密码技术扫盲，Part 3：认证

个人博客

密码技术扫盲，Part 1：对称加密
密码技术扫盲，Part 2：非对称加密
🎯 密码技术扫盲，Part 3：认证

除了加密，还有一类用法是对信息的认证，主要包括 4 个技术

单向散列，计算 Hash 值
消息认证码，单向散列+密钥
数字签名，单向散列+私钥
证书，参见之前写的一篇《Web 安全，Part 1：PKI 扫盲》

单向散列

单向散列就是哈希函数，用于计算消息/文件的特征，可以类比于人的指纹，如果消息发生了一个比特的变化，那么计算出的散列值也不同（存在散列值相同的不同消息，但非常难找到这样的两条，称为碰撞），这让消息的接收者可以验证消息是否发生了损坏或者被篡改，保障了消息的完整性。

从原文可以计算得到散列值，但从散列值无法还原得到原文，所以称单向散列。

无论输入有多大，散列函数的输出长度都是固定的，如 SHA-256 总是输出长度为 256 位的散列值。
在这里插入图片描述

常用的单向散列函数如下，其中 SHA 系列都是美国 NIST 制定的：

MD4，计算出 128 位的散列值，不安全
MD5，计算出 128 位的散列值，不安全
SM3，计算出 256 位的散列值，安全，国内搞出来的商密标准散列函数
SHA-1，计算出 160 位的散列值，不安全
SHA-2，包括 2 个基础版本（SHA-256、SHA-512）及 4 个衍生版本
- SHA-224，将 SHA-256 的结果截掉 32 位
- SHA-256，计算出 256 位的散列值，安全，比较常用
- SHA-512/224，将 SHA-512 的结果截掉 288 位
- SHA-512/256，将 SHA-512 的结果截掉 256 位
- SHA-384，将 SHA-512 的结果截掉 128 位
- SHA-512，计算出 512 位的散列值，安全，比较常用
SHA-3，和 AES 相似，也是采用全球公开选拔的方式，最终胜者为 Keccak 算法，包含 4 种输出长度版本
- SHA3-224，计算出 224 位的散列值
- SHA3-256，计算出 256 位的散列值
- SHA3-384，计算出 384 位的散列值
- SHA3-512，计算出 512 位的散列值

一般我们在互联网上下载软件时，官方网站会同时提供散列值，可以验证软件是否完整。

单向散列虽然能保障完整性，保障消息/文件没有被篡改，但却不能防止伪装。假设恶意攻击者攻击了某软件的下载页面，同时将软件和散列值都进行了替换，普通用户是无法发现的。如果想要识别出这种伪装，就需要用到消息认证码和数字签名技术。

消息认证码

MAC（Message Authentication Code），消息认证码也是在计算散列值，但计算过程需要用到一个密钥，有了密钥的加入，就可以确认消息是持有密钥的某一方发的——除非密钥泄露。
在这里插入图片描述

消息认证码的主要实现方式：

使用单向散列函数，称为 HMAC，根据单向散列函数的不同，又有若干种组合
- HMAC-SHA1
- HMAC-SHA224
- HMAC-SHA256
- HMAC-SHA512
- HMAC-SM3
- …
使用分组密码
使用流密码
使用公钥密码

HMAC 方式用得较多，包括在 TLS 中很多协商组合也多是用 SHA 系列来计算 MAC。

大名鼎鼎的 SWIFT（Society for Worldwide Interbank Financial Telecommunication）系统在银行间传递消息时就用到了消息认证码技术 —— 这组织牛到当初俄乌战争爆发，西方国家威胁要把俄罗斯踢出 SWIFT 系统，坊间称之为金融核弹级别的制裁措施。从技术角度来说，消息认证码在其中的使用方式大略如下图所示
在这里插入图片描述