哈希游戏现代密码学-Hash函数

发布时间：2025-12-06 18:06:47 浏览：次

　　哈希游戏作为一种新兴的区块链应用，它巧妙地结合了加密技术与娱乐，为玩家提供了全新的体验。万达哈希平台凭借其独特的彩票玩法和创新的哈希算法，公平公正-方便快捷!万达哈希,哈希游戏平台,哈希娱乐,哈希游戏

哈希游戏现代密码学-Hash函数

　　由于n比特长的散列值共有所以对于给定m的变形的变形m 由于比特长的散列值共有2n个，所以对于给定的变形 i 比特长的散列值共有的变形M 不碰撞的概率是1-1/2n。由于共有由于M共有和M的变形 j，mi与Mj不碰撞的概率是的变形 R个变形，所以的全部变形都不与 i碰撞的概率是：个变形，的全部变形都不与m 个变形所以M的全部变形都不与碰撞的概率是：

　　对Hash函数的攻击是指寻找一对碰撞消息的过程函数的攻击是指寻找一对碰撞消息的过程生日悖论（生日悖论（birthday paradox））

　　生日问题：假设每个人的生日是等概率的，每年有生日问题：假设每个人的生日是等概率的，每年有365天，天个人中至少有两个人的生日相同的概率大于1/2，在k个人中至少有两个人的生日相同的概率大于，问k最小个人中至少有两个人的生日相同的概率大于最小应是多少？应是多少？ k人生日都不同的概率是：人生日都不同的概率是：人生日都不同的概率是 1  2   k −1   1 − 1 − ...1 − .  365  365   365 

　　称为一个Hash函数（hash function），或称为哈希函函数（），或称为哈希函将h称为一个函数），称为x的数、散列函数。对于任何消息x ，将h(x)称为的Hash值、散列函数。对于任何消息称为值散列值、消息摘要（散列值、消息摘要（message digest）。）。

　　个人中，有P(365,23)=0.5073。即在个人中，至少有两个人生日相。即在23个人中同的概率大于0.5，这个数字比人们直观猜测的结果小得多，同的概率大于，这个数字比人们直观猜测的结果小得多，因而称为生日悖论。因而称为生日悖论。

　　生日攻击法分别把消息m和表示成表示成r和个分别把消息和M表示成和R个变形的消息

　　生日攻击法计算真消息m的变形与假消息的变形与假消息M的变形发生碰撞的概率计算真消息的变形与假消息的变形发生碰撞的概率

　　计算消息x的散列值计算消息的散列值h(x)的步骤的散列值的步骤预处理: 用一个公开算法在消息x右方添加若干比特右方添加若干比特，预处理用一个公开算法在消息右方添加若干比特，得到比特串y，的长度为t的倍数得到比特串，使得y的长度为的倍数。即有的长度为的倍数。 y= x pad(x) = y1 y 2 … yr , 其中称为填充函数其中 yi=t (i =1, 2,…, r)，pad(x)称为填充函数。典型的，称为填充函数。填充函数是先添加x长度 x的值，再添加若干比特（例填充函数是先添加长度的值，再添加若干比特（长度的值如0）。）。迭代过程: 是一个长度为m的初始比特串迭代过程设H0=IV是一个长度为的初始比特串，是一个长度为的初始比特串，重复使用压缩函数f，重复使用压缩函数，依次计算 Hi= f (Hi−1 yi) (i =1, 2,…, r). − 输出变换: 是一个公开函数，输出变换设g: {0,1}m→{0,1}t是一个公开函数，令 h(x)=g(Hr).

　　因为消息m共有个变形因此m的变形与的变形与M的变形都不碰撞的概因为消息共有r个变形，因此的变形与的变形都不碰撞的概共有个变形，率是：率是：

　　m的变形与的变形发生碰撞的概率是：的变形与M的变形发生碰撞的概率是的变形与的变形发生碰撞的概率是：

　　用上述方法构造的Hash函数称为迭代函数称为迭代Hash函数。大多数函数。用上述方法构造的函数称为迭代函数实用Hash函数都是迭代函数都是迭代Hash函数实用函数都是迭代函数在预处理阶段，必须保证变换x→y是单射。因为如果预在预处理阶段，必须保证变换 → 是单射。是单射处理变换x→ 不是单射则存在x≠ 使得不是单射，使得y=y’，从而处理变换 →y不是单射，则存在 ≠x’使得， h(x)=h(x’)，即能够找到的碰撞。的碰撞。，即能够找到h的碰撞对于任意无碰撞的压缩函数，对于任意无碰撞的压缩函数，都可以使用迭代技术构造一个无碰撞的Hash函数。函数。一个无碰撞的函数

　　为了抵抗生日攻击，建议值长度至少为128 比特比特. 为了抵抗生日攻击，建议Hash值长度至少为值长度至少为

　　Hash函数的碰撞（collision）函数的碰撞（函数的碰撞）设x、x’是两个不同的消息，如果 h(x)=h(x’) 则称x和x’是Hash函数h的一个（对）碰撞.

