读软件开发安全之道：概念、设计与实施07密码学（上） ...

1. 加密工具

1.1. 加密工具之所以没有得到充分使用，就是由于人们往往认为密码学是一个准入门槛极高的专业范畴
1.2. 现在的加密学大部分都源自纯数学，所以只要可以大概正确使用，加密学确实行之有用

• 1.2.1. 不代表这些算法自己确实无法破解，而是需要数学范畴出现重大突破才气实现破解
  

1.3. 密码学可以提供一系列安全工具，但是要想让密码产生效果，就必须谨慎使用加密功能

• 1.3.1. 可以依靠高质量的代码库来提供完整的解决方案
  

2. 随机数

2.1. random number
2.2. 可以充当填充或者自动天生的数值，前提是这个数值必须是不可预测的
2.3. 单从安全的角度上看，我们可以认为随机数最紧张的属性就是不可预测性
2.4. 必须防止攻击者准确地猜出密码，那么不可预测性就是至关紧张的，由于可以大概被预测到的密码都是弱密码
2.5. 随机数的应用包罗认证、散列计算、加密和密钥天生，这些功能都依赖不可预测性
2.6. 伪随机数

• 2.6.1. Pseudorandom Number Generator，PRNG
  
• 2.6.2. 会使用确定性计算来天生看似无穷无尽的随机数序列
  
• 2.6.3. 天生的效果可以轻而易举地超出人类的模式检测本领，但分析和对抗软件却有大概轻松学会模仿某个PRNG
  
• 2.6.4. 鉴于这类软件实际上还是可预测的，所以在安全的环境中不应该使用这类软件
  
• 2.6.5. 鉴于计算伪随机数的过程非常快，它们还黑白常得当于大量非安全用途
  
• 2.6.5.1. 蒙特卡罗模拟
  
• 2.6.5.2. 随机分配变体网页设计来实行A/B测试（拆分测试）
  
• 2.6.5.3. 即使有人预测出了算法（这种情况的大概性不高）​，他们也不大概造成任何实际的威胁
  
• 2.6.6. π
  
• 2.6.6.1. π的数位符合统计学上的正态分布，在一样平常意义上也是完全随机的
  
• 2.6.6.2. 在另一方面，π不仅很容易计算，而且广为人知，所以这个序列就完全属于可预测的数列，它也就不再安全了
  

2.7. 加密安全的伪随机数

• 2.7.1. Cryptographically Secure Pseudorandom Number Generator，CSPRNG
  
• 2.7.1.1. “C”​，这个字母体现这个数充足安全，可以用于加密
  
• 2.7.1.2. 包罗“伪”这个字眼儿，是承认这种随机数大概同样不具备完美的随机性，但是专家们都认为这样的随机数拥有充足强大的不可预测性，所以无论用在什么场合中都是安全的
  
• 2.7.2. 如果我们对安全性的要求比较高，就应该使用这种类型的随机数
  
• 2.7.3. 只要我们认为随机数值可以预测就会减弱系统的安全性，就应该使用CSPRNG
  
• 2.7.4. 从定义上看，彻底随机的数据自己就不大概通过算法来实现，而是需要通过不可预测的物理历程来产生
  
• 2.7.4.1. 盖革计时器大概就属于这样的硬件随机数天生器(Hardware Random Number Generator，HRNG)
  
• 2.7.4.2. 它也被称为熵源(entropy source)，由于放射性衰变事件的发生是随机的
  
• 2.7.5. 软件也可以天生熵
  
• 2.7.5.1. 一样平常来说，软件天生的熵来自硬盘访问、键盘和鼠标输入事件、网络传输等需要与外部实体进行复杂交互的操纵
  
• 2.7.6. 熵源需要肯定时间来天生随机数
  
• 2.7.6.1. 如果我们要求天生的随机数既多又快，CSPRNG就会变得非常缓慢
  
• 2.7.6.2. 这就是天生安全随机数的代价
  

3. 消息摘要

3.1. message digest

• 3.1.1. 也称为散列值
  

3.2. 消息摘要(message digest)或散列函数可以充当数据的指纹，前提是不同的输入不会产生雷同的输出（即产生碰撞）​
3.3. 是一段使用单向函数从消息中计算出来的固定长度的数值

