密码学-散列函数
hash散列函数
hash散列函数Hash散列函数是一种常见的密码学算法,用于将任意长度的数据映射为固定长度的散列值。
它具有快速计算、不可逆、唯一性等特点,在密码学、数据完整性验证等领域被广泛应用。
一、散列函数的定义和作用散列函数是一种确定性函数,它将输入的数据映射为固定长度的散列值。
这个散列值通常是一个较短的字符串,称为哈希值或散列码。
散列函数的主要作用是将任意长度的输入数据转化为固定长度的输出,使得无论输入数据的长度如何,其散列值的长度始终保持不变。
散列函数的应用十分广泛,其中最常见的应用之一是密码学中的消息摘要算法。
在密码学中,我们通常需要对敏感信息进行加密或验证数据的完整性。
而散列函数正是一种可以将数据转化为固定长度的摘要信息的算法。
通过对比两个数据的散列值是否相等,我们可以快速判断数据是否被篡改。
二、散列函数的特点1. 快速计算:散列函数的计算速度非常快,无论输入数据的大小如何,散列函数都能在短时间内完成计算。
2. 不可逆性:散列函数是一种单向函数,即无法通过散列值逆向推导出原始数据。
这意味着无法通过散列值来恢复原始数据,从而保护数据的安全性。
3. 唯一性:散列函数的输出值是唯一的,即不同的输入数据将会产生不同的散列值。
这保证了散列函数的稳定性和可靠性。
三、常见的散列函数算法1. MD5:MD5是一种广泛使用的散列函数,它将输入数据转化为128位的散列值。
然而,由于其算法的安全性存在缺陷,已经不再推荐作为密码学中的消息摘要算法使用。
2. SHA-1:SHA-1是一种安全性较高的散列函数,它将输入数据转化为160位的散列值。
然而,随着计算机技术的发展,SHA-1的安全性也受到了一定的威胁,不再适用于一些高安全性的场景。
3. SHA-256:SHA-256是SHA-2系列散列函数中的一种,它将输入数据转化为256位的散列值。
SHA-256具有较高的安全性和强大的抗碰撞能力,目前被广泛应用于密码学、区块链等领域。
常用加密算法学习总结之散列函数(hashfunction)
常⽤加密算法学习总结之散列函数(hashfunction)散列函数(Hash function)⼜称散列算法、哈希函数,散列函数把消息或数据压缩成摘要,使得数据量变⼩,将数据的格式固定下来。
该函数将数据打乱混合,重新创建⼀个叫做散列值(hash values)的指纹。
这种转化是⼀种压缩映射,也就是散列值的空间通常远⼩于输⼊值的空间,不同的输⼊可能会散列成相同的输出,⼆不可能从散列值来唯⼀的确定输⼊值。
简单的说就是⼀种将任意长度的消息压缩到某⼀固定长度的消息摘要函数。
散列函数性质通过使⽤单向散列函数,即便是确认⼏百MB⼤⼩的⽂件的完整性,也只要对⽐很短的散列值就可以了。
那么,单向散列函数必须具备怎样的性质呢?我们来整理⼀下。
根据任意长度的消息计算出固定长度的散列值能够快速计算出散列值计算散列值所花费的时间短。
尽管消息越长,计算散列值的时间也会越长,但如果不能在现实的时间内完成计算就没有意义了。
消息不同散列值也不同难以发现碰撞的性质称为抗碰撞性(collisionresistance)。
密码技术中所使⽤的单向散列函数,都需要具备抗碰撞性。
强抗碰撞性,是指要找到散列值相同的两条不同的消息是⾮常困难的这⼀性质。
在这⾥,散列值可以是任意值。
密码技术中的单向散列函数必须具备强抗碰撞性。
具备单向性单向散列函数必须具备单向性(one-way)。
单向性指的是⽆法通过散列值反算出消息的性质。
根据消息计算散列值可以很容易,但这条单⾏路是⽆法反过来⾛的。
散列函数的应⽤散列函数应⽤具有多样性安全加密:保护资料,散列值可⽤于唯⼀地识别机密信息。
这需要散列函数是抗碰撞(collision-resistant)的,意味着很难找到产⽣相同散列值的资料。
如数字签名、消息认证码。
数据校验:确保传递真实的信息:消息或数据的接受者确认消息是否被篡改的性质叫数据的真实性,也称为完整性。
错误校正:使⽤⼀个散列函数可以很直观的检测出数据在传输时发⽣的错误。
散列函数-抗弱碰撞性
散列函数-抗弱碰撞性
