读软件开发安全之道：概念、设计与实施07密码学（上）

1. 加密工具

1.1. 加密工具之所以没有得到充分使用，就是因为人们往往认为密码学是一个准入门槛极高的专业领域

1.2. 如今的加密学大部分都源自纯数学，所以只要能够正确使用，加密学确实行之有效

• 1.2.1. 不代表这些算法本身确实无法破解，而是需要数学领域出现重大突破才能实现破解

1.3. 密码学可以提供一系列安全工具，但是要想让密码产生效果，就必须谨慎使用加密功能

• 1.3.1. 可以依靠高质量的代码库来提供完整的解决方案

2. 随机数

2.1. random number

2.2. 可以充当填充或者自动生成的数值，前提是这个数值必须是不可预测的

2.3. 单从安全的角度上看，我们可以认为随机数最重要的属性就是不可预测性

2.4. 必须防止攻击者准确地猜出密码，那么不可预测性就是至关重要的，因为能够被预测到的密码都是弱密码

2.5. 随机数的应用包括认证、散列计算、加密和密钥生成，这些功能都依赖不可预测性

2.6. 伪随机数

• 2.6.1. Pseudorandom Number Generator，PRNG

• 2.6.2. 会使用确定性计算来生成看似无穷无尽的随机数序列

• 2.6.3. 生成的结果可以轻而易举地超出人类的模式检测能力，但分析和对抗软件却有可能轻松学会模仿某个PRNG

• 2.6.4. 鉴于这类软件实际上还是可预测的，所以在安全的环境中不应该使用这类软件

• 2.6.5. 鉴于计算伪随机数的过程非常快，它们还是非常适合于大量非安全用途

• 2.6.5.1. 蒙特卡罗模拟

• 2.6.5.2. 随机分配变体网页设计来执行A/B测试（拆分测试）

• 2.6.5.3. 即使有人预测出了算法（这种情况的可能性不高）​，他们也不可能造成任何实际的威胁

• 2.6.6. π

• 2.6.6.1. π的数位符合统计学上的正态分布，在一般意义上也是完全随机的

• 2.6.6.2. 在另一方面，π不仅很容易计算，而且广为人知，所以这个序列就完全属于可预测的数列，它也就不再安全了

2.7. 加密安全的伪随机数

• 2.7.1. Cryptographically Secure Pseudorandom Number Generator，CSPRNG

• 2.7.1.1. “C”​，这个字母表示这个数足够安全，可以用于加密

• 2.7.1.2. 包含“伪”这个字眼儿，是承认这种随机数可能同样不具备完美的随机性，但是专家们都认为这样的随机数拥有足够强大的不可预测性，所以无论用在什么场合中都是安全的

• 2.7.2. 如果我们对安全性的要求比较高，就应该使用这种类型的随机数

• 2.7.3. 只要我们认为随机数值可以预测就会削弱系统的安全性，就应该使用CSPRNG

• 2.7.4. 从定义上看，彻底随机的数据本身就不可能通过算法来实现，而是需要通过不可预测的物理进程来产生

• 2.7.4.1. 盖革计时器可能就属于这样的硬件随机数生成器(Hardware Random Number Generator，HRNG)

