密码技术扫盲，Part 3：认证

个人博客

• 密码技术扫盲，Part 1：对称加密
• 密码技术扫盲，Part 2：非对称加密
• 密码技术扫盲，Part 3：认证

除了加密，还有一类用法是对信息的认证，主要包括 4 个技术

• 单向散列，计算 Hash 值
• 消息认证码，单向散列+密钥
• 数字签名，单向散列+私钥
• 证书，参见之前写的一篇《Web 安全，Part 1：PKI 扫盲》

单向散列

单向散列就是哈希函数，用于计算消息/文件的特征，可以类比于人的指纹，如果消息发生了一个比特的变化，那么计算出的散列值也不同（存在散列值相同的不同消息，但非常难找到这样的两条，称为碰撞），这让消息的接收者可以验证消息是否发生了损坏或者被篡改，保障了消息的完整性。

从原文可以计算得到散列值，但从散列值无法还原得到原文，所以称单向散列。

无论输入有多大，散列函数的输出长度都是固定的，如 SHA-256 总是输出长度为 256 位的散列值。

常用的单向散列函数如下，其中 SHA 系列都是美国 NIST 制定的：

• MD4，计算出 128 位的散列值，不安全
• MD5，计算出 128 位的散列值，不安全
• SM3，计算出 256 位的散列值，安全，国内搞出来的商密标准散列函数
• SHA-1，计算出 160 位的散列值，不安全
• SHA-2，包括 2 个基础版本（SHA-256、SHA-512）及 4 个衍生版本
  • SHA-224，将 SHA-256 的结果截掉 32 位
  • SHA-256，计算出 256 位的散列值，安全，比较常用
  • SHA-512/224，将 SHA-512 的结果截掉 288 位
  • SHA-512/256，将 SHA-512 的结果截掉 256 位
  • SHA-384，将 SHA-512 的结果截掉 128 位
  • SHA-512，计算出 512 位的散列值，安全，比较常用
• SHA-3，和 AES 相似，也是采用全球公开选拔的方式，最终胜者为 Keccak 算法，包含 4 种输出长度版本
  • SHA3-224，计算出 224 位的散列值
  • SHA3-256，计算出 256 位的散列值
  • SHA3-384，计算出 384 位的散列值
  • SHA3-512，计算出 512 位的散列值

一般我们在互联网上下载软件时，官方网站会同时提供散列值，可以验证软件是否完整。

单向散列虽然能保障完整性，保障消息/文件没有被篡改，但却不能防止伪装。假设恶意攻击者攻击了某软件的下载页面，同时将软件和散列值都进行了替换，普通用户是无法发现的。如果想要识别出这种伪装，就需要用到消息认证码和数字签名技术。

消息认证码

MAC（Message Authentication Code），消息认证码也是在计算散列值，但计算过程需要用到一个密钥，有了密钥的加入，就可以确认消息是持有密钥的某一方发的——除非密钥泄露。

消息认证码的主要实现方式：

• 使用单向散列函数，称为 HMAC，根据单向散列函数的不同，又有若干种组合
  • HMAC-SHA1
  • HMAC-SHA224
  • HMAC-SHA256
  • HMAC-SHA512
  • HMAC-SM3
  • …
• 使用分组密码
• 使用流密码
• 使用公钥密码

HMAC 方式用得较多，包括在 TLS 中很多协商组合也多是用 SHA 系列来计算 MAC。

大名鼎鼎的 SWIFT（Society for Worldwide Interbank Financial Telecommunication） 系统在银行间传递消息时就用到了消息认证码技术 —— 这组织牛到当初俄乌战争爆发，西方国家威胁要把俄罗斯踢出 SWIFT 系统，坊间称之为金融核弹级别的制裁措施。从技术角度来说，消息认证码在其中的使用方式大略如下图所示

在规避重放攻击时，可以选择使用消息序号、时间戳、nonce 等技术。

消息认证码虽然解决了伪装的问题，但因为密钥是在所有参与方之间共享的，所以无法防止抵赖问题，如对于一笔转账，一方完全可以耍赖说是其他知道密钥的几方做的，从该项技术上无法证伪。

数字签名

既然共享密钥会带来抵赖问题，那是否可以不共享密钥？

回忆一下，在介绍非对称加密技术时，我们学习了公钥、私钥组成的公钥密码系统，在加密时，我们采用公开的公钥加密原文，这样密文就只有持有不公开的私钥的持有者可以解密，保障了信息传递的机密性，开辟了解决密钥配送问题的一种新思路。

现在我们反过来想，如果用公钥能解开一段密文，那就可以证明这段密文是用对应的私钥加密的，因为私钥是不公开的，继而可以确认这段密文是私钥持有者操作生成的，这段加密的信息就是数字签名。这里私钥就成为了电子身份的锚点，进一步延伸就触及到我们之前介绍过的 PKI 体系。

在实际使用中，并不会直接使用传递的消息来生成数字签名，而是使用传递消息的单向散列值来生成数字签名。

除了公钥密码的 RSA，也存在其他几种签名方法：ElGamal、DSA、ECDSA、Rabin，不继续展开。

补充一个数字信封技术：用申请组织的公钥来加密对称密钥后得到的密文，其中对称密钥被用于加密信封里的信息。

---

参考：

• 《图解密码技术》