散列函数是加密算法中的一种重要组成部分,在安全性方面有着重要的作用。
散列函数的目标在于创建一种具有抗弱碰撞性的密钥,这种密钥可以保证用户隐私信息被有效地维护和保护。
为了克服散列函数可能存在的弱碰撞,设计者需要考虑一些技术问题。
比如,
将哈希函数分解为多个单独的哈希函数,使用复杂的加法运算或者递归函数可以是两个具有不同输入的哈希函数,从而在攻击中限制破坏者对敏感信息的访问权限。
此外,建议采用的哈希函数的复杂性也至关重要。
最近的研究表明,虽然布谷鸟哈希函数在弱碰撞性方面有很大的优势,但是它的复杂性要比其他类似函数低得多。
为此,应当采用更加复杂的函数,从而将破解代价高昂地提高起来。
除此之外,还有一个简单而有效的办法是通过增加秘钥长度来提高抗弱碰撞性。
在实际应用中,散列函数越长,其计算量也就越大,由此会增加难度,从而抵御攻击者的干扰。
这样一来,用户在被攻击时,其隐私信息就可以得到有效的安全性保护。
总而言之,散列函数具有抗弱碰撞性是现代密码学中的重要理论研究课题,解
决这个问题的可行方案既有复杂的数学计算技术,也有简便有效的实践应用技术。
尤其在加密建筑物的安全领域,应用散列函数一般都需要考虑其具有足够强的抗弱碰撞性,以期确保建筑物物质和信息安全能够得到最大的限制和保密。
密码学--HASH函数
A
H(mA)(m为口令)
A
H (m A )
'
H(mA)
A:口令m’
=
是 接受
否
拒绝
Hash函数在银行应用举例采用Hash函数,银行操作人员不能获取到用户的密码
THE END!
由m计算H(m)容易
H
由H(m)计算上m不容易
HASH函数的安全性要 求
② 抗弱碰撞性:对于任何给定消息及其散列 值,不可能找到另一个能映射出该散列值的 消息; input
M m H output
m’
给定H(M)
HASH函数的安全性要 求
③ 抗强碰撞性:对于任何两个不同的消息, 它们的散列值必定不同,很难找到两条消息m 和m’,使得H(m)=H(m’)。 input M m m’ H(m)=H(m’) H output
YL-1
b n
CVi-1
f
n
CVi
压缩函数基本结构
HASH填充
在生成散列值之前,对输入消息进行分 组时,如果最后一块报文不足分组长度 要求,就要进行填充。
全部填充0
填充比特 的最高位为 1,其余为0
HASH函数的应用
Hash算列函数由于其单向性和随机性的特点, 主 要运用于提供数据完整性 ( 包括数字签名、以及与 数字签名联系起来的数字指纹的应用 ) 知识证明、 密钥推导、伪随机数生成等方面。 1.数字签名的应用
HASH函数的概念
对于Hash函数H有下面六个要求:
任意长度
m 消息
(1)能够接受任意长度的消息作为输入;
(2)能够生成较短的固定长度的输出; (3)对任何消息输入都应该能够容易和快速
密码学基础知识
密码学基础知识密码学是一门研究数据的保密性、完整性以及可用性的学科,广泛应用于计算机安全领域、网络通信以及电子商务等方面。
密码学的基础知识是研究密码保密性和密码学算法设计的核心。
1. 对称加密和非对称加密在密码学中,最基本的加密方式分为两类:对称加密和非对称加密。
对称加密通常使用一个密钥来加密和解密数据,同时密钥必须保密传输。
非对称加密则使用一对密钥,分别为公钥和私钥,公钥可以公开发布,任何人都可以用它来加密数据,但只有私钥持有人才能使用私钥解密数据。
2. 散列函数散列函数是密码学中常用的一种算法,它将任意长度的消息压缩成一个固定长度的摘要,称为消息摘要。
摘要的长度通常为128位或更长,主要用于数字签名、证书验证以及数据完整性验证等。
常见的散列函数有MD5、SHA-1、SHA-256等。
3. 数字签名数字签名是一种使用非对称加密技术实现的重要保密机制,它是将发送方的消息进行加密以保证消息的完整性和真实性。
发送方使用自己的私钥对消息进行签名,然后将消息和签名一起发送给接收方。
接收方使用发送方的公钥来验证签名,如果消息被篡改或者签名无法验证,接收方将拒绝接收消息。
