2023年7月31日发(作者:)
/2011年第O5期 在当前信息安全领域中的应用研究 许洗或 (南京铁道职业技术学院苏州校区.江苏苏州215137) 摘要:密码技术在信息安全中有着举足轻重的作用:文章介绍了密码技术的相关理论及应用现状,并 以应用比较广泛的单向散列函数MD5为例介绍了单向散列函数在当前的应用,特别以网页设计中用户认证 为例,对单向散列函数MD5所起的作用进行了比较 关键词:密码技术;密钥;单向散列函数;MD5;用户认证 中图分类号:TP393.08 文献标识码:A 文章编号:1671一l122(2011)05—0041—03 Shallow Re-debate the Password Techniques in the Field of Information Security in the Current Application XU Guang—yu 【Jvd ing Institute ofRailway Technology,Suzhou Jiangsu 2 1 5 1 37,China) Abstract:Password technology has fl pivotal role in information security.This paper introduces the password techniques related theory and application status,and to apply more extensive one—way Hash function MD5 is presented one—way Hash function in the current applications in web page design,especially for example,user authentication of one—way Hash function MD5 played the role are compared. Key words:p-assword technology;Key;One—way Hash function;MD5;User authentication 1现实中的密码应用 1.1日常中的密码应用 日常生活中很多方面都与计算机网络相关,自然生活中应用密码的场合也很多,以致于许多人抱怨密码太多,记不住。也许 真有人记不住密码,丁是把密码写在了纸上,甚至把密码和相关物品放在了一起。银行一直提示,要遵守一米线的规定;在ATM 机上取款要提防他人偷窥密码等。所有的这些都指出J 密码的重要性,密码是一串“保密”的代码,如果能够随意让他人看到, 还叫“密码”吗? 1.2专业技术领域中的密码应用 用ASP技术编过网页的人都知道,ASP技术的使用非常简单实用,但简单易用也带来了很多安全风险。存用户登录的应1}}J中,如 果不对密码进行加密,或存程序中加以判断控制,那用户登录能够轻而易举地破解=存很多银行的网银中,口令的输入同样并不是一个 简单的密码框,而是川专门的控件来支持完成的,甚至还配有加密狗或者动态口令 ,以加强安全措施。信息需要安全地存储,安全 地传输;电子商务的快速发展,也需要一种安全可靠的身份认证和数宁签名体系;网络上病毒和小马泛滥成灾,严重威胁正常的T作与 生活;当前我国的知识产权意识薄弱,应在技术上保护数字产品不被非法拷贝等 这些都常常涉及信息安全需要解决的问题,而基础 则是密码。综 所述,密码技术在现实中应用相当广泛,充分体现了密码技术在 前信息安全领域的重要性。而在应用密码技术的同 时需要有个清楚的认识:安全与方便是—对矛盾体。对外公开的接L】越多,漏洞也许越多;系统的安全性能,取决于最不安全的那个接口。 2密码技术相关常识 2.1密码技术的基本内容 1)明文——明文是指加密前的原始信息。比如前面所说ASP网页的用户登录认证中,如果输入的“密码”不进行加密处理, 那它存储在数据库中的,或者在后台处理的过程巾都是“明文” 2)密文——密文是指明文被加密后的信息,一般是杂乱无章、 ● 收稿时间:2()11一f】4—1f) 作者简介:许洗或(1971一),男,江苏,主要研究方向:网络管理、网络安全、网页设计。 2011年第O5期 毫无意义的字符序列,不经解密使人难以理解。3)加密—— 加密是指将明文经过加密算法变换成密文。