007-047-越写越快乐之浅谈单向散列函数

图书封面 - 图片来自简书App

本次的越写越快乐系列为大家带来单向散列函数的分享,也就是我们经常说的哈希函数的统称,接下来我会通过以下几个方面来说明单项散列函数的内容。

相关术语

  • 单向散列函数(one-way hash function)也称为信息摘要函数(message digest function)、哈希函数或者杂凑函数
  • 输入单向散列函数的消息也称为原像(pre-image)
  • 单向散列函数输出的散列值也称为消息摘要(message digest)或者指纹(fingrprint)
  • 消息的完整性也称为一致性

什么是单项散列函数

这个文件是不是真的呢

Alice在公司从事软件开发工作。一天晚上,她的软件终于完成了,接下来只要把文件从Alice的电脑中复制出来并制作成母盘就可以了。
但是Alice已经很累了,她决定今天晚上早点回家休息,明天再继续弄。
第二天,Alice来到公司准备把文件从自己的电脑中复制出来,但她突然产生了这样的疑问:“这个文件和我昨天晚上生产的文件是一样的吗?”
Alice的疑问是这样的——会不会有人操作Alice的计算机,将文件改写了呢?就算没有人直接来到Alice的座位上,也有可能通过网络入侵Alice的计算机。或者,也许Alice的计算机感染了病毒,造成文件被篡改……在这里,是人文的还是病毒干的并不重要,我们姑且把篡改文件的这个主体称为“主动攻击者Mallory”。总而言之,Alice需要知道从昨天到今天的这段时间内,Mallory是否篡改了文件的内容。
那有没有什么办法帮助验证Alice手上的文件是不是“真的”呢?如果这个文件和昨天晚上生成的文件一模一样,那它就是真的;但只要有一点点不一样,哪怕只要一个比特(bit)有所不同、增加或者减少,它就不是真的。这种“是真的”的性质称为完整性,也称为一致性。也就是说这里Alice需要确认的,是自己手上的文件的完整性。
稍微想一下我们就能找到一种确认文件完整性的简单方法——在回家之前先把文件复制到一个完全的地方保存起来,第二天在用这个文件工作之前,先将其和事先保存的文件进行对比就可以了。如果两者一致,那就说明文件没有被篡改。
不过这种确认完整性的方法其实是毫无意义的。因为如果可以事先把文件保存在一个安全的地方,那根本就不需要确认完整性,直接用事先保存的文件来工作不就行了吗?
此外还有一个效率问题。如果需要确认完整性的文件非常巨大,那么文件的复制、保存以及比较都将非常耗时。

终于轮到我们的猪脚单向散列函数出场了,就像刑事侦查中获取指纹一样,我们能不能获取到Alice所生成的文件的“指纹”呢?如果我们不需要对整个巨大的文件进行对比,只需要对比一个较小的指纹就能够检查完整性的话,那该多方便啊。

什么是单向散列函数

单向散列函数有一个输入和输出,其中输入称为消息(message),输出称为散列值(hash value)。单向散列函数可以根据消息的内容计算出散列值,而散列值就可以被用来检查消息的完整性。单向散列函数所生成的散列值,就相当于消息的“指纹”。

要点:消息的长度没有限制,生成的散列值有固定长度(bit)。

单向散列函数的性质

  • 根据任意长度的消息计算出固定长度的散列值
    首先,单向散列函数的输入必须是任意长度的消息。其次,无论输入多长的消息,单向散列函数必须能够生成长度很短的散列值。从使用方便的角度看,散列值的长度最好是短且固定的。
  • 能够快速计算出散列值
    计算散列值所花费的时间必须要短。
  • 消息不同散列值也不同
    为了能够确认完整性,消息中哪怕只有1比特的改变,也必须有很高的概率产生不同的散列值。
  • 具备单向性
    单向散列函数必须具备单向性。单向性指的是无法通过散列值反计算出消息的性质。根据消息很容易计算出散列值,但是根据散列值几乎很难推断出消息的内容。

单向散列函数的实际应用

检测软件是否被篡改

我们可以使用单向散列函数来确认自己下载的软件是否被篡改。我们的具体操作步骤如下:

  1. 用户自行下载软件到本地
  2. 计算该软件的散列值
  3. 比对官方网站上公布的散列值和自行计算的散列值
  4. 根据比对结果来判断自己下载的文件是否是安全的软件,有没有被恶意篡改

基于口令的加密

单向散列函数也被用于基于口令的加密(Password Based Encryption,PBE)。PBE的原理是将口令和盐(salt - 通过伪随机数生成器产生的随机值)混合计算其散列值,然后将这个散列值用作加密的密钥。

消息认证码

使用单向散列函数可以构造消息认证码。消息认证码是将“发送者和接收者之间的共享密钥”和“消息”进行混合后计算出的散列值。使用消息认证码可以检测并防止通信过程中的错误、篡改以及伪装。

数字签名

在进行数字签名时也会使用单向散列函数。数字签名是现实社会中的签名和盖章这样的行为在数字世界中的实现。数字签名的处理过程非常耗时,因此一般不会对整个消息内容直接施加数字签名,而是先通过单向散列函数计算出消息的散列值,然后再对对散列值施加数字签名。

伪随机数生成器

使用单向散列函数可以构造伪随机数生成器。密码技术中所使用的随机数需要具备“事实上不可能根据过去的随机数列预测未来的随机数列”这样的性质。为了保证不可预测性,可以利用单向散列函数的单向性。