4. 公钥基础设施(PKI)PKI是一种包括数字证书、证书管理和证书验证的基础设施,用于管理数字证书和数字签名。
数字证书是将公钥与其拥有者的身份信息结合在一起的数字文件,它是PKI系统中最重要的组成部分之一。
数字证书通过数字签名来验证其真实性和完整性,在通信和数据传输中起着至关重要的作用。
总之,密码学是计算机科学中重要的领域之一,其应用广泛,影响深远。
掌握密码学基础知识非常有必要,对于安全性要求较高的企业和组织来说,更是至关重要。
《现代密码学》散列函数与消息鉴别ppt课件
• SHA–1产生音讯摘要的过程类似MD5,如下图
填充位
L×512 bit= N×32 bit K bit
这一步为MD5的主循环,包括四轮。每个循环 都以当前的正在处置的512比特分组Yq和128比 特缓冲值ABCD为输入,然后更新缓冲内容。
3.MD5的输出
由A、B、C、D四个存放器的输出按低位字节在 前的顺序(即以A的低字节开场、D的高字节终 了)得到128位的音讯摘要。
• 单个512比特分组的MD5主循环处置:
对散列函数必需具有的性质的了解: 系统能够存在的伪造方式 伪造方式一:假设攻击者截获某一音讯摘要h,假
设H的逆函数H-1是易求的,可算出H-1(h)=m, 满足h=H(m)。为防止这一点,必需求求散列 函数H为单向的,即计算H的逆函数H-1在计算 上是不可行的。 伪造方式二:从一个有效签名(m,y)开场,此处y= sigk(H(m))。首先计算h=H(m),并企图找到一 个m’=m满足H(m’)=H(m)。假设做到这一点, 那么(m’,y)也将为有效签名。为防止这一点, 要求函数h具有弱抗冲突特性,即,对给定音 讯m,在计算上几乎找不到不同于m的m’ ∈ X 使H(m)=H(m’)。
(1)单向性:对任何给定的码h,寻觅m使得 H(m) = h在计算上是不可行的
(2)具有弱抗碰撞性〔week collision resistance〕 :对于任何给定的音讯m, 寻觅一个与m不同的音讯m’使得 H(m)=H(m’)在计算上不可行。
(3)具有强抗碰撞性〔 strong collision resistance 〕:寻觅恣意两个不同的音讯 m和m’使得使得H(m)=H(m’)在计算上不 可行。
对散列函数的生日攻击
• 假定其输出为m比特,那么寻觅一个音讯,使其散 列值与给定散列值一样那么需求计算2m次;而寻 觅两个音讯具有一样的散列值仅需求实验2m/2个 随机的音讯。
现代密码学第7章:散列函数
散列函数的使用方式
由于加密运算的速度较慢,代价较高, 而且很多加密算法还受到专利保护,因此在 不要求保密性的情况下,方式②和③将比其 他方式更具优势。
32
2.2 散列函数应满足的条件
散列函数的目的是为需认证的数据产生 一个“指纹”。为了能够实现对数据的认证, 散列函数应满足以下条件: ① 函数的输入可以是任意长。 ② 函数的输出是固定长。 ③ 已知x,求H(据认证算法
数据认证算法是最为广泛使用的消息认 证码中的一个,已作为FIPS Publication (FIPS PUB 113)并被ANSI作为X9.17标准。 算法基于CBC模式的DES算法,其初始向量 取为零向量。需被认证的数据(消息、记录、 文件或程序)被分为64比特长的分组D1, D2,…,DN,其中最后一个分组不够64比特 的话,可在其右边填充一些0,然后按以下 过程计算数据认证码(见图2):
16
1.2 产生MAC的函数应满足的要求 假定k>n,且敌手已得到M1和MAC1,其 中MAC1=CK1(M1),敌手对所有可能的密 钥值Ki求MACi=CKi(M1),直到找到某个Ki使得 MACi=MAC1。由于不同的密钥个数为2k,因 此将产生2k个MAC,但其中仅有2n个不同, 由于2k>2n,所以有很多密钥(平均有 2k/2n=2k-n个)都可产生出正确的MAC1,而 敌手无法知道进行通信的两个用户用的是哪 一个密钥,还必须按以下方式重复上述攻击:
21
1.2 产生MAC的函数应满足的要求
