張志軍

2017年2月24日，谷歌與阿姆斯特丹CWI研究所的研究人員宣布，他們成功實(shí)現(xiàn)了c散列算法的碰撞。這標(biāo)志著用SHA-1（簡(jiǎn)稱安全哈希算法）來做電子文本簽名已不再可靠，因?yàn)槊鎸?duì)一個(gè)電子文本和它的SHA-1簽名，科學(xué)家們可以生成一個(gè)完全不同的文本并確保它有完全相同的SHA-1簽名。

安全哈希算法是對(duì)信息做一種不可逆的轉(zhuǎn)換，它有下列屬性：不論輸入信息量的大小，特定的哈希算法的輸出總是固定的長(zhǎng)度；輸入信息的微小變化會(huì)帶來哈希值的很大變化；哈希值的計(jì)算必須包括輸入信息的每一個(gè)比特，否則上面一條將無法滿足。

安全哈希算法的強(qiáng)度在于從哈希值反推原來的輸入信息有多大的難度。如果黑客能在幾天內(nèi)用現(xiàn)有的計(jì)算和存儲(chǔ)能力做到，該算法顯然不能用。安全哈希算法被普遍應(yīng)用到用戶的口令保護(hù)，一般被稱為單向加密。其優(yōu)越性在于攻擊者不能根據(jù)口令的哈希值而反推出口令本身。攻擊者可以不斷地試不同口令的哈希值直到與要破譯的口令的哈希值相同。這種攻擊需要耗費(fèi)的時(shí)間太多。于是黑客們發(fā)明了彩虹列表攻擊法。應(yīng)對(duì)這種攻擊的方法有增加口令的長(zhǎng)度、給哈希值加“鹽”，即在哈希值生成過程中加入一個(gè)隨機(jī)生成的數(shù)值作為哈希算法的另一個(gè)輸入。這樣，同一個(gè)口令因“鹽”值的不同，哈希值也不同，攻擊者就無法用一個(gè)彩虹列表來根據(jù)哈希值去反查原來的口令是什么。

安全哈希算法也是文本數(shù)字簽名或者電子簽名技術(shù)的一個(gè)重要組成部分。數(shù)字簽名實(shí)際上包括兩項(xiàng)主要的工作，簽名和檢驗(yàn)，前者創(chuàng)建一個(gè)數(shù)字簽名，后者驗(yàn)證簽名的有效性。這個(gè)應(yīng)用首先要計(jì)算文本的哈希值，然后用服務(wù)商所提供的或者是用戶自己的密匙對(duì)哈希值用非對(duì)稱加密算法來加密，其結(jié)果就是這個(gè)文本的簽名。

這里如果用的是用戶自己的密匙，我們稱它為數(shù)字簽名，其不可否認(rèn)性被全世界的法律體系所公認(rèn)。如果是用服務(wù)商所提供的密匙，則稱作電子簽名，必須輔以較強(qiáng)的用戶認(rèn)證過程以及服務(wù)商對(duì)密匙的有效保護(hù)，才能被接受。加了簽名的文本還需要加上包含了相應(yīng)公匙的數(shù)字證書，這樣才能讓收到帶簽名文本的人把簽名解密，然后把結(jié)果與原文本的哈希值比較，如果數(shù)值相同就表示驗(yàn)證成功，表明文本是真實(shí)的，并且在簽名之后沒有過任何改動(dòng)。

區(qū)塊鏈技術(shù)也大量使用哈希值。區(qū)塊鏈技術(shù)的設(shè)計(jì)者直接選擇了比SHA-1更強(qiáng)的SHA-256。SHA-256的哈希值有256個(gè)比特，哈希值的可能性用十進(jìn)制表示相對(duì)應(yīng)64后面加75個(gè)0。

SHA-1的使用建議如下：對(duì)于提供數(shù)字簽名業(yè)務(wù)的服務(wù)商，應(yīng)立即用SHA-256或者更強(qiáng)的哈希算法來替代SHA-1；數(shù)字證書的提供者都不應(yīng)該再使用SHA-1；企業(yè)若在文檔簽名等應(yīng)用程序中使用SHA-1，需要盡快升級(jí)，新的應(yīng)用程序都應(yīng)該杜絕使用SHA-1。到SHA-1完全不能使用應(yīng)該還有幾年的時(shí)間。雖未迫在眉睫，為安全起見，企業(yè)內(nèi)部的應(yīng)用程序應(yīng)該在兩年內(nèi)把所有的SHA-1都替換掉。