数字签名和哈希函数

《数字签名和哈希函数》由会员分享，可在线阅读，更多相关《数字签名和哈希函数（6页珍藏版）》请在装配图网上搜索。

1、数字签名和哈希函数懂得一点公钥密码基本知识的人都懂得,发信息的人用自己的私钥对所发信息进行加密( Ecrypion),接受信息者用发信者的公钥来解密( Dcryptin ）,就可以保证信息的真实性、完整性和不可否认性。(注:这里提到的加密、解密是指密码运算，其目的并非信息保密。）那么，我们也可以笼统地说,以上措施就已经达到了数字签名的目的。由于一方面,私钥是发信者唯一持有的,别的任何人不也许制造出这份密文来,因此可以相信这份密文以及相应的明文不是伪造的（固然,发信者身份的拟定还要通过数字证书来保证);出于同样因素,发信者也不能抵赖、否认自己曾经发过这份信息;此外，信息在传播当中不也许被篡改,由

2、于如果有人试图篡改，密文就解不出来。这样，用私钥加密,公钥解密的技术措施就可以替代老式签名、盖章,保证了信息的真实性、完整性和不可否认性。 但是，这样做在实际使用中却存在一种问题：要发的信息也许很长，非对称密码又比较复杂,运算量大,而为了保证安全,私钥一般保存在USB Key或I卡中,加密运算也是在Key或卡中进行。一般来说,小小的USBKey或I卡中的微解决器都做得比较简朴而解决能力较弱,这样，加密所用的时间就会很长而导致无法实用。 此外,虽然对于网站服务器而言,虽然它的解决能力很强，但服务器要同步解决许许多多签名加密的事情,也同样存在着加密耗时长系统效率低的问题。 有无解决这个问题的措施呢

3、?有的,常用的措施是使用哈希函数。什么是哈希函数 哈希(Hash）函数在中文中有诸多译名，有人根据Hsh的英文原意译为“散列函数”或“杂凑函数”,有人干脆把它音译为“哈希函数”,尚有人根据Hsh函数的功能译为“压缩函数”、“消息摘要函数”、“指纹函数”、“单向散列函数”等等。1、Has算法是把任意长度的输入数据通过算法压缩，输出一种尺寸小了诸多的固定长度的数据,即哈希值。哈希值也称为输入数据的数字指纹(igialFingerprint)或消息摘要(Messge Dgest）等。Hh函数具有如下的性质:2、给定输入数据，很容易计算出它的哈希值；3、反过来，给定哈希值，倒推出输入数据则很难,计算上

4、不可行。这就是哈希函数的单向性，在技术上称为抗原像袭击性;4、给定哈希值,想要找出可以产生同样的哈希值的两个不同的输入数据，（这种状况称为碰撞,Cllision），这很难,计算上不可行，在技术上称为抗碰撞袭击性;5、哈希值不体现任何有关输入数据的信息。 哈希函数在实际中有多种应用,在信息安全领域中更受到注重。从哈希函数的特性，我们不难想象，我们可以在某些场合下,让哈希值来“代表”信息自身。例如,检查哈希值与否发生变化,借以判断信息自身与否发生了变化。如何构建数字签名 好了，有了Has函数，我们可以来构建真正实用的数字签名了。 发信者在发信前使用哈希算法求出待发信息的数字摘要,然后用私钥对这个数

5、字摘要，而不是待发信息自身，进行加密而形成一段信息，这段信息称为数字签名。发信时将这个数字签名信息附在待发信息背面,一起发送过去。收信者收到信息后，一方面用发信者的公钥对数字签名解密，得到一种摘要H;另一方面把收到的信息自身用哈希算法求出另一种摘要，再把H和H相比较，看看两者与否相似。根据哈希函数的特性,我们可以让简短的摘要来“代表”信息自身，如果两个摘要H和H完全符合,证明信息是完整的；如果不符合，就阐明信息被人篡改了。 数字签名也可以用在非通信,即离线的场合,同样具有以上功能和特性。 由于摘要一般只有128位或16位比特，比信息自身要短许多倍，USB Ky或IC卡中的微解决器对摘要进行加密

6、就变得很容易,数字签名的过程一般在一秒钟内即可完毕。哈希函数的安全性 哈希函数的安全性直接关系到数字签名的安全性,如果哈希函数被攻破，数字签名的有效性就会受到质疑。 目前，已经发明的Hsh函数有多种,如Snfr、NHah、LKI、AR、GST、D、SA等。它们在数学上实现的措施各有不同,安全性也各有不同。目前比较常用的Hah函数是D5和HA-1。 MD5哈希函数以51位来解决输入数据,每一分组又划分为16个32位的子分组。算法的输出由4个2位分组构成,将它们级联起来，形成一种2位的固定长度的哈希值，即输入数据的摘要。SHA-1哈希函数在MD4的基本上增长了数学运算的复杂限度，即SA=MD4扩展