考虑到MAC所存在的以上攻击类型,可知它应 满足以下要求,其中假定敌手知道函数C,但不知 道密钥K: ① 如果敌手得到M和CK(M),则构造一满足 CK(M′)=CK(M)的新消息M′在计算上是不可行的。 ② CK(M)在以下意义下是均匀分布的: 随机选取两 个消息M、M′,Pr[CK(M)=CK(M′)]=2-n,其中n为 MAC的长。 ③ 若M′是M的某个变换,即M′=f(M),例如f为插入 一个或多个比特,那么Pr[CK(M)=CK(M′)] = 2-n。
散列函数的特点
散列函数的特点散列函数是一种将任意长度的输入数据映射为固定长度输出的函数。
它具有以下几个特点:1. 唯一性:对不同的输入数据,散列函数应该生成不同的输出值。
即使输入数据只有微小的变化,输出值也应该有较大的差异。
这样可以尽量避免发生碰撞,即不同的输入数据得到相同的散列值。
2. 高效性:散列函数的计算速度应该尽可能快,以便在实际应用中能够快速地对大量数据进行散列计算。
3. 均匀性:散列函数应该能够将输入数据均匀地分布到输出空间中的各个位置,避免出现热点现象。
这样可以尽量减少碰撞的概率,提高散列的效率。
4. 不可逆性:散列函数应该是单向的,即从散列值无法推导出原始的输入数据。
这种特点可以用于加密和数据校验等领域。
5. 固定性:对于相同的输入数据,散列函数应该始终生成相同的输出值。
这样可以保证在相同的环境下对相同的数据进行散列计算时能够得到一致的结果。
散列函数的特点使得它在很多领域都有广泛的应用。
下面以密码学和数据存储为例,说明散列函数的具体应用。
在密码学中,散列函数常用于数据的完整性校验和密码的存储。
例如,在用户注册时,密码通常是以散列值的形式存储在数据库中,而不是明文保存。
当用户登录时,系统将用户输入的密码进行散列计算,并与数据库中存储的散列值进行比对。
如果散列值一致,说明输入的密码正确,用户可以获得相应的权限。
在数据存储中,散列函数可以用于快速查找和去重。
例如,在哈希表中,散列函数可以将输入数据映射为数组的索引,从而实现快速的查找操作。
另外,散列函数也可以用于去重操作。
当需要存储大量数据时,可以先对数据进行散列计算,然后将散列值作为唯一标识存储。
在后续的数据插入操作中,可以先对新数据进行散列计算,然后与已有的散列值进行比对,以避免重复存储相同的数据。
散列函数还可以用于数据的一致性校验。
例如,在文件传输过程中,可以对文件进行散列计算,并将散列值发送给接收方。
接收方可以对接收到的文件再次进行散列计算,并与发送方提供的散列值进行比对。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
散列函数常用于报文鉴别和数字签名; 散列函数是一个多对一的函数;
因此在理论上,必定存在不同的报文对应同样的散列, 但这种情况在实际中必须不可能出现(计算上不可行)
散列函数本身不是保密的;
散列函数没有密钥的参与,散列值仅仅是报文的函数
1)攻击者对合法报文创建 2m/2 个变种,所有这些变种本质上都和 合法报文表示同样的意思;
2)同样,攻击者再对伪造报文创建 2m/2 个变种; 3)比较这两个集合,以期发现任意一对能产生相同散列值的报文
对(合法报文变种、伪造报文变种),根据生日悖论,找到这样一对 报文的概率Pr > 0.5; 4)攻击者向签名者出示合法报文变种,让签名者对合法报文变种 的散列值签名;然后攻击者用伪造报文变种代替合法报文变种, 并声称签名者对伪造报文变种签名了。由于这两个报文具有相同 的散列值,因此欺骗总能成功。
与此相对,如要求选择 K 个人,其中至少有一个人的 生日和某个指定的生日相同的概率大于 0.5,问 k 的最 小值是多少?(结论是 k >= 365/2 ≈183)
生日攻击
生日悖论实际上是如下问题的特例:已知一个在 1 到 n 之 间均匀分布的整数型随机变量,若该变量的一个 k 个取值 的集合中至少有两个取值相同的概率大于 0.5,则 k 至少 多大? 该问题的一般结论是:k≈1.18 * n1/2 例如对于生日悖论,有 n=365,因此 k ≈ 22.5。
在计算上不可行(强抗碰撞)。
不同安全特性的比较
