如何用MD5和SHA等构造密码方案中的哈希函数
文章目录
- 常见符号
- 如何实现 H:{0,1}∗→Zp∗H : \{0, 1\}^* \to \mathbb{Z}^*_pH:{0,1}∗→Zp∗
- 如何实现 H:Zp∗→{0,1}λH: \mathbb{Z}^*_p \to \{0, 1\}^\lambdaH:Zp∗→{0,1}λ
- 如何实现 H:M→ZN∗H: \mathcal{M} \to \mathbb{Z}^*_NH:M→ZN∗
- 如何实现 H:{0,1}∗→GH: \{0, 1\}^* \to \mathbb{G}H:{0,1}∗→G
- 双线性对上的哈希函数
常见符号
先复习一些常见符号
| 符号 | 意义 |
|---|---|
| p,qp, qp,q | 大素数 |
| Zp\mathbb{Z}_pZp | 集合{0,1,2,…,p−1}\{ 0,1,2, \dots, p-1 \}{0,1,2,…,p−1} |
| ZN∗\mathbb{Z}^*_NZN∗ | 与NNN互质的整数 |
| Zp∗\mathbb{Z}^*_pZp∗ | 与ppp互质的整数,即集合{1,…,p−1}\{1, \dots, p-1\}{1,…,p−1} |
| {0,1}λ\{0, 1\}^\lambda{0,1}λ | 长度为λ\lambdaλ的比特串 |
| {0,1}∗\{0, 1\}^*{0,1}∗ | 任意长度的比特串 |
| G\mathbb{G}G | 阶为素数的有限循环群 |
| G\mathbb{G}G | 双线性配对有关的有限循环群 |
如何实现 H:{0,1}∗→Zp∗H : \{0, 1\}^* \to \mathbb{Z}^*_pH:{0,1}∗→Zp∗
记输入为xxx,用SHA256哈希函数实现HHH,且log2(p)>256\log_2 (p) > 256log2(p)>256。注: 这里的哈希函数HHH在密码方案中一般被当成随机谕言机。
- 参考答案:网址
直接思路:(SHA256(x)mod(p−1))+1\left( \mathsf{SHA256}(x) ~ \mathrm{mod} ~ (p-1) \right) + 1(SHA256(x) mod (p−1))+1。直接模ppp无法保证哈希结果不为零。模(p−1)(p-1)(p−1)使得值域为[0,p−2][0, p-2][0,p−2],加1使得值域为[1,p−1][1, p-1][1,p−1]。
由于哈希函数SHA256(x)<2256\mathsf{SHA256}(x) < 2^{256}SHA256(x)<2256,而Zp∗\mathbb{Z}^*_pZp∗元素比特串长度大于256,所以上述思路无法做到与随机函数f:y←Zp∗f: y \gets \mathbb{Z}^*_pf:y←Zp∗不可取分,即Zp∗\mathbb{Z}^*_pZp∗中有一些元素总是取不到,这与随机谕言机的定义冲突。
改进思路: 拓展SHA256的长度。
记k=1+⌈log2(p)/256⌉k = 1 + \lceil \log_2(p) / 256 \rceilk=1+⌈log2(p)/256⌉,利用HMAC构造kkk个不同的输出为256比特的哈希函数Hi(x)H_i(x)Hi(x),HMAC的定义详见维基百科。
具体而言,对Hi(x)H_i(x)Hi(x),随机选取512比特的种子cic_ici,使
Hi(x)=SHA256((ci⊕opad∥SHA256((ci⊕ipad∥x))H_i(x) = \mathsf{SHA256} \Big( (c_i \oplus\mathsf{opad} \| \mathsf{SHA256} \big( (c_i \oplus\mathsf{ipad} \| x \big) \Big)Hi(x)=SHA256((ci⊕opad∥SHA256((ci⊕ipad∥x))。
最终构造
((H0(x)∥H1(x)∥⋯∥Hk−1(x))mod(p−1))+1\Big( \big( H_0(x) \| H_1(x) \| \cdots \| H_{k-1}(x) \big) ~ \mathrm{mod} ~ (p-1) \Big) + 1((H0(x)∥H1(x)∥⋯∥Hk−1(x)) mod (p−1))+1。
扩展之后,取模之前的数的长度肯定大于log2(p)\log_2(p)log2(p)。
我的疑问: 这里怎么保证抗碰撞性质?即使HMAC是抗碰撞的,那么攻击者不可以利用(p−1)(p-1)(p−1)的循环制造扩展哈希的碰撞对吗?例如:攻击者分别给出5的原像和(p−1+5)(p-1+5)(p−1+5)的原像。为了解决这个问题,可不可以一旦检测到H0∥⋯∥Hk−1≥(p−1)H_0 \| \cdots \| H_{k-1} \geq (p-1)H0∥⋯∥Hk−1≥(p−1),就对xxx加一个随机成分γ\gammaγ,利用雪崩效应使H0∥⋯∥Hk−1<(p−1)H_0 \| \cdots \| H_{k-1} < (p-1)H0∥⋯∥Hk−1<(p−1)?
如何实现 H:Zp∗→{0,1}λH: \mathbb{Z}^*_p \to \{0, 1\}^\lambdaH:Zp∗→{0,1}λ
跟上述做法类似,用2λ2^\lambda2λ取模。
参考答案:网址
如何实现 H:M→ZN∗H: \mathcal{M} \to \mathbb{Z}^*_NH:M→ZN∗
这里M\mathcal{M}M是消息(message)的定义域,NNN是大素数ppp和qqq的积。
参考答案:网址
主要思路:ZN∗\mathbb{Z}^*_NZN∗不包含p,q,0p, q, 0p,q,0,那么可以直接用哈希函数对NNN取模。只要NNN足够大,刚好取到p,q,0p, q, 0p,q,0的概率为可忽略函数。
个人思考: 若运气不好刚好取到p,q,0p, q, 0p,q,0,则对m∈Mm \in \mathcal{M}m∈M填充随机成分。
如何实现 H:{0,1}∗→GH: \{0, 1\}^* \to \mathbb{G}H:{0,1}∗→G
可以先将输入xxx映射至Zq\mathbb{Z}_qZq得到hhh,再将ghg^hgh作为哈希输出。这里的ggg是群的生成元。
双线性对上的哈希函数
PBC library和Charm-Crypto library都有提供相应函数,不再赘述。