4)解密——解密 是指把密文用解密算法变换成明文,是加密的逆运算。5)密 钥和算法——密钥是指控制加密算法和解密算法实现的关键 信息,加密密钥和解密密钥可以相同也可不相同,一般由通信 双方所掌握。算法是指明文和密文之间的变换法则。密钥和 算法是密码系统中的两个基本因素,在某种意义上,可将算 法视作常量,它可以被公开;将密钥视为变量,一般应予以保 密。在公开密钥密码体制中公开的也仅是加密密钥,解密密 钥仍是保密的。 2.2密码的功能 1)通信中的数据保护。在通信中应用密码对数据进行保 护可以防止传输中的信息被非法窃听导致失密;也可以防止信 息的内容被恶意攻击者非法篡改;同样也可以防止入侵者伪 造假目标。2)对存储信息的保护。对重要数据或文件进行加 密后存储,可以保证只有掌握解密密钥的合法用户才能存取 数据,可以防止非法或越权的渎、写操作。3)通信双方的身 份验证 身份识别是阻止各种危害进入系统的各个部分,维 护系统的安全的第一道关卡。当用户登录某系统时,必须要用 户名和密码口令同时正确才行,否则系统将拒绝提供服务。在 双方通信过程中,密码还可以对存取数据和发来信息的对方 的身份进行确认,即用户鉴别。4)不可抵赖性。密码技术包 含了对源和目的双方的证明,体现在数字签名服务中。 2.3常见的一些密码算法 1)对称密钥体系。用户使用同一个密钥加密和解密。它 的特. 是保密强度很高,但对密钥的管理和传递必须极为安 全可靠,因而难以应用于开放系统。典型的算法如DES算法。 2)公开密钥体系。加密者和解密者各自使用不同的密钥。它 的特点是对密钥的管理和传递相当简单,能够适用于开放系 统的环境,可以方便、安全地用于数字签名和验证。典型算 法如RSA算法。3)散列函数。所谓散列函数(也称哈希函数) 是对明文进行运算后,可以生成一个定长的摘要,明文发生 改变后,该摘要值变化较大,该函数是一个单向函数,由明 文计算摘要很容易,由摘要计算出明文是不可能的。 它的典型算法有:MD5、SHA等算法。主要用途包括消 息摘要、数字签名、系统登录认证等。 、 3散列函数的常见应用 3.1单向散列函数的特点 根据单向散列函数的安全水平,可以分成两类:强碰撞自 由的单向散列函数和弱碰撞的单向散列函数。强碰撞自由的单 向散列函数比弱碰撞的单向散列函数安全性要高。 单向散列函数具有如下一些特点:1)单向散列函数能够 处理任意长度的明文,其生成的消息摘要数据块长度具有固 定的大小,而且对同一个消息反复执行该函数总是得到相同 1 42 的信息摘要。2)单向散列函数生成的信息摘要是不可预见的。 消息摘要看起来和原始数据没有任何的关系,而且原始数据 任何微小变化都会对生成的信息摘要产生很大的影响。3)具 有不可逆性,即通过生成的报文摘要得到原始数据的任何信 息在计算上是完全不可行的。 在实际系统中,应用最多的是消息摘要算法MD5和安全 散列算法SHA系列。它们具有相似的原理和方法,下面就来 谈谈MD5算法的应用。 3.2 MD5算法的原理(算法步骤) 1)对明文输入按512位分组,最后不足部分填充使其成 为512位的整数倍,且最后一组的后64位用来表示信息长 度对2的64次方求得的余数,填充数字图样为(二进制的 100……0),每个分组我们标记为Yq。2)每轮输出为128位, 用四个32位字:ABCD表示,初值为:A=01234567,B= 89ABCDEF,C=FEDCBA98,D=76543210.3)对每个512 位进行分组迭代运算,参与去处的常数为:T[1,…,64],参 与的四个函数为: F(x,y,z)=((x)&(y))I((~x)&(z)) F(x,y,z)=((xj&(z))J((y)&(-z)) H(x,y,z)=(x) (v) (Z) I(x z):(y) ((X)I(~z)) 以上描述为C语言描述,&是与,1是或,~是或, 是异或。 3.3 MD5算法的应用 MD5加密算法由于其具有较好的安全性,加之商业也可 以免费使用该算法,因此该加密算法被广泛使用,MD5算法 主要运用在数字签名、文件完整性验证以及口令加密等方面。 3.3.1用户的注册登录 根据各部门单位信息化建设的需要,各部门单位都建立 了自己的网站和管理系统。信息数据的安全越来越受到人们 的关注。在系统中,经常需要将用户权限信息存储于数据库, 当不同的用户登录时,根据数据库中的信息进行相关验证。