• 3.3.1. 每段消息都有专门的摘要值，只要消息自己进行了修改，摘要值也肯定会产生变化
  
• 3.3.2. 单向也是一个紧张的属性，由于单向体现摘要计算是不可逆的，所以攻击者就不大概发现不同的消息恰好计算出雷同的摘要值
  
• 3.3.3. 只要我们发现摘要值是匹配的，就体现消息的内容也没有遭到篡改
  

3.4. 如果两个不同的消息产生了雷同的摘要值，我们称之为一次碰撞(collision)
3.5. 如果攻击者发现了两个不同的输出可以天生雷同的摘要值，就代表他/她发起了一次成功的碰撞攻击(collision attack)

• 3.5.1. 摘要函数最让人绝望的攻击莫过于原像攻击(preimage attack)，即只要攻击者知道了摘要值，他/她就可以找到天生这个摘要值的输入信息
  

3.6. 加密安全的摘要算法是强大的单向函数，它可以把碰撞的大概性降到非常低，低到我们可以认为碰撞根本不大概发生

• 3.6.1. 如果我们盼望利用摘要，这个前提必不可少，由于这个前提意味着我们可以通过比较消息的摘要值来比较完整的消息
  

3.7. 使用加密的散列函数

• 3.7.1. 这种函数会用额外的密钥参数来对摘要的计算进行转换
  
• 3.7.2. 这些函数也称为消息认证码(Message Authentication Code，MAC)
  
• 3.7.2.1. 只要散列函数的密钥还是保密的，攻击者就无法伪造这些密钥
  
• 3.7.2.2. MAC通常用来防止攻击者对数据进行篡改
  

3.8. 重放攻击

• 3.8.1. 安全通讯协议也需要解决重放攻击的问题
  
• 3.8.2. 存在这个问题并不代表加密方式很弱，而是代表加密方式的使用方法不对
  
• 3.8.3. 产生这个问题的根源在于，攻击者发送的消息和订购3个零件的真实消息是一模一样的，所以从本质上看，这还是一个可预测的问题
  

3.9. 安全MAC通讯

• 3.9.1. 需要包管消息是唯一的，而且是不可预测的
  
• 3.9.2. 一种简单的解决方法是让Alice在消息中包罗一个时间戳，这样Bob就可以直接忽略那些时间戳已经过期的消息
  
• 3.9.3. 如果消息的发送频率很高，或者网络的延迟比较严重，那么时间戳就不太容易正常工作
  
• 3.9.4. 针对重放攻击，一种更安全的解决方案是在Alice发送每条消息之前，让Bob先给Alice发送一个随机数（一次性的随机值）​
  
• 3.9.4.1. Alice可以在发送的消息中携带Bob的随机值，同时也在消息中携带消息的MAC值
  
• 3.9.4.2. 这样就可以避免重放攻击，由于每次消息的随机值都会发生变化
  
• 3.9.4.3. Mallory可以截获消息，修改Bob发送的随机值，但是如果随机值发生了变化，Bob马上就会发现
  
• 3.9.5. 消息自己很短
  
• 3.9.5.1. 即使没有重放攻击，很短的消息也是暴力破解攻击的对象
  
• 3.9.5.2. 计算加密散列函数所需要的时间往往和消息数据的长度成正比
  
• 3.9.5.3. 如果消息没有达到最小长度，我们可以用随机位来填充消息，这样就可以缓解短消息的问题了
  
• 3.9.5.4. 对那些比较长的消息计算MAC值，所需时间也比较长，但是这也让Mallory实现暴力破解的时间大幅增加，直至她无法完成暴力破解，所以仍然物有所值
  
• 3.9.5.5. 愿意付出散列函数计算的本钱
  
• 3.9.5.6. 我们也应该通过填充随机位（而不是可以预测出来的伪随机数）让Mallory发起攻击的难度越来越大
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。