 h(xi)=Zi(i=1,2,…,k)ˇ可,Z中的— (
k个— ˇ可有相¨的) 一个重 的
若?算 k个— z1,z2,..,zk Z ¨(?”时)
应 —?”的概率
有序z1,z2,…,zk中的zi的选 可?一个选 z1 —
的 z2≠z1的概率”1-1/n;z3 ¨?z1和z2的概率”1-2/n,¥¥
因”的概率”(— k个 进入n个 子,没有 子被 进 个以上的 的概率)
k-1
(1-1/n)(1-2/n)…(1-(k-1)/n)= (?-i/n) 1-e
(-(k(k-1)/(2n))
i=1
若?E=1- e
(-(k(k-1)/(2n))
,可 k的n,E的 有
e
(-(k(k-1)/(2n))
=1-E,(-(k(k-1)/(2n)) ln(1-E),
k
2
-k 2nln(1-E)
-1
若o -k项 有k (n(ln(1/(1-E))×2)
0.5
若 E=0.5,我k 1.17 n
0.5
n
0.5
说明 在 合X中 n
0.5
个— 列的结?·
一个?”的概率”50%!
·?¢ £ X”一 人的 合 Y
一个 年的365? 合 h(x) x的· (x X)
在上述?式中 n=365,得k 22.3 即— 的23人中
有一个重 · 的概率,50%
·?¢给 消息 的 一个40bit的消息?
的 因”k 1.17? 2
40
)
0.5
,ˇ 2
20
(大约100?) 即在
100?个— 列值中到一个?”的概率”1/2 通 建议消息 的,128bits
MD4散列算法 或称信息摘要算法)
Rivest(RSA `度 MIT 1990年
MD4 1991年? MD5 1992年 SHA 布
1992年1 31 的 记 上?1993年5 11 采纳, 列 算起来 快 都源?¨
一思想, 长的消息 适用的
” 讲清Rivest的想法 还 从MD4讲起
MD4 给定一个消息 特串x 用£ 算法来构造M
d=447-(|x|(mod 512))
l |x|(mod 2
64
)的?进制,|l|=64
M=X||1||O
d
||l
在M的构造中 在x 面附上一个1 — 上 够多的0 得长度变 模512 =2
9
448用余的
上64bit的l,x的长度的?进制? 若必
的话 用模2
64
约 £ 512|1M
M 阵列形式
M=M[0]M[1]…M[N-1]
中 一个M[i] 一个长度”32bit的串?N≡0 mod/6
我 一个M[i]”一个字
面从着 构造x的128bit的消息 算法描述£
1 给A B C D?一步? 化
A=67452301 16进制
B=efcdab89 16进制
C=98badcfe 16进制
D=10325476 16进制
2 i=0到N/16-1
3 j=0到15 X[j]=M[16i+j] 次 M的16个字
4 AA=A BB=B CC=C DD=D
5 1
6 2
7 3
8 A=A+AA B=B+BB C=C+CC D=D+DD 消息,
A||B||C||D……128bits!!
释 说明
1 四个在?一步? 化 从? 次 陈列
M的16个字 在?2 步的 ‰ 一个 选代 接着
M的,一个”16个字 — 把“?贮在陈列X中?3
步 按着?4个的值?贮起来?4 步 —
‰ 列 一 由 用?X中的16个字中的
一个相? 算组 在 中的 算结?·的新的4个
的值?8 步中4个的值通 上
4 步中?贮的值来更新 个 法定义”? 法用模2
32
来约
2 在MD4中 ¨的,? 用的 算描述£
X和Y 入字 一个 算?·一个字
,
X^Y X和Y的逐 特,”
XVY X和Y的逐 特“或”
X⊕Y X和Y的逐 特“?或”
X的逐 特
X+Y 模2
32
的 法
X S X 移S位 O S 31
MD4的 1 2 3分… 用 f,g和h
“?的定义£? 个字,入
f(X,Y,Z)=(X Y)V Z
g(X,Y,Z)=(X Y)V(X Z)V(Y Z)
h(X,Y,Z)=X⊕Y⊕Z
的MD4 快的?实际上在Sun SPARC? 站上软实现可?速度1.4M bytes/S 一 面?体地谈论
MD4 样的 列 的 fl 困难的 因”,
基?一个 很好研究 的 £大 分 离
以 采用DES的情况一样 在一段时间内 得 该体制的 fl的信任
外 MD4的 本?”MD5?1991年 MD5
用 四 来代替MD4的? 算速度大约”MD4
30% 在SPARC? 站上大约”0.9Mbytes/S
面给 MD4中 1 2 3的‰ 描述
MD4中的?一
1 A= A+f B C D +X[0] 3
2 D= D+f A B C +X[1] 7
3 C= C+f D A B +X[2] 11
4 B= B+f C D A +X[3] 13
5 A= A+f B C D +X[4] 3
6 D= D+f A B C +X[5] 7
7 C= C+f D A B +X[6] 11
8 B= B+f C D A +X[7] 19
9 A= A+f B C D +X[8] 3
10 D= D+f A B C +X[9] 7
11 C= C+f D A B +X[10] 11
12 B= B+f C D A +X[11] 19
13 A= A+f B C D +X[12] 3
14 D= D+f A B C +X[13] 7
15 C= C+f D A B +X[14] 11
16 B= B+f C D A X[15] 19
MD4中的
1 A= A+g B C D +X[0]+5a827999 3
2 D= D+g A B C +X[4]+5a827999 5
3 C= C+g D A B +X[8]+5a827999 9
4 B= B+g C D A +X[12]+5a827999 13
5 A= A+g B C D +X[1]+5a827999 3
6 D= D+g A B C +X[5]+5a827999 5
7 C= C+g D A B + X[9]+5a827999 9
8 B= B+g C D A +X[13]+5a827999 13
9 A= A+g B C D +X[2]+5a827999 3
10 D= D+g A B C +X[6]+5a827999 5
11 C= C+g D A B +X[10]+5a827999 9
12 B= B+g C D A +X[14]+5a827999 13
13 A= A+g B C D +X[3]+5a827999 3
14 D= D+g A B C +X[7]+5a827999 5
15 C= C+g D A B +X[11]+5a827999 9
16 B= B+g C D A +X[15]+5a827999 13
MD4中的?