为 了增强安全性,我们有必要对数据库中的重要资料进行加密, 这样既使攻击者得到了加密的用户信息,如果没有解密算法, 也一样不能获得用户的真实信息。现在网站一般采用MD5加 密算法对用户的重要信息进行加密。 用户在注册时所提交的信息(密码)是利用MD5算法加 密之后再保存到数据库中,这样可以有效防止用户密码的泄露, 既使是黑客非法获得加密密文也没有办法直接查看到用户的 密码,有效地保护了系统的安全。在用户登录时,进行身份验证, 必须对输入的密码重新进行MD5加密,然后再与数据库中的 信息进行比对,如相同便可进入系统。 在网站后台,通常的用户认证SQL语句是类似于这样 的:where llsername ̄AA and password=BB,也就是两个条件 同时成立就认证成功,但试想,如果其中的BB(用户输入的 密码)被用户刻意改变,使得整个SQL认证语句成了:where 201 1年第O5期 usernanle=AA and password=CC or 1=1,结果会是这个条件 永远为真。也就是如果用户认证程序中不采用MD5算法(或 类似功能),黑客可能不用得到后台数据库就能进入系统。 在目前的信息系统中,对MD5加密方法的利用主要通过 存脚本页面中引用包含MD5加密函数代码的文件,以asp脚 4关于密码的法律与政策 4。1关于密码的相关法律 在我国,有《商用密码管理条例》、《计算机信息网络国际 联网保密管理规定》等与密码相关的法律法规。同时各省市 也有各自的相关的地方法律规定。 本为例,在需要调用的页面中加入rod5.asp,rod5.asp为MD5 加密函数代码文件,然后直接调用函数MD5(sMessage)即可, MD5加密后的值有16位和32位之分。如果将加密的MD5 在《商用密码管理条例》中有以下的规定:1)商用密码 产品由国家密码管理机构许可的单位销售;2)销售商用密码 值保存在数据库,则肯定比把密码直接放在数据库要安全得 多。当然也并不是百分百保险,当网站存在注入或者其它漏洞 时,入侵者极有可能获取用户的密码值,如果用户实际密码 位数在6位以下,通过MD5在线查询或者暴力破解可以得到 密码。笔者试过,当用户密码是5位且密码全是英文字母时, 对MD5加密后的密文进行暴力破解时间不超过半小时。所以, 用户如果能够增强密码复杂度,那就更保险了,比如密码位数 超过8位且加人一些生僻符号(如@#%等符号)。 3.3.2对文件验证完整性 同样的道理,用MD5还可以来对文件进行加密验证,通 过识别文件其“数字签名”,我们可以判断它们是否为同一文件, 是否在传递过程中被修改过。所以,现在一些提供文件下载 的网页在提供下载的同时还提供这些文件的MD5码或SHA 码等,以方便用户验证。 . 前面已经提到“原始数据任何微小变化都会对生成的信 息摘要产生很大的影响”,所以当有人在文件传递过程中对文 件进行了哪怕相当微小的改动,那最后产生的信息摘要都不 会是一样的。在网络上的文件下载中经常可以看到文件的提供 者在提供文件的同时,还提供了关于此文件的MD5(或其它的 算法)验证值,下载者只要进行比较即可判定来源是否“正宗” (有时候不一定是人为修改,如果感染病毒也会导致同样的结 果)。这一类相关的软件较多,比如winmd5、HashCalc等。 3.4散列函数的破解问题 MD5的安全性弱点在于其压缩函数的冲突已经找到。1995 年有论文指出,花费100万美元,设计寻找冲突的特制硬件设备, 平均在24天内可以找出一个MD5的冲突,即找到两个不同的 报文以产生同样的报文摘要。但是,对于一个给定的报文摘要, 要找到另外一个报文产生同样的报文摘要是不可行的。 中国山东大学教授王小云在2004年8月17 Et的美国加州 国际密码学会议上公布,找到MD5碰撞对,并提供了找碰撞 对的算法。在2005年2月也找到了SHA一1的碰撞对。王小 云的研究成果表明,理论电子签名可以伪造,必须及时添加 限制条件,或者重新选用更为安全的密码标准,以保电子商 务的安全。就目前而言,现阶段消息摘要和电子商务安全依然 是安全的,因为王小云的破解是强无碰撞的,碰撞镜像不是 期望的。目前,MD5算法仍被认为是最安全的哈希算法之一, 在很多领域被当成了标准使用。 