單向函數(shù)

散列算法是單向函數(shù)。也就是說，它們接收一個明文字符串，將它轉(zhuǎn)換成一小段無法用來重建原始明文的密文。顯然，要使這種函數(shù)起作用，轉(zhuǎn)換中必需丟失一些數(shù)據(jù)。

乍聽上去，單向函數(shù)似乎沒有用，因為您無法從單向計算的密文中找回明文。為什么要計算一個無法解開的密碼呢？當(dāng)然，幾乎是單向的函數(shù)是非常有用的，因為從本質(zhì)上講，所有的公鑰函數(shù)都是帶“天窗”的單向函數(shù)。公鑰密碼術(shù)的良好候選函數(shù)，是那些在一個方向上容易計算，而在另一個方向上除非您知道某些秘密否則極難計算的函數(shù)。因此，我們發(fā)現(xiàn)公鑰算法是基于因式分解和其它較難的數(shù)學(xué)竅門的。

散列函數(shù)

正如結(jié)果所表明，真正的單向函數(shù)也是有用的。這些函數(shù)通常叫做 散列函數(shù)，其結(jié)果通常稱為 密碼散列值、 密碼校驗和、 密碼指紋或 消息摘要。此類函數(shù)在許多密碼協(xié)議中起著重要作用。

其構(gòu)思就是接收一段明文，然后以一種不可逆的方式將它轉(zhuǎn)換成一段（通常更小）密文。理論上，所有可能的明文將散列成一個唯一的密文，但實際上通常發(fā)生的不是那樣。大多數(shù)時候，幾乎有無窮多個不同的字符串可以產(chǎn)生完全相同的散列值。但是，對于一個好的密碼散列函數(shù)來說，在實踐中應(yīng)該很難有兩個可理解的字符串散列相同的值。好的散列函數(shù)的另一個特性是輸出不以任何可辨認(rèn)的方式反映輸入。

散列函數(shù)通常產(chǎn)生恒定大小的摘要。許多算法產(chǎn)生很小的摘要，但是，算法的安全性很大程度上取決于結(jié)果摘要的大小。我們推薦選擇那些提供不小于 128 位摘要的算法。SHA-1 提供 160 位散列，是一種可以使用的好散列函數(shù)。

可以使用散列函數(shù)來確保數(shù)據(jù)完整性，這很象傳統(tǒng)的校驗和。如果您公開發(fā)布一個文檔的有規(guī)律密碼散列，則任何人都可以檢驗該散列，假設(shè)他們知道散列算法的話。人們在實踐中使用的大多數(shù)散列算法是公開發(fā)布和為人熟知的。再次提醒您，使用專用密碼算法，包括散列函數(shù)，通常是一個壞主意。

因特網(wǎng)分發(fā)

考慮一下分發(fā)在因特網(wǎng)上的軟件包的情況。在不遠的過去，通過 ftp 得到的軟件包是與校驗和關(guān)聯(lián)的。其思想是下載軟件，然后運行一個程序來計算您的校驗和版本。然后可以將自行計算的校驗和與 ftp 網(wǎng)站上得到的校驗和相比較，以確定兩者匹配并確保傳輸連接上（over the wire）的數(shù)據(jù)完整性（各種各樣）。問題是這種過時的方法根本就不加密。首先，有許多校驗和技術(shù)可以惡意修改下載程序，并可能導(dǎo)致修改過的程序產(chǎn)生完全相同的校驗和。其次，帶有其相關(guān)聯(lián)（保護極差）校驗和的軟件包的“特洛伊”版本可以輕易地在 ftp 網(wǎng)站上發(fā)布。密碼散列函數(shù)可以用做老式校驗和算法的隨便替代物。它們具有一個優(yōu)點，就是使篡改投遞代碼變得極其困難。

預(yù)先警告您 ― 這種分發(fā)方案還有一個問題。如果作為軟件消費者，不知何故下載了錯誤的校驗和，您會怎么辦？例如，假設(shè)我們分發(fā)了“xyzzy”軟件包。一天夜里，一些黑客闖入了分發(fā)機器，并將 xyzzy 軟件換成了一個稍作修改的版本，其中包含惡意的特洛伊木馬。攻擊者也將我們公開分發(fā)的散列替換成帶有特洛伊副本的散列發(fā)行版。此時，當(dāng)某個無辜的用戶下載目標(biāo)軟件包時，將得到惡意的副本。受害者也下載了密碼校驗和，并針對軟件包測試它。它進行檢測，而惡意代碼看起來安全可供使用。顯然，如果我們不能確保散列本身不被修改，僅僅散列不能成為完整的解決方案。簡而言之，我們需要一種認(rèn)證散列的方法。

