简介
什么是密码学中的哈希函数?
哈希函数是一种快速算法,它接受任何长度的输入,并产生一个固定长度的随机输出,称为摘要(digest),比如:
- MD4, MD5: 128-bit output (broken)
- •SHA-1: 160-bit output (broken)
- SHA-2: 224, 256, 384, or 512-bit output
- SHA-3: 224, 256, 384, 512, …-bit output
雪崩效应 - Avalanche effect:输入的微小变化导致输出的巨大变化
比如:
哈希函数的安全要求
- 单向或Preimage Resistant - 抗第一原像性:给定H(x),很难找到x
- Second-Preimage Resistant - 抗第二原像性:给定x,很难找到不同的y,使得H(x)=H(y)
- 抗碰撞性 - Collision Resistant:很难找到不同的x,y,使得H(x)=H(y)
- 随机Oracle:对H进行建模,以产生随机值作为输出
- “hard”意味着没有(已知的)算法在合理的时间(例如一天)内以合理的概率(例如50%)成功进行攻击
密码学中的哈希函数是用来干什么的?
- 存储密码摘要:例如哈希(nonce、challenge、password)
- 完整性检查:例如软件下载摘要、入侵检测
- 注册表和配置文件的快照
- 哈希表:索引=哈希(数据库密钥)
- MAC和数字签名:加密完整性保护
- 承诺:安全地承诺一个价值,并在以后揭示它
- 密钥派生功能:例如,从主密钥生成会话密钥
- 随机数生成:例如挑战生成
- 重复数据消除
- 工作证明:例如证明花费的计算资源
存储密码摘要
- 通常会存储一个加密的密码散列
- 如果通信被截获,我们希望很难计算H(salt,pwd)
- 如果数据库受损,我们希望很难找到pwd
- 因此,至少我们希望散列是单向的:知道输出,应该很难找到给出该输出的输入(除非我们尝试所有可能的输入)
- 例如,给定H(salt,pwd),很难找到salt,pwd
入侵检测
- 系统文件是“指纹”(即散列),摘要存储在安全的保险库中,以便稍后与新摘要进行比较
- 如果系统受损(但不是vault)并且系统文件被修改,则摘要不应匹配
- 对手看到原始文件(原始输入),不应能够构建摘要匹配的修改文件(第二输入)
- 因此,至少我们想要second-preimage resistance,即知道一个输入,应该很难找到另一个具有相同摘要的输入
哈希表
- 对数据库键进行散列处理,以快速计算记录索引并加快查找速度
- 理想情况下,我们希望将不同的键散列到不同的索引中
- 不同的输入散列到相同的输出称为冲突
- 因此,至少我们想要抗碰撞 - Collision Resistant:应该很难找到两个具有相同摘要的不同输入
密钥导出函数 - Key Derivation Function (KDF)
- 用于从主密钥派生新会话密钥的KDF
- 例如,在Intel SGX等安全元件中,或在Signal等端到端加密即时消息中
- KDF是通过组合散列函数构建的
- 我们需要哈希函数是单向的
- 我们还需要散列函数来产生不可预测的随机输出
- 因此,我们需要散列函数作为一个随机函数,称为随机预言机,即对任何输入进行建模,以产生真正的随机输出
1854
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