产品应向国家密码管理机构提出申请且须具备相关条件;3) 销售商用密码产品应记录购买者的用途等详细情况;4)进出 口密码相关产品须经国家密码管理机构批准。 可以看出,我国对密码的应用管理也有着及其严格的要求。 但是,如果仔细比较我国的相关法律法规,会发现存在 着“重复管理,处罚不同”的问题,其中也肯定会出现一定的 漏洞,所以我国在这方面的法律法规也亟需继续完善。 4。2各国关于密码的政策 1)俄罗斯的密码政策。进口国外制造的加密设备需要获 得许可证,加密技术的出口受同家的严格控制。1995年4月, 叶利钦总统发布卜条命令,禁止未经授权的加密。国有企业 需要有许可证才能使用加密技术(包括身份验证和保密,存 储和传输)。没有获得许可证,禁止开发、实现或运行加密技术。 2)美国的密码政策。对于加密技术没有进口限制,其加 密技术出口限制极严格。从上面可以看fl{,各国对本国的密码 技术出口有着严格的限制,进而也说明密码技术对一个国家而 言的重要程度。 5结束语 作为信息网络安全的关键技术一一密码技术,近年来空 前活跃,由于计算机运算速度的不断提高,各种密钥算法也 面临着新的密码体制,众多密码新技术正处于不断探索中。 信息技术的应用在我国越来越广泛,其安全问题越来越 突出,网络的安全只是相对而言,网络没有绝对安全。尽管有 各类法律的保障,但数据安全不能太过于依靠法律法规。法 律只能在安全方面对相关人员增加约束力,而无法杜绝违法 行为的产生。 信息安全问题涉及到国家安全、社会公共安全,世界各国已 经认识到信息安全涉及重大国家利益,是互联网经济的制高点, 也是推动互联网发展、电子政务和电子商务的关键,包括密码技 术在内的信息安全技术将得到更大的发展。黩(责编程斌) 参考文献: [1]公安部计算机信息系统安全技术[M]北京:群众出版社, 1998.6 [2】百度文库单向散列函数的原理一实现和在密码学中的应用【EB/ OE]http://wenku.baidu com/view/909c491 1 cc793lb765ce15eO.html, 2001 04-28 【3】石淑华,池瑞楠.计算机网络安全技术_M】北京:人民邮电出版 社.200812. r
2023年7月31日发(作者:)
/2011年第O5期 在当前信息安全领域中的应用研究 许洗或 (南京铁道职业技术学院苏州校区.江苏苏州215137) 摘要:密码技术在信息安全中有着举足轻重的作用:文章介绍了密码技术的相关理论及应用现状,并 以应用比较广泛的单向散列函数MD5为例介绍了单向散列函数在当前的应用,特别以网页设计中用户认证 为例,对单向散列函数MD5所起的作用进行了比较 关键词:密码技术;密钥;单向散列函数;MD5;用户认证 中图分类号:TP393.08 文献标识码:A 文章编号:1671一l122(2011)05—0041—03 Shallow Re-debate the Password Techniques in the Field of Information Security in the Current Application XU Guang—yu 【Jvd ing Institute ofRailway Technology,Suzhou Jiangsu 2 1 5 1 37,China) Abstract:Password technology has fl pivotal role in information security.This paper introduces the password techniques related theory and application status,and to apply more extensive one—way Hash function MD5 is presented one—way Hash function in the current applications in web page design,especially for example,user authentication of one—way Hash function MD5 played the role are compared. Key words:p-assword technology;Key;One—way Hash function;MD5;User authentication 1现实中的密码应用 1.1日常中的密码应用 日常生活中很多方面都与计算机网络相关,自然生活中应用密码的场合也很多,以致于许多人抱怨密码太多,记不住。