1、杂凑密码算法
可以对任意长度的消息M进行压缩,输出定长的消息摘要/杂凑值h,表示为h = H(M)。
一般来说,H具备三个性质:
(1)单向性。已知h,试图找打M满足h=H(M)是困难的。
(2)抗第二/二次原像攻击(弱抗碰撞性)。给定M1,试图找到M2满足h1=h2是困难的。
(3)强抗碰撞性。试图找到H(M1)=H(M2)是困难的。
密码杂凑算法主要有2种结构:M-D结构(MD5、SHA1、SHA2、SM3)和海绵结构(SHA3)。对于MD结构,也就是对填充后的消息进行分组后依次输入F函数进行压缩,上一个分组的结果结果下一个分组的输入之一,最后一个F的结果即是最终的杂凑值。所以可以说,杂凑算法的安全性取决于F,如果F具备抗碰撞能力,则杂凑函数也具备抗碰撞能力。
| 算法名称 | 分组长度bit | 输出长度bit | 结构 |
| MD5 | 512 | 128 | MD |
| SHA1 | 512 | 160 | MD |
| SHA-224 | 512 | 224 | MD |
| SHA-256 | 512 | 256 | MD |
| SHA-384 | 1024 | 384 | MD |
| SHA-512 | 1024 | 512 | MD |
| SHA-512/224 | 1024 | 224 | MD |
| SHA-512/256 | 1024 | 256 | MD |
| SM3 | 512 | 256 | MD |
| SHA3-224 | - | 224 | 海绵 |
| SHA3-256 | - | 256 | 海绵 |
| SHA3-384 | - | 384 | 海绵 |
| SHA3-512 | - | 512 | 海绵 |
| SHAKE128 | - | 变长 | 海绵 |
| SHAKE256 | - | 变长 | 海绵 |
2、带密钥的杂凑算法
使用M||h的方式保护M的完整性是存在安全问题的,例如攻击者可以将其整体替换为M'||h',完整性验证也可通过。故认为只使用密码杂凑算法是无法保证数据完整性的。HMAC(带密钥的杂凑算法)提出能够解决这个问题。HMAC具体如hmac = HMAC(K,M),其中密钥K的长度取对应的杂凑算法分组长度和输出长度之间,如MD5,K的长度区间是[128,512] bit。在HMAC过程中包括2次H计算,取第二次H计算的最左边m比特,作为HMAC的输出。
3、SM3算法
关于SM3算法,具体标准见GMT 0004-2012 SM3 密码杂凑算法,MD结构,输入消息长度小于2^64bit,分组长度为512,输出长度为256。
3.1 填充规则
在消息M的末尾填充1,然后填充k个0,最后填充64bit的二进制串(表示消息M的长度,这里对应输入消息M长度不能大于2^64bit),从而得到n个512bit的分组。
3.2 迭代过程
对于n个分组B0-Bn-1,做迭代Vi+1 = CF(Vi,Bi)V0取256bit的IV,这里CF是压缩函数,压缩结果为V。在压缩函数之前,对Bi要进行扩展,扩展为132个消息字(32bit)。在压缩函数CF中,产生64轮迭代,也就是说对于n个分组Bi,共要计算64n轮。
4、SM3安全性和效率
SM3和SHA256消息分组、迭代轮数、输出长度均相同,同时新引入16步全异或操作、消息双字介入、加速雪崩效应的P置换。能有效抵抗强碰撞性的差分攻击、弱碰撞性的线性分析和比特追踪等密码分析方法。
985
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