1 A= A+h B C D +X[0]+6ed9ebal 3
2 D= D+h A B C +X[8] +6ed9ebal 9
3 C= C+h D A B +X[4] +6ed9ebal 11
4 B= B+h C D A +X[12] +6ed9ebal 15
5 A= A+h B C D +X[2] +6ed9ebal 3
6 D= D+h A B C +X[10] +6ed9ebal 9
7 C= C+h D A B +X[6] +6ed9ebal 11
8 B= B+h C D A +X[14] +6ed9ebal 15
9 A= A+h B C D +X[1] +6ed9ebal 3
10 D= D+h A B C +X[9] +6ed9ebal 9
11 C= C+h D A B +X[5] +6ed9ebal 11
12 B= B+h C D A +X[13] +6ed9ebal 15
13 A= A+h B C D +X[3] +6ed9ebal 3
14 D= D+h A B C +X[11] +6ed9ebal 9
15 C= C+h D A B +X[7] +6ed9ebal 11
16 B= B+h C D A +X[15] +6ed9ebal 15
字 的
必须被 信息的一个位串模板
必须 用某 发送者 唯一的信息 以
的伪造 否认
必须相 容 · 该 字
必须相 容?…和·?该 字
伪造该 字 在?算 杂fl 义上?有 可 fl
既包括 一个 有的 字 构造新的消息 ˇ包括
一个给定消息伪造一个 字
在中?一个 字 副本 现实可 的
字
接 字
仲裁 字
接 字 DDS
(1) A→B,E
KRa
[M]
认?
只有A?有KRa进 密;
中 法被?改
需 某 格式信息/冗余度
任何? 可以用KUa ·?
(1’) A→B,E
KUb
[E
KRa
(M)]
密(KUb) 认? (KRa)
接 字 DDS
(2) A→B,M||E
KRa
[H(M)]
认?及 字
-- H(M) 受到密 算法的
--只有A 够· E
KRa
[H(M)]
(2’) A→B,E
K
[M||E
KRa
[H(M)]]
密fl 认?和 字
接 字 的缺ˉ
·?模式发送 的 密密钥
a71发送 抵?发送某一消息时 可 会声? 私有密钥丢失或被窃 从?他人伪造 他的
a71通 需 采用 私有密钥 fl相?的 政管 制
段来制 或 削… fi情况 威胁在某fi程度上 —?在
a71改进的 式例£可以?被 的信息包ˇ一个时间戳 期 时间 暴露的密钥报告给一个授权中心
X的某 私有密钥确实在时间T被窃 敌 可以伪造X
的 及早?或¥?时间T的时间戳仲裁 字
a71引入仲裁者
–通 的 法 有从发送 X到接收 Y的 消息`
先送到仲裁者A A?消息及 进 一 列测试以检 来源和内容 —?消息 上 期 被仲裁者·?通 的˙ 一起发给Y
a71仲裁者在 一 模式中扮演敏感和?
键的角色
– 有的参 者必须极大地相信 一仲裁 制
trusted system
仲裁 字 currency1'
(a) 单密钥 密 式 仲裁者可以?£消息
(1) X→A M||E
K
xa
[ID
x
|| H(M)]
(2) A→Y E
K
ay
[ID
x
|| M || E
K
xa
[ID
x
|| H(M)] || T]
X A之间共享密钥K
xa
Y A之间共享密钥K
ay
X?备消息M?算 列 H(M) 用X的符ID
x
和 列值构
消息及 K
xa
密 发送给A
A 密 用H(M)·?消息M —?ID
x
M 和时间戳一起 K
ay
密 发送给Y
Y 密A发来的信息 可?M和?起来
纠纷
Y 向A发送E
K
ay
[ID
x
|| M || E
K
xa
[ID
x
|| H(M)]]
A 用
K
ay
恢 ID
x
M 和 E
K
xa
[ID
x
|| H(M)] — 用K
xa
密 ·? 列
在 fi模式 Y 接·?X的 Y认”A的消息 认?
