【网络安全技术】消息认证技术

一、哈希函数

1.安全性质

1）抗第一原像攻击（Preimage Resistance）

给定哈希后的值，很难找到哈希前的原消息。这很好理解，需要哈希函数具有单向性。

一个简单的例子就是密码存储系统，用户登录服务器需要密码匹配，服务器出于安全考虑不会存储用户密码，会存储用户密码的哈希值，这样，每次用户发来密码，进行哈希来看是否一致。这样的话，即使黑客获得了用户密码的哈希值，也没办法登录系统。

2）抗第二原像攻击（Second Preimage Resistance）

给定消息m和哈希后的值，很难找到另一个消息n，使得n哈希后的值和m哈希后的值一样。

一个简单的例子是软件下载时使用哈希来校验文件的integrity，用户下载软件后，使用哈希函数得到值，来和开发者提供的哈希值对比，如果一致就认为下载的文件没有被篡改。这里如果黑客可以通过开发者提供的哈希值和文件，找到一个哈希值一样的文件，那么他就可以替换掉这个文件。

3）碰撞避免（Collision Resistance）

对于一个哈希函数，对于找到两个具有相同哈希值的消息m，n是计算上不可能的。尽管哈希是理论上无限的域向固定域的映射，总会碰撞，但是要保证计算上找不到这个碰撞。

一个简单的例子是，发送信息的人本来就是黑客。例如b找到了两个相同哈希值的文件，他让a签署，文件1只需要a付出很小的代价，而文件2需要a付出很大的代价。那么b就将文件1发给a签，签完之后说a签的是文件2。

2.SHA-1

任意长比特串-->160bits哈希值

1）padding

先在后面补1，然后补0直到长度L%512=（512-64），因为sha-1每次对512bit做处理，所以整体长度一定是512的倍数，那么为什么要512-64呢，因为最后64位要留着指示消息的长度，注意这里消息的长度指的是padding前的初始长度。

2）然后就是计算了，取第一个512bit和初始值做计算，计算结果160bit作为初始值和下一512bit做计算，这样一直下去最后产生160bit的哈希值。

看看每512bit这个计算具体是如何做的。

首先512bit下来了将他扩展成80个w，每个w是32bit。前16个w直接照抄原来的512bit，之后每个wt都通过以下式子计算得出，s几就是循环左移几位。

得到80个w之后开始计算，先拿初始值填充abcde，然后每个w进行一轮计算。

这是前20个w进行的前20轮计算的例子，总共的80轮只有f和w不一样，f是每20轮有一个f，而80轮的w对应先前生成的80个w。

这个计算就是把先前的abcde分别做一些移位、置换之类的操作，生成新的abcde。

80轮之后，把最后生成的abcde和一开始的初始值分别相加，生成这一阶段的最终的160bit值，如果还有下一阶段，那么这160bit值就是下一阶段的初始值。

注意这里所有的+都是模（2的32次方）加。

3.SHA们

不同版本的sha的参数的对比

4.生日攻击

根据生日悖论，一个群体中有两个人生日是同一天的概率比直觉要大。

对于一个大小为2的n次方的哈希输出空间，找到两个同样哈希值的输入，在尝试2的n/2次方次时，概率为50%。

那么这里有一个攻击的例子，a产生消息给b签字。

a产生2的n/2次方种同一正常消息的变种（就类似于我是老师/老师是我）这样的变种，就对应2的n/2次方个哈希值。然后再产生2的n/2次方种个诈骗q消息。这样，正常消息和诈骗消息中有很大概率有相同哈希值的，这样他就找到了一组相同哈希值的消息，只用了2的（n/2+1）次方次尝试，这比正常的暴力破解平均2的n-1次方要快了不少。

二、消息摘要（Message Digest）

很多时候消息并不在意confidentiality，比如一些广播包，亦或者刚才提到的软件下载。只需要保证消息的integrity就好了，那么如果还是对消息加密的话，尽管可以保证integrity（因为加密之后别人没法篡改，篡改了解密出来就是乱码了），但会有很大的不必要的开销，相当于做了额外的工作，那么这个时候可以采用一种简单的模式，那就是把消息哈希之后，把哈希值附在消息后面传。收包的收到之后对消息哈希，然后比对自己哈希出来的和对方传来的，一致就认为没问题。

但是如果有人在途中同时改了消息和消息摘要，就不行了。