資訊保安的目標之中有乙個完整性.
完整性:是指資訊不被非法篡改,
針對完整性,有一種函式:雜湊函式,
雜湊函式的特點是:
1.單向密碼體制,只有從明文到密文的對映,而不會有對應
的逆對映,也就是說只有加密的過程,不存在解密.
2.輸出是固定長度的密文.無論明文的長度是多少,輸出的
密文都是固定長度的.
雜湊函式數學表示式: h=h(m)
h: 密文, h():雜湊函式 m:明文
歸納總結下雜湊函式的特點:
1.單向性:只有加密的過程
2.壓縮性:無論明文長度如何,產生的都是固定長度的密文
3.容易計算:雜湊函式的計算是比較容易的
4.弱抗碰撞性:存在乙個明文q,不可能找出另外乙個明文
w,使得兩者的雜湊值一樣.
5.強抗碰撞性:要想找出任意一對qw明文,使得它們的雜湊
值一樣,在計算上是不可能的.
雜湊函式實際的演算法:
①md5 ② sha
md5是 128位的 sha是160位的
雜湊函式的實際應用有哪些:
1.保證資訊的完整性,正如上文所說的.舉個例子,乙個網
站,**管理員每日的工作中怎麼知道自己這個**的每
乙個檔案有沒有被別人修改,哪怕是乙個名字的修改.
具體做法是:我們可以先對本來的**做乙個雜湊函式計
算,產生乙個密文,也就是摘要,然後,以後的每一日的工作
時候,只需要再對當時的**做乙個雜湊函式計算,產生摘
要,然後對比兩份不同時候產生的摘要,看看是否有區別,
便可以知道**有沒有被修改.這個有實際的產品:例如網
站衛士.
2.用來做數字簽名.後面再詳細講解.
3.用於口令的儲存和傳輸:例如我們在**登入的賬號和
密碼.我們可以先計算雜湊值,再把雜湊值傳輸過去服務端
,服務端比較雜湊值,若相同,則可以成功登入,不同,則返
回.這樣做的好處是:在網路傳輸的時候不傳輸明文,而是
訊息摘要,就算被擷取了,也無法知曉明文是什麼咚咚,而
且在伺服器儲存的也不是明文,而是明文的摘要,這樣子就
算**管理人也不知曉明文是什麼,降低了風險.但是這個
模型不可抵抗重放攻擊,為抵抗重放攻擊,可以有進一步的
優化,就是在原基礎之上,增加乙個質詢,也就是我們平時
登入的驗證碼.
接下來,是認證.
認證分為 實體認證 和 訊息認證.
訊息認證 分為: 訊息源認證 和 訊息的完整性認證
訊息源認證是指認證訊息的**是真實的,不是偽造的.
訊息的完整性認證是指訊息的傳輸過程中沒有遭到破壞.
關於訊息認證 有個東西 叫作 訊息認證碼(mac)
訊息認證碼 就是在 雜湊函式的基礎上加多乙個金鑰.
這樣做的好處是:一來利用雜湊函式實現訊息的完整性驗
證. 二來利用金鑰實現訊息源的認證.
訊息認證的模型:
傳送方: 將訊息在金鑰k的基礎下計算雜湊值,生成認證
碼,將訊息和認證碼一同傳送.
接收方: 收到訊息和認證碼之後,將訊息在金鑰k的基礎下
同樣計算一遍雜湊值,再將雜湊值跟收到的認證碼比較,若
是相同,則訊息無誤.
那麼問題來了:訊息認證既包括訊息的完整性認證,也認證了訊息的**,那麼 訊息認證 和 實體認證有什麼不同呢?
資訊保安學習筆記
密碼學 1.受限制的演算法 演算法的保密性基於保持演算法的秘密 2.基於金鑰的演算法 演算法的保密性基於對金鑰的保密 3.分組密碼 將明文分成固定長度的組,用同一金鑰演算法對每一塊加密,輸出也是固定長度的密文 4.流密碼 有成序列密碼,每次加密一位或者乙個位元組的明文 5.凱撒密碼的密文空間是26,...
資訊保安學習筆記 1
菜鳥最近上了一本資訊保安的課程,現在打算做做筆記,整理所學知識.首先是資訊保安的目標 機密性,完整性 可用性 可控性 不可否認性 機密性 意思就是資訊被該知道的人知道,不被不該知道的人的知道 完整性 是指資訊的完整性,不可以被破壞 可用性 資訊對於已經被授權的人應該是可用的 可控性 資訊的傳播和內容...
資訊保安學習筆記 CSRF
一 csrf簡介 csrf cross site request forgery 跨站請求偽造,也被稱為 one click attack 或者 session riding 通常縮寫為csrf或者xsrf,是一種對 的惡意利用。儘管聽起來像跨站指令碼 xss 但它與xss非常不同,並且攻擊方式幾乎...