認(rèn)證問題

在我們考慮認(rèn)證問題時，可能出現(xiàn)兩種情況。我們可能希望每種情況都可以驗證散列。如果是這樣，我們可以使用基于 PKI 的數(shù)字簽名，這將在下面討論。或者，我們希望限定誰能驗證散列。例如，假設(shè)我們向 sci.crypt 新聞組發(fā)送了一封匿名信，其中投遞了一種專用加密算法的全部源代碼，但是希望只有我們最親密的朋友才能驗證我們投遞了消息。可以使用消息認(rèn)證代碼（MAC）來達到這個目的。

消息認(rèn)證代碼

MAC 通過使用一種共享秘鑰起作用，接收方端使用它的一個副本。該密鑰可以用于認(rèn)證可疑數(shù)據(jù)。發(fā)送方必須擁有秘鑰的另一個副本。MAC 有幾種工作方式。第一種方式是在計算摘要之前，將秘鑰并置到數(shù)據(jù)末尾。如果沒有秘鑰，則無法確認(rèn)數(shù)據(jù)未經(jīng)改動。另一種計算更復(fù)雜的方式是照常計算散列，然后再使用對稱算法（如 DES）加密散列。要認(rèn)證散列，必須首先對它解密。

MAC 在許多其它環(huán)境中也很有用。如果您希望不使用加密而實現(xiàn)基本消息認(rèn)證（也許是由于效率原因），MAC 是完成該任務(wù)的合適工具。即使您已經(jīng)使用了加密，MAC 也是一種確保加密位流在傳輸中免遭惡意修改的極佳方法。

如果仔細設(shè)計，好的 MAC 可以幫助解決其它公共協(xié)議問題。許多協(xié)議在遭受所謂的 回放攻擊（或者 捕獲-回放攻擊）期間，明顯存在一個普遍問題。假設(shè)我們向銀行發(fā)送一個請求，要求從我們的帳戶劃撥 50 美元到 John Doe 的銀行帳戶。如果 John Doe 攔截了通信，他可以稍后向銀行發(fā)送一個相同的消息副本！有時銀行會認(rèn)為我們發(fā)送了兩個請求。

回放攻擊

回放攻擊被證實是許多真實世界系統(tǒng)中的普遍問題。幸好，我們可以使用 MAC 的巧妙用法來緩和這種情況。在銀行劃撥示例中，假設(shè)我們使用了一種隨秘鑰散列請求的原始 MAC。為了對付回放，我們可以確保散列永遠不同。做到這一點的一個顯而易見的方法是使用時間戳記。

如果服務(wù)器發(fā)現(xiàn)一個請求的時間戳記過期（比如，超過 60 秒），它將拒絕請求。這或許足夠了，也可能還不夠，因為它還是導(dǎo)致了一個 60 秒的窗口，其中回放攻擊可能 發(fā)生。您可能會考慮禁止在同一時間單元發(fā)生兩次請求，并緩存關(guān)于過去 60 秒以內(nèi)到達的有效請求的信息。如果您能夠處理這種特殊情況：在同一時間單元里兩次執(zhí)行了同一交易，則這種解決方案也許可行。但是存在更簡單的解決方案。當(dāng)您計算 MAC 時，不僅散列數(shù)據(jù)和秘鑰，而且散列一個唯一、有序的序列號。遠程主機只需要了解它所處理的最后一個序列號，并確保不處理比下一個預(yù)期序列號更舊的請求。這是普遍使用的方法。

在許多情況下，認(rèn)證其實不是問題。例如，考慮使用密碼散列來認(rèn)證從控制臺登錄到機器的用戶。在許多系統(tǒng)中，當(dāng)用戶第一次輸入密碼時，實際上并沒有存儲密碼本身。相反，存儲了密碼的密碼散列。因為大多數(shù)用戶覺得如果系統(tǒng)管理員不能隨意檢索他們的密碼會更好。假設(shè)操作系統(tǒng)是可信的（這是個可笑的大前提），我們可以假設(shè)我們的加密散列密碼的數(shù)據(jù)庫是正確的。當(dāng)用戶試圖登錄，并輸入密碼時，登錄程序散列它，并將新散列的密碼與存儲的散列比較。如果兩者相等，我們假設(shè)用戶輸入了正確密碼，則登錄繼續(xù)。