7、转换附加轮更好的雪崩效应(哈希值中,为的比特和为1的比特，其总数应当大体相等;输入数据中一种比特的变化,将导致哈希值中一半以上的比特变化，这就叫做雪崩效应）。SHA可以产生6位的哈希值。对HA还没有已知的密码袭击，并且由于它产生的哈希值位数长于M5,因此它能更有效地抵御穷举袭击（涉及生日袭击）。 但是，任何一种算法均有其漏洞和局限性。任何一种哈希函数都会存在碰撞即在某些特定状况下,两个不同的文献或信息会指向同一种数字摘要。在一般状况下，类似碰撞只能尽量地减少，而不能完全避免。从理论上讲,没有攻不破的密码。随着密码科学的发展,也许会找到攻破某一种密码算法的途径。 评价ah算法的一种最佳措施是看敌

8、手找到一对碰撞消息所花的代价有多高。一般地,假设袭击者懂得ah算法，袭击者的重要袭击目的是找到一对或更多对碰撞消息。目前已有某些袭击Ha算法和计算碰撞消息的措施。在这些措施中，有些是一般的措施,可用于袭击任何类型的Hash算法,例如“生日袭击”;而另某些是特殊的措施,只能用于袭击某些特殊的Hash算法,例如适合于袭击具有分组链构造Hsh算法的“中间相遇袭击”，合用于袭击基于模运算的Hash函数的“修正分组袭击”。结实的哈希函数可通过设计有效的碰撞解决机制,或增长数字摘要的位数来增长复杂度,以减少碰撞浮现的概率, 8月17日，在美国召开的国际密码学会议(rypto )上,某些国家的密码学者作了破

9、译Has函数的新进展的报告,其中国内山东大学的王小云专家做了破译MD5、HAAL-12、MD、和RIP M算法的报告。 到2月，据王小云专家的研究报告,她们已经研究出了搜索SHA-碰撞的一系列新技术。她们的分析表白,SHA-1的碰撞能在不不小于69次Hsh操作中找到。对完整的80轮SHA1的袭击,这是第一次在不不小于280次Hash操作这个理论界线的状况下找到碰撞。根据她们的估计,对于缩减到70轮的HA-1可以用目前的超级计算机找出“实碰撞”。她们的研究措施,能自然地运用到HA-和缩减轮数的A-1的破译分析上。 3月6日,Arjen ensr，王小云，Benne d ee 宣布，她们构造出一对

10、基于M5 Hash函数的X.9证书，产生了相似的签名。她们提出了一种构造X.509证书的措施，在她们所构造出的证书对中,由于使用了MD5算法，签名部分产生了碰撞。因此，当证书发布者使用MD5作为as函数时，发布者就会在证书中产生相似的签名，导致PKI的基本原理遭到可信性破坏。这意味着，从单独某个证书无法拟定与否存在另一种不同证书有着相似的签名。由于第二个相似签名证书存在的也许性,证书发布机构无法验证私钥的“拥有证明”，即无法验证证书中的签名。因此,使用“基于M5函数”公钥证书的任何一方都无法保证所谓的证书拥有者与否真实拥有相应的私钥。 她们也想构造一对基于SH-1的X.5证书，产生相似的签名。

11、然而，她们还做不到这一点。由于产生A碰撞还需要相称长一段时间的研究。 专家指出：A.entra和王小云等人声称已经成功地构造了两张符合X.59证书数据构造，拥有同样签名而内容却不同的证书，但该构造措施对证书的部分域要有特殊安排，签名算法RA的密钥也是按照特殊规律生成的，要用来袭击某个实际应用的电子签名系统仍需时日。而对于SHA-1算法,说其从理论上被破解都还为时过早,只能说其破解工作获得了重大突破,破解所需要运算次数已从本来设计时估算的次减少为69次,这比穷举法快了08倍,但269次运算需要0年左右的时间，在实际计算上仍然是不可行的。除了运算方面的瓶颈外,哈希函数的不可逆性决定了袭击者无法容易

12、得手,没有人可以保证通过这个发现的每个碰撞都是“可用”的碰撞。在漫长的运算后，你得到的也许涉及某些有价值的信息,也许就是理论上存在的单纯碰撞，运算瓶颈和信息匮乏都会使黑客们的种种努力成为徒劳据业内人士估计，在目前的技术条件下，2或 次运算量的范畴内的袭击措施才会为我们带来麻烦,即引起实际意义上的袭击行为。在新研究成果发布前的一段时间内,SHA-1 算法只能被称作不完美，但还是安全的。基于PKI技术进行电子签名的最后顾客,目前还不用紧张自己的签名被伪造或遭遇签名人抵赖。 此外，安全专家强调：一种算法被破译,和整个公司的安全系统被攻破，是两个不同的概念。由于随着袭击技术和能力的提高，算法也会“水涨船高”，向前发展进步。王专家所获得的成就提示密码学家研究新的算法,提示有关原则化机构要提前修改算法原则，也提示有关CA和电子签名产品开发商支持新的算法。固然,有些完全基于摘要算法的密押系统和电子货币系统,还需要尽早考虑替代方案。 美国国家技术与原则局（NIS）曾经刊登如下评论：“研究成果阐明SH-的安全性临时没有问题，但随着技术的发展，技术与原则局筹划在之前逐渐裁减SHA，换用其她更长更安全的算法(如:SHA-22,HA26,SA-38和SHA512)来替代。”