也许 真有人记不住密码,丁是把密码写在了纸上,甚至把密码和相关物品放在了一起。银行一直提示,要遵守一米线的规定;在ATM 机上取款要提防他人偷窥密码等。所有的这些都指出J 密码的重要性,密码是一串“保密”的代码,如果能够随意让他人看到, 还叫“密码”吗? 1.2专业技术领域中的密码应用 用ASP技术编过网页的人都知道,ASP技术的使用非常简单实用,但简单易用也带来了很多安全风险。存用户登录的应1}}J中,如 果不对密码进行加密,或存程序中加以判断控制,那用户登录能够轻而易举地破解=存很多银行的网银中,口令的输入同样并不是一个 简单的密码框,而是川专门的控件来支持完成的,甚至还配有加密狗或者动态口令 ,以加强安全措施。信息需要安全地存储,安全 地传输;电子商务的快速发展,也需要一种安全可靠的身份认证和数宁签名体系;网络上病毒和小马泛滥成灾,严重威胁正常的T作与 生活;当前我国的知识产权意识薄弱,应在技术上保护数字产品不被非法拷贝等 这些都常常涉及信息安全需要解决的问题,而基础 则是密码。综 所述,密码技术在现实中应用相当广泛,充分体现了密码技术在 前信息安全领域的重要性。而在应用密码技术的同 时需要有个清楚的认识:安全与方便是—对矛盾体。对外公开的接L】越多,漏洞也许越多;系统的安全性能,取决于最不安全的那个接口。 2密码技术相关常识 2.1密码技术的基本内容 1)明文——明文是指加密前的原始信息。比如前面所说ASP网页的用户登录认证中,如果输入的“密码”不进行加密处理, 那它存储在数据库中的,或者在后台处理的过程巾都是“明文” 2)密文——密文是指明文被加密后的信息,一般是杂乱无章、 ● 收稿时间:2()11一f】4—1f) 作者简介:许洗或(1971一),男,江苏,主要研究方向:网络管理、网络安全、网页设计。 2011年第O5期 毫无意义的字符序列,不经解密使人难以理解。3)加密—— 加密是指将明文经过加密算法变换成密文。4)解密——解密 是指把密文用解密算法变换成明文,是加密的逆运算。5)密 钥和算法——密钥是指控制加密算法和解密算法实现的关键 信息,加密密钥和解密密钥可以相同也可不相同,一般由通信 双方所掌握。算法是指明文和密文之间的变换法则。密钥和 算法是密码系统中的两个基本因素,在某种意义上,可将算 法视作常量,它可以被公开;将密钥视为变量,一般应予以保 密。在公开密钥密码体制中公开的也仅是加密密钥,解密密 钥仍是保密的。 2.2密码的功能 1)通信中的数据保护。在通信中应用密码对数据进行保 护可以防止传输中的信息被非法窃听导致失密;也可以防止信 息的内容被恶意攻击者非法篡改;同样也可以防止入侵者伪 造假目标。2)对存储信息的保护。对重要数据或文件进行加 密后存储,可以保证只有掌握解密密钥的合法用户才能存取 数据,可以防止非法或越权的渎、写操作。3)通信双方的身 份验证 身份识别是阻止各种危害进入系统的各个部分,维 护系统的安全的第一道关卡。当用户登录某系统时,必须要用 户名和密码口令同时正确才行,否则系统将拒绝提供服务。在 双方通信过程中,密码还可以对存取数据和发来信息的对方 的身份进行确认,即用户鉴别。4)不可抵赖性。密码技术包 含了对源和目的双方的证明,体现在数字签名服务中。 2.3常见的一些密码算法 1)对称密钥体系。用户使用同一个密钥加密和解密。它 的特. 是保密强度很高,但对密钥的管理和传递必须极为安 全可靠,因而难以应用于开放系统。典型的算法如DES算法。 2)公开密钥体系。加密者和解密者各自使用不同的密钥。它 的特点是对密钥的管理和传递相当简单,能够适用于开放系 统的环境,可以方便、安全地用于数字签名和验证。典型算 法如RSA算法。3)散列函数。所谓散列函数(也称哈希函数) 是对明文进行运算后,可以生成一个定长的摘要,明文发生 改变后,该摘要值变化较大,该函数是一个单向函数,由明 文计算摘要很容易,由摘要计算出明文是不可能的。 它的典型算法有:MD5、SHA等算法。主要用途包括消 息摘要、数字签名、系统登录认证等。 