Telnet 協(xié)議

可惜，架構(gòu)設(shè)計師和開發(fā)人員有時假設(shè)認(rèn)證機制的安全性實際上不是問題，但實際上它是。例如，考慮一下 telnet 協(xié)議。大多數(shù) telnet 服務(wù)器接收用戶名密碼作為輸入。然后散列密碼，或執(zhí)行一些類似的轉(zhuǎn)換，然后將結(jié)果與本地數(shù)據(jù)庫中的比較。問題在于使用 telnet 協(xié)議時，密碼在網(wǎng)絡(luò)上以明文傳輸。任何能夠使用包嗅探器在網(wǎng)絡(luò)線路上偵聽的人都可以發(fā)現(xiàn)密碼。telnet 認(rèn)證提供了很差的保護，潛在攻擊者可以輕易地清除保護。許多著名的協(xié)議（包括 FTP、POP3 和 IMAP 的多數(shù)版本）都具有類似的破綻百出的認(rèn)證機制。

其它攻擊

任何好的密碼散列算法應(yīng)該是這樣的，即使給定一個已知的消息和與它關(guān)聯(lián)的消息散列，也很難找到替代明文的重復(fù)散列。對沖突的故意搜索意味著蠻力攻擊，這通常很難。當(dāng)攻擊者希望用第二份明文文檔產(chǎn)生除了雜亂無意義的字符串之外的東西時，就尤其困難。

另一種對密碼散列的攻擊比平均蠻力攻擊容易實施得多。考慮下列情況：Alice 向 Bob 顯示了一份文檔和驗證文檔的密碼散列，文檔內(nèi)容是 Alice 同意為每個小飾品付給 Bob 5 美元。Bob 不想在他的服務(wù)器中存儲該文檔，所以他只存儲了密碼散列。Alice 希望只為每個小飾品付 1 美元，所以她想創(chuàng)建第二份文檔，所產(chǎn)生的散列值和 5 美元的那份相同，然后告上法庭，控訴 Bob 多收了她的錢。當(dāng)她出庭時，Bob 將出示散列值，相信 Alice 的文檔不能散列出那個值，因為這不是她顯示給他的原始文檔。如果其攻擊是成功的，Alice 將能夠證明她所偽造的文檔確實散列出 Bob 存儲的值，法庭將判她勝訴。

但她是如何做到這一點的呢？Alice 使用了所謂的 生日攻擊。在這種攻擊中，她創(chuàng)建了兩份文檔，一份寫著每個小飾品 5 美元，另一份則寫著每個小飾品 1 美元。然后，在每份文檔中，她標(biāo)識出 n處可以進行表面更改的地方（例如，那些可以用制表符取代空格的地方）。好的 n值通常是最終散列輸出的位長度的一半加 1（所以如果我們指定散列輸出的位長度為 m，則 n= m/2+1）。對于 64 位散列算法，她將在每份文檔中選擇 33 個地方。然后她反復(fù)嘗試每份文檔不同的排列，創(chuàng)建和存儲散列值。一般來說，預(yù)計她將在散列了大約 2 ^m/2條消息之后找到散列出相同值的兩份文檔。這比蠻力攻擊要有效得多，如果使用蠻力攻擊，預(yù)計她必須散列的消息數(shù)為 2 ^m-1。如果 Alice 執(zhí)行一次成功的蠻力攻擊需要一百萬年，那么她也許一周以內(nèi)就可以完成一次成功的生日攻擊。因此，Bob 應(yīng)該要求 Alice 使用一種算法，它所產(chǎn)生的摘要大小使得她不能在任何合理的時間之內(nèi)完成生日攻擊。

如果希望針對生日攻擊獲得和針對蠻力攻擊一樣的安全性，給定一個密鑰長度為 p的對稱密碼，您應(yīng)該選擇提供大小為 p*2的摘要的散列算法。因此，對于具有很高安全性需求級別的應(yīng)用程序，要求散列算法產(chǎn)生 256 位甚或 512 位的消息摘要是個好主意。

什么是適用的好散列算法呢？
我們特別喜歡 SHA-1。Bruce Schneier 也推薦這個算法。但是如果散列長度必需超過 160 位，SHA-1 還不夠。對于大位數(shù)散列，嘗試使用適合于執(zhí)行散列法的對稱加密術(shù)。GOST 散列算法是個好示例，它從 GOST 加密術(shù)派生而來，帶有 256 位的散列長度。更長的散列長度很可能要求進行一些編碼來適應(yīng)對稱加密術(shù)。Schneier 在 Applied Cryptography中概述了構(gòu)建此類算法的構(gòu)造。SHA-1 或 GOST 散列算法都沒有任何知識產(chǎn)權(quán)限制。