显然,强抗碰撞特性包含弱抗碰撞特性; 另外可以证明,强抗碰撞特性包含单向特
性; 因此,散列函数满足强抗碰撞特性是充分
的,安全的散列函数只需要满足强抗碰撞 特性即可。
3、生日悖论
生日悖论问题
随机选 k个人,要其中至少有两个人生日相同的概率大 于 0.5,问 k 的最小值是多少? 对这个问题直观的考虑可能认为需要 k>=100,但实际 上可以证明:只需要 23人(k=23),他们中间至少有 两人生日相同的概率就会大于0.5。这个结果比人们的 直观想象要小得多,因此被称为“悖论”。
4、散列函数的有效安全级别
综上,假设散列函数的输出为 m 比特,可以将其 抗各种攻击的有效安全级别表示为:
单向
2m
弱抗碰撞
2m
强抗碰撞
2m/2
二、散列函数的结构
1、安全散列函数的一般结构; 2、 Merkle-Damgard结构;
1、安全散列算法的一般结构
现代通用的散列函数一般都是通过将一个 有限定义域上的散列函数(也称为压缩函 数compress),通过迭代方式延拓为具有 无限定义域的散列函数;
通过“生日悖论”可以引出对散列函数的生日攻击法 通过这种方法,只要对超过 n1/2 个随机元素(n 是散列 函数输出集合的大小,如散列函数的输出为 m bit,则 n=2m)计算散列值,那么将有 0.5 的概率出现一个碰 撞。
生日攻击可能的实施步骤
可用如下方法对散列函数进行生日攻击(假设散列函数的 输出长度为 m bit):
MD5算法概况图
MD5算法步骤
1、填充报文,使报文长度(比特数)模512等于 448(即填充长度为512的整倍数减去64)
填充比特的最高位为1,其余各位均为0
2、将用64比特表示的初始报文长度附加在步骤1 的结果后,这样填充后的报文长度为512比特的 整倍数
3、初始化由4个32比特寄存器(A,B,C,D)构成的 MD缓存(共128比特),该缓存用来存放MD5的中 间及最终结果
通过这种方式构造的散列函数称为迭代散 列函数。
2、Merkle-Damgard结构
这样一个迭代结构的特例是Merkle-Damgard结构。对于 这个结构可以证明,如果压缩函数compress是抗碰撞的, 那V0=IV CVi = f(CVi-1, Yi-1) H(M) = CVL
A = 67452301
B = EFCDAB89
C = 98BADCFE
D = 10325476
MD5算法步骤
4、处理512比特(16个字)的报文分组序列
三、现代实用的散列函数
1、 MD5算法 2、 SHA-1算法 3、RIPEMD-160算法
1、MD5算法
MD5报文摘要算法由Ron Rivest设计 该算法与MD2, MD4算法为一个系列 算法输入是任意长度的报文分组,算法输
出为 128 比特的散列值,输入是按512比特 的分组进行处理的 直到最近,MD5算法是使用最为广泛的安 全散列算法 该算法也是Internet 标准 ( RFC 1321)
散列函数
Last Modified: 2008.04
一、散列函数
1、概况 2、散列函数的需求 3、生日悖论和生日攻击 4、散列函数的有效安全级别
1、散列函数
散列函数以一个变长的报文M作为输入,产生一 个定长的输出(散列码)的函数,可记为
h = H(M) ( |M| > |h| )
2、散列函数的需求
1、H能用于任意长度的数据分组; 2、H产生定长的输出; 3、对任意给定的X,H(X)要容易计算; 4、对任何给定的h,寻找 x 使得H(x)=h,在计算
上不可行(单向特性); 5、对任意给定的分组 x,寻找不等于 x 的 y,使
得 H(x)=H(y), 在计算上不可行(弱抗碰撞); 6、寻找任意的一对分组(x,y), 使得 H(x)=H(y),
生日攻击对散列函数的要求
生日攻击决定了一个仅依赖于散列值的集 合大小的散列函数的必要安全条件。
它意味着安全的消息散列的长度有一个 下界:
40 bit 的散列长度将非常不安全(因此仅仅在 220≈100万 个随机的散列值中就有 50% 的概 率发现一个碰撞);
一般建议最小的报文散列的长度为128bit,实 际中常采用160bit。