只因”“来?A 因 都需 高度相信A:
X必须信任A没有暴露K
xa
没有· 错误的
E
K
xa
[ID
x
|| H(M)]
Y必须信任A ¥ 列值?确? 确实 X?·的情况
才发送的E
K
ay
[ID
x
|| M || E
K
xa
[ID
x
|| H(M)] || T]
都必须信任A 争议?的只 A遵 上述? §X相信没有人可以伪造 Y相信X
否认
上述情况还隐ˇ着A可以?到X给Y的 有信息 因? 有的窃听者ˇ?到
(b) 单密钥 密 式 仲裁者 可以?£消息
(1) X→A IDx || EKxy[M]||EKxa[IDx|| H(EKxy[M])]
(2) A→Y EKay[IDx||EKxy[M] || EKxa[IDx|| H(EKxy[M])] || T]
在 fi情况 X Y之间共享密钥Kxy
X符IDx,密 EKxy[M] 以及 IDx和密 消息的
列 用Kxa 密 形 发送给A
A 密 用 列 ·?消息 时A只 ·?消息的密
读 内容 — A?来?X的 有信息 上时间戳
用Kay 密 发送给Y
(a)和(b)共¨?在一个共fl
A和发送 可以否认 的信息
A和接收 可以伪造发送 的
(c)?密钥 密 式 仲裁者 可以?£消息
(1) X→A ID
x
|| E
KR
x
[ID
x
|| E
KU
y
(E
KR
x
[M])]
(2) A→Y E
KR
a
[ID
x
|| E
KU
y
[E
KR
x
[M]] || T]
X 消息M?重 密 `先用X的私有密钥KRx — 用Y的?
密钥KUy 形 一个 的 密的消息 —?该信息以及
X的符一起用KRx IDx 一起发送给A fi内部
重 密的消息 A以及 除Y以外的,人都 的
A 检 X的?/私有密钥 否仍—有? §认?消息
包ˇIDx?重 密的消息和时间戳构 的消息用KRa
发送给Y
本模式 上述 个模式?有以 好
1 在通信之前? 之间 须共享任何信息 从?
2 即 KRx 暴露 只 KRa `暴露 会有错误?定 期的消息被发送
3 从X发送给Y的消息的内容 A和任何 他人 密的
2 数字签名标准DSS
布?1994年5 19 的?记 上?1994年12 1
采纳”DSS DSS”EIGamal ‰的改进
DSS p”512bit的 q”160 特的?q|p-1,
α∈F
p
*,
α”模p的q次单位? 消息 合P=F
p
*
合
A=Fq×Fq,定义K={ p,α,a,β)| β= α
a
(mod p)},值p,q,α和β
的 a 密的
x∈P,K=( p,q,α,a,β)和一个 秘密 — k
(1<=k<=q-1),定义
Sig
K
(x,k)=(γ,δ),
中 γ=α
k
(modp) modq),δ=(x+ αγ)k
-1
(modq)
x∈F
p
*
和γ,δ∈F
q
来说,按 述?算来·? 的 伪
1
*
.DSS的 用 及到Smart 的 用,? 的 DSS以一个 的 法修改 EIGamal ‰ 得 160bits消息?·
一个320bit的?算 用 512 特的模p.
2
*
,? 在 个 算法中 £?算 一个值,程序? 拒绝·一个新的— 值?算新的 实上 的发·概率大约”2
-160
.
)(mod
)(mod
1
2
1
1
qe
qxe
γδ=
δ=
()γ=βα?=δγ )(mod)(mod),,(
21
qpxV
ee
erK
))(mod(mod
)(mod,
)(
)(mod21
1
11
pq
p
kax
qaxee
γ≡α≡α≡
α≡βα
γ+δ
γδ+δ
实上
)(mod0 p≠δ
)(mod0 p≡δ
)(mod0 p≡δ
3
*
,DSS 一个?· ·? 快得多的 ‰ ·?
–?
4
*
,Smart 的应用 Smart 有有 的
算 进 通信 人?′一fi Smart 小量
算的 ‰ 该 ‰必须‰ ·? 部分
用DSS 的例子假? q=101 p=78*9+1=7879 3”F
7879
的一个本
以 α=3
78
mod7879)=170”模p的q次单位?
假?a=75 currency1β=α
a
(mod7879)=4567.现在,假?Bob想
一个消息x=1234?他选 — 值k=50 可算得
k
-1
(mod101)=99,算,
γ=(170
50
(mod7879)(mod101) =2518(mod101)=94
δ=(1234+75*94)99(mod101)=97
,1234 94 97
·?
δ
-1
=97
-1
mod101)=25,
e
1
=1234*25(mod101)=45,e2=94*25(mod101)=27
(170
45
*4567
27
(mod7879))(mod101)=2518(mod101)=94
因? 该 有?的
业试述 采用RSA DES及MD5算法 信息的
密fl ‰ fl和 否认fl的
