翻译:中国科学技术大学信息安全专业老师 x≠x,使得h(x)=h(x),在计算上是不可行的。 冲突抗拒性(强冲突抗拒性):求出任何两个输入x和x,使得h(x)=h(x)成立 在计算上是不可行的 操作检测码( manipulation detection codes,MDCs),也称为修改检测码或者消息完整 码,常常用于检査文档是否发生改变。在文献[99]中提到了两种形式, 单向散列函数(OwHF)具有压缩性、易计算性、预映射抗拒性和第2次预映射抗拒 性等性质。 冲突抗拒散列函数(CRH)具有压缩性、易计算性、第2次预映射抗拒性和冲突抗 拒性等性质 应用散列函数计算的结果分别不同地称为: 散列值( hash value) 消息摘要( message digest) ·校验和( checksum) 最后一个术语为混淆留下了巨大的空间。在通信安全中,校验和是指错误校正码,典型 的是循环冗余校验码(CRC)。另一方面,校验和也被用在反病毒软件的产品中,但是禁止 使用CRC来计算,而必须使用密码散列函数(MDC)来计算。令x是被禁止篡改的程序 在一个没有病毒的环境下计算散列值h(x),并且把结果存储在不能修改它的位置,例如,存 放在CD-ROM上。为了检査程序的状态,重新计算散列值,把它与原来存储的值进行比较。 散列值的保护是重要的。计算散列值并不要求任何秘密的信息,因此,任何人都能对一个给 定的文件计算有效的散列值。 当参数p和g明智地选择时,函数f(x)=gmdp是一个单向函数,这个函数称为 离散求幂。为了反向离散求幂,你必须解决在12.1.4节介绍的离散对数问题。在这一章的 后面你可以看到离散求幂在密码方案的构造中是真正有用的原函数。然而,离散求幂并不是 特别快的操作,当你需要高速处理大量的数据时,你必须转而采用其他的算法 快速散列函数倾向使用类似的设计模式来构造。散列函数的核心是一个压缩函数f∫ 它处理固定长度的输入。一个任意长度的输入x被分割成给定块大小的块x1、…、xm,如 果最后一个块没有达到固定长度,就使用填充的方法使它达到固定的长度。x的散列值则可 以通过反复的使用压缩函数获得。令h是一个(固定的)初始化值。计算 h=∫(x1‖h1-1),i 且取h作为x的散列值,如图124所示。(符号表示级联) 消息认证码(MACs)对消息的来源和完整性提供了保证(数据源认证)。MAC从两个 输入即消息和秘密的密码密钥计算得到。因此,MAC有时也叫做密钥散列函数。正式地说, MAC是用密钥k作为参数化的散列函数h的族。这个族中的每一个成员都具有压缩和容易 计算的特性,附加的抗计算特性也必须满足。 对于任何固定的k值,给定一个值集合(x12h2(x),当攻击者不知道这个固定的k值时,对任何 第5页共19页 创建时间:2003/7/91446:00翻译：中国科学技术大学信息安全专业老师 第 5 页 共 19 页 创建时间：2003/7/19 14:46:00 x  x',使得 h(x) = h(x') ，在计算上是不可行的。 ·冲突抗拒性（强冲突抗拒性）：求出任何两个输入 x 和 x' ，使得 h(x) = h(x') 成立， 在计算上是不可行的。 操作检测码（manipulation detection codes ，MDCs），也称为修改检测码或者消息完整 码，常常用于检查文档是否发生改变。在文献[99]中提到了两种形式, ·单向散列函数（OWHF）具有压缩性、易计算性、预映射抗拒性和第 2 次预映射抗拒 性等性质。 ·冲突抗拒散列函数（CRHF）具有压缩性、易计算性、第 2 次预映射抗拒性和冲突抗 拒性等性质。 应用散列函数计算的结果分别不同地称为：： ·散列值（hash value） ·消息摘要（message digest） ·校验和（checksum） 最后一个术语为混淆留下了巨大的空间。在通信安全中，校验和是指错误校正码，典型 的是循环冗余校验码（CRC）。另一方面，校验和也被用在反病毒软件的产品中，但是禁止 使用 CRC 来计算，而必须使用密码散列函数（MDC）来计算。令 x 是被禁止篡改的程序。 在一个没有病毒的环境下计算散列值 h(x)，并且把结果存储在不能修改它的位置，例如，存 放在 CD-ROM 上。为了检查程序的状态，重新计算散列值，把它与原来存储的值进行比较。 散列值的保护是重要的。计算散列值并不要求任何秘密的信息，因此，任何人都能对一个给 定的文件计算有效的散列值。 当参数 p 和 g 明智地选择时，函数 f x g p x ( ):= mod 是一个单向函数，这个函数称为 离散求幂。为了反向离散求幂，你必须解决在 12.1.4 节介绍的离散对数问题。在这一章的 后面你可以看到离散求幂在密码方案的构造中是真正有用的原函数。然而，离散求幂并不是 特别快的操作，当你需要高速处理大量的数据时，你必须转而采用其他的算法。 快速散列函数倾向使用类似的设计模式来构造。散列函数的核心是一个压缩函数 f ， 它处理固定长度的输入。一个任意长度的输入 x 被分割成给定块大小的块 1 x 、…、 m x ，如 果最后一个块没有达到固定长度，就使用填充的方法使它达到固定的长度。 x 的散列值则可 以通过反复的使用压缩函数获得。令 0 h 是一个（固定的）初始化值。计算 ( || ) i = i hi−1 h f x ，i =1,  ,m ， 且取 mh 作为 x 的散列值，如图 12.4 所示。（符号||表示级联） 消息认证码（MACs）对消息的来源和完整性提供了保证（数据源认证）。MAC 从两个 输入即消息和秘密的密码密钥计算得到。因此，MAC 有时也叫做密钥散列函数。正式地说， MAC 是用密钥 k 作为参数化的散列函数 k h 的族。这个族中的每一个成员都具有压缩和容易 计算的特性，附加的抗计算特性也必须满足。 对于任何固定的 k 值，给定一个值集合 ( , ( )) i k i x h x ，当攻击者不知道这个固定的 k 值时，对任何