網(wǎng)絡(luò)安全導(dǎo)論 課件 第五章 hash函數(shù)與隨機(jī)數(shù)

第5章Hash函數(shù)與隨機(jī)數(shù)

討論議題5.1密碼Hash函數(shù)5.2隨機(jī)數(shù)Hash函數(shù)也稱為散列函數(shù)，它將任意長(zhǎng)度的報(bào)文映射為固定長(zhǎng)度的輸出（摘要），網(wǎng)絡(luò)安全中用的Hash函數(shù)除了要滿足單向性（計(jì)算是容易的，但求逆運(yùn)算是困難的）外，還應(yīng)具備下列兩項(xiàng)條件之一：（1)抗弱碰撞性。對(duì)固定的，要找到，使得在計(jì)算上是不可行的。（2)抗強(qiáng)碰撞性。要找到和，使得在計(jì)算上是不可行的。5.1Hash函數(shù)生日攻擊n個(gè)人，所有人的生日都不相同的概率：至少有兩個(gè)人生日相同的概率構(gòu)造方法——迭代構(gòu)造方法——merkle樹(shù)Hash函數(shù)的安全性MD-5和SHA-1算法都已經(jīng)被攻破，中國(guó)密碼學(xué)者王小云在這方面做出了很優(yōu)秀的研究成果。開(kāi)發(fā)人員應(yīng)該使用更為安全的SHA-2（SHA-256、SHA-512）算法，研究人員目前已經(jīng)開(kāi)始討論設(shè)計(jì)更安全的新Hash函數(shù)SHA-3，2011年篩選出了BLAKE、Gr?stl、JH、Keccak和Skein等5個(gè)最終候選算法，2012年10月由比利時(shí)和意大利密碼學(xué)家聯(lián)合設(shè)計(jì)的Keccak算法勝出。比特幣礦機(jī)——專門(mén)計(jì)算hash的機(jī)器5.2隨機(jī)數(shù)一、隨機(jī)數(shù)的性質(zhì)二、偽隨機(jī)數(shù)生成器三、對(duì)偽隨機(jī)數(shù)生成器的攻擊一、隨機(jī)數(shù)的性質(zhì)*currentlywithCreditSuisse很多場(chǎng)景會(huì)用到隨機(jī)數(shù)生成密鑰用于對(duì)稱密碼和消息認(rèn)證碼生成初始化向量用于分組密碼模式生成nonce生成鹽公鑰密碼中的參數(shù)目的

不讓攻擊者看穿即不可預(yù)測(cè)隨機(jī)數(shù)的性質(zhì)隨機(jī)性——不存在統(tǒng)計(jì)學(xué)偏差，是完全雜亂的序列（弱隨機(jī)）不可預(yù)測(cè)性——不能從過(guò)去的數(shù)列推測(cè)出下一個(gè)出現(xiàn)的數(shù)（強(qiáng)偽隨機(jī)）不可重現(xiàn)性——除非將數(shù)列本身保存下來(lái)，否則不能重現(xiàn)相同的數(shù)列（真隨機(jī))隨機(jī)數(shù)的性質(zhì)上述三個(gè)性質(zhì)，越往下越嚴(yán)格。具備隨機(jī)性不代表具備不可預(yù)測(cè)性具備不可預(yù)測(cè)性的函數(shù)一定具備隨機(jī)性具備不可重現(xiàn)性的隨機(jī)數(shù)，也一定具備隨機(jī)性和不可預(yù)測(cè)性密碼技術(shù)中用的隨機(jī)數(shù)，僅具備隨機(jī)性是不夠的，至少還要具備不可預(yù)測(cè)性。隨機(jī)性所謂隨機(jī)性，就是看上去是雜亂無(wú)章的，不存在統(tǒng)計(jì)學(xué)偏差。測(cè)試偽隨機(jī)數(shù)是否隨機(jī)的方法稱為隨機(jī)數(shù)測(cè)試，很多這種測(cè)試方法。雜亂無(wú)章并不代表不會(huì)被看穿，例如，用線性同余法生成的偽隨機(jī)序列，看上去是雜亂的，實(shí)際上可以被看穿。不可預(yù)測(cè)性所謂不可預(yù)測(cè)性，就是指攻擊者在知道過(guò)去生成的偽隨機(jī)序列的前提下，依然無(wú)法預(yù)測(cè)出下一個(gè)生成出來(lái)的隨機(jī)數(shù)。假定攻擊者已經(jīng)知道生成算法，在不知道種子的情況下，他依然無(wú)法預(yù)測(cè)出下一個(gè)生成的隨機(jī)數(shù)。不可預(yù)測(cè)性一般通過(guò)使用其它的密碼技術(shù)來(lái)實(shí)現(xiàn)，例如，可以使用單向hash函數(shù)的單向性和密碼的機(jī)密性來(lái)實(shí)現(xiàn)。不可預(yù)測(cè)的隨機(jī)數(shù)稱為強(qiáng)偽隨機(jī)數(shù)。不可重現(xiàn)性除了將隨機(jī)數(shù)列本身保存下來(lái)外，沒(méi)有其它方法能夠重現(xiàn)該數(shù)列，則我們稱該隨機(jī)數(shù)列具有不可重現(xiàn)性。僅靠軟件無(wú)法生成具備不可重現(xiàn)性的隨機(jī)數(shù)列，只能生成偽隨即數(shù)列，這是因?yàn)橛?jì)算機(jī)本身僅具有有限的內(nèi)部狀態(tài)。而在內(nèi)部狀態(tài)相同的條件下，軟件必然只能產(chǎn)生相同的數(shù)。軟件生成的數(shù)列在某一時(shí)刻一定會(huì)重復(fù)，首次出現(xiàn)重復(fù)之前的數(shù)列稱之為周期。要生成不可重現(xiàn)的隨機(jī)數(shù)列，需要從不可重現(xiàn)的物理現(xiàn)象中獲取信息，如鼠標(biāo)位置，鍵盤(pán)輸入的間隔、熱噪聲等。Intel的新型CPU就內(nèi)置了利用熱噪聲的隨機(jī)數(shù)生成器。不可重現(xiàn)的隨機(jī)數(shù)稱為真隨機(jī)數(shù)。5.3、偽隨機(jī)數(shù)生成器偽隨機(jī)數(shù)生成器（內(nèi)部狀態(tài)）偽隨機(jī)數(shù)生成器種子10011010110100…偽隨機(jī)數(shù)列偽隨機(jī)數(shù)生成器結(jié)構(gòu)：見(jiàn)上圖內(nèi)部狀態(tài)：為了響應(yīng)產(chǎn)生下一個(gè)偽隨機(jī)數(shù)的請(qǐng)求，偽隨機(jī)數(shù)生成器要改變自己內(nèi)部的狀態(tài)。內(nèi)部狀態(tài)不能被攻擊者知道。種子：對(duì)偽隨機(jī)數(shù)生成器的內(nèi)部狀態(tài)進(jìn)行初始化。具體的偽隨機(jī)數(shù)生成器雜亂的方法先行同余法單向hash函數(shù)法密碼法AnsiX9.17雜亂的方法算法太復(fù)雜無(wú)法用于密碼技術(shù)周期不能太短程序員如果不能理解，則無(wú)法判定是否具有不可預(yù)測(cè)性。密碼技術(shù)中使用的偽隨機(jī)數(shù)必須具備不可預(yù)測(cè)性。線行同余法