一次性口令

使用单向散列函数可以构造一次性口令(one-time password)。一次性口令经常被用于服务器对客户端的合法性认证。在这种方式中,通过单向散列函数可以保证口令只在通信链路上传送一次(one-time),因此即使窃听者窃取了口令,也无法使用。

单向散列函数的具体例子

MD系列

MD5(Message Digest 消息摘要 5)也就是Rivest提出的针对MD4的改进版本,它能够产生128比特的散列值(RFC1321)[https://www.rfc-editor.org/rfc/rfc1321.txt]。MD5的强抗碰撞性以及被攻破,也就是说现在已经能够产生相同散列值得两条不同的消息。

SHA系列

SHA-1是由NIST(美国国家标准技术研究所)设计的一种能够产生160比特的散列值的单向散列函数。
1993年被作为作为美国联邦信息处理标准规格(FIPS PUB 180)发布的是SHA(安全散列算法)。
1995年发布的修订版FIPS PUB 180-1称为SHA-1。
SHA-224、SHA-256、SHA-384和SHA-512是目前NIST制定的SHA-2的版本,SHA后面的数字代表消息通过单向散列函数生成的散列值的长度(bit-比特)。
下面的表格给出目前6个版本的SHA-2标准的简要情况:

名称 输出长度(bit) 备注
SHA-224 224 将SHA-256的结果截掉32比特
SHA-256 256
SHA-512/224 224 将SHA-512的结果截掉288比特
SHA-512/256 256 将SHA-256的结果截掉256比特
SHA-384 384 将SHA-256的结果截掉128比特
SHA-512 512

在2005年SHA-1的强抗碰撞性被攻破的背景下,NIST开始着手制定用于取代SHA-1的下一代单向散列函数SHA-3。Keccak的算法最终成为了SHA-3的新标准。Keccak的设计者之一Gilles Van Assche在GitHub上发布了一款名为Keccak Tools的软件。

RIPEMD-160

RIPEMD-160是于1996年由Hans Dobbertin、Antoon Bosselaers和Bart Preneel设计的一种能够产生160比特的散列值的单向散列函数。RIPEMD-160是欧盟RIPE项目所设计的RIPEMD单向散列函数的修订版。这一系列额函数还包括RIPEMD-128、RIPEMD-256、RIPEMD-320等其他一些版本。RIPEMD的强抗碰撞性已经于2004年被攻破,但RIPEMD-160还尚未被攻破。

比特币中使用的就是RIPEMD-160。

应该使用哪些单向散列函数

MD5 - 不建议使用
SHA-1 - 不建议使用
SHA-2 - 建议使用
SHA-3 - 建议使用

单向散列函数无法解决的问题

使用单向散列函数可以实现完整性的检查,也就是说单向散列函数能够辨别出“篡改”,但无法辨别出“伪装”。

总结

通过对《图解密码技术》第七章节的学习,我们知道了单向散列函数的概念、使用场景以及为什么要使用单向散列函数,那么接下来我们就要看看在具体的编程语言中是如何实现单向散列函数的,那么接下来我有机会会为大家继续分享单向散列函数的有关内容,我相信密码学不是那么复杂,只是我们的认知有限,自认为目前流行的区块链技术使用了哪些高深的技术,使用了哪些不那么通俗易懂的术语,当然书中还探讨了一些单向散列函数的碰撞性问题、SHA-3的选拔过程、Keccak的内部状态和Keccak函数的实现步骤,这些内容想要一口气消化那是不可能完成的任务,除非你对密码学底层实现技术有特别深入的研究,那么我建议你熟悉常见的单向散列函数的使用场景、基本原理和使用步骤就足够了。当然作为一个区块链技术的爱好者来说,这些基本知识是必须要知道并且熟练使用的,我相信你的努力不会白费,我更相信你走过的每一步都算数,我更知道有无数的007战友都在支持我们去探索不一样的人生和进化,要是我的文章对你有所启发,那将是我莫大的荣幸。

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,126评论 6 481
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,254评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 152,445评论 0 341
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,185评论 1 278
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,178评论 5 371
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,970评论 1 284
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,276评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,927评论 0 259
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,400评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,883评论 2 323
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,997评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,646评论 4 322
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,213评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,204评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,423评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,423评论 2 352
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,722评论 2 345

推荐阅读更多精彩内容

  • 为什么要有单向散列函数 作为接收者,如果将得到的密文正确解密,看到了明文。是否意味着这次加密传输是完全安全和正确的...
    JMasche阅读 2,335评论 0 3
  • 区块链 比特币作为第一个广为人知的数字货币,因其实现了完全匿名的交易,而后被不希望别人知道他做了某种交易的人(比如...
    tolak阅读 1,050评论 0 1
  • 本文分为7个部分,第1部分介绍密码学的基本概念,第2部分讲解常见的对称加密算法,第3部分讲解常见的非对称加密算法,...
    youclavier阅读 3,160评论 0 6
  • 提及江南,湿润便渗透了血液,侵袭了灵魂。江南,因水而生,因水而灵,更因水而名。水,是这里永恒的主题。 古往今来,多...
    京起一滩鸥露阅读 256评论 0 0
  • 潘雨馨,11月2日,读书打卡第21次,今天我读了三国演义第301-319页,本章讲述的主要人物是黄忠,黄忠是三国时...
    潘雨馨阅读 235评论 0 0