[发明专利]利用环迭代结构生成消息摘要的方法和装置

说明书

技术领域

本发明涉及信息安全技术中的密码技术和计算机技术领域，更具体地，涉及用于利用环迭代结构生成消息摘要的方法和装置。

背景技术

密码技术的发展经历了古典密码技术、对称密码技术和公钥密码技术三个阶段。消息摘要函数(简称HASH函数)是数字签名和消息认证码的低层技术，它包括迭代结构和单向压缩函数两个部分。

目前，普遍使用的HASH函数有MD5、SHA-0和SHA-1等(见文献[1])，它们均基于(MD)迭代结构(见文献[2]，[3])，MD迭代结构是一种线性迭代结构，如图1所示。

图1是现有技术中MD迭代结构的示意图。

在图1中，假设消息为X，其长度为l比特，将消息X划分为n个消息分组：X₁，X₂，...，X_n，其中每个消息分组X_i为m比特，且令n＝l/m。

令初始迭代值Y₀为IV，压缩函数f，每次迭代输出为k比特长度的Y_i(Y₁、Y₂、...、Y_n)，这里k＜m，则MD迭代结构可以是：Y₀＝IV，Y_i＝f(Y_i-1，X_i)，并且D＝Y_n。

D是最终的迭代输出，即，消息摘要。

其迭代过程为：

(1)把任意长度的消息或文件X划分为n个固定长度的分组X₁、X₂、...、X_n；

(2)设置初始迭代值Y₀＝IV；

(3)对于i从1到n，计算Y_i＝f(Y_i-1，X_i)；

则计算出的最终的Yn即是消息摘要D。可见，其为一种线性迭代结构。

然而，对MD5、SHA-0和SHA-1的多分组差分攻击(见文献[4]，[5]，[6])表明，抗碰撞的压缩函数并不是抗碰撞的Hash函数的充分条件，而只是必要条件。也就是说，单纯的抗碰撞压缩函数并不能使Hash函数也具有抗碰撞的能力。一个抗碰撞的安全的Hash函数既要基于一个抗碰撞的压缩函数，也要基于一个抗碰撞的迭代结构。而目前的现有技术并没有解决这个问题。

因此，需要一种既要基于抗碰撞的压缩函数，也要基于抗碰撞的迭代结构的抗碰撞的安全的Hash函数。

参考文献：

[1]A.J.Menezes，P.Van Oorschot，and S.Vanstone，Handbook of AppliedCryptography(应用密码学手册)，CRC Press，London，1997。

[2]Ivan Damgard，“A design principle for hash functions(消息摘要函数的设计原理)，”Advances in Cryptology(密码学进展)：CRYPTO 89，Springer-Verlag，1989，pp.416-427。

[3]Ralph Merkle，“One way hash functions and DES(单向消息摘要函数及DES)，”Advances in Cryptology： CRYPTO 89，Springer-Verlag，1989，pp.428-446。

[4]Eli Biham，Rafi Chen，and Antoine Joux etc，“Collisions of SHA-0 andReduced SHA-1(SHA-0及简约SHA-1的碰撞)，”Advances inCryptology-EUROCRYPT 2005，Springer-Verlag，2005，pp.36-57。

[5]Xiaoyun Wang，Yiqun Lisa Yin，and Hongbo Yu，“Finding collisions inthe full SHA-1(发现完全SHA-1中的碰撞)，”Advances inCryptology-CRYPTO’05，Springer-Verlag，2005，pp.17-36。