翻译:中国科学技术大学信息安全专业老师 新的输入x,在计算上来说,要计算出h(x)是不可行的。 为了认证一个消息,接收者必须与发送者共享密码密钥,用来计算MAC。不知道密钥 的第三方不可能确认MAC。使用下面的HMAC构造方法,一个MAC算法则可以从MDC 算法h推导出来。计算 HMAC(x)=h(k‖p2l‖h(k‖p2‖x) 其中P1和p2是填充的位串,它把k扩展成在h中使用的压缩函数需要的长度。 图12.4hash函数构造 安全散列算法 我们将选择安全散列算法(SHA-1)来说明散列函数实际上是怎样设计的。这个算法被 指定用于美国的数字签名标准(DSA)。其他的散列函数是MD4(不是那么强有力的)、MD5 ( Internet协议中的标准选择)和 RIPE-MD。SHA-1处理任意多个512位的数据块,生成 个160位的散列值。参数可以被作为整数解释也可以作为位串解释。在位串和整数之间的转 换算法在我们的描述中省略掉了 输入的末尾将用一个1来填充,然后是一个0串,以使得最后的输入块有448位长度 且最后64位字段指示在填充前输入数据的长度。初始化的值由五个32位的值定义,以十六 进制数表示: A=67452301 D=10325476 E=C3d2elfo SHA-1的压缩函数在一个80步的循环中处理512位的输入,每20步改变一次内部函 数和常数,最后生成一个160位的输出。这些函数是: f(X,H,Z)=(X∧)(X)入Z)t=0.…,19 f(X,Y,2Z)=X⊕Y⊕zt=20,…39, f(x,y,Z)=(XAY)v(X∧2)V(Y∧乙)t=40,…,59, f(X,H,Z)=XGY⊕Zt=60,…,79。 其中,操作符是位与、位或和异或,应用到32位字上去。常数采用十六进制数表示,它们 是 K.=5a827999 K1=6ed9eblt=20,…,39, K, =8flbbcdc t=40, .. 59 第6页共19页 创建时间:2003/7/91446:00翻译：中国科学技术大学信息安全专业老师 第 6 页 共 19 页 创建时间：2003/7/19 14:46:00 新的输入 x ，在计算上来说，要计算出 h (x) k 是不可行的。 为了认证一个消息，接收者必须与发送者共享密码密钥，用来计算 MAC。不知道密钥 的第三方不可能确认 MAC。使用下面的 HMAC 构造方法，一个 MAC 算法则可以从 MDC 算法 h 推导出来。计算 ( ) ( || || ( || || )) 1 2 HMAC x = h k p h k p x 其中 1 p 和 2 p 是填充的位串，它把 k 扩展成在 h 中使用的压缩函数需要的长度。 图 12.4 hash 函数构造 安全散列算法 我们将选择安全散列算法（SHA-1）来说明散列函数实际上是怎样设计的。这个算法被 指定用于美国的数字签名标准（DSA）。其他的散列函数是 MD4（不是那么强有力的）、MD5 （Internet 协议中的标准选择）和 RIPE-MD。SHA-1 处理任意多个 512 位的数据块，生成一 个 160 位的散列值。参数可以被作为整数解释也可以作为位串解释。在位串和整数之间的转 换算法在我们的描述中省略掉了。 输入的末尾将用一个 1 来填充，然后是一个 0 串，以使得最后的输入块有 448 位长度， 且最后 64 位字段指示在填充前输入数据的长度。初始化的值由五个 32 位的值定义，以十六 进制数表示： A=67452301 B=efcdab89 C=98badcfe D=10325476 E=c3d2e1f0 SHA-1 的压缩函数在一个 80 步的循环中处理 512 位的输入，每 20 步改变一次内部函 数和常数，最后生成一个 160 位的输出。这些函数是： f (X,Y,Z) (X Y) (( X) Z) t =     t = 0,  ,19 ， f t (X,Y,Z) = X Y Z t = 20,  ,39 ， f (X,Y,Z) (X Y) (X Z) (Y Z) t =      t = 40,  ,59 ， f t (X,Y,Z) = X Y Z t = 60,  ,79 。 其中，操作符是位与、位或和异或，应用到 32 位字上去。常数采用十六进制数表示，它们 是： Kt = 5a827999 t = 0,  ,19 ， Kt = 6ed9eba1 t = 20,  ,39， K f bbcdc t = 8 1 t = 40,  ,59