　　Hash函数的分类函数的分类单向Hash函数（one−way）函数（ − 单向函数）给定一个Hash值y，如果寻找一个消息，使得给定一个值，如果寻找一个消息x，使得y=h (x) 是计算上不可行的，则称h是单向是单向Hash函数函数. 是计算上不可行的，则称是单向函数弱抗碰撞Hash函数（weakly collision−free）函数（弱抗碰撞函数 − ）任给一个消息x，如果寻找另一个不同的消息x’，任给一个消息，如果寻找另一个不同的消息，使是计算上不可行的，得h(x) =h(x’)是计算上不可行的，则称是弱抗碰撞是计算上不可行的则称h是弱抗碰撞 Hash函数函数. 函数强抗碰撞Hash函数（strongly collision−free）强抗碰撞函数 − ）如果寻找两个不同的消息x和，使得h(x)=h(x’)是计如果寻找两个不同的消息和x’，使得是计算上不可行的，则称h是强抗碰撞是强抗碰撞Hash函数函数. 算上不可行的，则称是强抗碰撞函数

　　生日攻击法值长度为64比当r=R=2n/2时，P(n)=1−e−1≈0.63。对于 − 。对于Hash值长度为比值长度为特的Hash函数，生日攻击的时间复杂度约为 32，所以是函数，特的函数生日攻击的时间复杂度约为2 不安全的。不安全的。

　　Hash函数定义：Hash函数是一个将任意长度的消息函数定义：函数是一个将任意长度的消息函数定义（message）映射成固定长度消息的函数。）映射成固定长度消息的函数。

　　是一个长度为L 设x是一个长度为是一个长度为的比特串。的比特串。重复应用压缩函数f，用压缩函数，对消进行多次压缩，息x进行多次压缩，进行多次压缩最后得到x的散列值最后得到的散列值

　　安全Hash函数应具有以下性质：函数h应具有以下性质安全函数应具有以下性质：对任意的消息x，计算h(x)是容易的；是容易的；对任意的消息，计算是容易的 h是单向的；是单向的；是单向的 h是弱抗碰撞的，或是强抗碰撞的。是弱抗碰撞的，是弱抗碰撞的或是强抗碰撞的。

　　抗碰撞性是最难满足的。抗碰撞性是最难满足的。2004年，山东大学密码学家王小年云对流行的散列算法MD4 MD5 HAVAL-128和RIPEMN 云对流行的散列算法和找到了许多碰撞的例子。给出了如何生成X.509证找到了许多碰撞的例子。Lenstra给出了如何生成给出了如何生成证书的例子，它们的散列值相同。这就意味着，书的例子，它们的散列值相同。这就意味着，在一个证书上有效的数字签名在另一个证书上同样有效，上有效的数字签名在另一个证书上同样有效，因此不可能确定到底哪一个是由认证授权机构合法签署的。确定到底哪一个是由认证授权机构合法签署的。 2005年，王小云预测找到年王小云预测找到SHA-1的碰撞的计算复杂度大的碰撞的计算复杂度大概是2 这比生日攻击的平均计算量2 要好得多。概是 68，这比生日攻击的平均计算量 80要好得多。她在 60轮的轮的SHA-1简化版本中找到了碰撞。简化版本中找到了碰撞。轮的简化版本中找到了碰撞这些结果表明，使用当前流行的散列函数前要再三考虑，这些结果表明，使用当前流行的散列函数前要再三考虑，有必要替换掉这些算法。有必要替换掉这些算法。

　　生日攻击法生日悖论原理可以用于构造对Hash函数的攻击生日悖论原理可以用于构造对函数的攻击函数值有n个比特是真消息，是伪造的假消息是伪造的假消息，设Hash函数值有个比特，m是真消息，M是伪造的假消息，函数值有个比特，是真消息分别把消息m和表示成表示成r和个变形的消息。分别把消息和M表示成和R个变形的消息。消息与其变形消息具有不同的形式，但有相同的含义。消息具有不同的形式，但有相同的含义。将消息表示成变形消息的方法很多，例如增加空格、使用缩写、形消息的方法很多，例如增加空格、使用缩写、使用意义相同的单词、去掉不必要的单词等。相同的单词、去掉不必要的单词等。

　　数据安全机密性完整性认证性密码技术主要保证数据的机密性 Hash函数能保证数据的完整性和认证性函数能保证数据的完整性和认证性

　　Hash函数的作用函数的作用 1 用于加密，如RAS-OAEP 用于加密， 2 用于数字签名。因为数字签名的长度至少要和签名用于数字签名。的文件一样长，的文件一样长，对文件的散列值而不是整个文件签名要有效得多。要有效得多。 3 检查数据的完整性。数据完整性有两种基本的场景。检查数据的完整性。数据完整性有两种基本的场景。第一种场景是数据正在传输给另一个人，第一种场景是数据正在传输给另一个人，有噪声的通信信道向数据引入了错误。信信道向数据引入了错误。第二种场景是观察者在接收者接收到数据之前重新安排了传输方式。收者接收到数据之前重新安排了传输方式。两ຫໍສະໝຸດ Baidu场景数据都遭到了破坏。中，数据都遭到了破坏。