數(shù)字簽名

數(shù)字簽名背后的思想是模仿傳統(tǒng)手寫簽名。該思想是能夠以某種方式“簽署”一份數(shù)字文檔，該簽名具有和物理簽名一樣的法律效力。數(shù)字簽名至少必須和手寫簽名一樣好地滿足以下主要目的：

即使對于手寫簽名，這些目標(biāo)也只是概念上的，并不能真正地反映現(xiàn)實。例如，偽造簽名是可能的，盡管很少有人技藝高超，真的能偽造。然而，簽名罕有濫用的傾向，這很好地保持了它在法庭的地位。總之，墨水簽名已經(jīng)是足夠好的解決方案。

電子簽名至少可以做得和物理簽名一樣好。這個事實經(jīng)常使人們吃驚，因為他們將這種簽名當(dāng)成是類似于人們經(jīng)常放置在電子郵件消息末尾的那種簽名文件（一串 ASCII）。如果數(shù)字簽名就是象這樣的，那么它們根本就沒什么用。很容易從一個文件復(fù)制簽名，并將它直接添加到另一個文件上以形成一個贗品。也可能輕易地修改一個經(jīng)過簽署的文檔，并且誰也不能發(fā)現(xiàn)。謝天謝地，數(shù)字簽名完全不是這樣。

大多數(shù)數(shù)字簽名系統(tǒng)將公鑰密碼術(shù)和密碼散列算法結(jié)合使用。正如我們所解釋的，公鑰密碼系統(tǒng)經(jīng)常使用接收方公鑰來加密消息，然后接收方使用相應(yīng)的專用密鑰解密。專用密鑰也能用來對只能用相應(yīng)公鑰解密的消息進行解密。如果某人將他的專用密鑰完全保持私有，（您最近沒有被黑，不是嗎？）能夠使用相應(yīng)公鑰解密消息，則構(gòu)成可疑的人對原始消息進行加密的證明。

數(shù)字簽名不僅在簽署文檔的時候有用 — 它們幾乎可用于任何認(rèn)證需求。例如，它們經(jīng)常與加密聯(lián)合使用，以便保持?jǐn)?shù)據(jù)私有性和數(shù)據(jù)認(rèn)證。

用于文檔的數(shù)字簽名經(jīng)常由對文檔的加密散列構(gòu)成，然后用專用密鑰加密散列。結(jié)果密文稱為簽名。任何人都可以通過自行散列文檔，然后解密簽名（使用公鑰或共享秘鑰），并比較兩個散列來確認(rèn)簽名。如果兩個散列相等，則認(rèn)為簽名有效（假設(shè)進行確認(rèn)的人相信他使用的公鑰確實屬于您）。

簽名不必隨文檔一起存儲。同樣，簽名適用于文檔的任何相同的數(shù)字副本。簽名也可以復(fù)制，但是無法使它適用于其它文檔，因為最后得到的散列與解密散列不匹配。

數(shù)字簽名的問題

數(shù)字簽名的一個問題是認(rèn)可。人們總是可以聲明他們的密鑰被盜。但是，數(shù)字簽名還是作為物理簽名的合法替代廣泛地得到接受，因為它們至少和物理簽名一樣接近上面提到的目標(biāo)。目前至少有 30 個州有數(shù)字簽名法律，并且更多州很可能立法（如果美國國會沒有搶先通過一項國家法律的話）。

大多數(shù)公鑰算法，包括 RSA 和 ElGamal，可以容易地擴展以支持?jǐn)?shù)字簽名。實際上，一個支持這些算法之一的好軟件包應(yīng)該也支持?jǐn)?shù)字簽名。我們推薦您將自己喜歡的公鑰密碼術(shù)算法用于數(shù)字簽名。嘗試使用內(nèi)置原語而不是拋開加密算法和散列函數(shù)去構(gòu)建自己的構(gòu)造。

下一步是什么？

在未來最重要的主題是密鑰管理：如何安全地生成、存儲、更改、銷毀或傳遞加密密鑰？密碼術(shù)是一個巨大的領(lǐng)域，但又只是軟件安全性的一個方面。甚至我們也不能謊稱自己完全了解它。