单向杂凑函数资料.doc

單向雜湊函數 密碼學上的雜湊函數（Cryptographic Hash Function）（Message Digest）（Hash Value） 設計或使用雜湊函數於密碼學系統上的主因是因為利用公開金鑰密碼系統簽章時，因其運算速度較慢，若對整份文件加以簽章則效率不彰。因此加以變通，使用由該文件經過雜湊函數運算所產生之長度較短，但足以區別該文件的文件摘要（Message Digest）（Digital Fingerprint） 雜湊函數與加密演算法一樣，均是將訊息加以隱藏。但其不同點在於加密演算法的結果可以藉由適當的方式加以還原，而雜湊函數則必須具單向與不可逆（One-Way） 密碼學中所使用的單向雜湊函數（One-Way Hash Function） 當給定一特定的雜湊輸出值後，欲找出任何文件可以輸出此一特定的雜湊值，為計算上的不可行，此為抗拒事先描繪的特性（Preimage Resistance） 即使給定一份文件及其雜湊值後，找出第二份文件可以輸出此一特定的雜湊值，為計算上的不可行，此為抗拒第二事先描繪的特性（Second Preimage Resistance） 一個單向雜湊函數必須利用有限的資料量（128或160位元）（Collision）（Collision-Resistance） 理想中，一個長度為n位元的文件摘要，應可區別份文件，但在生日攻擊法（Birthday Attack），亦即輸出長度為128位元（16）份文件，換言之，攻擊者即使利用地毯式搜尋（Brute-force Attack）次運算，即可找出具有相同文件摘要的兩份文件，由此看來，有必要將訊息彙記的輸出長度提升至160位元（10） 大部分的單向雜湊函數或訊息彙記函數之設計理念均極類似，均以固定長度的區塊處理來運作。先將輸入訊息後端不足區塊長度的部份，加以填補（Padding）（Compress Function）（Compress）（AND， NOT， OR， XOR）（Rotate or Cycle Shift）（Chaining Variable） 圖 61 文件彙記產生示意圖 常見的單向雜湊函數有RSA公司MD家族之MD2、MD4、MD5，美國國家標準與技術協會（National Institute of Science and TechnologyNIST）SHA、SHA-1、與歐盟（European Union）RIPERIPEMD、RIPEMD -128、RIPEMD -160等，在以下各個小節我們將分別介紹這些單向雜湊函數。 MD 家族 RSA公司之MD家族包括了MD2、MD4及MD5，都是由設計RSA公開金鑰密碼系統的三位發明人（RivestShamir、Adleman）Rivest所設計發展的，此三個文件摘要函數的內部結構大致相同，均可將任意長度的訊息轉換輸出為128位元的文件摘要，其中MD2是針對8位元的環境予以最佳化，MD4與MD5則是充份利用32位元的環境予以最佳化。 MD2 MD2由Rivest發展於1989年，其運作方式如下：[Kaliski92] 將輸入訊息填補成16位元組（128） 利用基於圓周率（）（Checksum） 將上述訊息切割為16位元組長的區塊，配合一個固定的初始值，反覆計算其函數值，產生一個16位元組（128） 目前已經可以找出其壓縮函數的 “碰撞”，且在省略核對總和值的條件下，更可以找到兩份具有相同訊息彙記的文件。也就是說，若無核對總和值的幫助，MD2安全強度已經不足。 MD4 MD4由Rivest發展於1990年，其運作方式亦與MD2相似，不同的是MD4在輸入的訊息上添加了一個64位元的資料，用以表示輸入訊息的長度，並變更其處理區塊大小為512位元，且此512位元長的資料區塊在壓縮處理上，也必須經過三個回合（Round）MD2有所不同[Rivest90，Rivest92a，Stinson95]。而MD5、SHA-1、RIPEMD均以MD4為設計基礎，加以修改發展而成。德國的Dobbertin，在1995年證明，使用一部普通PC，在一分鐘內即可找到一個MD4的碰撞。因此，MD4的安全強度也已經不足。 MD5 MD5由Rivest發展於1991年，可以說是MD4的加強安全版，比MD4稍慢，除了將壓縮處理過程從MD4的三個回合，增加為四個回合外，其餘均與MD4相同 [Rivest92b，Stallings99]。MD5目前的劣勢，在於其壓縮函數的碰撞（seudo-Collision of Compress Function及Collision of Compress Function兩種）1000萬美金的代價（1995）24天內找出一個MD5的碰撞。因此 RSA公司已發佈新聞指出MD2、MD4與MD5，均