• 2.7.4.2. 它也被称为熵源(entropy source)，因为放射性衰变事件的发生是随机的

• 2.7.5. 软件也可以生成熵

• 2.7.5.1. 一般来说，软件生成的熵来自硬盘访问、键盘和鼠标输入事件、网络传输等需要与外部实体进行复杂交互的操作

• 2.7.6. 熵源需要一定时间来生成随机数

• 2.7.6.1. 如果我们要求生成的随机数既多又快，CSPRNG就会变得非常缓慢

• 2.7.6.2. 这就是生成安全随机数的代价

3. 消息摘要

3.1. message digest

• 3.1.1. 也称为散列值

3.2. 消息摘要(message digest)或散列函数可以充当数据的指纹，前提是不同的输入不会产生相同的输出（即产生碰撞）​

3.3. 是一段使用单向函数从消息中计算出来的固定长度的数值

• 3.3.1. 每段消息都有专门的摘要值，只要消息本身进行了修改，摘要值也一定会产生变化

• 3.3.2. 单向也是一个重要的属性，因为单向表示摘要计算是不可逆的，所以攻击者就不可能发现不同的消息正好计算出相同的摘要值

• 3.3.3. 只要我们发现摘要值是匹配的，就表示消息的内容也没有遭到篡改

3.4. 如果两个不同的消息产生了相同的摘要值，我们称之为一次碰撞(collision)

3.5. 如果攻击者发现了两个不同的输出可以生成相同的摘要值，就代表他/她发起了一次成功的碰撞攻击(collision attack)

• 3.5.1. 摘要函数最让人绝望的攻击莫过于原像攻击(preimage attack)，即只要攻击者知道了摘要值，他/她就可以找到生成这个摘要值的输入信息

3.6. 加密安全的摘要算法是强大的单向函数，它可以把碰撞的可能性降到非常低，低到我们可以认为碰撞根本不可能发生

• 3.6.1. 如果我们希望利用摘要，这个前提必不可少，因为这个前提意味着我们可以通过比较消息的摘要值来比较完整的消息

3.7. 使用加密的散列函数

• 3.7.1. 这种函数会用额外的密钥参数来对摘要的计算进行转换

• 3.7.2. 这些函数也称为消息认证码(Message Authentication Code，MAC)

• 3.7.2.1. 只要散列函数的密钥还是保密的，攻击者就无法伪造这些密钥

• 3.7.2.2. MAC通常用来防止攻击者对数据进行篡改

3.8. 重放攻击

• 3.8.1. 安全通信协议也需要解决重放攻击的问题

• 3.8.2. 存在这个问题并不代表加密方式很弱，而是代表加密方式的使用方法不对

• 3.8.3. 产生这个问题的根源在于，攻击者发送的消息和订购3个零件的真实消息是一模一样的，所以从本质上看，这还是一个可预测的问题

3.9. 安全MAC通信

• 3.9.1. 需要保证消息是唯一的，而且是不可预测的

• 3.9.2. 一种简单的解决方法是让Alice在消息中包含一个时间戳，这样Bob就可以直接忽略那些时间戳已经过期的消息

• 3.9.3. 如果消息的发送频率很高，或者网络的延迟比较严重，那么时间戳就不太容易正常工作

• 3.9.4. 针对重放攻击，一种更安全的解决方案是在Alice发送每条消息之前，让Bob先给Alice发送一个随机数（一次性的随机值）​

• 3.9.4.1. Alice可以在发送的消息中携带Bob的随机值，同时也在消息中携带消息的MAC值

• 3.9.4.2. 这样就可以避免重放攻击，因为每次消息的随机值都会发生变化

• 3.9.4.3. Mallory可以截获消息，修改Bob发送的随机值，但是如果随机值发生了变化，Bob马上就会发现

• 3.9.5. 消息本身很短

• 3.9.5.1. 即使没有重放攻击，很短的消息也是暴力破解攻击的对象

• 3.9.5.2. 计算加密散列函数所需要的时间往往和消息数据的长度成正比

• 3.9.5.3. 如果消息没有达到最小长度，我们可以用随机位来填充消息，这样就可以缓解短消息的问题了

• 3.9.5.4. 对那些比较长的消息计算MAC值，所需时间也比较长，但是这也让Mallory实现暴力破解的时间大幅增加，直至她无法完成暴力破解，所以仍然物有所值

• 3.9.5.5. 愿意付出散列函数计算的成本

• 3.9.5.6. 我们也应该通过填充随机位（而不是可以预测出来的伪随机数）让Mallory发起攻击的难度越来越大