、 3散列函数的常见应用 3.1单向散列函数的特点 根据单向散列函数的安全水平,可以分成两类:强碰撞自 由的单向散列函数和弱碰撞的单向散列函数。强碰撞自由的单 向散列函数比弱碰撞的单向散列函数安全性要高。 单向散列函数具有如下一些特点:1)单向散列函数能够 处理任意长度的明文,其生成的消息摘要数据块长度具有固 定的大小,而且对同一个消息反复执行该函数总是得到相同 1 42 的信息摘要。2)单向散列函数生成的信息摘要是不可预见的。 消息摘要看起来和原始数据没有任何的关系,而且原始数据 任何微小变化都会对生成的信息摘要产生很大的影响。3)具 有不可逆性,即通过生成的报文摘要得到原始数据的任何信 息在计算上是完全不可行的。 在实际系统中,应用最多的是消息摘要算法MD5和安全 散列算法SHA系列。它们具有相似的原理和方法,下面就来 谈谈MD5算法的应用。 3.2 MD5算法的原理(算法步骤) 1)对明文输入按512位分组,最后不足部分填充使其成 为512位的整数倍,且最后一组的后64位用来表示信息长 度对2的64次方求得的余数,填充数字图样为(二进制的 100……0),每个分组我们标记为Yq。2)每轮输出为128位, 用四个32位字:ABCD表示,初值为:A=01234567,B= 89ABCDEF,C=FEDCBA98,D=76543210.3)对每个512 位进行分组迭代运算,参与去处的常数为:T[1,…,64],参 与的四个函数为: F(x,y,z)=((x)&(y))I((~x)&(z)) F(x,y,z)=((xj&(z))J((y)&(-z)) H(x,y,z)=(x) (v) (Z) I(x z):(y) ((X)I(~z)) 以上描述为C语言描述,&是与,1是或,~是或, 是异或。 3.3 MD5算法的应用 MD5加密算法由于其具有较好的安全性,加之商业也可 以免费使用该算法,因此该加密算法被广泛使用,MD5算法 主要运用在数字签名、文件完整性验证以及口令加密等方面。 3.3.1用户的注册登录 根据各部门单位信息化建设的需要,各部门单位都建立 了自己的网站和管理系统。信息数据的安全越来越受到人们 的关注。在系统中,经常需要将用户权限信息存储于数据库, 当不同的用户登录时,根据数据库中的信息进行相关验证。为 了增强安全性,我们有必要对数据库中的重要资料进行加密, 这样既使攻击者得到了加密的用户信息,如果没有解密算法, 也一样不能获得用户的真实信息。现在网站一般采用MD5加 密算法对用户的重要信息进行加密。 用户在注册时所提交的信息(密码)是利用MD5算法加 密之后再保存到数据库中,这样可以有效防止用户密码的泄露, 既使是黑客非法获得加密密文也没有办法直接查看到用户的 密码,有效地保护了系统的安全。在用户登录时,进行身份验证, 必须对输入的密码重新进行MD5加密,然后再与数据库中的 信息进行比对,如相同便可进入系统。 在网站后台,通常的用户认证SQL语句是类似于这样 的:where llsername ̄AA and password=BB,也就是两个条件 同时成立就认证成功,但试想,如果其中的BB(用户输入的 密码)被用户刻意改变,使得整个SQL认证语句成了:where 201 1年第O5期 usernanle=AA and password=CC or 1=1,结果会是这个条件 永远为真。也就是如果用户认证程序中不采用MD5算法(或 类似功能),黑客可能不用得到后台数据库就能进入系统。 在目前的信息系统中,对MD5加密方法的利用主要通过 存脚本页面中引用包含MD5加密函数代码的文件,以asp脚 4关于密码的法律与政策 4。1关于密码的相关法律 在我国,有《商用密码管理条例》、《计算机信息网络国际 联网保密管理规定》等与密码相关的法律法规。同时各省市 也有各自的相关的地方法律规定。 本为例,在需要调用的页面中加入rod5.asp,rod5.asp为MD5 加密函数代码文件,然后直接调用函数MD5(sMessage)即可, MD5加密后的值有16位和32位之分。如果将加密的MD5 在《商用密码管理条例》中有以下的规定:1)商用密码 产品由国家密码管理机构许可的单位销售;2)销售商用密码 值保存在数据库,则肯定比把密码直接放在数据库要安全得 多。当然也并不是百分百保险,当网站存在注入或者其它漏洞 时,入侵者极有可能获取用户的密码值,如果用户实际密码 位数在6位以下,通过MD5在线查询或者暴力破解可以得到 密码。