單向hash函數(shù)法單向性是支撐偽隨機(jī)數(shù)不可預(yù)測(cè)性的基礎(chǔ)（內(nèi)部狀態(tài)計(jì)數(shù)器+1）hash種子10011010110100…偽隨機(jī)數(shù)列密碼法計(jì)數(shù)器初值和密鑰為種子，密鑰的機(jī)密性是支撐。內(nèi)部狀態(tài)計(jì)數(shù)器+1計(jì)數(shù)器初值密鑰10011010110100…偽隨機(jī)數(shù)列加密ANSIX9.17其它算法10011010110100…偽隨機(jī)數(shù)列梅森算法Java.util.randomJava.security.Secure.Random5.4、對(duì)隨機(jī)數(shù)的攻擊隨機(jī)數(shù)池10011010110100…偽隨機(jī)數(shù)列隨機(jī)數(shù)不是用時(shí)才產(chǎn)生的提前產(chǎn)生放在池中的要保護(hù)隨機(jī)數(shù)池5.5隨機(jī)性能的檢測(cè)（1）5.5隨機(jī)性能的檢測(cè)（2）5.5隨機(jī)性能的檢測(cè)（3）NISTSP800-22（2010-04）網(wǎng)上可以下載軟件民政部關(guān)于隨機(jī)數(shù)的標(biāo)準(zhǔn)MZ/T093-2017中國(guó)福利彩票系統(tǒng)彩票隨機(jī)數(shù)檢驗(yàn)規(guī)范有關(guān)隨機(jī)數(shù)新聞2017-12-05新華社：國(guó)防承包商中國(guó)電子科技集團(tuán)發(fā)布了一款新型高速量子隨機(jī)數(shù)發(fā)生器，量子隨機(jī)數(shù)實(shí)時(shí)產(chǎn)，生速率大于5.4Gbps，極限值突破117Gbps，成為目前世界上產(chǎn)生速率最高的量子隨機(jī)數(shù)發(fā)生器。2018-08-29，科技日?qǐng)?bào)：我國(guó)率先實(shí)現(xiàn)基于星光隨機(jī)數(shù)的貝爾不等式檢驗(yàn)在過(guò)去幾十年中，世界各國(guó)的科研團(tuán)隊(duì)進(jìn)行了大量的實(shí)驗(yàn)去檢驗(yàn)貝爾不等式，量子力學(xué)也經(jīng)受住了所有的檢驗(yàn)。之前所有的實(shí)驗(yàn)都存在著漏洞，以往的實(shí)驗(yàn)最多只能在實(shí)驗(yàn)前10秒—5秒保證隨機(jī)數(shù)沒(méi)有關(guān)聯(lián)，這種關(guān)聯(lián)會(huì)導(dǎo)致新的漏洞，即自由選擇漏洞。星體發(fā)光的偏振、波長(zhǎng)和到達(dá)地球的時(shí)間都具有隨機(jī)性，利用這些隨機(jī)性就可以產(chǎn)生隨機(jī)數(shù)，而因?yàn)樾求w之間的距離都很遙遠(yuǎn)，這些隨機(jī)數(shù)若存在關(guān)聯(lián)，其關(guān)聯(lián)時(shí)間也會(huì)非常遙遠(yuǎn)。潘建偉團(tuán)隊(duì)發(fā)展世界最優(yōu)收集效率的糾纏光源和高效星光隨機(jī)數(shù)產(chǎn)生系統(tǒng)，利用11光年以外的星光產(chǎn)生隨機(jī)數(shù)，將自由選擇漏洞關(guān)閉時(shí)間提高了13個(gè)數(shù)量級(jí)，在同時(shí)關(guān)閉探測(cè)效率漏洞和定域性漏洞的基礎(chǔ)上，驗(yàn)證了量子力學(xué)的完