笔者试过,当用户密码是5位且密码全是英文字母时, 对MD5加密后的密文进行暴力破解时间不超过半小时。所以, 用户如果能够增强密码复杂度,那就更保险了,比如密码位数 超过8位且加人一些生僻符号(如@#%等符号)。 3.3.2对文件验证完整性 同样的道理,用MD5还可以来对文件进行加密验证,通 过识别文件其“数字签名”,我们可以判断它们是否为同一文件, 是否在传递过程中被修改过。所以,现在一些提供文件下载 的网页在提供下载的同时还提供这些文件的MD5码或SHA 码等,以方便用户验证。 . 前面已经提到“原始数据任何微小变化都会对生成的信 息摘要产生很大的影响”,所以当有人在文件传递过程中对文 件进行了哪怕相当微小的改动,那最后产生的信息摘要都不 会是一样的。在网络上的文件下载中经常可以看到文件的提供 者在提供文件的同时,还提供了关于此文件的MD5(或其它的 算法)验证值,下载者只要进行比较即可判定来源是否“正宗” (有时候不一定是人为修改,如果感染病毒也会导致同样的结 果)。这一类相关的软件较多,比如winmd5、HashCalc等。 3.4散列函数的破解问题 MD5的安全性弱点在于其压缩函数的冲突已经找到。1995 年有论文指出,花费100万美元,设计寻找冲突的特制硬件设备, 平均在24天内可以找出一个MD5的冲突,即找到两个不同的 报文以产生同样的报文摘要。但是,对于一个给定的报文摘要, 要找到另外一个报文产生同样的报文摘要是不可行的。 中国山东大学教授王小云在2004年8月17 Et的美国加州 国际密码学会议上公布,找到MD5碰撞对,并提供了找碰撞 对的算法。在2005年2月也找到了SHA一1的碰撞对。王小 云的研究成果表明,理论电子签名可以伪造,必须及时添加 限制条件,或者重新选用更为安全的密码标准,以保电子商 务的安全。就目前而言,现阶段消息摘要和电子商务安全依然 是安全的,因为王小云的破解是强无碰撞的,碰撞镜像不是 期望的。目前,MD5算法仍被认为是最安全的哈希算法之一, 在很多领域被当成了标准使用。 产品应向国家密码管理机构提出申请且须具备相关条件;3) 销售商用密码产品应记录购买者的用途等详细情况;4)进出 口密码相关产品须经国家密码管理机构批准。 可以看出,我国对密码的应用管理也有着及其严格的要求。 但是,如果仔细比较我国的相关法律法规,会发现存在 着“重复管理,处罚不同”的问题,其中也肯定会出现一定的 漏洞,所以我国在这方面的法律法规也亟需继续完善。 4。2各国关于密码的政策 1)俄罗斯的密码政策。进口国外制造的加密设备需要获 得许可证,加密技术的出口受同家的严格控制。1995年4月, 叶利钦总统发布卜条命令,禁止未经授权的加密。国有企业 需要有许可证才能使用加密技术(包括身份验证和保密,存 储和传输)。没有获得许可证,禁止开发、实现或运行加密技术。 2)美国的密码政策。对于加密技术没有进口限制,其加 密技术出口限制极严格。从上面可以看fl{,各国对本国的密码 技术出口有着严格的限制,进而也说明密码技术对一个国家而 言的重要程度。 5结束语 作为信息网络安全的关键技术一一密码技术,近年来空 前活跃,由于计算机运算速度的不断提高,各种密钥算法也 面临着新的密码体制,众多密码新技术正处于不断探索中。 信息技术的应用在我国越来越广泛,其安全问题越来越 突出,网络的安全只是相对而言,网络没有绝对安全。尽管有 各类法律的保障,但数据安全不能太过于依靠法律法规。法 律只能在安全方面对相关人员增加约束力,而无法杜绝违法 行为的产生。 信息安全问题涉及到国家安全、社会公共安全,世界各国已 经认识到信息安全涉及重大国家利益,是互联网经济的制高点, 也是推动互联网发展、电子政务和电子商务的关键,包括密码技 术在内的信息安全技术将得到更大的发展。黩(责编程斌) 参考文献: [1]公安部计算机信息系统安全技术[M]北京:群众出版社, 1998.6 [2】百度文库单向散列函数的原理一实现和在密码学中的应用【EB/ OE]http://wenku.baidu com/view/909c491 1 cc793lb765ce15eO.html, 2001 04-28 【3】石淑华,池瑞楠.计算机网络安全技术_M】北京:人民邮电出版 社.200812. r
发布评论